198 61 22MB
German Pages 3312 [3424] Year 2017
Jochen Schneider
Handbuch EDV-Recht
Handbuch EDV-Recht IT-Recht mit IT-Vertragsrecht, Datenschutz, Rechtsschutz und E-Business herausgegeben von
Prof. Dr. Jochen Schneider Rechtsanwalt, München bearbeitet von
Ludwig Antoine
Rechtsanwalt, München
Frieder Backu
Rechtsanwalt, Fachanwalt für IT-Recht und für Steuerrecht, München
Dr. Irene Bayer
Rechtsanwältin, Fachanwältin für Steuerrecht, München
Elke Bischof
Rechtsanwältin, Fachanwältin für IT-Recht, München
Isabell Conrad
Rechtsanwältin, Fachanwältin für IT-Recht, München
Thomas Graf, LL.M.
Advokat, Brüssel und Schweiz
Ines M. Hassemer
Rechtsanwältin, Fachanwältin für Strafrecht, München
Danielle Hertneck
Rechtsanwältin, Fachanwältin für IT-Recht und für Gewerblichen Rechtsschutz, München
Fabian Kahlert
Rechtsanwalt, München
JProf. Dr. Timoleon Kosmides, LL.M. Eur.
Dikigoros, Thessaloniki, München
Dr. Romina Polley, LL.M. Rechtsanwältin, Köln
Prof. Dr. Jochen Schneider Rechtsanwalt, München
Bernd Suchomski, LL.M.
Rechtsanwalt, Syndikusrechtsanwalt, Augsburg, Berlin
Michaela Witzel, LL.M.
Rechtsanwältin, Fachanwältin für IT-Recht, München
5., vollständig überarbeitete Auflage
2017
Zitierempfehlung: Schneider/Bearbeiter, Handbuch EDV-Recht, 5. Aufl. 2017, Kap. … Rz. …
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Verlag Dr. Otto Schmidt KG Gustav-Heinemann-Ufer 58, 50968 Köln Tel. 02 21/9 37 38-01, Fax 02 21/9 37 38-943 [email protected] www.otto-schmidt.de ISBN 978-3-504-56094-2 ©2017 by Verlag Dr. Otto Schmidt KG, Köln
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungsbeständig und umweltfreundlich. Einbandgestaltung: Lichtenford, Mettmann Satz: WMTP, Birkenau Druck und Verarbeitung: Kösel, Krugzell Printed in Germany
Vorwort Seit der 4. Auflage (2009) hat sich im IT-Recht viel getan, etwa durch die Rechtsprechung von EuGH und BGH zu „Gebrauchtsoftware“ und die Neuregelung des Datenschutzes und der IT-Sicherheit. Auch in den einzelnen Fachgebieten wie Vergabe-, Steuer-, Straf- und Kartellrecht sowie E-Business haben sich viele neue Entwicklungen ergeben. Insofern wurde ein „Update“ dringend nötig. Der Begriff „IT-Recht“ deckt nicht die ganze Bandbreite ab. Die Rede ist von „ITK-Recht“ unter Einschluss von E-Commerce und anderen E-Anwendungsfeldern. Die 5. Auflage versucht nach wie vor, die Bandbreite abzudecken, die sich insoweit ergibt. Dennoch wurde im Titel der Begriff „EDV-Recht“ beibehalten. Durch konstante Bezeichnung soll, wie schon in der 4. Auflage dargelegt, die Kontinuität der Darstellung des Rechtsgebiets trotz dessen teils rasanter Entwicklung betont werden. Bei der 5. Auflage haben weitere Autoren mitgewirkt, die jeweils ausgewiesen sind. Der grundsätzliche Aufbau des Werkes wurde beibehalten. Einen allgemeinen Teil des IT-Rechts bilden die Kap. A–L. Darin werden – unter Verzicht auf ein einführendes Kapitel – die einzelnen Teilgebiete vom Datenschutz über Arbeits-, Straf-, Vergabe- und Steuerrecht sowie die diversen Arten des Rechtsschutzes bis zum Kartellrecht aus der Sicht des Unternehmens und dessen Rechtsberater dogmatisch aufbereitet und abgehandelt. Der Besondere Teil, Kap. M–X, enthält das IT-Vertragsrecht und Prozessrecht. Den Überbau für die speziellen Vertragsrechtskapitel mit AGB und deren Beurteilung bildet Kap. M (zuvor D) unter anderem mit Vertragstypologie, AGB-Recht, Recht der Leistungsstörungen inklusive einer Übersicht über die Rechtsprechung zu Mängeln im IT-Bereich. Dieser allgemeine Teil des Vertragsrechts (M) wurde wesentlich ausgebaut. Daran schließt der besondere Teil des Vertragsrechts beginnend mit Kap. N (Beratungsvertrag bis zu Providerverträgen) an, wobei die Darstellung nach einzelnen Vertragsgegenständen (Hardware, Software usw.) beibehalten wurde. Zuletzt folgt ein prozessual orientierter Abschnitt. Leider haben sich durch die Umgestaltung und stärkere Gliederung sowie teilweise auch Straffung in den Kapiteln unter gleichzeitiger Aufnahme zahlreicher Rechtsprechung und Literatur Änderungen in den Randziffern ergeben. Dies war unvermeidbar. Durch die zahlreichen Verweisungen und das Stichwortverzeichnis sollte es aber möglich sein, die jeweils relevanten Stellen auch dann zu finden, wenn sie nicht mehr die bisherige Gliederungsziffer tragen. Das Schema der Gliederung nach Abfolge der Vertrags(Klausel-)themen für die jeweilige Darstellung eines Vertragsgegenstandes im Besonderen Teil wurde beibehalten. Eine Synopse auf Basis dieses Schemas, das die Kap. N–W prägt, findet sich in Anhang 2. Mittels der Klauselthemen dieses Schemas und der Abfolge lässt sich die entsprechende Thematik je Vertragsgegenstand unmittelbar auffinden, etwa „Mitwirkung“, „Gewährleistung“, „Haftung“ usw. Die zum Teil erheblichen Neuerungen bei den EVB-IT werden beim jeweiligen Vertragsthema behandelt. Die Kapitel des Besonderen Teils werden abgerundet durch Vertragsbeispiele in Anhang 1, die ebenfalls aktualisiert wurden. Die Verweise wurden mit Blick auf eine tiefe Erschließung intensiviert, was auch für die Online-Nutzung die schnelle Auffindbarkeit noch verbessert. Der Stand der Arbeiten bezieht sich im Wesentlichen auf den Rechts- und Publikationsstand Oktober/November 2016. Mein Dank gilt den Mit-Autoren Frau Rechtsanwältin Dr. Irene Bayer, Frau Rechtsanwältin Elke Bischof, Frau Rechtsanwältin Isabell Conrad, Frau Rechtsanwältin Ines Hassemer, Frau Rechtsanwältin Danielle Hertneck, Frau Rechtsanwältin Dr. Romina Polley, Frau Rechtsanwältin Michaela Witzel, Herrn Rechtsanwalt Ludwig AnV
Vorwort
toine, Herrn Rechtsanwalt Frieder Backu, Herrn Rechtsanwalt Thomas Graf, Herrn Prof. Timoleon Kosmides und Herrn Rechtsanwalt Bernd Suchomski. Besonderer Dank gilt Herrn Rechtsanwalt Fabian Kahlert, der nicht nur Mitautor einiger Kapitel ist, sondern auch am gesamten Werk maßgeblich mitgewirkt hat. Mein Dank für Korrekturen und viele Anregungen gilt insbesondere Frau Lucie Antoine und sodann Frau Rechtsanwältin Maria-Urania Dovas, Frau Rechtsanwältin Dr. Sonja Fechtner, Frau Rechtsanwältin Susanna Licht, Frau Rechtsanwältin Dr. Alin Seegel sowie Herrn Rechtsanwalt Stefan Haßdenteufel. Frau Waltraud Eder danke ich für die umfangreiche Schreibarbeit. Die Arbeit an der 5. Auflage war zunächst dadurch gekennzeichnet, nicht unerheblich zu kürzen bzw. zu straffen. Dies ist auch weitgehend gelungen. Andererseits sind aber zahlreiche neue Themen aufgegriffen und einige Themen ausgebaut worden, was wiederum den Umfang erheblich erweitert hat. Nicht zuletzt deshalb gilt mein besonderer Dank dem Verlag, der diese Ausdehnung akzeptiert und realisiert hat, was sicher auch mit erheblichem Mehraufwand bei der Lektorierung verbunden war. Deshalb gilt dieser Dank insbesondere Frau Claudia Bergmeier und Frau Dr. Julia Beck vom Verlag Dr. Otto Schmidt. Für die Erstellung des Stichwortverzeichnisses danke ich Herrn Johannes Witt. Es ist geplant, das Werk durch Updates mit den kommenden Rechtsentwicklungen zu verknüpfen – sei es durch Aktualisierungen der elektronischen Version, die derzeit unter www.ju ris.de im juris PartnerModul IT-Recht vorzufinden ist, sei es durch Kommentierung im freien Bereich der IT-rechtlichen Webseite des Verlages www.cr-online.de. Falls Interesse an einer solchen Begleitung besteht, informieren Sie sich gerne über diese Webseite. Kritik und Anregungen zu dieser Auflage, um die wir herzlich bitten, richten Sie bitte an den Verlag ([email protected]). München, im Januar 2017
VI
Jochen Schneider
Inhaltsübersicht Seite
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V
Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
XIII
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXIII
Allgemeiner Teil Grundlagen des IT-Rechts und Rechtsschutz A. Datenschutz und IT-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
I. Datenschutz Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
II. Datenschutz-Grundverordnung (DS-GVO) . . . . . . . . . . . . . . . . . . . . . . . . . .
125
III. Arbeitnehmerdatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
177
IV. Kundendatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
258
V. Datenschutz im Internet bei Telemedien und Telekommunikation . . . . . . . . .
321
VI. IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
349
VII. IT-Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
393
VIII. E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
407
B. E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung . . . . . .
427
I. Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
442
II. Fernabsatzvertragsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
457
III. E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm . . . . .
530
IV. E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB . . . .
557
V. E-Werbung und weitere geschäftliche Handlungen . . . . . . . . . . . . . . . . . . . .
606
VI. Haftung und Privilegierung der Provider . . . . . . . . . . . . . . . . . . . . . . . . . . .
664
C. Arbeitsvertragsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
746
I. Branchentypische Formen des Arbeitseinsatzes: Selbständiger Auftragnehmer (EDV-Dienstleister), Arbeitnehmer, Leiharbeitnehmer, Freiberufler . . . . . . . . .
747
II. Allgemeines zur AGB-Kontrolle im Arbeitsrecht . . . . . . . . . . . . . . . . . . . . .
754
III. Inhaltskontrolle von ausgewählten arbeitsvertraglichen Klauseln . . . . . . . . . .
757
IV. Urheberrechtliche Aspekte bei Verträgen mit Programmierern . . . . . . . . . . . .
763
V. IT-Outsourcing und Betriebsübergang nach § 613a BGB . . . . . . . . . . . . . . . . .
766
VII
Inhalts"bersicht Seite
D. Vergabe von IT-Leistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
768
I. Grundsätze der Vergabe von IT-Leistungen . . . . . . . . . . . . . . . . . . . . . . . . .
773
II. Die Entwicklung des Vergaberechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
774
III. Aufbau, Struktur und rechtliche Grundlagen des Vergaberechts . . . . . . . . . . .
780
IV. Hilfreiche Dokumente bei der Vergabe von IT-Leistungen . . . . . . . . . . . . . . .
783
V. Die allgemeinen Grundsätze des Vergaberechts (§ 97 GWB) . . . . . . . . . . . . . .
785
VI. Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe) . . . . . . . .
791
VII. Vergabeverfahren nach VgV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
808
VIII. Verwendung elektronischer Mittel zur Kommunikation, Vergabeverfahren, E-Vergabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
858
IX. Rechtsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
861
E. Strafrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
880
I. Allgemeine Ausführungen zum IT-Strafrecht . . . . . . . . . . . . . . . . . . . . . . . .
882
II. Straftaten mit Bezug zur Informationstechnologie . . . . . . . . . . . . . . . . . . . .
884
F. Die steuerliche Behandlung von Software und IT-Dienstleistungen . . . . . . . . .
926
I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
931
II. Bewertung und Bilanzierung von Software . . . . . . . . . . . . . . . . . . . . . . . . . .
937
III. Umsatzsteuerliche Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
953
IV. Quellensteuer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
971
V. Verrechnungspreise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
996
VI. Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1010 VII. Buchführungs- und Aufbewahrungspflichten . . . . . . . . . . . . . . . . . . . . . . . . 1014 VIII. Steuerliche Beurteilung wichtiger Fallgestaltungen . . . . . . . . . . . . . . . . . . . . 1016 G. Urheberrechtsschutz für Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1023 I. Schutzvoraussetzungen, §§ 69a ff. UrhG . . . . . . . . . . . . . . . . . . . . . . . . . . . 1027 II. Schutzobjekt(e) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1050 III. Mitarbeiter als Urheber, § 69b UrhG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1054 IV. Urheberrechtlich relevante Handlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 1066 V. Rechtseinräumung, § 69d UrhG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1075 VI. Wirkungen für Handel und Vertrieb von Software . . . . . . . . . . . . . . . . . . . . . 1103 VII. Onlinenutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1128 VIII. Open Source Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1130
VIII
Inhalts"bersicht Seite
H. Sonstiger Rechtsschutz für Software und softwarebezogene Schöpfungen . . . . . 1181 I. Patentschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1182 II. Topographienschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1213 III. Der Schutz der Software durch Warenzeichen bzw. Marken . . . . . . . . . . . . . . . 1216 IV. Der Schutz der Software durch Titelschutz . . . . . . . . . . . . . . . . . . . . . . . . . . 1224 V. Wettbewerbsrechtlicher Schutz der Software . . . . . . . . . . . . . . . . . . . . . . . . . 1230 VI. Wettbewerbsrechtlicher Schutz von Software im Mitarbeiterverhältnis . . . . . . 1234 VII. Abgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1243 I. Rechtsschutz für Datenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1245 I. Allgemeines zum Spezialschutz für Datenbanken, Problemlage . . . . . . . . . . . . 1247 II. Richtlinie 69/9/EG v. 11.3.1996 über den rechtlichen Schutz von Datenbanken, DB-RL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1255 III. Urheber-Rechtsschutz für Datenbanken, § 4 Abs. 2 UrhG „Datenbankwerk“ . . 1259 IV. Der Sonderrechtsschutz des Datenbankherstellers . . . . . . . . . . . . . . . . . . . . . 1263 V. Nicht geschützte Datenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1286 VI. Datenbankverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1287 J. Rechtsschutz für sonstige digitale Güter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1290 I. Digitale Agenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1291 II. E-Books . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1294 III. Hybride Werke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1299 IV. Urheberrechte im Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1303 V. Leistungsschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1311 VI. Konvergenz durch Digitalisierung, Impulse für Urheberrecht und Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1313 K. Domainnamen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1317 I. Grundlagen des Domainrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1318 II. Besonderer Teil: Spezielle Konstellationen, Fallgruppen . . . . . . . . . . . . . . . . . 1337 L. Softwareverträge und Kartellrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1375 I. Anwendbares Recht und Marktabgrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . 1377 II. Kartellverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1386 III. Missbrauch einer marktbeherrschenden Stellung . . . . . . . . . . . . . . . . . . . . . . 1422
IX
Inhalts"bersicht
Besonderer Teil IT-Vertragsrecht und IT-Verfahrensrecht Seite
M. Grundlagen des IT-Vertragsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1440 I. Überblick, Besonderheiten des IT-Vertragsrechts . . . . . . . . . . . . . . . . . . . . . . 1447 II. Leistungsgegenstände und vertragstypologische Einordnung der EDV-/ IT-Verträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1464 III. Schema/Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1551 IV. Typische dogmatische Problemlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1555 V. Vergütung, Fälligkeit, Verzug, wirtschaftliche Betriebsführung . . . . . . . . . . . . 1643 VI. Neue Methoden/Folgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1648 VII. AGB-Recht/Vertragsgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1652 VIII. Leistungsstörungen, Mängelrechte (Grundsätzliches) . . . . . . . . . . . . . . . . . . 1697 IX. Mängelbeispiele aus der Rspr. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1727 N. Planung und Beratung bei IT-Projekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1773 I. Abgrenzung zu anderen Verträgen, Vertragsarten, Vertragstypen . . . . . . . . . . . 1775 II. AGB zur Planung von IT-Projekten und Beratung bei Softwareerstellung bis zum Pflichtenheft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1799 III. Freie Mitarbeit, Subunternehmerschaft, Rahmenverträge . . . . . . . . . . . . . . . 1859 IV. Besonderheiten bei Überwachung und Leitung von Projekten . . . . . . . . . . . . . 1887 V. Besonderheiten, sog. „Services“, zusätzliche Leistungen . . . . . . . . . . . . . . . . 1893 O. Hardwarebeschaffungsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1897 I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1898 II. Hardware-Kauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1902 III. Hardware-Miete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1980 IV. Hardware-Leasing (unter Einbeziehung auch von Software) . . . . . . . . . . . . . . 2005 P. Hardwarewartungsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2040 I. Der „klassische“ Wartungsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2041 II. Besonderheiten, zusätzliche Leistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 2126 Q. Erstellung von Software – das Softwareprojekt . . . . . . . . . . . . . . . . . . . . . . . 2129 I. Erstellung von Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2130 II. Besonderheiten bei Softwareanpassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2283 III. Besonderheiten der Erstellung von Websites . . . . . . . . . . . . . . . . . . . . . . . . . 2322 R. Standardsoftwareüberlassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2330 I. Einteilung der Vertragsgegenstände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2331 II. Standardsoftwareüberlassung nach Kaufrecht (kaufrechtliche AGB) . . . . . . . . 2378 III. Standardsoftwareüberlassung nach Mietrecht (nicht-kaufrechtliche AGB) . . . . 2481
X
Inhaltsbersicht Seite
S. Softwarepflegeverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2522 I. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2523 II. Vorvertragliches Stadium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2532 III. Vertragsgegenstand, Leistungsbereiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2534 IV. Vertragliche Leistungen des Auftragnehmers, Spezifizierung des Leistungsumfanges, Rechtseinräumung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2574 V. Vertragsdauer und Fristen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2584 VI. Mitwirkungspflichten des Auftraggebers . . . . . . . . . . . . . . . . . . . . . . . . . . 2592 VII. Vergütung, Fälligkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2599 VIII. Änderungen während der Vertragsdauer . . . . . . . . . . . . . . . . . . . . . . . . . . . 2607 IX. Übergabe der Leistung, Annahme, Abnahme . . . . . . . . . . . . . . . . . . . . . . . . 2610 X. Mängelhaftung, Gewährleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2611 XI. Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2617 XII. Schutz der Rechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2618 XIII. Weitere Arbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2619 XIV. Vertragsende, -beendigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2620 XV. Andere Verträge, Beziehungen zu diesen . . . . . . . . . . . . . . . . . . . . . . . . . . . 2622 XVI. Erfüllungsort, Gerichtsstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2625 XVII. Schriftformklauseln, Vertragsübertragung auf Dritte . . . . . . . . . . . . . . . . . . 2626 T. Systemverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2627 I. Zum Vertragstyp und seinen Ausprägungen . . . . . . . . . . . . . . . . . . . . . . . . 2627 II. Ausprägung und Beurteilung des Systemvertrags mit Arbeiten an der Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2663 U. Rechenzentrums- und Service-RZ-Verträge, Outsourcing . . . . . . . . . . . . . . . 2714 I. Outsourcing, Stufen zum Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . 2715 II. CC-Verträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2734 III. ASP und SaaS, Abgrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2751 IV. Rechenzentrumsverträge, ASP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2752 V. Backup-Verträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2793 VI. Quellcode-Hinterlegung, Escrow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2798 VII. Insolvenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2816 VIII. Geheimhaltungsvereinbarung, NDA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2821
XI
Inhaltsbersicht Seite
V. Vertriebsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2823 I. Gegenstand des Vertriebsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2825 II. Übersicht über Arten des Vertriebs und rechtliche Grundlagen . . . . . . . . . . . 2825 III. Softwarevertriebsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2832 IV. Gebrauchtsoftwarevertrieb und Onlinevertrieb/Download – Vertrag . . . . . . . . 2869 V. Master-Kopie, Kopierrecht des Kunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2874 VI. OEM-Hardware-Vertrag (Original Equipment Manufacturer) . . . . . . . . . . . . . 2875 VII. Hardware-Vertriebsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2880 VIII. Verträge für Entwicklungssysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2883 IX. Vertrieb von Datenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2885 W. Vertragsrecht der Internet-Dienstleistungen . . . . . . . . . . . . . . . . . . . . . . . . 2888 I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2892 II. Access-Providing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2910 III. Presence-Providing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2947 IV. Vermarktungsverträge, Werbeverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2970 V. E-Mail-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2981 VI. Web 2.0-Dienste-Providing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2985 VII. Streaming-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2989 VIII. Application Service Providing (Verweis) . . . . . . . . . . . . . . . . . . . . . . . . . . . 2993 IX. Cloud-Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2993 X. Online-Dateiverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3000 XI. Filesharing-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3003 XII. Internetvertrieb von Online-Glücksspielen . . . . . . . . . . . . . . . . . . . . . . . . . 3007 XIII. Online-Branchenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3007 XIV. Web-Design-Vertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3008 XV. Domain-Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3010 XVI. App-Verträge (Verweis) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3012 XVII. Linking-Vertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3012 XVIII. Besondere Arten des Internet-Geschäfts . . . . . . . . . . . . . . . . . . . . . . . . . . . 3013 X. IT-Verfahrensrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3021 I. Vorprozessuales Stadium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3021 II. Prozessuales Stadium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3047 Anhang 1: Vertragsmuster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3109 Anhang 2: Matrix der Vertragsthemen und Vertragsgegenstände mit Rz. . . . . . . . . . 3259 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3261
XII
Abkürzungsverzeichnis
AAC AcP ADR AEPD AfA AV
AVC AWV
Average Avoidable Costs Archiv für die civilistische Praxis (Zeitschrift) Alternative Dispute Resolution Agencia Española de Protección de Datos Tabelle für die Absetzung für Abnutzung allgemein verwendbarer Anlagegüter Zeitschrift für Medien- und Kommunikationsrecht (früher: Archiv für Presserecht) Aktivitäten- und Fristenplan Allgemeine Geschäftsbedingungen Auftragnehmer Anwaltsblatt (Zeitschrift) Anwaltsgerichtshof Arbeitsrechtliche Praxis Application Programming Interface Allgemeines Persönlichkeitsrecht Apple Public Source License Arbeitnehmererfindungsgesetz Arbeit und Recht (Zeitschrift) American Standard Code for Information Interchange Application Service Providing Außensteuergesetz Average Total Costs Gesetz zur Regelung der gewerbsmäßigen Arbeitnehmerüberlassung Auftragsdatenverarbeitung Auskunftsstelle über den Versicherungsaußendienst Verordnung über Allgemeine Bedingungen für die Elektrizitätsversorgung von Tarifkunden Average Variable Costs Arbeitsgemeinschaft für wirtschaftliche Verwaltung
B2B B2C BaFin BAG BCR Bdb. BDE BDI BDSG BDU BeckEuRS BEPS BfD BFH/NV BGB-InfoVO BilMoG BIOS
Business to Business Business to Consumer/Client Bundesanstalt für Finanzdienstleistungsaufsicht Bundesarbeitsgericht Binding Corporate Rules Brandenburg Betriebsdatenerfassung Bundesverband der Deutschen Industrie Bundesdatenschutzgesetz Bundesverband Deutscher Unternehmensberater e.V. Beck online Rechtsprechung des EuGH, EuG und EuGöD Base Erosion und Profit Shifting (Aktionsplan der OECD) Bundesbeauftragte(r) für den Datenschutz Sammlung von Entscheidungen des BFH BGB-Informationspflichten-Verordnung Bilanzrechtsmodernisierungsgesetz Basic Input Output System
AfP AFP AGB AN AnwBl. AnwGH AP API APR APSL ArbNErfG ArbuR ASCII ASP AStG ATC AÜG AuftragsDV AVAD AVBEltV
XIII
Abkrzungsverzeichnis
Bitkom Bl.f. PMZ BlPMZ BPaaS BSA BSD BSIG BSI-KritisV BStBl. BVB BYOD BZSt CA CAD CAFC CAL CAM CASE cc CC CCC CCZ CDPA CD-ROM CERT CESL CI CIB CIM CIO CISG CLA CL&P CLSR CNC CNIL CoA COPE CPU CPV CR CRi. CRM c‘t CUP CW CZ
XIV
Bundesverband Informationswirtschaft Telekommunikation und neue Medien Blatt für Patent-, Muster- und Zeichenwesen Blatt für Patent-, Muster- und Zeichenwesen des DPMA Business Process as a Service Business Software Alliance Berkeley Software Distribution (Lizenz) Gesetz über das Bundesamt für Sicherheit in der Informationstechnik Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIGesetz Bundessteuerblatt Besondere Vertragsbedingungen für die Beschaffung DV-technischer Anlagen und Geräte Bring Your Own Device Bundeszentralamt für Steuern Confidentiality Agreement Computer Aided Design United States Court of Appeals for the Federal Circuit Client Access Licencesbsatz> Computer Aided Manufacturing Computer Aided Software-Engineering country code Cloud Computing Convention on Cybercrime; Chaos Computer Club Corporate Compliance Zeitschrift Copyright, Designs and Patents Act 1988 Compact Disc Read-Only Memory Computer Emergency Response Teams Common European Sales Law Computerrecht Intern (Zeitschrift, nun: ITRB) Computer Integrated Business Computer Integrated Manufacturing Chief Information Officer United Nations Convention on Contracts for the International Sale of Goods Contributor License Agreement Computer Law and Practice Computer Law and Security Report Computergestützte numerische Werkzeugmaschine Commission Nationale de l’Informatique et des Libertés Certificate of Authenticity Corporate Owned, Personally Enabled Central Processing Unit (Zentraleinheit) Common Procurement Vocabulary Change Request (Management) (Änderungsverlangen); Computer und Recht (Zeitschrift) Computer und Recht International (Zeitschrift) Customer Relationship Management Magazin für Computertechnik Comparable Uncontrolled Price Method Computerwoche (Zeitschrift) Computerzeitung (Zeitschrift)
Abkrzungsverzeichnis
DaBaGG DARPA DB DBA DBMS DB-RL DCGK DCSO DENIC DE-R DFÜ DGRI DIHK DIHT DIN DIS DL-InfoV dll DNotZ DNS DOS DPA DPMA DRiZ DRM DSB DSGSVO DS-GVO DSL DSRITB DS-RL DStR DStZ DTAG DuD DVBl. DZWIR E. E EBPG ECLR ECOM ECR EC-RL EDI EEE EFG EGG
Datenbankgrundbuchgesetz Defense Advanced Research Projects Agency Der Betrieb (Zeitschrift) Doppelbesteuerungsabkommen Database Management System Datenbankrichtlinie Deutscher Corporate Governance Kodex Deutsche Cyber-Sicherheitsorganisation Deutsches Network Information Center (DENIC Domain Verwaltungsund Betriebsgesellschaft eG) Deutschland Rechtsprechung (Sparte in der Zeitschrift Wirtschaft und Wettbewerb) Datenfernübertragung Deutsche Gesellschaft für Recht und Informatik e.V. Deutscher Industrie- und Handelskammertag Deutscher Industrie- und Handelstag Deutsches Institut für Normung e.V. Deutsche Institution für Schiedsgerichtsbarkeit e.V. Dienstleistungs-Informationspflichten-Verordnung dynamic link libraries Deutsche Notar-Zeitschrift Domain Name System Disc Operating System Deutsches Patentamt (bis 1998, danach DPMA) Deutsches Patent- und Markenamt Deutsche Richterzeitung (Zeitschrift) Digital Rights Management Datenschutzbeauftragter Datenschutzgütesiegelverordnung Datenschutz-Grundverordnung Digital Subscriber Line Tagungsband Herbstakademie Deutsche Stiftung für Recht und Informatik Datenschutz-Richtlinie Deutsches Steuerrecht (Zeitschrift) Deutsche Steuer-Zeitung (Zeitschrift) Deutsche Telekom AG Datenschutz und Datensicherung (Zeitschrift) Deutsches Verwaltungsblatt (Zeitschrift) Deutsche Zeitschrift für Wirtschafts- und Insolvenzrecht Entscheidung Entwurf (angehängt an Gesetzesabkürzungen) Energiebetriebene-Produkte-Gesetz European competition law review eCommerce Entscheidungen zum Computerrecht (Zahrnt) E-Commerce Richtlinie Electronic Data Interchange Einheitliche Europäische Eigenerklärung Entscheidungen der Finanzgerichte (Zeitschrift) Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr
XV
Abkrzungsverzeichnis
eGK EGVP EHUG
Erw.grd. EStB EuCML EÜR EULA EURid EuZW EVB-IT evtl. EWiR EWR EWS EZT
Elektronische Gesundheitskarte Elektronisches Gerichts- und Verwaltungspostfach Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das Unternehmensregister EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt European Intellectual Property Review (Zeitschrift) Einheitliches Gesetz über den Internationalen Warenkauf beweglicher Sachen Elektronische Lohnsteuerabzugsmerkmale Gesetz zur elektromagnetischen Verträglichkeit European Union Agency for Network and Information Security Europäisches Patentamt Eclipse Public License European Patent Litigation Agreement European Patent Office Europäisches Patentübereinkommen Enterprise Resource Planning Elektronischer Rechtsverkehr Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten Erwägungsgrund Der Ertrag-Steuerberater (Zeitschrift) Journal of European Consumer and Market Law Einnahmenüberschussrechnung End User Licence Agreement European Registry of Internet Domain Names Europäische Zeitschrift für Wirtschaftsrecht Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen eventuell Entscheidungen zum Wirtschaftsrecht (Zeitschrift) Europäischer Wirtschaftsraum Europäisches Wirtschafts- und Steuerrecht (Zeitschrift) Elektronischer Zolltarif
FeRD FernAbsG FernAbsRL FG FIDIC FoSiG FR FSF FTC FTP F&E FÜG FVerlV
Forum elektronische Rechnung Deutschland Fernabsatzgesetz Fernabsatzrichtlinie Finanzgericht; Festgabe Fédération Internationale des Ingénieurs Conseils Forderungssicherungsgesetz Finanz-Rundschau (Zeitschrift) Free Software Foundation Federal Trade Commission File Transfer Protocol Forschung und Entwicklung Fernmeldeüberwachungs-Gesetz Funktionsverlagerungsverordnung
GB G2B G2C G2G
Der grüne Bote, Zeitschrift für Lauterkeitsrecht und Geistiges Eigentum Government to Business Government to Citizen Government to Government
eIDAS-VO EIPR EKG ELStAM EMVG ENISA EPA EPL EPLA EPO EPÜ ERP ERV ERV-Gesetz
XVI
Abkrzungsverzeichnis
GAAP GAC GDPdU GEK/GEKR GeräteSichG ggf. GMBl. GmS-OGB GMV/GMVO GNU GoB GoBD
GU GUI GVO GWB GWR
Generally accepted accounting principles Government Advisory Committee (innerhalb der ICANN) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Gemeinsames Europäisches Kaufrecht Gerätesicherheitsgesetz gegebenenfalls Gemeinsames Ministerialblatt Gemeinsamer Senat der obersten Gerichte des Bundes Gemeinschaftsmarkenverordnung „Gnu is not Unix“ Grundsätze ordnungsgemäßer Buchführung Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme General Public License Zeitschrift für das Privatrecht der Europäischen Union Geräte- und Produktsicherheitsgesetz grundsätzlich Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift) Gewerblicher Rechtsschutz und Urheberrecht, Internationaler Teil (Zeitschrift) Gewerblicher Rechtsschutz und Urheberrecht, Praxis im Immaterialgüter- und Wettbewerbsrecht (Zeitschrift) Generalunternehmer Grafische Benutzeroberfläche (Graphical User Interface) Gruppenfreistellungsverordnung Gesetz gegen Wettbewerbsbeschränkungen Gesellschafts- und Wirtschaftsrecht (Zeitschrift)
HaaS HG Paris HIS HRRS
Hardware as a Service Internationale Kammer des Pariser Handelsgerichts Hinweis- und Informationssystem der deutschen Versicherungswirtschaft Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
IaaS IANA IAS IASB IASC IBA IBR ICANN ICC IDC i.d.R. IDW IDW S IEC IEEE IFG IFRS for SME/ IFRS-SME
Infrastructure as a Service Internet Assigned Numbers Authority International Accounting Standards International Accounting Standards Board International Accounting Standards Committee International Bar Association Immobilien- und Baurecht (Zeitschrift) Internet Corporation for Assigned Names and Numbers International Chamber of Commerce International Data Corporation in der Regel Institut der Wirtschaftsprüfer IDW-Standards International Electrotechnical Commission Institute of Electrical and Electronics Engineers Informationsfreiheitsgesetz International Financial Reporting Standards for small and medium-sized entities
GoBS GPL GPR GPSG grds. GRUR GRUR Int. GRUR-Prax
XVII
Abkrzungsverzeichnis
IIBA IIC IMAC InfoSoc-RL insb. InterNIC InsO IoT IP IPrax i.R.d. i.R.v. IRZ ISDN ISO ISP i.S.d. i.S.v. ISDN ISR iStR ITIL ITK ITRB i.Ü. IuK IuKDG iur i.V.m. IWB iX
International_Institute_of_Business_Analysis International Review of Industrial Property and Copyright Law (Zeitschrift) Install, Move, Add, Change Richtlinie zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft insbesondere Internet Network Information Center Insolvenzordnung Internet of Things Internet Protocol; Intellectual Property Praxis des Internationalen Privat- und Verfahrensrechts (Zeitschrift) im Rahmen des/der im Rahmen von Zeitschrift für Internationale Rechnungslegung Integrated Services Digital Network International Organization for Standardization Internet-Service-Provider im Sinne des/der im Sinne von Integrated Services Digital Network Internationale Steuer-Rundschau (Zeitschrift) Internationales Steuerrecht (Zeitschrift) IT Infrastructure Library Informations- und Telekommunikationstechnik Der IT-Rechtsberater (Zeitschrift) im Übrigen Informations- und Kommunikationstechnologie Informations- und Kommunikationsdienste-Gesetz („Multimedia-Gesetz“) Informatik und Recht (Zeitschrift, jetzt CR) in Verbindung mit Zeitschrift für internationales Steuer- und Wirtschaftsrecht Magazin für professionelle Informationstechnik
JIT jurPC
just in time Internet-Zeitschrift für Rechtsinformatik und Informationsrecht (nur elektronisch)
Kap. KBSt KEA KES K&R
Kapitel Koordinierungs- und Beratungsstelle der Bundesregierung für Informationstechnik in der Bundesverwaltung (bis 2008) Kleine einzige Anlaufstelle Zeitschrift für Kommunikations- und EDV-Sicherheit Kommunikation und Recht (Zeitschrift)
LBS LINUX Lit. LL LM LMK
Location Based Services „LINU’s torvalds uniX“, Variante des Unix Betriebssystems Literatur Leitlinie „Lindenmaier-Möhring“ (Nachschlagewerk des BGH in Zivilsachen) Kommentierte BGH-Rechtsprechung Lindenmaier-Möhring (Zeitschrift)
XVIII
Abkrzungsverzeichnis
Log LoI LRAIC Ls.
Logarithmus Letter of Intent Long Run Average Incremental Costs Leitsatz
M2M MAC
Mitt. MMR MoA MOPS MOSS MPL MPZ MR-Int. MSP MSU MTBF MVD
Machine to Machine Media Access Control Material Adverse Change Münchener Anwaltshandbuch Mindestanforderungen an das Risikomanagement Mindestanforderungen an die Sicherheit von Internetzahlungen Mediendienstestaatsvertrag Musical Instrument Digital Interface Million Instructions Per Second Medien Internet und Recht, Online-Publikation Massachusetts Institute of Technology; aus diesem Institut stammende Softwarebenutzungslizenz Mitteilung MultiMedia und Recht (Zeitschrift) Memorandum of Agreement Million Operations Per Second Mini-One-Stop-Shop Mozilla Public License Mindestpunktzahl Medien und Recht International (Zeitschrift) Managed Services Provider Multi Service Unit Mean Time Between Failures Mindestvertragsdauer
NDA NIS NIST NJOZ NSI NUP NWB
Non Disclosure Agreement Netz- und Informationssicherheit National Institute of Standards and Technology Neue Juristische Online-Zeitschrift Network Solutions, Inc. Named User Plus (Lizenz) Zeitschrift und Datenbank für Steuer- und Wirtschaftsrecht
OBA OCA OECD OEM OFD OGH ÖÖP ÖOBDK
Online Behavioral Advertising Oracle Contributor Agreement Organization for Economic Co-operation and Development Original Equipment Manufacturer Oberfinanzdirektion Oberster Gerichtshof Öffentlich-öffentliche Partnerschaft Österreichische Oberste Berufungs- und Disziplinarkommission für Rechtsanwälte Österreichischer Oberster Gerichtshof OLG-Report (Zeitschrift) Orientierungssatz Open Source Definition Open Source Hardware Association Open-Source-Hardware
MAH MaRisk MaSI MDStV MIDI MIPS MIR MIT
ÖOGH OLGR Os. OSD OSHWA OSHW
XIX
Abkrzungsverzeichnis
OSI OSS
Open Source Initiative Open Source Software
PaaS PAISY PD PHI PII PIN PinG PKL PMBOK PoP PSD II PSI PSP PUR
Platform as a Service Personalabrechnungs- und Informationssystem Public Domain (Software) Produkthaftpflicht International (Zeitschrift) Personally identifiable information Persönliche Identifikationsnummer Privacy in Germany (Zeitschrift) Preis- und Konditionenliste (bei SAP) Project Management Body of Knowledge Point of Presence Payment Services Directive II Public Sector Information Playstation Portable Product Use Rights
QR
Quick response
RabelsZ RaiSB RBÜ
Rabels Zeitschrift für ausländisches und internationales Privatrecht Recht auf informationelle Selbstbestimmung Revidierte Berner Übereinkunft zum Schutz von Werken der Literatur und Kunst Recht der Arbeit (Zeitschrift) Recht der Datenverarbeitung (Zeitschrift) Requirements Engineering Request for Comments Radio-Frequency Identification Request for Proposal Réseaux IP Européens Network Coordination Centre (eine RIR) Regional Internet Registry Recht der internationalen Wirtschaft (Zeitschrift) Research-Oktanzahl Zeitschrift für Vergaberecht, Recht und Praxis der öffentlichen Auftragsvergabe Reciprocal Public License Resale Price Method Rechtsprechung Rules for Uniform Domain Name Dispute Resolution Policy Randzahl/Randziffer Rechenzentrum
RdA RDV RE RFC RFID RFP RIPE NCC RIR RIW ROZ RPA RPL RPM Rspr. RUDRP Rz. RZ SaaS SAGA SCHUFA Schweiz. BG SEC SektVO SEP SHAP SKR
XX
Software as a Service Standards und Architekturen für E-Government-Anwendungen Schutzgemeinschaft für allgemeine Kreditsicherung, SCHUFA Holding AG Schweizerisches Bundesgericht US Security and Exchange Commission Sektorenverordnung standard-essential patent Software House Assistance Programm Richtlinie für Sektorenauftraggeber
Abkrzungsverzeichnis
SIMAP SLA SOA SRM SSID SSNIP StB StraFo StrÄndG StuB SteuK StV SW
système d’information pour les marchés publics Service Level Agreement Service oriented Architecture Schuldrechtsmodernisierung Service Set Identifier small but significant and non-transitory increase in price Der Steuerberater (Zeitschrift) StrafverteidigerForum (Zeitschrift) Strafrechtsänderungsgesetz Steuern und Bilanzen (Zeitschrift) Steuerrecht kurzgefaßt (Zeitschrift) Strafverteidiger (Zeitschrift) Software
TCPA TDDSG TDG TDSV TK TKG TKO TKÜV TKV TLD TLS TMG TNMM TOM TQM TRIPS
Trademark Cyberpiracy Prevention Act Teledienstedatenschutzgesetz Teledienstegesetz Telekommunikations-Datenschutzverordnung Telekommunikation Telekommunikationsgesetz Telekommunikationsordnung Telekommunikations-Überwachungsverordnung Telekommunikations-Kundenschutzverordnung Top Level Domain Transport Layer Security (Protokoll), früher Secure Sockets Layer (SSL) Telemediengesetz Transactional Net Margin Method Technische und organisatorische Maßnahmen Total Quality Management Agreement on Trade-Related Aspects of Intellectual Property Rights, including Trade in Counterfeit Goods Technologietransfer
TT u.a. u.Ä. Ubg UDRP UDSV UfAB VI UFITA UhVorschG ULD UML UNCITRAL UR URL URS UStAE UStB UStDV u.U.
unter anderem; und andere und Ähnliches Die Unternehmensbesteuerung (Zeitschrift) Uniform Domain Name Dispute Resolution Policy Teledienst-Unternehmen-Datenschutz-Verordnung Unterlage für die Ausschreibung und Bewertung von IT-Leistungen Archiv für Urheber- und Medienrecht, Zeitschrift (früherer Name: Archiv für Urheber-, Film- und Theaterrecht) Unterhaltsvorschussgesetz Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Unified Modeling Language United Nations Commission on International Trade Law Umsatzsteuer-Rundschau (Zeitschrift) Uniform Resource Locator Uniform Rapid Suspension Umsatzsteuer-Anwendungserlass Der Umsatz-Steuer-Berater (Zeitschrift) Umsatzsteuer-Durchführungsverordnung unter Umständen
v.a.
vor allem XXI
Abkrzungsverzeichnis
VAR VDI VDMA VergabeR VersR vGA VGH VgV VKR VOES VOF VoIP VOL VPN VRRL-UG vzbv
Value Added Reseller Verein Deutscher Ingenieure Verband Deutscher Maschinen- und Anlagenbau Vergaberecht (Zeitschrift) Versicherungsrecht (Zeitschrift) verdeckte Gewinnausschüttung Verwaltungsgerichtshof Vergabeverordnung Verbraucherkreditrichtlinie (Richtlinie 2004/18/EG) Vat on eServices Vergabeordnung für freiberufliche Leistungen Voice over IP (Internet Protocol) Verdingungsordnung für Leistungen Virtual Private Network Gesetz zur Umsetzung der Verbraucherrechterichtlinie und zur Änderung des Gesetzes zur Regelung der Wohnungsvermittlung Verbraucherzentrale Bundesverband
WAP WCT WiB WIPO WM wistra WPg WpHG WRP WuW
Wireless Application Protocol WIPO Copyright Treaty Wirtschaftliche Beratung (Zeitschrift) World Intellectual Property Organization Wertpapier-Mitteilungen (Zeitschrift) Zeitschrift für Wirtschaft, Steuer und Strafrecht Die Wirtschaftsprüfung (Zeitschrift) Wertpapierhandelsgesetz Wettbewerb in Recht und Praxis (Zeitschrift) Wirtschaft und Wettbewerb (Zeitschrift)
ZD ZEuP ZfBR ZgesVW ZGR ZGS
Zeitschrift für Datenschutz Zeitschrift für Europäisches Privatrecht Zeitschrift für deutsches und internationales Bau- und Vergaberecht Zeitschrift für die gesamte Versicherungswirtschaft Zeitschrift für Unternehmens- und Gesellschaftsrecht Zeitschrift für Vertragsgestaltung, Schuld- und Haftungsrecht (früher Zeitschrift für das Gesamte Schuldrecht) Zeitschrift für das gesamte Insolvenzrecht Zeitschrift für Wirtschaftsrecht und Insolvenzpraxis Zeitschrift für Internationale Strafrechtsdogmatik Zugangskontrolldiensteschutz-Gesetz Zollkodex-Durchführungsverordnung Zeitschrift für Rechtspolitik Zusammenhang Zeitschrift für Schweizerisches Recht Zentraler User Guide Forum elektronische Rechnung Deutschland Zeitschrift für Urheber- und Medienrecht Zeitschrift für Umweltrecht Zentralverband der Deutschen Elektro- und Informationstechnischen Handwerke Zentralverband Elektrotechnik und Elektroindustrie e.V. Zeitschrift für Vertriebsrecht Zeitschrift für Vergleichende Rechtswissenschaft Zeitschrift für Wettbewerbsrecht
ZInsO ZIP ZIS ZKDSG ZKDVO ZRP Zshg. ZSR ZUGFeRD ZUM ZUR ZVEH ZVEI ZVertriebsR ZVglRWiss ZWeR
XXII
Kapitelübergreifend und abgekürzt zitierte Literatur Auer-Reinsdorff/Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, zit.: Autor, in: Auer-Reinsdorff/Conrad, Kap. … Rz. … von dem Bussche/Voigt (Hrsg.), Konzerndatenschutz, 2014, zit.: Bearbeiter, in: von dem Bussche/Voigt, Kap. … Rz. … Conrad/Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, 2014, zit.: Bearbeiter, in: Conrad/Grützmacher, § … Rz. … Forgó/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, 2014, zit.: Bearbeiter, in: Forgó/Helfrich/Schneider, Kap. … Rz. … Heckmann (Hrsg.), juris Praxiskommentar Internetrecht, 4. Aufl. 2014, zit.: Bearbeiter, in: Heckmann, jurisPK-Internetrecht, Kap. … Rz. … Heckmann (Hrsg.), juris PraxisReport IT-Recht, zit.: Bearbeiter, in: jurisPR-ITR, Stand, Fundstelle Hilber (Hrsg.), Handbuch Cloud Computing, 2014, zit.: Bearbeiter, in: Hilber, Cloud Computing, Kap. … Rz. … Hoeren/Sieber/Holznagel (Hrsg.), Handbuch Multimedia-Recht, Loseblatt, 42. EL 2015, zit.: Bearbeiter, in: Hoeren/Sieber/Holznagel, Kap. … Rz. …, Stand Hoffmann-Becking/Gebele, Beck’sches Formularbuch Bürgerliches, Handels- und Wirtschaftsrecht, 12. Aufl. 2016, zit.: Bearbeiter, in: Beck’sches Formularbuch BHWR, Kap. … Rz. … Kilian/Heussen, Computerrechts-Handbuch (ComHdb), Stand: 32. Aufl. 2013, Loseblatt, zit.: Bearbeiter, in: Kilian/Heussen, Kap. … Rz. …, Stand Koch, Computer-Vertragsrecht, 7. Aufl. 2009, zit.: Koch, CVR, Kap. … Rz. … Koreng/Lachenmann (Hrsg.), Formularhandbuch Datenschutzrecht, 2015, zit.: Bearbeiter, in: Koreng/Lachenmann, S. … Lehmann (Hrsg.), Rechtsschutz und Verwertung von Computerprogrammen, 2. Aufl. 1993, zit.: Bearbeiter, in: Lehmann, Rechtsschutz, Kap. … Rz. … Lehmann/Meents (Hrsg.), Handbuch des Fachanwalts Informationstechnologierecht, 2. Aufl. 2011, zit.: Bearbeiter, in: Lehmann/Meents, Kap. … Rz. … Münchener Kommentar zum BGB, Band 1, 7. Aufl. 2015, Band 2, 7. Aufl. 2016 und Band 3, 7. Aufl. 2016, zit.: Bearbeiter, in: MüKoBGB, § … Rz. … Palandt, BGB-Kommentar, 75. Aufl. 2016, zit.: Bearbeiter, in: Palandt, § … Rz. … Redeker (Hrsg.), Handbuch der IT-Verträge, Loseblatt, 30. EL, Stand Juni 2016, zit.: Bearbeiter, in: Redeker, IT-Verträge, Kap. … Rz. …, Stand Schneider/Graf von Westphalen (Hrsg.), Software-Erstellungsverträge, 2. Aufl. 2013, zit.: Bearbeiter, in: Schneider/Graf von Westphalen, Kap. … Rz. … Söbbing, Handbuch IT-Outsourcing, 4. Aufl. 2015, zit.: Bearbeiter, in: Söbbing, IT-Outsourcing, Kap. … Rz. … Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, zit.: Bearbeiter, in: Spindler/Schuster, § … Rz. … Taeger (Hrsg.), Big Data & Co. – Neue Herausforderungen für das Informationsrecht, DSRITagungsband 2014, zit.: Bearbeiter, in: Taeger, Big Data & Co., S. … Ulmer/Brandner/Hensen, AGB-Recht. Kommentar zu den §§ 305–310 BGB und zum UKlaG, 12. Aufl. 2016, zit.: Bearbeiter, in: Ulmer/Brandner/Hensen, § … Rz. …
XXIII
Kapitelbergreifend und abgekrzt zitierte Literatur
Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, 4. Auflage 2014, zit.: Bearbeiter, in: Wandtke/Bullinger, UrhR, § … Rz. … Weise/Krauß (Hrsg.), Beck’sche Online-Formulare Vertrag, 37. Edition 2016, 9. IT-Recht, zit.: Bearbeiter, in: BeckOF, Stand, (Vertrag Nr.) … Rz. … oder § … Graf von Westphalen/Thüsing, Vertragsrecht und AGB-Klauselwerke, Loseblatt, 38. EL 2016, zit.: Bearbeiter, in: Graf von Westphalen, Vertragsrecht, Kap. … Rz. … bzw. Bearbeiter, in: Graf von Westphalen, Klauselwerke, Kap. … Rz. … Zahrnt, Computervertragsrecht in Rechtsprechung und Praxis, 1995, zit.: Zahrnt, CVR, Kap. … Rz. …
XXIV
Allgemeiner Teil Grundlagen des IT-Rechts und Rechtsschutz A. Datenschutz und IT-Management Rz.
Rz. I. Datenschutz Grundlagen 1. Einführung 1.1 Regelungsmaterie . . . . . . . . . 1.2 Säulen des Schutzes des Betroffenen . . . . . . . . . . . . . . 1.2.1 Allgemeines Persönlichkeitsrecht, Privatsphäre . . . . . . . . 1.2.2 BDSG und Spezial-Datenschutznormen – Daten als Schutzgut . . . . . . . . . . . . . . . 1.3 Recht auf informationelle Selbstbestimmung und Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme . . . . . . . . . . 1.4 EU-Datenschutzrichtlinie, Charta – Regelungs-Objekt Daten 1.4.1 „Privatheit“ oder Daten . . . . 1.4.2 Rspr. des EuGH – Leitlinien für die Interpretation der DS-GVO?. . . . . . . . . . . . . . . . 1.4.3 EMRK . . . . . . . . . . . . . . . . . . 1.5 EU-DS-GVO – Objekt Daten 1.6 Spezial-Datenschutzregelungen, v.a. Telemedien und Telekommunikation . . . . . . 1.7 Informationsfreiheitsgesetze 2. Schutzgüter und Gefährdungspotentiale 2.1 Privatsphäre, Sphärenkonzept, private Lebensführung. . . . . . . 2.2 Transparenz, Ausspähen . . . . . 2.3 Manipulation der Entscheidungsfreiheit . . . . . . . . . . . . . . 2.4 Profiling, Big Data . . . . . . . . . . 2.5 Redlining, Scoring, Predicting (Anwendung der Techniken), Diskriminierung . . . . . . . . . . . 2.6 Wem gehören die „Daten“? . . 3. Grundprinzipien der bisherigen Datenschutzregeln, v.a. BDSG und EU-Datenschutzrichtlinie 3.1 BDSG 3.1.1 Inhalt, Übersicht 3.1.1.1 Adressat . . . . . . . . . . . . . . . 3.1.1.2 Entwicklung . . . . . . . . . . . 3.1.1.3 Prüfungsschritte . . . . . . . .
3.1.2 1
3.1.3
12
3.1.4
15
3.2
19
3.3 3.3.1 3.3.2
27
41 58 63 64 65 68
3.3.3 3.4 3.4.1 3.4.2 3.4.3 3.4.4 3.5 3.5.1 3.5.2 3.5.3 3.5.4 3.5.5
77 84
3.6
88 92
3.7
97 102
3.8 3.8.1 3.8.2 3.8.3 3.8.4
104 106 111
3.8.5 3.8.6 3.8.7
Anwendbarkeit, auch DS-RL . . . . . . . . . . . . . . . . . Verarbeitung personenbezogener Daten. . . . . . . . . Anwendbarkeit im nichtöffentlichen Bereich . . . . . . Verbotsprinzip, Datenvermeidung, Datensparsamkeit, Qualität, schutzrelevante Phasen. . . . . . . . . . . . Zulässigkeit, Zweckbindung, Zweckänderung Zweckbindung . . . . . . . . . . § 28 BDSG, einzelne alternative Tatbestände . . . . . . . (Einzelne Dienste zu) § 29 BDSG. . . . . . . . . . . . . . Einwilligung, Widerruf Charta . . . . . . . . . . . . . . . . . DS-RL . . . . . . . . . . . . . . . . . BDSG Einwilligung i.V.m. Unterrichtung, Widerruf . . TMG . . . . . . . . . . . . . . . . . . Besondere Arten von Daten, automatisierte Entscheidung Besondere Arten von Daten Automatisierte Entscheidungen . . . . . . . . . . . . . . . . Scoring . . . . . . . . . . . . . . . . Warndateien . . . . . . . . . . . . Automatisierte Abrufverfahren. . . . . . . . . . . . . . . Privilegierung der AuftragsDV, Funktionsübertragung . . . . . . . . . . . . . . . . Technisch-organisatorische Maßnahmen „TOM“, Skandalisierungspflichten . Datenschutzbeauftragter – interne Kontrollinstanz Verhältnis zur DS-RL . . . . . Bestellungsnotwendigkeit . Voraussetzungen für das Amt. . . . . . . . . . . . . . . . Unterstellung, Einordnung in der Hierarchie. . . . . . . . . Weisungsfreiheit . . . . . . . . Inkompatibilität . . . . . . . . . Schriftlichkeit . . . . . . . . . .
113 121 124
135 144 149 171 174 175 177 191
193 195 197 198 212 226 240 252 258 261 262 263 264 266
Schneider
1
A
Datenschutz und IT-Management Rz.
Rz. 3.8.8
Verhältnis Bestellung/ Anstellung . . . . . . . . . . . . . 3.8.9 Unterstellung, „Kompatibilität“ . . . . . . . . . . . . . . . . 3.8.10 Externer Datenschutzbeauftragter . . . . . . . . . . . . . . 3.8.11 Datenschutz und Berufsgeheimnis, insb. Rechtsanwalt. . . . . . . . . . . . . . . . . 3.8.12 Aufgaben des Beauftragten 3.9 Kontrollen 3.9.1 Kontrollen durch den Betroffenen. . . . . . . . . . . . . 3.9.2 Kontrollen extern/ Aufsichtsbehörde. . . . . . . . 4. Rechtsfolgen 4.1 Unzulässigkeit. . . . . . . . . . . 4.2 Data Breach und die Folgen. 4.3 Rechte des Betroffenen . . . . 4.3.1 Auskunft, Benachrichtigung 4.3.2 Benachrichtigung. . . . . . . . . 4.3.3 Korrektur, Berichtigung . . . 4.3.4 Löschen, Recht auf „Vergessen“, s. EuGH u. BGH zu Archiven . . . . . . . . . . . . . . . 4.3.5 Sperren . . . . . . . . . . . . . . . . . 4.3.6 Widerspruch des Betroffenen 4.3.7 Kompatibilität/Probleme mit Meinungsäußerungsfreiheit 4.4 Haftung für Datenschutzverstöße, für Persönlichkeitsrechtsverletzungen 4.4.1 § 823 BGB. . . . . . . . . . . . . . . 4.4.2 § 7 BDSG . . . . . . . . . . . . . . . 4.4.3 Beweislast . . . . . . . . . . . . . . 4.4.4 Beurteilung der Schadensersatzposition des Betroffenen. . . . . . . . . . . . . . 4.5 Strafrechtliche Verantwortlichkeit . . . . . . . . . . . . . 5. Datenübermittlung, Cloud: Safe Harbor, Privacy Shield und BCR, Standardklauseln 5.1 EU. . . . . . . . . . . . . . . . . . . . . . . 5.2 Datenschutzniveau außerhalb der EU. . . . . . . . . . . . . . . . . . . . 5.3 Standardklauseln, Vereinbarungen Selbstbindung/Richtlinien 5.4 Safe Harbor, Privacy Shield . . . 6. Besonderheiten 6.1 Arbeitnehmerdatenschutz, Kundendatenschutz . . . . . . 6.2 Werbung, verhaltensbedingte Werbung, NutzerTracking . . . . . . . . . . . . . . . 6.3 Cookies, ePrivacy-RL, WP 240 . . . . . . . . . . . . . . . . 6.4 Video . . . . . . . . . . . . . . . . . .
2 Schneider
267 269 274 288 304 312 313 340 342 347 349 356 362 365 372 378 380
384 386 396 397 403
404 405 409 413
420 421 424 426
6.5 6.6
Ausspähen . . . . . . . . . . . . . . Wandel des Schutzbedarfs und des Schutzmodells . . . . 6.7 Unternehmenskauf und -verkauf, Forderungskauf u.Ä. . . . . . . . . . . . . . . . . . . . 6.8 Outsourcing 6.8.1 Call-Center, Letter Shops u.Ä. . . . . . . . . . . . . . . . . . . . 6.8.2 Konstruktion der AuftragsDV . . . . . . . . . . . . . 6.8.3 Abgrenzung zur Funktionsübertragung . . . . . . . . . . . . . 6.8.4 Erhebung und Nutzung. . . . 6.8.5 Zulässigkeit . . . . . . . . . . . . . 6.8.6 Zurechnung der Mitarbeiter im Hinblick auf die Bestellung des Beauftragten . . . . . 6.8.7 Berufsgeheimnisse bei Outsourcing. . . . . . . . . . . . . 6.8.8 Schriftform . . . . . . . . . . . . . 6.8.9 Auswahl des Auftragnehmers . . . . . . . . . . . . . . . . 6.8.10 Inhalte des Vertrages . . . . . . 7. Prozessuales 7.1 Beweislast . . . . . . . . . . . . . . . 7.2 UWG, Verbandsklage 7.2.1 UWG, Marktverhaltensregel 7.2.2 Verbandsklage . . . . . . . . . . . . 7.3 Klagerecht Aufsichtsbehörden (de lege ferenda) . . . . . . . II. Datenschutz-Grundverordnung (DS-GVO) 1. Einführung, Prinzipien 1.1 Neues Datenschutzrecht per 25.5.2018 . . . . . . . . . . . . . 1.1.1 Überblick Neuerungen, was bleibt. . . . . . . . . . . . . . . . 1.1.2 Abweichungsmöglichkeiten, Öffnungsklauseln . . . . . . . . . 1.1.3 „Freier Datenverkehr“ . . . . . 1.2 Anwendungsbereich 1.2.1 Territorial . . . . . . . . . . . . . . . 1.2.2 Daten mit Personenbezug. . . 1.2.3 Jede Art von Verarbeitung personenbezogener Daten. . . 1.2.4 Öffentliche und nicht-öffentliche Verantwortliche, Adressat . . . . . . . . . . . . . . . . . 1.2.5 Online- und Offline-Bereich . 1.2.6 Ausnahme persönlicher und familiärer Bereich . . . . . . . . . 1.2.7 Bereichsausnahmen, insb. Arbeitnehmerdatenschutz, Öffnungsklauseln . . . . . . . . . 1.3 Grundlage: DS-RL . . . . . . . . .
427 428 435 438 440 445 454 455 459 463 467 473 476 477 481 483 489
492 496 516 520 521 524 525 527 528 530 531 532
A
Datenschutz und IT-Management
Rz.
Rz. 1.4
2.
3.
4.
5.
Verbot und Datenminimierung (Vermeidung), Accountability . . . . . . . . . . . 1.5 Einwilligung, Widerruf (Art. 7 Abs. 3), Widerspruch (Art. 21 DS-GVO) 1.5.1 Einwilligung . . . . . . . . . . . . . 1.5.2 Widerruf . . . . . . . . . . . . . . . . 1.5.3 Widerspruch . . . . . . . . . . . . . 1.6 Zweckbindung, Zweckänderung . . . . . . . . . . . . . . . . 1.7 Automatische Entscheidung, Profiling, sehr vages Schutzgut „Rechte und Freiheiten“ 1.8 Pflichten des Verarbeiters . . 1.9 Technisch organisatorische Maßnahmen, „TOM“. . . . . . Neue Instrumente/Institutionen, Rechte des Betroffenen 2.1 Risikobasierter Ansatz, Datenschutz-Folgenabschätzung . . . 2.2 Datenportabilität, Art. 20 DS-GVO . . . . . . . . . . . . . . . . . . 2.3 Europäischer Datenschutzausschuss, Art. 64 ff. DS-GVO, Aufsicht . . . . . . . . . . . . . . . . . . 2.4 One-Stop-Shop zentrale Behördenzuständigkeit (Art. 56 DS-GVO), . . . . . . . . . . 2.5 „Recht auf Vergessenwerden“ und Löschung, Art. 17 DS-GVO 2.6 Auskunftsanspruch . . . . . . . . . 2.7 Einschränkung der Verarbeitung . . . . . . . . . . . . . . . . . . . 2.8 Privacy by Design, Privacy bei Default, DatenschutzFolgenabschätzung . . . . . . . . . Neue Regeln und Aufgaben, so v.a. für Datenschutzbeauftragten, Aufsichtsbehörde 3.1 Betrieblicher Beauftragter . . . . 3.2 Dokumentationspflichten . . . Besondere Formen der Verarbeitung 4.1 Big Data vs. Datenminimierung, Kompatibilität, Löschung (Speicherzeitbefristung). . . . . . 4.2 Besondere Arten von Daten – Implikationen für verschiedene Regelungen . . . . . . . . . . . . . . . 4.3 Auftrags(daten)verarbeitung, Besonderheiten . . . . . . . . . . . . Datenaustausch mit NichtEU-Ausland 5.1 DS-GVO . . . . . . . . . . . . . . . . . . 5.2 USA nach Safe Harbor, Privacy Shield . . . . . . . . . . . . . 5.3 Standardklauseln, BCR, Verhaltensregeln . . . . . . . . . . .
533
539 546 549 552 553 557 565
571 574 579 581 588 590 594 599
602 611
616 624 628
635 637
6. Joint Controllership . . . . . . . . . . . . 7. TOM/Sicherheit, „Mechanik“ . . . . 8. Haftungsrahmen/Bußgelder, Skandalisierungs-/Meldepflichten 8.1 Bußgelder . . . . . . . . . . . . . . . . . 8.2 „Datenpannen“ . . . . . . . . . . . . 8.3 Schadensersatz . . . . . . . . . . . . . 9. Profile, Scoring, Tracking, Nutzerbasierte Online-Anwendung, Location Based Services . . . . . . . . . 10. Rahmen, Zertifikate, Richtlinien intern, Standards . . . . . . . . . . . . . . . 11. Aufsicht, Umsetzung . . . . . . . . . . . 12. UWG (Marktverhaltensregel), Verbandsklagerecht 12.1 UWG . . . . . . . . . . . . . . . . . . . . 12.2 Verbandsklage. . . . . . . . . . . . . III. Arbeitnehmerdatenschutz 1. Schnittstelle von Datenschutz-, Arbeits- und Betriebsverfassungsrecht. . . . . . . . . . . . . . . . . . . . . . . . . 2. Personalaktenrecht . . . . . . . . . . . . . 3. Abgrenzung von § 32 BDSG zu anderen Vorschriften. . . . . . . . . . . . 4. Regelung zum Beschäftigtendatenschutz im BDSG . . . . . . . . . . 5. Normalfälle der § 32 Abs. 1 Satz 1 BDSG für Bewerber und Arbeitnehmer. . . . . . . . . . . . . . . . . . . . . . . 5.1 Zweckbestimmung des Beschäftigungsverhältnisses . . . . 5.2 Überwiegendes berechtigtes Interesse des Unternehmens . . 5.3 Öffentlich zugängliche Daten des Beschäftigten, Social Media 5.4 Erlaubnis oder Anordnung durch „andere Rechtsvorschrift“ i.S.v. § 4 Abs. 1 BDSG. 5.5 Besondere Arten von personenbezogenen Beschäftigtendaten. 6. Regelungsinhalt des § 32 Abs. 1 Satz 2 BDSG, interne Ermittlungen und präventive Kontrollen . . . . . . . 7. Verhältnis von AGG und BDSG. . . 8. Datenschutz und Betriebsrat 8.1 Leitlinien und Grundsätze. . . . 8.2 Datenverarbeitung und -nutzung zur Ausübung von Mitwirkungsrechten . . . . . 8.3 Datenschutzpflichten des Betriebsrats . . . . . . . . . . . . . . . . 8.4 Spannungsverhältnis zum betrieblichen Datenschutzbeauftragten . . . . . . . . . . . . . . .
646 651
657 660 662
666 670 679
689 690
692 702 709 712
719 720 725 729 732 737
746 754 758 760 765 772
641 Schneider
3
A
Datenschutz und IT-Management Rz.
Rz. 8.5 (Teilhabe-)Anspruch des Betriebsrats an betrieblichen IT- und TK-Systemen . . . . . . . 9. Kollektivrechtliche Mitwirkung bei Einführung und Änderung von IT- und TK-Einrichtungen 9.1 Planungsphase . . . . . . . . . . . . . 9.2 Verhältnis von Betriebsvereinbarungen zu BDSG . . . . . . . . . 9.3 Günstigkeitsprinzip . . . . . . . . 9.4 Abgrenzung personenbezogener von verhaltens- und leistungsbezogenen Daten . . . . . . . . . . . 9.5 Überblick über Regelungspunkte in einer Betriebsvereinbarung zu ITK . . . . . . . . 9.6 Anwendungsbereich der Betriebsvereinbarung. . . . . . . . 9.7 Kündigung, Nachwirkung, Aushang . . . . . . . . . . . . . . . . . . 9.8 Tarifvorbehalt und Öffnungsklausel . . . . . . . . . . . . . . . . . . . 10. Datenschutzrechtliche Einwilligungen von Arbeitnehmern . . . . . . 11. Einzelne technische Kontrollund Sicherheitseinrichtungen im Betrieb 11.1 Planungs-, Skilldatenbanken. . . . . . . . . . . . . . . . . 11.2 Fragebögen, psychologische Testverfahren . . . . . . . . . . . 11.3 Wearables am Arbeitsplatz, RFID, Chip- und Signaturkarte, Zutrittskontrollsysteme, Lizenzmanagement, DRM . . . . . . . . . . . . . 11.4 Videoüberwachung am Arbeitsplatz 11.4.1 Einzelheiten zu den relevanten Vorschriften, insb. § 6b BDSG . . . . . . . . . . . . . . 11.4.2 Zusammenfassung der rechtlichen Anforderungen 11.5 Dienstliche und private Nutzung von E-Mail, Internet und Telefon. . . . . . . . . . 11.6 Telearbeit, Homeoffice, BYOD . . . . . . . . . . . . . . . . . 11.7 Missbrauch von Administratorenrechten . . . . . . . . . . . . 11.8 Workflow-Systeme im Call Center . . . . . . . . . . . . . 11.9 Einführung einer Firmenkreditkarte 11.9.1 Überblick . . . . . . . . . . . . . . 11.9.2 Persönlichkeits- und datenschutzrechtliche Aspekte. .
4 Schneider
776
778 781 785 788 791 799 801 805 810
834 837
851
861 871 877 892 900 903 906 911
11.9.3 Betriebsverfassungsrechtliche Aspekte . . . . . . . . . . . . . 12. Zentrale Personaldatenverarbeitung und -nutzung im Konzern 12.1 Kein Konzernprivileg . . . . . . . 12.2 AuftragsDV im Konzern, Drittstaatenproblematik . . . . 12.3 Konzerne mit Matrixstruktur, Doppel-Arbeitsverhältnisse . . 12.4 Gemeinsame verantwortliche Stelle und DS-GVO . . . . . . . . 13. Beschäftigtendatenschutz bei Big Data und Industrie 4.0 13.1 Cyberphysische Systeme, Machine-to-Machine-Kommunikation, vernetzte Nutzfahrzeuge . . . . . . . . . . . . . . . . 13.2 Anwendbares Datenschutzrecht, Relevanz der Personenbeziehbarkeit von Kennziffern 13.3 Vertikale und horizontale Vollintegration, Profilbildung und Beschäftigtendatenschutz 13.4 IT-Sicherheit, technische und organisatorische Maßnahmen 14. Regelung zum Beschäftigtendatenschutz in der EU-Datenschutzgrundverordnung. . . . . . . . . . . . . . .
918
924 927 931 934
938 941 944 947
951
IV. Kundendatenschutz 1. Grundlegende Definitionen . . . . . . 956 2. Die maßgeblichen Regelungen im Überblick . . . . . . . . . . . . . . . . . . 963 2.1 BDSG 2.1.1 Anwendungsbereich . . . . . 966 2.1.2 Legitimationsgrundlagen für die Datenverwendung . 968 2.1.2.1 Einwilligung . . . . . . . . . . . . 969 2.1.2.2 Gesetzliche Erlaubnistatbestände (Überblick) . . . . . 985 2.1.3 Der Grundsatz der Direkterhebung . . . . . . . . . . . . . . . 989 2.1.4 Automatisierte Einzelentscheidungen . . . . . . . . . 991 2.2 TMG 2.2.1 Anwendungsbereich . . . . . 998 2.2.2 Legitimationsgrundlagen für die Datenverwendung . 1003 2.2.3 Sonstige Regelungen . . . . . 1011 2.3 TKG 2.3.1 Anwendungsbereich . . . . . 1014 2.3.2 Legitimationsgrundlagen für die Datenverwendung . 1016 2.4 Verhältnis des BDSG zum TMG und TKG . . . . . . . . . . 1019 2.5 UWG . . . . . . . . . . . . . . . . . . 1023 2.6 Datenschutz-Grundverordnung (DS-GVO) . . . . . . . 1027a
A
Datenschutz und IT-Management
Rz.
Rz. 3. Werbung . . . . . . . . . . . . . . . . . . . . . 1028 3.1 Beschaffung von Kundendaten. . . . . . . . . . . . . . . . . . 1030 3.1.1 Erhebung und Speicherung von Kundendaten durch den Werbetreibenden. . . . . 1032 3.1.2 Bereitstellung von Kundendaten an den Werbetreibenden durch eine andere Stelle 3.1.2.1 Zurverfügungstellung eigener Kundendaten an den Werbetreibenden. . . . . 1053 3.1.2.2 Bereitstellung geschäftsmäßig erhobener Daten an den Werbetreibenden. . . . . 1056 3.2 Optimierung von Kundendaten. . . . . . . . . . . . . . . . . . 1062 3.3 Datenverwendung zwecks Kontaktaufnahme mit dem Kunden 3.3.1 Kundenschutz aufgrund von datenschutzrechtlichen Vorschriften . . . . . . . 1085 3.3.2 Kundenschutz aufgrund von wettbewerbsrechtlichen Vorschriften . . . . . . 1094 3.4 Exkurs: AuftragsDV. . . . . . 1096 4. Vertragsverhandlungen, -abschluss, -durchführung und -beendigung 4.1 Allgemeiner Rechtsrahmen (BDSG) . . . . . . . . . . . . . . . . . . . 1100 4.2 Telemediendienste (TMG) . . . 1119 4.3 TK-Dienste (TKG) . . . . . . . . . . 1146 4.4 DS-GVO . . . . . . . . . . . . . . . . . . 1163a 5. Bonitätsbewertung . . . . . . . . . . . . . 1164 5.1 Datenumgang durch den Kundenpartner . . . . . . . . . . . . . 1168 5.2 Datenumgang durch eine Auskunftei . . . . . . . . . . . . . . . . 1194 6. Markt- und Meinungsforschung . . 1205 7. Videoüberwachung von Kunden . . 1210 8. Die Kunden- bzw. Betroffenenrechte (BDSG, DS-GVO) . . . . . . . . 1214 9. Schadensersatzansprüche des Kunden (BDSG, TKG, BGB, DS-GVO) . 1217 10. Anspruch auf Beseitigung und Unterlassung . . . . . . . . . . . . . . . . . 1239 V. Datenschutz im Internet bei Telemedien und Telekommunikation 1. TMG und TKG . . . . . . . . . . . . . . . . 1.1 TKG . . . . . . . . . . . . . . . . . . . . . 1.2 TMG. . . . . . . . . . . . . . . . . . . . . 1.3 Einzelne Dienste . . . . . . . . . . .
1248 1249 1253 1261
2.
3.
4.
5.
1.4 Potentielle Wirkung der DS-GVO . . . . . . . . . . . . . . . . . . Datenschutz im TMG 2.1 Adressaten und Verbotsprinzip speziell für Telemedien . . . . . . 2.2 Pflichten des Anbieters (§ 13 TMG) . . . . . . . . . . . . . . . . 2.3 Bestandsdaten (§ 14 TMG). . . . 2.4 Nutzungsdaten (§ 15 TMG) . . . 2.5 Einwilligung . . . . . . . . . . . . . . . 2.6 § 15a TMG, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Einzelne Dienste und DS-GVO 3.1 TMG, TKG und DS-GVO . . . . 3.2 Cookies . . . . . . . . . . . . . . . . . . . 3.3 Profile . . . . . . . . . . . . . . . . . . . . 3.4 VPN. . . . . . . . . . . . . . . . . . . . . . Bewertungen, Portale 4.1 Online-Auktion, Bewertungen, Sperrung . . . . . . . . . . . . . . . . . . 4.2 „Hausrecht“, Account-, Zugangssperren . . . . . . . . . . . . 4.3 Lifestyle, Blogs . . . . . . . . . . . . . 4.4 Online-Anwalt . . . . . . . . . . . . . 4.5 Datenbevorratung, Abrechnung . . . . . . . . . . . . . . . 4.6 Whois-Daten . . . . . . . . . . . . . . 4.7 Bewertungsportale und Meinungsfreiheit, Prüfpflichten . . TK-Datenschutz 5.1 Spezielle Regeln, Datenarten. . 5.2 Teilnehmerdaten, Inverssuche
VI. IT-Sicherheit 1. Einführung . . . . . . . . . . . . . . . . . . . 2. Trends bei der IT-Sicherheit 2.1 Bedeutung . . . . . . . . . . . . . . . . . 2.2 Definitionen . . . . . . . . . . . . . . . 2.3 Security by Design . . . . . . . . . . 3. Bedrohungen 3.1 Überblick . . . . . . . . . . . . . . . . . 3.2 Spionage (staatlich, terroristisch, Wirtschaftsspionage) . . . 3.3 Sonstige Cyber-Kriminalität . . 3.4 (Bewusstes und unbewusstes) Fehlverhalten von Mitarbeitern, Whistleblowing . . . . . . . . 4. Verhältnis IT-Compliance und IT-Sicherheit . . . . . . . . . . . . . . . . . . 5. IT-Sicherheitsgesetz . . . . . . . . . . . . 5.1 Inhalt 5.1.1 Kritische Infrastrukturen/ Änderung des BSIG, des AtG und des EnWG (Art. 1 bis 3 IT-SicherheitsG) . . . . . .
1268
1271 1274 1276 1278 1284 1286 1287 1290 1297 1300
1301 1305 1315 1323 1328 1332 1333 1336 1345 1348 1366 1369 1379 1382 1387 1394 1395 1398 1406
1409
Schneider
5
A
Datenschutz und IT-Management Rz.
Rz.
6.
7. 8. 9.
10. 11.
12. 13. 14.
5.1.2 Telemedien/Änderung des TMG (Art. 4 IT-SicherheitsG) 5.1.3 Telekommunikation/Änderung des TKG (Art. 5 IT-SicherheitsG) . . . . . . . . . . 5.1.4 Weitere Änderungen und Regelung zum Inkrafttreten (Art. 6 bis 11 IT-SicherheitsG) 5.2 Wirkung . . . . . . . . . . . . . . . . 5.3 NIS-RL, Kritik. . . . . . . . . . . . Sicherheitsmanagement 6.1 Allgemein, MaßnahmenArsenal . . . . . . . . . . . . . . . . . 6.2 Datenschutz . . . . . . . . . . . . . 6.2.1 Allgemeine Geschäftsorganisation: Bestandsaufnahme und Problemlage . . . . . . . . . . 6.2.2 Vermischung von privaten und dienstlichen Daten (BYOD, COPE) . . . . . . . . . . . 6.2.3 Datenvermeidung und Entnetzung . . . . . . . . . . . . . . 6.3 Zertifikate, Zertifizierung . . 6.4 Zugangs- und Zugriffskontrollen . . . . . . . . . . . . . . . 6.5 Sicherheitsstandards für E-Payment. . . . . . . . . . . . . . . 6.6 Verschlüsselungstechniken . 6.7 Sicherheitslücken. . . . . . . . . 6.8 Regelmäßige Backups. . . . . . 6.9 Weitere Quellen für Anforderungen, BSI-Empfehlungen . 6.10 Monopol-Vermeidung und Regulierungsrecht/Wettbewerbsrecht/Kartellrecht . . . . § 9 BDSG und Anlage zu § 9 BDSG. . . . . . . . . . . . . . . . . . . . . TKG. . . . . . . . . . . . . . . . . . . . . . . . . Spezialbetrachtung: Cloud Computing 9.1 Technische und organisatorische Maßnahmen speziell bei Cloud . . . . . . . . . . . . . . . . . 9.2 Übergang zu Big Data . . . . . . . 9.3 AuftragsDV . . . . . . . . . . . . . . . 9.4 DS-GVO . . . . . . . . . . . . . . . . . . Strafrechtsaspekte . . . . . . . . . . . . . Zivilrecht, Herausgabeansprüche, Schadensersatz . . . . . . . . . . . . . . . . 11.1 Herausgabeansprüche . . . . . . 11.2 Schadensersatz. . . . . . . . . . . . 11.3 Umfang des Schadensersatzes Insolvenz. . . . . . . . . . . . . . . . . . . . . Aufbewahrung/Archivierung von Daten . . . . . . . . . . . . . . . . . . . . Versicherungsschutz . . . . . . . . . . .
6 Schneider
1416 1422 1427 1428 1430
1434 1440 1441 1444 1445 1448 1451 1454 1458 1465 1466 1467 1476 1479 1491
1497 1506 1508 1511 1513 1518 1519 1523 1526 1529 1534 1539
VII. IT-Compliance 1. Einführung 1.1 Compliance, Begriff. . . . . . . . 1.2 Compliance, Bedeutung . . . . 1.3 IT-Governance 1.3.1 Begriff/Abgrenzung zu IT-Compliance. . . . . . . . . . . . 1.3.2 Bereiche der IT-Governance, „Werkzeuge“ . . . . . . . . . . . . . 2. Ziele von Compliance . . . . . . . . . . 3. Compliance-Vorschriften 3.1 Sorgfaltsmaßstab . . . . . . . . . . . 3.2 Gesetzlich vorgegebene Verpflichtungen . . . . . . . . . . . . 3.3 Vertraglich vereinbarte Verpflichtungen . . . . . . . . . . . . 3.4 Datenaustausch, speziell mit den USA . . . . . . . . . . . . . . . 3.5 Überobligatorische Vorgaben. . 4. Aufbau von ComplianceStrukturen . . . . . . . . . . . . . . . . . . . . 5. Ausrichtung und Anforderungen von IT-Compliance 5.1 Frühwarnsystem . . . . . . . . . . 5.2 Wichtige Themenbereiche . . 5.3 Verantwortungsstrukturen . . 5.4 Konkrete Beispiele für IT-Compliance 5.4.1 Beispiel: Sichere und funktionsfähige IT-Infrastruktur . 5.4.2 Beispiel: Lizenzmanagement/ Audits . . . . . . . . . . . . . . . . . . 5.4.3 Beispiel: Umgang mit geschäftlichen E-Mails . . . . . 5.4.4 Beispiel: Einsatz von Smartphones, Tablets und anderen mobilen Endgeräten im Unternehmen . . . . . . . . . . . . 5.5 Beschlagnahme . . . . . . . . . . . 5.6 Kollisionen mit dem (Mitarbeiter-) Datenschutz, Beispiel Screening, Test . . . . 6. Ausblick . . . . . . . . . . . . . . . . . . . . . VIII. 1. 2. 3.
E-Government Einführung und Entwicklung. . . . . Definition . . . . . . . . . . . . . . . . . . . . (Aktuelle) Rechtslage 3.1 Überblick . . . . . . . . . . . . . . 3.2 Europarecht . . . . . . . . . . . . 3.3 Verfassungsrecht . . . . . . . . 3.4 Einfaches Recht 3.4.1 Bundesrecht 3.4.1.1 E-Government-Gesetz des Bundes (EGovG) . . . . . . . . .
1542 1546 1549 1550 1555 1559 1561 1564 1565 1566 1567
1568 1572 1577
1580 1583 1587
1600 1603 1605 1611 1614 1623 1627 1629 1631
1633
A
Datenschutz und IT-Management
Rz.
Rz. 3.4.1.2 Das Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten 3.4.1.3 Das BSI-Gesetz. . . . . . . . . . 3.4.2 Landesrecht . . . . . . . . . . . . 4. Konkrete Ausprägungen des E-Government 4.1 Informationstätigkeit der Verwaltungsbehörden . . . . . . 4.2 Elektronische Kommunikation . . . . . . . . . . . . . . . . . . . 4.3 Elektronischer Rechtsverkehr/ Elektronische Aktenführung 4.4 Datenbankgrundbuch/Elektronisches Grundstücksregister 4.5 Auswirkungen auf das Verwaltungsverfahren (VwVfG, VwZG) . . . . . . . . . . . . . . . . . .
4.6
1634 1639 1641
1642 1652 1654 1657 1658
Elektronische Steuererklärung (ELSTER). . . . . . . . . . . . . . . . . 4.7 Elektronische Rechnungen (E-Invoicing) . . . . . . . . . . . . . . 4.8 E-Bilanz. . . . . . . . . . . . . . . . . . 4.9 Elektronisches Handelsregister/Unternehmensregister . . . 4.10 Elektronische Gesundheitskarte . . . . . . . . . . . . . . . . 5. E-Government und Datenschutz 5.1 Bedrohungslage . . . . . . . . . . . . 5.2 Datenschutzrechtliche Vorgaben . . . . . . . . . . . . . . . . . . 5.3 Datensicherheitsrechtliche Vorgaben . . . . . . . . . . . . . . . . . . 5.4 Dezentralisierung? . . . . . . . . . . 6. Vergaberechtliche Aspekte (Beschaffung von IuK-Technik) . . .
1671 1674 1678 1679 1686 1687 1688 1691 1693 1694
Ausgewählte Literatur: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Albrecht/Schmid, Das E-Government-Gesetz des Bundes, K&R 2013, 529; Alich/Voigt, Mitteilsame Browser – Datenschutzrechtliche Bewertung des Trackings mittels Browser-Fingerprints, CR 2012, 344; Ambrock, Nach Safe Harbor: Schiffbruch des transatlantischen Datenverkehrs?, NZA 2015, 1493; Ann, Geheimnisschutz – Kernaufgabe des Informationsmanagements im Unternehmen, GRUR 2014, 12; Arning/Moos, Location Based Advertising, ZD 2014, 126; Arning/Moos/Schefzig, Vergiss(,) Europa!, CR 2014, 447; Auer-Reinsdorff, IT-Compliance, ITRB 2011, 245; Bartels/Schmidt, RESISCAN und Outsourcing – auf dem Weg zum ersetzenden Scannen, ITRB 2013, 184; Basten, Gesetzentwurf zum Verbandsklagerecht bei Verstößen gegen verbraucherschützende Vorschriften des Datenschutzrechts, ZD-Aktuell 2015, 04571; Becker, Datenschutzrechtliche Fragen des SCHUFA-Auskunftsverfahrens, 2006 (Diss. 2006); Beckhusen, Der Datenumgang innerhalb des Kreditinformationssystems der SCHUFA, 2004 (Diss. 2004); Beck’scher Online-Kommentar Datenschutzrecht, hrsg. v. Wolff/Brink, 15. Edition Stand: 2/2016, zitiert als: „OK DatenSR“; Beck’scher TKG-Kommentar, 4. Aufl. 2013 (BeckTKG-Komm/Bearbeiter); Behringer (Hrsg.), Compliance kompakt, 3. Aufl. 2013; Bender, Informationelle Selbstbestimmung in sozialen Netzwerken, K&R 2013, 218; Beucher/Utzerath, Cybersicherheit – Nationale und internationale Regulierungsinitiativen, MMR 2013, 362; Böcker/Piltz, Datenschutzcompliance leicht(er) gemacht: Das „Hausaufgabenheft“ der Art. 29-Gruppe für Google, K&R 2015, 6; Börding, Ein neues Datenschutzschild für Europa. Warum auch das überarbeitete Privacy Shield den Vorgaben des Safe Harbor-Urteils des EuGH nicht gerecht werden kann, CR 2016, 431; Boos/Kroschwald/Wicker, Datenschutz bei Cloud Computing zwischen TKG, TMG und BDSG, ZD 2013, 205; Born, Bonitätsprüfungen im Online-Handel. Scorewert-basierte automatisierte Entscheidung über das Angebot von Zahlungsmöglichkeiten, ZD 2015, 66; Braun, Außerordentliche Kündigung bei Missachtung der betrieblichen IT-Compliance-Regelungen – Besprechung BAG-Urteil vom 24.3.2011 – 2 AZR 282/10, jurisPR-ITR 20/2011 Anm. 6; Breinlinger, Screening von Kundendaten im Rahmen der AEO-Zertifizierung, ZD 2013, 267; Breinlinger/Scheuing, Der Vorschlag für eine EU-Datenschutzverordnung und die Folgen für Verarbeitung und Nutzung für werbliche Zwecke, RDV 2012, 64; Brink/Eckhardt, Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts, ZD 2015, 205; Brosch, Das Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten, K&R 2014, 9; Brosch/Sandkühler, Das elektronische Anwaltspostfach – Nutzungsobliegenheiten, Funktionen und Sicherheit, NJW 2015, 2760; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006; Gräfin von Brühl/Brandenburg, Cyberbedrohungen: Rechtliche Rahmenbedingungen und praktische Lösungen, ITRB 2013, 260; von dem Bussche/Voigt (Hrsg.), Konzerndatenschutz, 2014, Conrad/Huppertz, § 33 – Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung, in: Auer-Reinsdorff/Conrad; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 5. Aufl. 2016 (Däubler/Klebe/Wedde/Weichert/Bearbeiter, BDSG); Dammann/Simitis, EG-Datenschutzrichtlinie, 1997; Deusch, Compliance-Vorgaben für den Einsatz von Smartphones im Unternehmen, K&R 2013, 11; Deusch/Eggendorfer, Verschlüsselte Kommunikation im Unternehmensalltag: Nice-to-have oder notwendige Compliance?, in: Taeger (Hrsg.), Big Data & Co. – Neue Herausforderungen für das Informationsrecht, DSRI-Tagungsband 2014, S. 539 ff.; Dieterich, Canvas Fingerprinting. Rechtliche Anforderungen an neue Methoden der Nutzerprofilerstellung, ZD 2015 199; Drewes, Werbliche Nutzung von Daten, ZD 2012, 115; Drewes, Adresshandel – Alles nur mit Einwilligung?, RDV 2011, 18; Eckhardt, Unzulässige E-Mail-Werbung – Reichweite des Un-
Schneider
7
A
Datenschutz und IT-Management
terlassungsanspruchs aus §§ 823, 1004 BGB analog, MMR 2014, 213; Eckhardt, IP-Adresse als personenbezogenes Datum – neues Öl ins Feuer, CR 2011, 339; Eckhardt, Datenschutzerklärungen und Hinweise auf Cookies, ITRB 2005, 46; Eckhardt/Rheingans, Direktmarketing bei Bestandskunden ohne Einwilligung?, ZD 2013, 318; Ehmann, Der weitere Weg zur Datenschutzgrundverordnung, ZD 2015, 6; Eisenberg, Möglichkeiten des E-Mail Direktmarketing ohne Einwilligung der Beworbenen, BB 2012, 2963; Elbrecht/ Schröder, Verbandsklagebefugnisse bei Datenschutzverstößen für Verbraucherverbände, K&R 2015, 361; Elgert, Datenschutzrechtliche Aspekte der Übermittlung personenbezogener Daten an die SCHUFA, K&R 2013, 288; Ernst/Seichter, „Heimliche“ Online-Werbeformen, CR 2011, 62; Faber, Die Versendung unerwünschter E-Mail-Werbung – Widerruf und Privilegierung nach § 7 III UWG, GRUR 2014, 337; Fissenewert (Hrsg.), Compliance für den Mittelstand, München 2013; Forgó, § 64 – Grundzüge des Informationssicherheitsrechts, in: Conrad/Grützmacher; Franck, Datensicherheit als datenschutzrechtliche Anforderung. Keine Abdingbarkeit technisch-organisatorischer Maßnahmen nach künftiger DSGVO? – zugleich Ergänzung zu Lotz/Wendler, CR 2016, 31 ff., CR 2016, 238; Funke/Wittmann, Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung?, ZD 2013, 221; Gallwas, § 26 Schranken der Informationsfreiheit durch informationelle „Rechte anderer“ oder das „informationelle Drittverhältnis“ in: Conrad/ Grützmacher; Gallwas, Der allgemeine Konflikt zwischen dem Recht auf informationelle Selbstbestimmung und der Informationsfreiheit, NJW 1992, 2785; Gercke, 10 years Convention on Cybercrime – Achievements and Failure of the Council of Europe’s Instrument in the Fight against Internet-related Crimes, CRi 2011, 142; Gerlach, Personenbezug von IP-Adressen, CR 2013, 478; Geuer, Einwilligung in Cookieempfang durch Browsereinstellungen?, ITRB 2012, 206; Gierschmann: Was „bringt“ deutschen Unternehmen die DS-GVO?, ZD 2016, 51; Giedtke, Cloud Computing – Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, 2013; Gitter/Meißner/Spauschus, Das neue IT-Sicherheitsgesetz, ZD 2015, 512; Gola, Datenschutz am Arbeitsplatz, 5. Aufl. 2014; Gola/Klug, Die Entwicklung des Datenschutzrechts, NJW 2014, 2622, NJW 2015, 674, NJW 2015, 2628, NJW 2016, 691, NJW 2016, 2786; Gola/Lepperhof, Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung, ZD 2016, 9; Gola/Reif, Kundendatenschutz, 3. Aufl. 2011; Gola/Schomerus, BDSG, Bundesdatenschutzgesetz, 12. Aufl. 2015 (Gola/Schomerus, BDSG); Gola/Wronka, Datenschutzrecht im Fluss, RDV 2015, 3; Gola/ Wronka, Handbuch zum Arbeitnehmerdatenschutz, 6. Aufl. 2013; Groh, Plädoyer für ein flankierendes Behördenmodell bei der Bekämpfung unerwünschter E-Mail-Werbung, GRUR 2015, 551; Günther/ Böglmüller, Arbeitsrecht 4.0 – Arbeitsrechtliche Herausforderungen in der vierten industriellen Revolution, NZA 2015, 1025; Habammer/Denkhaus, Verhindert das Unionsrecht die Digitalisierung der Verwaltung?, MMR 2014, 14; Habammer/Denkhaus, Das E-Government-Gesetz des Bundes – Inhalt und erste Bewertung – Gelungener Rechtsrahmen für elektronische Verwaltung?, MMR 2013, 358; Härting, Datenschutz-Grundverordnung – Das neue Datenschutzrecht in der betrieblichen Praxis, 2016 (zitiert: Härting, Datenschutz-Grundverordnung); Härting, Internetrecht, 5. Aufl. 2014; Härting/Schneider, Datenschutz in Europa: Ein Alternativentwurf für eine Datenschutz-Grundverordnung. Alternativen zum Vorschlag der Europäischen Kommission vom 25.1.2012, ITRB 2013, S019; Härting/Schneider, Data Protection in Europe: An Alternative Draft for a General Data Protection Regulation, Alternatives to the European Commission’s Proposal of 25 January 2012, CRi 2013, Supplement 1; Hallermann, Vorabkontrollen nach dem BDSG: Handlungsempfehlungen für die praktische Umsetzung, RDV 2015, 23 ff.; Hammersen/Eisenried, Ist „Redlining“ in Deutschland erlaubt?, ZD 2014, 342; Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016; Hauschka/Moosmayer/Lösler, Formularbuch Compliance, 2013; Hauser, Das ITGrundrecht. Schnittfelder und Auswirkungen, 2015; Heckmann (Hrsg.), juris Praxiskommentar Internetrecht, 4. Aufl. 2014; Heckmann, Ein Gesetz zur Verhinderung der elektronischen Verwaltung? Folgen der unterlassenen Notifizierung des E-Government-Gesetzes, MMR 2013, 561; Heckmann, Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen. Maßstäbe für ein IT-Sicherheitsrecht, MMR 2006, 280; Heider, Die Gretchenfrage: Wie halten Sie’s mit der App-Sicherheit?, DuD 2014, 15; Heidrich/ Wegener, Sichere Datenwolken – Cloud Computing und Datenschutz, MMR 2010, 803; Heinickel/Feiler, Der Entwurf für ein IT-Sicherheitsgesetz – europarechtlicher Kontext und die (eigentlichen) Bedürfnisse der Praxis, CR 2014, 708; Heinson/Schmidt, IT-gestützte Compliance-Systeme und Datenschutzrecht. Ein Überblick am Beispiel von OLAP und Data Mining, CR 2010, 540; Henning, Compliance in Clouds. Datenschutz und Datensicherheit in Datenwolken, CR 2011, 546; Heussen (Hrsg.), Handbuch Vertragsverhandlung und Vertragsmanagement, 4. Aufl. 2014; Hey, Modernes Besteuerungsverfahren – Mehr als „E“, DB 2014, Heft 27-28, M5; Hoeren, Kundenbefragung über potenzielle Interessenten, ZD 2013, 530; Hoeren/Buchmüller, Entwicklung des Internet- und Multimediarechts im Jahr 2013, MMR-Beil. 2014, 1; Hoeren/Sieber/Holznagel (Hrsg.), Handbuch Multimedia-Recht, 43. EL 7/2016; Hoffmann/Borchers, Das besondere elektronische Anwaltspostfach, CR 2014, 62; Holland, Direktmarketing, CR 1995, 184; von Holleben/Menz, IT-Risikomanagement – Pflichten der Geschäftsleitung, CR 2010, 63; Hornung, Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334; Hüsch, Rechtssicheres ersetzendes Scannen, CR 2014, 206; Huppertz/Ohrmann, Wettbewerbsvorteile durch Datenschutzverletzungen?, CR 2011, 449; Ilgenfritz, Erläuterung zu den Anwendungshinweisen der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke, RDV 2013, 18; Intveen, E-Invoicing, ITRB 2014, 138; Kahlert/Licht, Die neue Rolle des Datenschutzbeauftragten nach der DSGVO – Was Unternehmen zu beachten haben, ITRB 2016, 178;
8 Schneider
A
Datenschutz und IT-Management
Kampffmeyer, E-Mail Compliance – revisionssichere Archivierung, DuD 2010, 619; Karg/Fahl, Rechtsgrundlagen für den Datenschutz in sozialen Netzwerken, K&R 2011, 453; Kartheuser/Schmitt, Der Niederlassungsbegriff und seine praktischen Auswirkungen – Anwendbarkeit des Datenschutzrechts eines Mitgliedstaats auf ausländische EU-Gesellschaften, ZD 2016, 155; Katko/Knöpfle/Kirschner, Archivierung und Löschung von Daten. Unterschätzte Pflichten in der Praxis und ihre Umsetzung, ZD 2014, 238; Kautz, Schadensersatz im europäischen Datenschutzrecht, 2006 (Diss. 2006); Keppeler, Was bleibt vom TMG-Datenschutz nach der DS-GVO? – Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR 2015, 779; Kersten/Klett, Data Leakage Prevention, 2014; Kment, Verwaltungsrechtliche Instrumente zur Ordnung des virtuellen Raums. Potenziale und Chancen durch E-Government, MMR 2012, 220; Koch, Big Data und der Schutz der Daten, ITRB 2015, 13; Köbler, Der elektronische Rechtsverkehr kommt: Fahrplan bis 2022 steht – Wie sich die Anwaltschaft auf das Ende der Papierakte einstellen kann, AnwBl. 2013, 589; Köhler/Bornkamm (Hrsg.), Gesetz gegen den unlauteren Wettbewerb, 34. Aufl. 2016 (Köhler/Bornkamm/Bearbeiter, UWG); Köppen, Entwicklung der Computer-, IuK- und Internetkriminalität im Jahr 2013, DuD 2015, 39; Konradt/Schilling/Werners, Risikosimulation zur Bewertung von IT-Risiken im Cloud Computing, DuD 2014, 36; Kort, Arbeitnehmerdatenschutz gemäß der EU-Datenschutz-Grundverordnung, DB 2016, 711; Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße, 2010; Kotthoff/Wieczorek, Rechtsrahmen von Softwarelizenzaudits – Zulässigkeit und Grenzen, MMR 2014, 3; Kramer/Meints, Datensicherheit, in: Hoeren/Sieber/Holznagel, Kap. 16.5; Krämer, Die Verarbeitung personenbezogener Daten durch Wirtschaftsauskunfteien, NJW 2012, 3201; Kranz, Kundendatenschutz und Selbstregulierung im Luftverkehr, DuD 2001, 161; Kroschwald, Kollektive Verantwortung für den Datenschutz in der Cloud, ZD 2013, 388; Kühling/Klar, Löschpflichten vs. Datenaufbewahrung – Vorschläge zur Auflösung eines Zielkonflikts bei möglichen Rechtsstreitigkeiten, ZD 2014, 506; Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, EuZW 2016, 448; Kuhls/Starnecker, E-Health Gesetz –Schreitet die Digitalisierung des Gesundheitswesens voran? (Teil 1), jurisPR-ITR 10/2015 Anm. 2, (Teil 2), jurisPR-ITR 15/2015 Anm. 2, (Teil 3), Kuhls/Starnecker, jurisPR-ITR 20/2015 Anm. 2; Larenz/Canaris, Lehrbuch des Schuldrechts, Besonderer Teil, Zweiter Band 2. Halbband, 13. Aufl., 1994; Lehmann/Giedtke, Cloud Computing – technische Hintergründe für die territorial gebundene rechtliche Analyse. Cloudspezifische Serververbindungen und eingesetzte Virtualisierungstechnik, CR 2013, 608; Lensdorf, IT-Compliance – Maßnahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, CR 2007, 413; Lensdorf/Steger, IT-Compliance im Unternehmen, ITRB 2006, 206; Lober/Falker, Datenschutz bei mobilen Endgeräten, K&R 2013, 357; Lotz/Wendler, Datensicherheit als datenschutzrechtliche Anforderung: Zur Frage der Abdingbarkeit des § 9 BDSG. Eine Erörterung für den privaten Rechtsverkehr und für Betreiber Kritischer Infrastrukturen, CR 2016, 31; von Lucke/Reinermann, Speyerer Definition von Electronic Government, 2000; Lüghausen, Aktuelle Probleme der Werbung in Online-Games, K&R 2011, 458; Mainusch/Burtchen, Kontrolle über eigene Daten in sozialen Netzwerken, DuD 2010, 448; Mantz, Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter, K&R 2013, 7; Marly, Praxishandbuch Softwarerecht, 6. Aufl. 2014; Matthiesen/Kaulartz, Das neue IT-Sicherheitsgesetz, IT-Director, 11/2015, 14; Menke/Witte, Aktuelle Rechtsprobleme beim E-Mail-Marketing, K&R 2013, 25; Meyer, Netzinfrastruktur und Kommunikationsfreiheit, K&R 2013, 90; Meyerdierks, Personenbeziehbarkeit statischer IP-Adressen, MMR 2013, 705; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2014, K&R 2015, 158; Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, 2014; J. Müller, Technische und organisatorische Datensicherheit, in: Koreng/Lachenmann, Kap. E.; Müller-Terpitz/Rauchhaus, Das E-GovernmentGesetz des Bundes – ein Schritt in Richtung „Verwaltung 2.0“, MMR 2013, 10; Müthlein, ADV 5.0 – Neugestaltung der Auftragsdatenverarbeitung in Deutschland, RDV 2016, 74; Nebel, Die Zulässigkeit der Übermittlung personenbezogener Kundenstammdaten zum Vollzug eines Asset Deals, CR 2016, 417 ff.; Neuner, Der privatrechtliche Schutz der Persönlichkeit, JuS 2015, 961; Oenning/Oenning, in: von dem Bussche/Voigt (Hrsg.), Konzerndatenschutz, 2014, Teil 5 – Spannungsfeld zwischen Datenschutz und Compliance-Anforderungen; Ohly, Der Geheimnisschutz im deutschen Recht: heutiger Stand und Perspektiven, GRUR 2014, 1; Pauli, Die Einwilligung in Werbung bei Gewinnspielen, WRP 2011, 1232; Peintinger/Kranig, Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DS-GVO, ZD 2014, 3; Petersen/Barchnicki/Pohlmann, Schutz- und Frühwarnsysteme für mobile Anwendungen, DuD 2014, 7; Plath (Hrsg.), BDSG Kommentar, 2. Aufl. 2016; Pohlmann, Lehren aus der IT-Sicherheitskrise ziehen!, DuD 2014, 47; Pohlmann/Reimer, E-Mail Compliance – Wunsch und Wirklichkeit, DuD 2010, 603; Prütting/Wegen/Weinreich, BGB – Kommentar, 11. Aufl. 2016 (zitiert: PWW); Rammos, Datenschutzrechtliche Aspekte verschiedener Arten „verhaltensbezogener“ Onlinewerbung, K&R 2011, 692; Rath/Rothe, Cloud Computing: Ein datenschutzrechtliches Update, K&R 2013, 623; Reif, Warnsysteme der Wirtschaft und Kundendatenschutz, RDV 2007, 4; Reimer/Wegener, IT Compliance und Governance: Cloud Computing erweitert den Horizont, DuD 2011, 363; Reiners, E-Mail Compliance fordert E-Mail Richtlinie, DuD 2010, 630; Reitsam/Seonbuchner, § 60 – Aufbewahrung und Archivierung von Daten, in: Conrad/Grützmacher; Reitsam/Sollinger, E-Bilanz – Ist Ihr Unternehmen vorbereitet? – Rechtsgrundlagen, Anforderungen und Lösungsszenarien, CR 2012, 349; Rogosch, Die Einwilligung im Datenschutzrecht, 2013 (Diss. 2012); Roos, Die Entwicklung des Datenschutzrechts im Jahr 2014: Beitrags- und Rechtsprechungsübersicht, ZD 2015, 162; Roos/Schumacher, Botnetze als Herausforderung
Schneider
9
A
Datenschutz und IT-Management
für Recht und Gesellschaft – Zombies außer Kontrolle?, MMR 2014, 377; Roßnagel (Hrsg.), Beck’scher Kommentar zum Recht der Telemediendienste, 2013; Roßnagel, Big Data – Small Privacy? – Konzeptionelle Herausforderungen für das Datenschutzrecht, ZD 2013, 562; Roßnagel, Auf dem Weg zur elektronischen Verwaltung – Das E-Government-Gesetz, NJW 2013, 2710; Roßnagel/Jandt, Rechtskonformes Direktmarketing, MMR 2011, 86; Roth, Neuer Referentenentwurf zum IT-Sicherheitsgesetz, ZD 2015, 17; Rüter/Schröder/Göldner/Niebuhr, IT-Governance in der Praxis, 2. Aufl. 2010; Ruhmann, NSA, IT-Sicherheit und die Folgen, DuD 2014, 40; Runte, Recht der IT-Sicherheit, in: Lehmann/Meents, Kap. 21, S. 1206; Sachs/Meder, Datenschutzrechtliche Anforderungen an App-Anbieter, ZD 2013, 303; Schmieder, Teil XI. Datensicherheit, in: Forgó/Helfrich/Schneider; Schmidt/Jakob, Die Zulässigkeit IT-gestützter Compliance- und Risikomanagementsysteme nach der BDSG-Novelle, DuD 2011, 88; Schmitz/von Dall’Armi, Standardvertragsklauseln – heute und morgen – Eine Alternative für den Datentransfer in Drittländer?, ZD 2016, 217; Schneider, Anmerkung zu OLG Karlsruhe, Urt. v. 9.5.2012 – 6 U 38/11, NJW 2012, 3315; Schneider/Härting, Datenschutz in Europa – Plädoyer für einen Neubeginn. Zehn „Navigationsempfehlungen“, damit das EU-Datenschutzrecht internettauglich und effektiv wird, CR 2014, 306; Schreibauer/Spittka, ITSicherheitsgesetz: neue Anforderungen für Unternehmen, ITRB 2015, 240; Chr. Schröder, Compliance-Organisation und Whistleblowing im Konzern, in: Forgó/Helfrich/Schneider, Teil. V. Kap. 3, S. 361 ff.; Schröder, Datenschutz als Wettbewerbsvorteil, ZD 2012, 193; Schütte, NFC? Aber sicher, DuD 2014, 20; Schultze (Hrsg.), Compliance-Handbuch Kartellrecht, 2014; Schulz, Halbwertzeit bei Bestandskundenwerbung?, CR 2012, 686; Schuppert, § 62 – Meldepflichten, in: Conrad/Grützmacher; Schwartmann/Weiß, KoRegulierung vor einer neuen Blüte – Verhaltensregelungen und Zertifizierungsverfahren nach der DS-GVO, RDV 2016, 68; Seidl, Mehr Cybersicherheit durch ein IT-Sicherheitsgesetz?, Teil 1 bis 5, jurisPR-ITR 7/2014 Anm. 2 (Teil 1), 9/2014 Anm. 2 (Teil 2), 10/2014 Anm. 2 (Teil 3), 12/2014 Anm. 2 (Teil 4), 15/2014 Anm. 2 (Teil 5); Senftner, § 61 – Erstellung eines internen Verfahrensverzeichnisses, in: Conrad/Grützmacher; Simitis (Hrsg.), BDSG Kommentar, 8. Aufl. 2014, 7. Aufl. 2011, 6. Aufl. 2006; Sofiotis, Das Recht auf Vergessen im Spannungsfeld von Datenschutz und Informationsfreiheit, CR 2015, 84; Solmecke/Baursch, Anmerkung zu LG Berlin, Urt. v. 6.3.2012 – 16 O 551/10, ZD 2012, 279; Solmecke/Taeger/Feldmann (Hrsg.), Mobile Apps. Rechtsfragen und rechtliche Rahmenbedingungen, Berlin 2013; Specht, Ausschließlichkeitsrechte an Daten – Notwendigkeit, Schutzumfang, Alternativen. Eine Erläuterung des gegenwärtigen Meinungsstands und Gedanken für eine zukünftige Ausgestaltung, CR 2016, 288; Spindler, Die neue Datenschutzgrundverordnung, DB 2016, 937; Spindler, Datenschutz- und Persönlichkeitsrechte im Internet, GRUR 2013, 996; Sreball/Hermonies, „Verkaufsförderung vs. Überwachungsdruck?“ Zur Zulässigkeit der visuellen Kundenerfassung als Grundlage individualisierter Werbung in Verkaufsräumen, RDV 2012, 18; Stollhof, Datenschutzgerechtes E-Government, 2012 (Diss. 2011); Sydow, Die Entwicklung des Datenschutzrechts im Jahr 2015: Beitrags- und Rechtsprechungsübersicht, ZD 2016, 159; Taeger (Hrsg.), Big Data & Co. – Neue Herausforderungen für das Informationsrecht, DSRI-Tagungsband 2014; Taeger, Schutz von Betriebs- und Geschäftsgeheimnissen im Regierungsentwurf zur Änderung des BDSG, K&R 2008, 513; Taeger/Gabel (Hrsg.), Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 2. Aufl. 2013 (Taeger/Gabel/Bearbeiter, BDSG); Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, 5. Aufl. 2012; Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014; Thüsing/Wurth (Hrsg.), Social Media im Betrieb. Arbeitsrecht und Compliance, 2015; Ulmer/Glaus/Horras/Erben/Hartung/Bieresborn, Teil 8. Regulierte Märkte, in: Hilber, Cloud Computing, S. 577 ff.; Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher, 2005 (https://www.datenschutzzentrum.de/scoring/2005-studie-scoringsyste me-uld-bmvel.pdf); Veil, DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip, ZD 2015, 347; Voigt, Datenschutz in der Werbung nach Düsseldorfer Art, K&R 2014, 156; Voigt, Einwilligungsbasiertes Marketing, K&R 2013, 371; Wäßle/Heinemann, Scoring im Spannungsfeld von Datenschutz und Informationsfreiheit, CR 2010, 410; Weichert, Big Data und Datenschutz, ZD 2013, 251; Werkmeister/Brandt, Datenschutzrechtliche Herausforderungen für Big Data, CR 2016, 233; Wicker, Haftet der Cloud-Anbieter für Schäden beim Cloud-Nutzer? Relevante Haftungsfragen in der Cloud, MMR 2014, 715; Wicker, Haftungsbegrenzung des Cloud-Anbieters trotz AGB-Recht? Relevante Haftungsfragen in der Cloud, MMR 2014, 787; Will, Schlussrunde bei der Datenschutz-Grundverordnung?, ZD 2015, 347; Wintermeier, Rechtskonforme Erstellung einer Datenschutzerklärung, ZD 2013, 21; Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, 2013 (Bearbeiter, in: Wolff/Brink (Hrsg.), Datenschutzrecht); Wybitul, Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte?, ZD 2016, 293; Zahrte, Aktuelle Entwicklungen beim Pharming – Neue Angriffsmethoden auf das Online-Banking, MMR 2013, 207; Zech, Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“, CR 2015, 137; Zech, Durchsetzung von Datenschutz mittels Wettbewerbsrecht?, WRP 2013, 1434; Zech, Information als Schutzgegenstand, 2012; Zeidler/Brüggemann, Die Zukunft personalisierter Werbung im Internet, CR 2014, 248; Zieger/Smirra, Fallstricke bei Big Data-Anwendungen – Rechtliche Gesichtspunkte bei der Analyse fremder Datenbestände, MMR 2013, 418.
10
Schneider
Datenschutz Grundlagen
Rz. 5
A
I. Datenschutz Grundlagen 1. Einführung 1.1 Regelungsmaterie Gegenstand dieses Buches ist traditionell die rechtliche Behandlung der betrieblichen Datenverarbeitung und deren Rahmenbedingungen inkl. Rechtsschutz für Software und Daten sowie Datenschutz. Der Fokus hat sich sowohl technisch als auch rechtlich im Laufe der Zeit wesentlich erweitert. Inzwischen ist IT-Compliance (Rz. 1398, 1542 ff.), mit „Datenschutz“ in Kombination mit IT-Sicherheit (Rz. 1348 ff.) eines der großen Arbeits- und Problemfelder für Rechtsabteilung und Rechtsberater. Diese Kombination wird durch die Neuregelung des EU-Datenschutzes in der EU-Datenschutz-Grundverordnung (DS-GVO)1 intensiviert.
1
IoT,2 Industrie 4.03 und Digital Single Market sind Herausforderungen für Anwender und Schlagworte, die jeweils weitere Meilensteine bei der Gewinnung und Verarbeitung von Informationen signalisieren. Regulatorisch liegt der Schwerpunkt allerdings auf Daten (v.a. beim Datenschutz) und Medien, etwa TM und TK. Von Daten – und vermehrt auch Informationen – als Wirtschaftsgut ist die Rede, dementsprechend auch als Schutzgegenstand.4
2
Wesentliche Anforderungen an die Ordnungsmäßigkeit und damit Compliance der IT im Un- 3 ternehmen ergeben sich aus dem Datenschutz und sonstigen, dem Schutz des Einzelnen dienenden Instituten, so insb. dem Recht auf informationelle Selbstbestimmung,5 aber auch Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme,6 zudem das Recht auf Vergessen(werden)7 und generell dem allgemeinen Persönlichkeitsrecht. Es kommen noch Regelungen wie das Fernmeldegeheimnis hinzu, oder auch – wegen der Multimedialität der ITK-Systeme – das Recht am eigenen Bild. Schwach erscheint insoweit im Vergleich das Datengeheimnis (§ 5 BDSG), s. aber zur Verpflichtung der Mitarbeiter Rz. 768 (Betriebsrat). Datenschutz im formellen Sinne basiert auf BDSG, Spezialnormen und EU-Datenschutz- 4 Richtlinie (DS-RL)8 bzw. auf EU-Datenschutzgrundverordnung9 – meint den Schutz des Einzelnen durch Schutz seiner Daten über die Regelung des Umgangs seitens Dritter mit diesen Daten. Adressat ist die datenverarbeitende Stelle. Dass auch der Einzelne selbst zum Datenakteur geworden ist, berücksichtigen die formellen Regeln kaum. Es gibt eine starke Verbindung zwischen Datenschutz und IT-Sicherheit über das Compli- 5 ance-Management bzw. -System: Die IT-Sicherheit ist einerseits im Interesse des Unternehmens als ein Teil eines Compliance-Systems zu sehen. Eine sichere und rechtskonforme IT1 Die DS-GVO trat am 25.5.2016 in Kraft und gilt unmittelbar ab 25.5.2016, Art. 99 DS-GVO. 2 Internet der Dinge, s. etwa Bericht der FTC https://www.ftc.gov/system/files/documents/reports/fede ral-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iot rpt.pdf (6.10.2015); Kommission: MMR-Aktuell 2016, 377802; Art. 29-Gruppe: Chancen und Risiken für das Internet der Dinge, ZD-Aktuell 2014, 04354. 3 Auch M2M, machine to machine, s. Grünwald/Nüßing, MMR 2015, 378 zu „Industrie 4.0“ und den Implikationen. 4 Grundlegend Zech, Information als Schutzgegenstand, 2012. 5 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419; Maisch, Informationelle Selbstbestimmung in Netzwerken: Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Computing und Facebook. (Internetrecht und Digitale Gesellschaft) (21.5.2015). 6 Als Teil des Allg. Persönlichkeitsrechts BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, s. Rz. 36. 7 EuGH v. 13.5.2014 – C-131/12 (Google Spain), und dazu z.B.Spindler, JZ 2014, 981. 8 Richtlinie 95/46/EG (v. 24.10.1995) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutz-RL), oft kurz DS-RL. 9 Die DS-GVO tritt gem. Art. 99 mit unmittelbarer Wirkung am 25.5.2018 in Kraft und löst die DS-RL ab, s. Rz. 492 ff.
Schneider
11
A Rz. 6
Datenschutz und IT-Management
Infrastruktur ist auch im Hinblick auf Gesellschafts- und Aktienrecht geboten. Hinzu kommt das eigene Interesse des Betriebs an nachhaltigem Bestand. Andererseits ist die ITSicherheit in starkem Maße durch die Anforderungen des Datenschutzes zum Schutze der Mitarbeiter und Dritter geprägt (§ 9 BDSG und Anlage hierzu, Art. 17 DS-RL). Sicherheitsanforderungen im eigenen Interesse des Betriebs ergeben sich aber auch über §§ 17 UWG, 97 ff. UrhG, 202a ff. StGB (s.a. E.) und Geheimhaltungsvorschriften, etwa § 203 StGB. 6 Speziell die Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 BSI-KritisV10 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, § 8a Abs. 1 Satz 1 BSiG.11 Dazu gibt es noch eine Verordnung, die allerdings ihrerseits noch etwas allg. bleibt.12 Entsprechende Regelungen werden von der EU-Richtlinie über Netz- und Informationssicherheit (NIS) erwartet.13 7 Eine besondere Herausforderung ist angesichts ständig neuer Regeln und Geschäftsmodelle der „Rechtskonforme Onlineshop“. Zwischen Verbraucherschutz bei E-Commerce (s. Rz. 956 ff.) und Datenschutz gibt es sowohl innerhalb des Datenschutzes als auch ansonsten, etwa in Form der richtigen Darstellung und beweiskräftigen Ausführungen der elektronischen Willenserklärung,14 elektronischen Informationen etwa i.S. der Widerrufsbelehrung oder der Impressumspflichten, der Bestätigung i.S.v. § 312e BGB u.ä. zahlreiche Querverbindungen bzw. spezielle Ausprägungen. 8 Die Regelung der unverlangten Werbung und deren Regelung basieren mehr auf dem allgemeinen Persönlichkeitsrecht, als auf formellem Datenschutz. Dennoch sollten die dogmatischen Querverbindungen beachtet werden. Dies betrifft etwa die Frage wirksamer Einwilligung bei Datenverarbeitung und Werbung sowie die Belehrung zum Widerruf.15 9 Schon vom GG her ist Totalerfassung16 verboten. Diese droht mittelbar über Erhaltung und Auswertung der Datenspuren i.V.m. Big Data Technologien.17 U.a. deshalb ist auch die anlasslose Datenspeicherung (im öffentlichen Bereich) bis auf Ausnahmen verboten.18 Totalerfassung (Rundumerfassung) wurde v.a. im öffentlichen Bereich als Gefährdung gesehen.19 10 Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz v. 22.4.2016 (BGBl. I S. 958). S. zur Verordnung Spindler, CR 2016, 297, und Rz. 1348 zur IT-Sicherheit. 11 Text gilt seit 25.7.2015 (BGBl. I S. 1324); zum IT-SicherheitsG s. Rz. 1348 ff. (1409 ff.); die BSI-KritisV ist am 13.4.2016 beschlossen worden, wurde am 22.4.2016 ausgefertigt und ist gültig ab 3.5.2016. 12 Erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes v. 13.4.2016: „Das Kabinett hat heute dem ersten Teil der Rechtsverordnung zur Umsetzung des IT-Sicherheitsgesetzes zugestimmt. Die Verordnung regelt, welche Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung unter das IT-Sicherheitsgesetz fallen.“ Quelle: https:// www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/news_kritisvo_13042016.html. 13 Zum Entwurf s. Gercke, CR 2016, 28. S.a. zu Datensicherheit als datenschutzrechtlicher Anforderung und Abdingbarkeit die Disk.: Lotz/Wendler, CR 2016, 31; und Franck, CR 2016, 238. 14 Zur Beweiskraft elektronischer Dokumente s. Klein, jur-pc Web-Dok. 198/2007. 15 Zu den Anforderungen an Widerrufsbelehrung s. z.B. schon OLG Frankfurt v. 9.5.2007 – 6 W 61/07: Scrollkasten mit nur geringer Größe; s.a. B Rz. 301; s. zu Einwilligung Rz. 359 ff. 16 S.a. BGH v. 15.5.2013 – XII ZB 107/08, NJW 2013, 2668 zur Bedeutung einer Rundumüberwachung für die informationelle Selbstbestimmung und die Verwertung von Beweisen, dazu Hausen/Haußleiter, NJW 2013, 2671; BVerfG v. 11.5.2007 – 2 BvR 543/06 zu § 100c. 17 S.z.B. Koch, ITRB 2015, 13; Werkmeister/Brandt, Datenschutzrechtliche Herausforderungen für Big Data, CR 2016, 233. 18 S. z.B. BVerfG v. 2.3.2010 – 1 BvR 256/08 und weitere, m. Anm. Heun, CR 2010, 232. 19 S. zum abstrakten Ansatz bei GPS (konkret verneint) BVerfG v. 12.4.2005 – 2 BvR 581/01, CR 2005, 569; s. a. OLG Koblenz v. 30.5.2007 – 1 U 1235/06, jur-pc 84/2008 – Rechtswidrigkeit einer verdeckten privaten Überwachung (Detektei) mittels GPS-Ortungsgerät: „Hierin lag nicht nur …, sondern … auch
12
Schneider
Datenschutz Grundlagen
Rz. 12
A
Mindestens gleich stark ist die Gefahr im nicht-öffentlichen Bereich durch die starke Durchdringung von Arbeitsplatz und Privatleben mit IT und TK (pervasive computing), manchmal kurz „Ubiquitous Computing“20 genannt. Die Totalerfassung als Vollbild des Einzelnen ist grds. zu vermeiden. Schon volle Bewegungsbilder gelten als unzulässig.21 Die Frage ist allerdings, wann die Grenze dazu erreicht ist.22 Möglicherweise ist dies bei Big Data und Profiling der Fall. Den Gefahren des Profiling versucht die DS-GVO entgegenzuwirken, s. Rz. 666 ff. Das Konzept, wie den Gefährdungspotentialen am besten zu begegnen sei, steht allenfalls theoretisch zur Diskussion. Praktisch hat sich der ursprünglich als Errungenschaft zu würdigende „Datenschutz“ als Datenverkehrsrecht ohne materiell-rechtlichen Gehalt als die gegenüber den modernen Herausforderungen denkbar unpassende und zerklüftete Konzeption erwiesen. Dies hatte schon das BVerfG insoweit erkannt, als es immerhin die Ebene wechselte, von Daten zu Information, und die Notwendigkeit der Ausdehnung der Phasen der Verarbeitung gesehen hat, etwa der Erhebung, die damals noch nicht vom BDSG erfasst war.23
10
Vom Wortlaut der Datenschutzregeln ist Datenbevorratung verboten. Sie entbehrt ohne ge- 11 sonderte rechtliche Regelung der Erforderlichkeit.24 Big Data basiert auf zweckfreier Bevorratung bzw. Zweckentfremdung der Daten, allerdings scheinbar weitgehend anonymisierbar.25 Die Ergebnisse sind ggf. datenschutzrechtlich hoch-relevant, aber nicht adäquat geregelt, v.a. was die Heimlichkeit betrifft. Mit Scoring verhält es sich ähnlich, es geht um Prognosedaten, die aus vorgehaltenen Daten stammen. Scoring hat immerhin eine ansatzweise Regelung im BDSG erhalten, s. Rz. 99. Weitere Gefährdungspotenziale ergeben sich aus den Sozialen Netzwerken, dem Marketing mit Targeting,26 als Auswertung i.R.v. Big Data u.Ä. Predicting und Redlining sind technisch simple Formen der unbemerkten Diskriminierung, s.a. Rz. 97 ff. 1.2 Säulen des Schutzes des Betroffenen Grds. lassen sich die Regelungskonzepte danach einteilen, welche Art von Schutzgut sie fo- 12 kussieren, insb. ob sie etwa eine materiell-rechtliche Ausgestaltung oder eine Verfahrensordnung „richtigen“ Umgangs mit dem Schutzobjekt oder Sanktionen regeln. Materiellrechtlich ist etwa zu nennen das „Allgemeine Persönlichkeitsrecht“, dabei die Sphären der Privat- und der Intimsphäre. Dazu gehört auch die private Lebensführung, Entfaltungsfrei-
20 21 22 23 24 25 26
ein – rechtswidriger – Eingriff in das grundrechtlich geschützte Recht auf informationelle Selbstbestimmung … Die systematische Observation einer Person zum Zwecke einer gleichsam lückenlosen ‚Durchleuchtung ihrer (öffentlichen) Lebensumstände‘ betrifft zwar nicht den unantastbaren Kernbereich privater Lebensgestaltung (BVerfG NJW 2005, 1338, 1340), beeinträchtigt gleichwohl aber den Schutzbereich des Grundrechts …“ (m.w.N.). S. dazu TAUCIS-Studie S. 11; Hornung, CR 2007, 88, 94. S.a. Hornung, MMR 2004, 3, zu Konflikt zwischen Datenpool und Recht auf informationelle Selbstbestimmung. Zu (neuen) Anforderungen an eine Modernisierung des Datenschutzrechts aufgrund gewachsener Gefahren: Roßnagel, MMR 2005, 71. Noch nicht erreicht bei Peilsender i.V.m. GPS zwecks Strafverfolgung, BVerfG v. 12.4.2005 – 2 BvR 581/01, CR 2005, 569, und BVerfG v. 11.5.2007 – 2 BvR 543/06, CR 2007, 496 – Akustische Wohnraumüberwachung, s.a. Rz. 31. BVerfG v. 11.5.2007 – 2 BvR 543/06, CR 2007, 496, 500: wenn sich die Überwachung über längere Zeit erstreckt und nahezu lückenlos alle Bewegungen und Lebensäußerungen registriert werden. BVerfGE 65, 1 Recht auf informationelle Selbstbestimmung. S. zu Anforderungen klarer Regelung für öffentlichen Sektor bei automatisierter Kfz-Kennzeichenerfassung BVerfG v. 11.3.2008 – 1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505; s.a. zu den Datenspuren Rz. 432 f. S. zur Frage, ob Big Data zum Umdenken zwingt Katko/Babaei-Beigi, MMR 2014, 360; zur datenschutzrechtl. unlösbaren Zweckfreiheit Koch, ITRB 2015, 13; Werkmeister/Brandt, Datenschutzrechtliche Herausforderungen für Big Data, CR 2016, 233. Härting, Internetrecht, Kap. B. Rz. 264.
Schneider
13
A Rz. 13
Datenschutz und IT-Management
heit und Recht auf informationelle Selbstbestimmung. Das BDSG erfasst über das Verbotsprinzip auch die Sozial-/Alltagssphäre. 13
Als Verfahrensordnung ohne echtes Schutzgut blieb das BDSG wie auch die DS-RL auf dem Stand des Prototyps. Es regelt den Umgang mit personenbezogenen Daten. Die Landesdatenschutzgesetze hingegen haben zum Teil das Recht auf informationelle Selbstbestimmung inkorporiert, z.B. bereits als Aufgabe das DSG NW in § 1: „Aufgabe dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung personenbezogener Daten durch öffentliche Stellen in unzulässiger Weise in seinem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen (informationelles Selbstbestimmungsrecht).“ Mit der DS-GVO wird dieses Recht weitgehend, außer da, wo Bereichsausnahmen greifen, entfallen, s. zur DS-GVO Rz. 492 ff.
14
Sanktionen sind etwa Skandalisierung, Haftung für Schäden und Bußgelder. Interessant wäre v.a. die Pflicht zum Ersatz immaterieller Schäden. An einer expliziten Regelung fehlt es bislang. Strafrechtliche Sanktionen implizieren Tatbestände, die solche Sanktionen auslösen, also Regelungen materiell-rechtlicher oder verfahrensmäßiger Art. 1.2.1 Allgemeines Persönlichkeitsrecht, Privatsphäre
15
Das allgemeine Persönlichkeitsrecht steht nicht nur neben dem Datenschutzrecht, sondern hat auch für dieses wichtige Funktionen. Zum einen dient das Persönlichkeitsrecht bei der Zweckbestimmung als zu wahrendes Schutzgut (§ 1 Abs. 1 BDSG). Zum anderen greift § 823 BGB als Haftungsnorm, was für die Erlangung des Ersatzes ggf. auch immateriellen Schadens wichtig ist, nachdem § 7 BDSG insoweit keine Anspruchsgrundlage bietet.27 Allerdings „passt“ die Dogmatik vom allgemeinen Persönlichkeitsrecht v.a. hinsichtlich der so genannten Persönlichkeitssphären nicht so recht zum Grundansatz des Datenschutzrechts, nämlich der so genannten Relativität der Privatsphäre28 und damit letztlich der Unmöglichkeit, – generell Daten bestimmten Sphären zuzuordnen und – Daten pauschal bzw. generell nach Sensitivitätsgraden abzustufen.29
16
Deshalb muss jeweils im Einzelfall die Abwägung zwischen den Belangen des Betroffenen, v.a. der Stärke des Eingriffs in dessen Persönlichkeitsrecht einerseits und den Interessen der DV-Stelle andererseits erfolgen. Dazu müssen die beiden Interessensphären nicht nur ins Verhältnis gesetzt, sondern auch jeweils fallbezogen abgestuft werden. Dabei wird das Sphärenmodell v.a. noch zur Bestimmung des – eigentlich – unantastbaren Innenbereichs der Intimsphäre herangezogen.30 Für die im Bereich des Datenschutzes gefährliche Tendenz, den Betroffenen im Bereich seiner Selbstentäußerungen weniger zu schützen, ist zudem die Rspr. aus dem Bereich des Persönlichkeitsrechts und dessen Sphären eine gewisse Schranke. So ist z.B. die Verwertung eines mittels akustischer Überwachung aufgezeichneten Selbstgesprächs eines Angeklagten zumindest insoweit verwehrt, als dieses dem durch Art. 13 Abs. 1 GG i.V.m. Art. 1 Abs. 1 und Art. 2 Abs. 1 GG geschützten Kernbereich zuzurechnen ist.31 27 S.a. BeckOK DatenSR/Quaas BDSG § 7 Rz. 66; im Einzelnen s. Rz. 384 ff.; bei Berichtigung u.a. Rechten des Betroffenen aus § 35 BDSG soll es sich dagegen um abschließende Regelungen handeln, s. Neuner, JuS 2015, 961 (963) m. Nachw. in Fn. 29. 28 Steinmüller u.a., Datenschutzgutachten, BT-Drs. IV/3286, S. 586. 29 Es gibt kein für sich belangloses Datum: BVerfGE 65, 1. S. aber zu Besonderen Arten von Daten Rz. 193 ff. 30 S. zur teilweisen Neu-Gestaltung BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822; zum Stufenkonzept i.V.m. KunstUrhG s. Raue, Persönlichkeitsrecht, 1997. 31 BGH v. 10.8.2005 – I StR 140/05, RDV 2005, 266: Krankenzimmer als vor akustischer Wohnraumüberwachung geschützter Kernbereich. S. zum Kernbereich auch BVerfG v. 20.4.2016 – 1 BvR 966/09, 1 BvR 1140/09 – BKAG, v.a. Rz. 121, BeckRS 2016, 44821.
14
Schneider
Datenschutz Grundlagen
Rz. 19
A
Dass diese Sphäre aber auch schnell verlassen wird, zeigt die Tagebuch-E.: Ausdrücklich be- 17 fasst sich der BGH32 auch mit der bekannten Tagebuch-E., hier des BVerfG, die darauf abstellte, dass der dortige Angeklagte seine Gedanken, die dem innersten Kernbereich zugewiesen sind, geäußert hatte, und zwar nur in der Form, dass er sich seinem Tagebuch anvertraute. Dies reichte – bei Stimmengleichheit – dazu, dies nicht mehr als zu der Sphäre zugehörig anzusehen, innerhalb derer der Einzelne diesen Kernbereich bzw. diesen Innenbereich selbst beherrscht.33 Die Argumentation liegt auf der Hand: Immer, wenn sich jemand seiner auch vielleicht in- 18 timsten Gedanken in der Form entäußert, dass er diese einem Medium, sei dies ein Tagebuch, erst recht, wenn es sich um eine Datei handelt, begibt, verliert er praktisch diesen absoluten Schutz. Dies deckt sich damit, dass das BVerfG auf die Kommunikation mit anderen Personen und deren Umstände abstellt.34 Infolge dessen ist in einer medialen Welt der Kernbereich kaum mehr erkennbar bzw. handhabbar, weil sich auch die intimsten Angaben, etwa im Bereich Krankheit, Sexualverhalten u.Ä., irgendwie in Kommunikation niederschlagen.35 Das Ausforschen der Person und deren Verhältnisse, Befindlichkeiten usw. kann eine Persönlichkeitsrechtsverletzung darstellen.36 Diesen Aspekt behandelt das BDSG nur in Ansätzen, etwa in §§ 6b und 6c BDSG. 1.2.2 BDSG und Spezial-Datenschutznormen – Daten als Schutzgut Sowohl die DS-RL als auch das BDSG, dieses bereits seit 1977, regeln als Schutzobjekt, wenn 19 nicht als Schutzgut die personenbezogenen Daten.37 Der Zweck der Regelung des Umgangs mit den personenbezogenen Daten ist nach § 1 Abs. 1 BDSG wiederum, den Einzelnen davor zu schützen, dass er dadurch in seinem Persönlichkeitsrecht beeinträchtigt wird. Dadurch wird aber weder das Persönlichkeitsrecht noch das ohnehin ungeschriebene Recht auf informationelle Selbstbestimmung zum Schutzgut. Dies wird allerdings an zahlreichen Stellen stets so behauptet, ohne dass berücksichtigt wurde, dass der Gesetzgeber längst bei den zahlreichen Novellen das Recht auf informationelle Selbstbestimmung hätte explizit berücksichtigen müssen, wenn es denn das Schutzgut sein sollte. Das Recht auf informationelle Selbstbestimmung – s. Rz. 97 ff. – wurde Ende 1983 vom BVerfG postuliert, und bei den zahlreichen, auch größeren Novellierungen, etwa 1990, nicht berücksichtigt. Allerdings haben viele Landesdatenschutzgesetze die Konsequenzen gezogen. Die Vorsicht beim BDSG erklärt sich wohl damit, dass anfangs nicht klar war, ob das Recht auf informationelle Selbstbestimmung auch im nicht-öffentlichen Bereich gelten würde. Aber auch, als dies längst klar war, wurde dieses Institut nicht aufgenommen. 32 BGH v. 10.8.2005 – I StR 140/05, RDV 2005, 266. 33 BVerfG v. 14.9.1989 – 2 BvR 1062/87, NJW 1990, 563. S. aber Beschlagnahme eines Tagebuchblattes als unverhältnismäßigen Eingriff in das allgemeine Persönlichkeitsrecht: Berliner VerfGH v. 24.1.2003 – VerfGH 39/99, NJW 2004, 593. 34 S. etwa zum „großen Lauschangriff“ BVerfG v. 3.3.2004 – 1 BvR 2378/98, 1 BvR 1084/99, CR 2004, 343; „Das Recht auf informationelle Selbstbestimmung schützt im Herrschaftsbereich des Teilnehmers gespeicherte Telekommunikationsverbindungsdaten“, BVerfG v. 2.3.2006 – 2 BvR 2099/04; v. 29.6.2006 – 2 BvR 902/06, MMR 2007, 169 zur Beschlagnahme und Auswertung von gespeicherten E-Mails auf dem Server des Providers; Rz. 1341 ff. 35 Zu dieser Entäußerungs-Dynamik s.a. BGH v. 10.8.2005 – I StR 140/05, RDV 2005, 266 unter Verweis auf BVerfG v. 3.4.2004; zu Internetforen LG Berlin v. 25.10.2007 – 27 O 602/07, CR 2008, 402 (Ls.): Mit Offenlegung von Umständen seines Privatbereichs im Internet zeigt sich der Einzelne bei Identifizierbarkeit einverstanden mit der Öffnung, begibt sich insoweit des einsprechenden Teils seiner Privatsphäre. 36 S. Neuner, JuS 2015, 961. 37 Ursprünglich war von Persönlichkeit oder Persönlichkeitsrecht o.Ä. überhaupt nicht die Rede. § 1 Aufgabe und Gegenstand des Datenschutzes besagte nur: „Aufgabe des Datenschutzes ist es, durch den Schutz personenbezogener Daten vor Missbrauch bei ihrer Speicherung, Übermittlung, Veränderung und Löschung (Datenverarbeitung) der Beeinträchtigung schutzwürdiger Belange der Betroffenen entgegenzuwirken.“
Schneider
15
A Rz. 20
Datenschutz und IT-Management
20
Jedenfalls regelt das BDSG den Umgang mit personenbezogenen Daten als Schutz- und Regelungsobjekt und entspricht so auch Art. 8 GRCh. Dies gilt auch für den Bereich des Schadensersatzes, wo eine Gelegenheit bestanden hätte, das allgemeine Persönlichkeitsrecht (s.a. Rz. 15), einzubringen. In § 7 Satz 1 BDSG ist nur von Phasen des Umgangs mit personenbezogenen Daten in der Form unzulässiger oder unrichtiger Erhebung, Verarbeitung oder Nutzung die Rede mit der Folge, dass dem Betroffenen ein Schaden zugefügt wird. Man wird das BDSG insofern aber als Schutzgesetz mit der Folge eines Schadenersatzanspruches nach § 823 Abs. 2 BGB – die übrigen Voraussetzungen unterstellt – zu sehen haben.38 Das Verhältnis zum allgemeinen Persönlichkeitsrecht lässt sich am besten so beschreiben, dass Ziel und Zweck des Datenschutzes der Schutz des allgemeinen Persönlichkeitsrechts bzw. der Schutz der Persönlichkeit sind.39
21
Die Frage nach dem Schutzgut könnte insofern auch als reine Wortklauberei abgetan werden, als völlig offensichtlich der Umgang mit den personenbezogenen Daten sehr breit geregelt ist und dabei auch, welchem Zweck dies dient. Das eigentliche Problem entsteht erst i.R.d. Mechanik des gesamten Gesetzeswerkes, aber auch der Spezial-Datenschutzregeln, soweit dort nicht materiell-rechtliche Kategorien (zusätzlich) eingeführt werden. Die „informationelle Selbstbestimmung“, s. Rz. 97 ff., wäre eine solche materiell-rechtliche Rechtsposition, eine Konkretisierung des allgemeinen Persönlichkeitsrechts im Hinblick auf die Gefährdungslagen aus der Informations- und Kommunikationstechnik. Damit ist der Begriff der Information aber eigentlich für eine ganz andere Position verbraucht, nämlich eine inhaltliche Ausgestaltung des Persönlichkeitsschutzes bei der Handhabung. Daten wären dazu ins Verhältnis zu setzen, Information der Oberbegriff.
22
§ 3 Abs. 1 BDSG definiert aber personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, ein Umstand, der zu weitreichenden Diskussionen geführt hat. Auch praktisch 40 Jahre nach BDSG-Verabschiedung (Ende 1976) ist nicht klar, wann genau personenbezogene Daten vorliegen. Dies ist im Hinblick auf das Verbotsprinzip und die strafrechtliche Bewehrung eigentlich eine dogmatische Katastrophe. Die Datenschutz-Richtlinie hat hieran wenig geändert. Sie hat eher für mehr Verwirrung gesorgt. Sie erklärt i.R.d. Definition von personenbezogenen Daten diese als „alle Informationen“, sodass ein Unterordnungsverhältnis entsteht, das dem Recht auf informationelle Selbstbestimmung glatt widerspricht. Danach wären die Informationen sozusagen die „Pixel“, aus denen sich das Bild der personenbezogenen Daten zusammensetzt, Daten sind der Oberbegriff.
23
Das Recht auf informationelle Selbstbestimmung (RaiSB) geht aber davon aus, dass die Daten eigentlich die Teilchen („Pixel“) sind, aus denen sich die Information zusammensetzt. Die beiden Regelungsmaterien passen also eigentlich vom Schutzgedanken her nicht zusammen. Dieser Fehler in der Konstruktion, Datenschutz berge auch das Recht auf informationelle Selbstbestimmung, wird als Problem selten praktisch relevant, weil es – dank Verbotsprinzip – eine überbordende Fülle von Spezialregelungen gibt, sodass kaum Bedarf an der Synchronisation beider Bereiche besteht. So ist dieses Recht eher Interpretationshilfe, ähnlich wie der EuGH verstärkt auf Art 7 GRCh abstellt (nicht auf Datenschutz, Art. 8 GRCh), wenn es um substantielle Fragen geht (s.a. Rz. 43). Zudem hat die Rspr. mit Hilfe des RaiSB das Terrain des Schutzes gegenüber anderen Grundrechten abgesteckt, so etwa BGH – spickmich.de.40 Dort wurde ein Mangel des BDSG durch eine verfassungskonforme Interpretation des § 29 Abs. 1 BDSG übertüncht: Es hat „somit eine Abwägung zwischen dem Schutz des Rechts auf informationelle Selbstbestimmung der Klägerin nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG und dem Recht auf Kommunikationsfreiheit nach Art. 5 Abs. 1 GG zu er38 So a. Gola/Schomerus, BDSG, 12. Aufl., § 1 Rz. 3. 39 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 1 Rz. 7. 40 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593; Nichtannahme: BVerfG v. 16.8.2010 – 1 BvR 1750/09.
16
Schneider
Datenschutz Grundlagen
Rz. 26
A
folgen, …“41 und „Ob es sich hierbei um schutzwürdige Belange handelt, die der Datenerhebung und -speicherung durch die Beklagten entgegenstehen, muss durch eine Abwägung mit der ebenfalls verfassungsrechtlich gewährleisteten Kommunikationsfreiheit der Beklagten und der Nutzer (Art. 5 Abs. 1 GG) bestimmt werden.“42 Relevanz bekommt dieser Aspekt v. a. durch moderne Verarbeitungsformen, die noch mehr als bei Daten die Trennung von Inhalt und Umgang damit vornehmen, also v. a. die Erzeugung von Metadaten, die Trennung zwischen dem „Datenhaufen“ i.R.v. Big Data und in Analyseprogrammen zum Zwecke der Identifizierung und Ausspähung bis hin zur Vorhersage des Verhaltens. Zu erinnern ist allerdings, dass mit der DS-GVO das RaiSB als Korrektiv und Surrogat oder auch Ersatz für fehlende Regelungen wie auch das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme entfallen, s. zu diesen Instituten Rz. 27 ff.
24
Eng mit der Konzeption der Daten als Schutzgut geht die Orientierung an Phasen der Daten- 25 verarbeitung – „Erhebung“, „Verarbeitung“ und „Nutzung“ (§ 3 Abs. 2 BDSG) und – jeweils definiert – „Erheben“ (§ 3 Abs. 3 BDSG), „Verarbeiten“ mit „Speichern“, „Verändern“, „Übermitteln“ sowie „Sperren“ und „Löschen“ (§ 3 Abs. 4 BDSG) einher. Diese Phaseneinteilung ist überholt, weil Datenschutz umfassend sein soll und nicht mehr auf besondere Gefährdungslagen abstellt,43 weshalb sämtliche möglichen Phasen der Verarbeitung z.B. von der DSGVO (Rz. 492 ff.) erfasst sind. Allerdings knüpfen noch einige Rechtspositionen an bestimmte Phasen an, so etwa die Frage, ob die Daten direkt beim Betroffenen erhoben werden. S. zur Informationspflicht nach Art. 13 DS-GVO Rz. 547. Bei dieser Orientierung der gesamten Gesetzes-Konzeption, die weitgehend auch für die DS- 26 RL zutrifft, nehmen sich einzelne Regelungen, die bestimmte Schutzbereiche ansprechen bzw. vor den Folgen bestimmter Datenverarbeitung bewahren wollen, wie Fremdkörper aus. Dies betrifft etwa im BDSG § 6a BDSG Automatisierte Einzelentscheidung – ansatzweise, aber differenzierter auf die DS-GVO überkommen, s. Rz. 553 f.; § 6b BDSG Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (v.a. Video, s.a. Rz. 426 f.) – die Videoüberwachung wird in der DS-GVO nicht explizit geregelt, jedoch von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO erfasst –, § 6c BDSG Mobile personenbezogene Speicherund Verarbeitungsmedien sowie § 28b BDSG Scoring. In diesen Fällen ist entweder überhaupt kein personenbezogenes Datum ersichtlich, außer durch Zusatzinformation, etwa was Bilder betrifft oder es geht letztlich um den Schutz vor der Anwendung von Programmen, wie etwa bei Scoring. Diese Thematik könnte sich über das Profiling in der DS-GVO erheblich ausdehnen, da dieses im Zshg. mit der automatisierten Einzelentscheidung – derzeit § 6a BDSG – dort besonders in Abstufungen, die § 6a BDSG nicht vorsieht, geregelt ist, s. Rz. 553 ff.
41 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593, Rz. 27 – spickmich.de, Rz. 42 „… Indessen ist insoweit eine verfassungskonforme Auslegung der Vorschrift geboten, die das Grundrecht der Meinungsfreiheit gebührend berücksichtigt.“ Zu Dritt-Interessen und Abwägung s. grundlegend Gallwas, in: Conrad/Grützmacher, § 26 Rz. 25 ff., 73 ff. 42 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593, Rz. 28 – spickmich.de. 43 Dass damit das Verbotsprinzip hinfällig ist, weil es entsprechend der Ausbreitung des Umgangs mit personenbezogen Daten umfassend Datenverarbeitung und Kommunikation auf deren Basis verbietet, sei kurz vermerkt. Dieser Aspekt, das Verbot als Ausnahme gegenüber besonderen Gefährdungen zu sehen oder in einen Abwägungsrahmen zu stellen, wird völlig verdrängt, s. etwa Spindler, DB 2016, 937. Als Versuch zu Impulsen für eine Modernisierung des „Datenschutzes“ s. Schneider/Härting, in: Redeker/Hoppen, DGRI Jahrbuch 2011, S. 15 ff.; zu den Schranken der Informationsfreiheit mit Grundsätzen für einen „Informationellen Abwägungsvorbehalt“ s. Gallwas, in: Conrad/Grützmacher, § 26 (Rz. 25 ff., 73 ff.), und Gallwas, NJW 1992, 2785.
Schneider
17
A Rz. 27
Datenschutz und IT-Management
1.3 Recht auf informationelle Selbstbestimmung und Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 27
Das Recht auf informationelle Selbstbestimmung und das Datenschutzrecht (sowohl BDSG als auch DS-RL sowie nun DS-GVO)44 sind geprägt vom Verbotsprinzip. Daran ändert auch der risikobasierte Ansatz in der DS-GVO nichts.45 Während jedoch das Recht auf informationelle Selbstbestimmung unmittelbar nur für den öffentlichen Bereich gilt, ist das Datenschutzrecht im privaten Bereich unmittelbar anwendbar. Die Wirkung dieses Verbotsprinzips ist in der Praxis eine völlige Durchlöcherung des Schutzes durch „Ausnahmen“, also Regelungen zur Zulässigkeit.46
28
Das RaiSB besagt „Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“47
29
Das RaiSB stellte eine Verstärkung und zugleich Ergänzung, v.a. Flexibilisierung des formellen Datenschutzes dar. Der Datenschutz „rückte“ insoweit in Verfassungsrang. Auch wo das BDSG nicht galt, griff nun dieses Grundrecht. Durch die stärkere inhaltliche Ausgestaltung – ähnlich der „Privatsphäre“ – statt Phasen war es wesentlich anpassungsfähiger und zudem eine Auslegungshilfe.48
30
Die zentrale Maßgabe des „Volkszählungsurteils“ des BVerfG war, dass dem Einzelnen, und zwar unter den Bedingungen der modernen Datenverarbeitung, das Recht auf informationelle Selbstbestimmung erwächst, das ihn berechtigt, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen sowie zu wissen, wer was über ihn weiß. Das BVerfG sah keinen Anlass, im Einzelnen auf diese Bedingungen der modernen Datenverarbeitung näher einzugehen.49 Ohne die wissenschaftliche Diskussion zur Theorie des Informationseingriffs oder der informationellen Selbstbestimmung ausdrücklich zu erwähnen,50 entwickelte das BVerfG im Hinblick auf die Verarbeitung statistischer Daten das Institut der informationellen Selbstbestimmung.51 Dieses findet auch im privaten Bereich Anwendung bzw. wirkt in diesen hinein. Die Rechte des Einzelnen wurden aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG abgeleitet.52
31
Die Kernaussagen lauten: – Grds. sah das BVerfG den Einzelnen in der grundrechtlich geschützten Position, selbst über Preisgabe, Verwendung und Verbleib „seiner“ Daten zu bestimmen.
44 S. im Kontext der Diskussion zur DS-GVO z.B. Schneider/Härting, ZD 2012, 199. 45 Eine Harmonisierung sieht Veil, ZD 2016, 347; Renz/Frankenberger ZD 2015 158 zu Compliance; s.a. Rz. 1542 ff. 46 S. Schneider, AnwBl 2011, 233; s. i.V.m. Darstellung des risikobasierten Ansatzes Veil, ZD 2015, 347. 47 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., Ls. 1 und Rz. 149 – „Volkszählungsurteil“ (BVerfGE 65, 1). 48 Etwa wenn der BGH „im Lichte der Bedeutung des Rechts auf informationelle Selbstbestimmung“ § 203 StGB interpretiert, s. BGH v. 10.7.1991, CR 1992, 21 – Zahnarzthonorarabtretung. 49 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, NJW 1984, 419 = BVerfGE 65, 1. 50 Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, 1973; Schwan, VerwArch 66 (1975), 120; s.a. Schwan, in: Burhenne/Perband, EDV-Recht, Loseblatt. 51 Zur ungeschriebenen Ausgestaltung des Schutzguts des § 1 BDSG durch dieses Institut s. Simitis in: Simitis, BDSG, 8. Aufl., § 1 Rz. 25. 52 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a. BVerfGE 65, 1 = NJW 1984, 419.
18
Schneider
Datenschutz Grundlagen
Rz. 35
A
– Einschränkungen des Rechts auf informationelle Selbstbestimmung sind nur im überwiegenden Allgemeininteresse zulässig. Deshalb bedürfen solche Einschränkungen einer entsprechenden gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit genügen muss. – Es gibt kein für sich gesehen belangloses Datum, jedenfalls nicht unter den Bedingungen der automatischen Datenverarbeitung. Der Grund liegt in den Verarbeitungs- und Verknüpfungsmöglichkeiten moderner Informationstechnologien. Um feststellen zu können, welche persönlichkeitsrechtliche Bedeutung ein Datum hat, bedarf es der Kenntnis des Verwendungszusammenhangs.53 – Die Freiheit des Einzelnen, hinsichtlich der Verarbeitung seiner Daten zu entscheiden, bezieht sich also zunächst einmal auf die Preisgabe seiner Daten, dann aber auch auf deren Verwendung, die generell schon begrenzt ist durch den Verwendungszusammenhang bzw. den Zweck. Darüber hinaus soll und muss der Einzelne wissen, wer wann was über ihn weiß bzw. welche Daten über ihn verarbeitet werden.54 Die Konsequenz war, dass das Instrumentarium und schutzrelevante Phasen um die Erhe- 32 bung und die weitere Verwendung/Nutzung der personenbezogenen Daten zu erweitern ist. Weiter muss dem Umstand Rechnung getragen werden, dass die Verarbeitung personenbezogener Daten zu anderen Zwecken durch die ursprüngliche Zwecksetzung begrenzt wird. Die Hingabe von Daten ist also nicht eine endgültige in dem Sinne, dass der Anwender damit machen kann, was er will. Anknüpfungstatbestand für erneute Zulässigkeitsprüfungen ist auch die Zweckentfremdung. Das BVerfG hat seine E. v. 15.12.1983 später nicht etwa präzisiert oder gar abgeschwächt, sondern verallgemeinert und ausgebaut. Sodann hat der BGH in der Folge die Grundgedanken des Rechts auf informationelle Selbstbestimmung übernommen und in dessen Lichte seine Rspr. revidiert, sodass auch für den privaten Bereich die Wirkung des „Rechts auf informationelle Selbstbestimmung“ weitgehend geklärt ist. Dies gilt auch und vielleicht besonders stark für das Arbeitsrecht (zur BAG-Rspr. s. Rz. 267).
33
Als Zwischenergebnis kann festgehalten werden, das sich aus dem Recht auf informationel- 34 le Selbstbestimmung – negativ – ein Zweckentfremdungsverbot, – positiv – ein Zweckbindungsgebot auch und gerade außerhalb des BDSG ergibt.55 Weitere Entscheidungen des BVerfG bestätigen die Rezeption des Rechts auf informationelle Selbstbestimmung auch im privaten Bereich. Die (un-)mittelbare Drittwirkung des Rechts auf informationelle Selbstbestimmung steht fest, der Anwendungsbereich und die genaue Wirkung56 sind im Hinblick auf das „IT- Grundrecht“ im Einzelfall zu prüfen.57 So wird das Auslesen bzw. Online-Abzapfen von Speicherinhalten eher unter das Integritätsgrundrecht als das RaiSB fallen. Eine Ausdehnung und detailliertere Ausgestaltung erfolgte durch weitere Entscheidungen.58 Die Auslegung des Rechts auf informationelle Selbstbestimmung nicht nur gegenüber den 35 Gefahren bzw. Gefährdungspotentialen automatisierter Verarbeitung einerseits und auch 53 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419 (sinngemäß Ls. 1–4). 54 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419, 422. 55 BVerfG v. 15.5.1984, NJW 1984, 2271 – Flickausschuss; i.V.m. BVerfG v. 27.6.1991, NJW 1991, 2129 (2132) – Quellensteuer. 56 Völlig ablehnend aber z.B. Wente, NJW 1984, 1446; Müller/Wächter, Der Datenschutzbeauftragte, 1991, S. 5. 57 BVerfG v. 27.2.2008 – 1 BvR 370/07, CR 2008, 306; dazu und zu den Abgrenzungsschwierigkeiten s. Hauser, Das IT-Grundrecht, 2015. S.a. Rz. 36 ff. 58 Z.B. In Abgrenzung BVerfG v. 27.2.2008 – und dazu Hoffmann-Riem, JZ 2008, 1009 (1019) zu Datenerhebungen einerseits und Infiltration andererseits; BVerfG v. 24.1.2012 – 1 BvR 1299/05, Ls. 1: „In der Zuordnung von Telekommunikationsnummern zu ihren Anschlussinhabern liegt ein Eingriff in das Recht auf informationelle Selbstbestimmung. Demgegenüber liegt in der Zuordnung von dynamischen IP-Adressen ein Eingriff in Art. 10 I GG.“
Schneider
19
A Rz. 36
Datenschutz und IT-Management
weit hinein in den privaten Bereich andererseits ist bekannt. Die ersten Stufen dazu waren Entscheidungen zur Bekanntmachung der Entmündigung,59 zu einer abgelehnten Pflicht eines Mieters, seine Entmündigung offenzulegen,60 und zur Anwendbarkeit des Rechts auch auf das Schuldnerverzeichnis und die Konkursordnung.61 Für die Drittwirkung besonders bekannt war die E. des BAG zu Personalfragebögen und deren Vernichtung.62 36
Das BVerfG hat die E. zur Verfassungswidrigkeit der Regelung des VSG NW zum heimlichen Beobachten und sonstigen Aufklären des Internets sowie zum heimlichen Zugriff auf informationstechnische Systeme genutzt, um ein „neues“ Grundrecht zu schaffen, das die informationelle Selbstbestimmung auf den eigenen Computer und dessen Integrität überträgt63: „Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.“.64 Es handelt sich um eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts.65 In der „privaten Datensphäre“ darf nicht verändert und nur unter sehr strengen Anforderungen und Auflagen „abgehört“ werden (heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können).66
37
Es ist zwar nicht ganz klar, welche Gefährdungen das BVerfG nicht durch das Recht auf informationelle Selbstbestimmung in den Griff bekommen hätte.67 Jedenfalls stellt das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme auf die modernen Techniken ab und sichert der „privaten Datensphäre“ Schutz vom Range der Unversehrtheit der Wohnung. Die Konsequenzen für den Bereich außerhalb des öffentlichen Sicherheitsrechts sind noch nicht abzusehen. Aufgrund einiger Äußerungen des Gerichts darf aber angenommen werden, dass etwa folgende Wirkungen intendiert, also bewusst und gewollt sind:
38
Die Abgrenzung zwischen Online-Durchsuchung und sog. Quellen-TKÜ führt zu unterschiedlichen Schutzinstituten: VoIP z.B. ist gegenüber dieser Quellen-TKÜ durch Art. 10 GG geschützt, sodass sich die Zulässigkeit nach § 100 a StPO beurteilt.68 Erstreckt sich die Ermittlung nicht nur bzw. nicht mehr auf Daten der laufenden Kommunikation, würde eine Online-Durchsuchung vorliegen und mithin sich die Zulässigkeit nach dem „neuen“ Grundrecht beurteilen.69
39
Es hätte nahegelegen, von der Ausprägung des Instituts beim BVerfG, „Recht auf informationelle Selbstbestimmung“ auch eine Eigentumsposition des Betroffenen anzunehmen.70 Das Gericht selbst bereits hatte aber dem vorgebaut, s.a. Rz. 31. In der Zeit danach hat sich immer wieder die Frage gestellt, inwieweit nicht den Betroffenen eine Eigentums-ähnliche Position zustehen müsste, damit einerseits seinem Selbstbestimmungsrecht Rechnung getragen wird, andererseits der Tatsache, die immer deutlicher wurde, dass die Daten eine Art 59 60 61 62 63 64 65 66 67 68 69 70
20
BVerfG v. 9.3.1988 – 1 BvL 49/86, CR 1989, 51. BVerfG v. 11.6.1991 – 1 BvR 239/90, CR 1992, 268. BVerfG v. 25.7.1988 – 1 BvR 109/85, CR 1989, 528. BAG v. 6.6.1984 – 5 AZR 286/81, Rz. 30; zur Entscheidung und deren Wirkung nach 10 Jahren s. a. Aulehner, CR 1993, 446. BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 m. Anm. Bär, 325 = CR 2008, 306; dazu umfassend Hauser, Das IT-Grundrecht. Schnittfelder und Auswirkungen, 2015. BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 Ls. 1. BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 Rz. 166. BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 Ls. 2 Satz 1. BVerfG v. 27.2.2008 – 1 BvR 370/07, NJW 2008, 822 = MMR 2008, 315 Rz. 168; s. zur stärkeren Heranziehung Hauser, Das IT-Grundrecht, 2015, S. 290 ff. Bär, MMR 2008, 325, 326 zu BVerfG v. 27.2.2008 – 1 BvR 370/07; CR 2008, 306 = MMR 2008, 315. Bär, MMR 2008, 325, 326 zu BVerfG v. 27.2.2008 – 1 BvR 370/07; CR 2008, 306 = MMR 2008, 315. S. z.B. Hoeren, MMR 2013, 486; s. aber Zech, CR 2015, 137 (142 ff.). Dorner, CR 2014, 617; Specht, CR 2016, 288.
Schneider
Datenschutz Grundlagen
Rz. 42
A
Zahlmittel wurden. Inzwischen gibt es zahlreiche Vorschläge bzw. eine umfangreichere Diskussion zu dieser Frage, die wohl längere Zeit als überwiegend ablehnend im Ergebnis bezeichnet werden kann. Möglicherweise ändert sich dies zwischenzeitlich. Dazu ist auch ein Beitrag gewesen, wonach die Daten ähnlich anderen Institutionen wie etwa dem Bericht am eigenen Bild ein Recht innewohnen könnte, anderen eine „Lizenz“ daran zu gewähren und insofern an der Verwertung zu partizipieren.71 Inzwischen wird die „Personal Data Economy“ von der Kommission gefördert,72 mit der Da- 40 ten ein Zahlungsmittel sind. Der Entwurf sieht ausdrücklich vor, dass Daten als Vergütung angesehen bzw. zulässig sind.73 Demnach erfolgt so etwas wie eine Verfügung des Einzelnen über „seine“ Daten im Sinne einer Lizenz o.Ä. Die Ökonomisierungs- und Ent-Territorialisierungstendenz zu Daten aufseiten der Kommission bei E-Commerce steht im unkoordiniert erscheinenden Widerspruch zu den Behauptungen um stärkeren Datenschutz. Evtl. erklären sich aber einige Abstriche bei der DS-GVO im Laufe der Diskussion als Hilfe für den E-Commerce. 1.4 EU-Datenschutzrichtlinie, Charta – Regelungs-Objekt Daten 1.4.1 „Privatheit“ oder Daten Privatsphäre vs. Personenbezogene Daten und materielles Schutzgut vs. Verfahrensordnung 41 ist eine Kurzformel für die Charakterisierung der Gegensätzlichkeit von zwei Konzepten. Das eine ist die deutsche und europäische formale Fixierung auf Daten mit Verfahrensregelung, auch in Art. 8 GRCh angelegt, das andere ein substanzieller Ansatz, der dem Bürgerempfinden und der Rspr. zu „Persönlichkeit“ entspricht und den insofern Art. 7 GRCh evtl. viel besser abdeckt. Dass der formale Ansatz gescheitert ist, zeigt sich allein daran, dass ohne Skandal und ohne Eingriffsmöglichkeit74 allein in Deutschland mehr als 20 Millionen auf Facebook registriert sind, noch mehr Google und Apple nutzen und jeweils die Betroffenen kein Interesse äußern, die Verwendung ihrer Daten einzuschränken, allenfalls gegenüber der Nutzung durch NSA. Weltweit überwiegt die Orientierung an materiell-rechtlicher, substantieller Kategorie, etwa 42 angefangen bei der Resolution 68/167 der UN,75 die das „Recht auf Privatheit“ bekräftigt, bis zu Privacy in US-amerikanischen Regelungen,76 etwa Privacy Act of 1974, Entwurf U.S. Consumer Privacy Bill of Rights77 und nun „Privacy Shield“ (EU/USA) oder Australien.78 Die Charta der Grundrechte der Europäischen Union scheint die Datenbezogenheit, die auch schon die DS-RL 1995 ähnlich dem BDSG aufwies, in Art. 8 GRCh festgeschrieben zu haben. Jedoch hat der EuGH sich stärker auf Art. 7 GRCh bezogen.
71 S.Kilian, Strukturwandel der Privatheit, in: Coy/Garstka (Hrsg.), Wilhelm Steinmüller zum Gedächtnis, 2015, 195. 72 Reiners, ZD 2015, 51. 73 Druschel/Lehmann, CR 2016, 244. Zum Entwurf einer Richtlinie über Verträge zur Bereitstellung digitaler Inhalte Spindler, MMR 2016, 147 (149f.): Zum Novum kostenloser digitaler Inhalte mit der Gegenleistung „Daten“ – allerdings auch schon im CESL enthalten, mit Verweis auf Druschel, Die Behandlung digitaler Inhalte im Gemeinsamen Europäischen Kaufrecht, 2014, S. 48 ff. 74 S. nur OVG Schleswig v. 22.4.2013 – 4 MB 11/13, NJW 2013, 1977. 75 18.12.2013 A/RES/68/167. 76 S. zum Vergleich US/EU September 2015.: A comparison between US and EU data protection legislation for law enforcement purposes (Boehm u.a.) http://www.europarl.europa.eu/RegData/etudes/ STUD/2015/536459/IPOL_STU(2015)536459_EN.pdf) besucht zuletzt 29.4.2016; zu impacts on freedom and privacy im Laufe der technologischen Entwicklung s. Clarke, DuD 2016, 79. 77 Kaal/Klosek/Waleski, CRi 2012, 65 ff. 78 Privacy Act 1988; s. Helth, Persönlichkeitsschutz in Australien – Entwicklung eines eigenständigen Right of Privacy? GRUR Int. 2006, 99.
Schneider
21
A Rz. 43
Datenschutz und IT-Management
43
Aufgrund des Vertrags von Nizza wurde die Charta der Grundrechte der europäischen Union verabschiedet.79 Als deren Art. 8 wurde aufgenommen der Schutz der personenbezogenen Daten mit Verbot und Erlaubnisvorbehalt.80 Damit genießt dieser einen hohen Rang auch in der EU-Rechtsordnung (Geltung vorausgesetzt, die derzeit nicht besteht).81 Daneben gibt es ein evtl. besonders wichtiges weiteres Institut mit Art. 7 „Achtung des Privat- und Familienlebens“, zu dem auch gehört, dass jede Person das Recht auf Achtung ihrer Wohnung sowie ihrer Kommunikation hat. Der EuGH bezieht sich öfters sowohl auf Art. 8 als auch auf Art. 7 GRCh. Dabei hat es den Anschein, als ob Art. 7 GRCh auch dann „stärker“ sei, wenn es um den Schutz des Einzelnen in einem Bereich geht, den auch Art. 8 GRCh abdeckt, s. a. Rz. 62, 637.
44
Die Richtlinie 95/46/EG (v. 24.10.1995) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DS-RL) war in ihren verschiedenen Stationen der Entwürfe intensiv diskutiert worden.82 Die Fokussierung auf Daten wurde aber nicht in Frage gestellt. Allerdings wurde zumindest gegenüber dem absoluten Verbot ein Gegengewicht genannt (wenn auch nicht realisiert), nämlich der freie Datenverkehr. Diesen Aspekt hat, ebenfalls ohne Konsequenzen in der Gestaltung, auch die DS-GVO übernommen.
45
Konsequenterweise gehörte zu einem europäischen Binnenmarkt auch ein einheitlicher Datenschutz innerhalb der EU.83 Die Kommission hatte in einer Empfehlung v. 29.7.1981 (schon) darauf hingewiesen,84 dass der Schutz personenbezogener Daten den Charakter eines Grundrechts hat und dass deshalb eine Annäherung auf diesem Gebiet für alle Mitgliedstaaten anzustreben sei. Deshalb war den Mitgliedstaaten außerdem empfohlen worden, vor Ablauf des Jahres 1982 das Übereinkommen des Europarates v. 28.1.1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten zu ratifizieren.
46
Zu den Zielen der DS-RL gehörte (ähnlich wie bei der DS-GVO, s. Rz. 496) die Vereinheitlichung bzw. Harmonisierung der Regelungen in den Mitgliedstaaten, die bereits Datenschutzregeln aufgestellt haben.85 Die Regelungen in den einzelnen Mitgliedstaaten, soweit diese über solche verfügten, waren zum Teil sehr unterschiedlich. Einige Mitgliedstaaten
79 ABl. EG v. 18.12.2000, C 364/1 i.V.m. dem Vertrag von Nizza vom 26.2.2001. 80 Zur Notwendigkeit der Balance mit anderen Grundfreiheiten angesichts des Digital Markets s. z.B. Kerber: GRUR Int. 2016, 639 (645 f); s.a. im Kontext Daten-Bevorratung EuGH v. 8.4.2014 – C-293/12, C-594/12 – Digital Rights Ireland (dazu auch Rz. 513 ff.), und in Kombination mit Art. 7 GRCh EuGH v. 6.10.2015 – C-362/14 (Schrems/Digital Rights Ireland) und näher zu Safe Harbor Rz. 413 ff. 81 S. Satorius II, Nr. 146 Rz. 2 und Art. 6 Abs. 2 EUV. 82 S. z.B. Pearson, CL & P 1991, 182; Riegel, CR 1991, 179; Riegel, ZRP 1990, 132; Wurst, JuS 1991, 448; Wind/Siegert, RDV 1992, 118; Wind/Siegert, CR 1993, 46 (überarbeiteter Entwurf); Körner/Dammann, RDV 1993, 14; Jacob, RDV 1993, 11; Kopp, RDV 1993, 1; Kopp, RDV 1993, 223; Kopp, CR 1993, 31; Jacob, DuD 1994, 480; Bachmeier, RDV 1995, 49; Weber, CR 1995, 297; Kopp, DuD 1995, 204; Schmidt am Busch, DuD 1995, 197; Berkvens, CL & P 1995, 38. 83 Zum Datenschutz im europäischen Binnenmarkt s. Ellger, RDV 1991, 750 (I), 121 (II) m.w.N.; s.a. Geiger, RDV 1989, 203; Gundermann, K&R 2000, 225; Krader, RDV 2000, 251; zur Drittländerregelung Wuermeling, Handelshemmnis Datenschutz 2000. S. schon Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28.1.1981, BGBl. 1985 II, S. 539. 84 81/679/EWG: Empfehlung der Kommission vom 29.7.1981 betreffend ein Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, ABl. L 246 vom 29.8.1981, S. 31. Erw.grd. 16 der Datenschutzrichtlinie betont das Ziel bzw. die Notwendigkeit, ein hohes Schutzniveau in allen Mitgliedsstaaten zu erreichen. 85 S. Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr. Eine rechtsvergleichende und kollisionsrechtliche Untersuchung, 1990; s.a. Ellger, Datenschutz und europäischer Binnenmarkt, RDV 1991, 57 ff. (I), 121 ff. (II); Ellger, RDV 1991, 58; Riegel, ZRP 1990, 134.
22
Schneider
Datenschutz Grundlagen
Rz. 50
A
hatten überhaupt keine gesetzlichen Regelungen des Datenschutzes geschaffen, als die Vorschläge der EG vorgebracht wurden.86 Die DS-RL hat gem. Art. 1 Abs. 1 allg. den Schutz der Grundrechte und Grundfreiheiten zum 47 Gegenstand, „insbesondere den Schutz der Privatsphäre“. Vom Wortlaut her ist diese Schutzposition nicht vergleichbar mit dem Recht auf informationelle Selbstbestimmung und nicht mit der des allgemeinen Persönlichkeitsrechts, wenn Gegenstand der Schutz der personenbezogenen Daten ist. Allerdings deckt sich dies weitgehend mit dem BDSG, dessen Mittel-/ Zweckrelation in § 1 BDSG ebenfalls den Umgang mit personenbezogenen Daten als den eigentlichen Gegenstand herausstellt, mittels dessen allerdings das Persönlichkeitsrecht vor Beeinträchtigungen geschützt werden soll. Eine mögliche Wirkung dieser Divergenz zeigt sich bei den Haftungsregelungen. Z.B. ist es nach § 7 BDSG nicht erforderlich, dass der Einzelne in seinem Persönlichkeitsrecht verletzt wird. Andererseits wird er im nicht-öffentlichen Recht nur dann, und zwar in einem schweren Fall, Ersatz des immateriellen Schadens verlangen können (s. Rz. 662 ff.). Für das BDSG galt schon, dass es eher möglich schien, den Umgang mit personenbezogenen Daten zu regeln und das Problem fehlender materieller Substanz zu lösen, als das Problem der Relativität der Privatsphäre.87 Tatsächlich hat sich aber dieses Problem über die zahlreichen Maßgaben, bei der Sensibilität der Daten zu differenzieren, zusätzlich eingeschlichen.88 Entsprechend wenig praktikabel sind die entsprechenden gesetzlichen Regelungen und kompliziert deren Handhabung. Um für den Einzelnen eine wirksame materiell-rechtliche Position aufzubauen, taugen dagegen die Vorschriften eher weniger, was die Wirkung des Rechts auf informationelle Selbstbestimmung und insb. des allgemeinen Persönlichkeitsrechts umso wichtiger erscheinen lässt. Diese Mehrspurigkeit ist allerdings dem Ansehen des Datenschutzes nicht unbedingt zuträglich. Der EuGH hat bei grundlegenden Entscheidungen betreffend die „Privatsphäre“ zumindest „optisch“ Art. 7 GRCh vor Art. 8 gestellt.89 Dies wird deshalb wichtig, weil die GRCh in Art. 8 ebenso wie die DS-GVO und anders als die DS-RL die „Privatsphäre“ nicht mehr als Schutzgegenstand erwähnt.
48
Die Schutzgut-Umschreibung in Art. 1 DS-RL nennt als Gegenstand der Richtlinie: „1. Die 49 Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Rechte und Freiheiten und insb. den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (Art. 1 Abs. 1). Es ist zwar nicht speziell die Privatsphäre, die geschützt wird, sondern es ist allg. der Schutz der Rechte und Freiheiten zu gewährleisten und dabei insb. der Privatsphäre („right to privacy“). Insofern erscheint die DS-RL mit ihrem Schutzgut fast näher an die grundrechtliche Ausprägung des Rechts auf informationelle Selbstbestimmung gerückt als das BDSG.90 Zur harmonisierenden Ausgestaltung durch den EuGH s. Rz. 58. Das Regelungskonzept der DS-RL baut auf Grundsätze in Art. 6 und 7 auf, deren Kap. II. überschrieben ist „Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“. Diese sind zwar klar, aber allg. gehalten, was für eine RL in Ordnung erscheint. Besonders zu erwähnen ist die ausdrückliche Maßgabe, dass die Daten „nach Treu 86 Österreich hatte seit Langem ein Datenschutzgesetz, ebenso z.B. Schweden, England und Frankreich. Belgien hatte ein G. v. 8.12.1992, Inkrafttreten: 1.2.1993; s. z.B. RDV 1994, 266; zu Spanien s. zum G. v. 29.10.1992 Lozano Muñoz, RDV 1994, 221; zur Schweiz s. Schweizer/Burkert, DuD 1994, 422; zum italienischen Datenschutzgesetz s. Losano, CR 1997, 308. 87 Schneider/Härting, in: Redeker/Hoppen, DGRI Jahrbuch 2011, Impulse für eine Modernisierung des „Datenschutzes“, S. 15 ff. 88 Wobei übersehen wird, dass es beim Datenschutz eigentlich nicht um den Schutz der Daten, sondern vor Daten geht, s. Schneider/Härting, ZD 2011, 63. 89 EuGH v. 13.5.2014 – C-131/12 – Google Spain, Rz. 69 ff. 90 Das BDSG 1990 griff auf das Persönlichkeitsrecht zurück. S.a. Körner-Dammann, RDV 1993, 14 (19); Kopp, DuD 1993, 11 (12).
Schneider
23
50
A Rz. 51
Datenschutz und IT-Management
und Glauben und auf rechtmäßige Weise“ verarbeitet werden.91 Diese Regeln wurden aber in der gleichen Abfolge und Abstraktheit nun Art. 5 und 6 der unmittelbar geltenden DS-GVO, s. Rz. 532. Art. 6 DS-RL stellt Qualitätsgrundsätze auf, Art. 7 DS-RL Verarbeitungsgrundsätze (die das Verbot mit Ausnahmen, darunter die Einwilligung, enthalten). Säulen der Qualität sind u.a. die Zweckbindung (Art. 6 Abs. 1 lit. c DS-GVO), die Notwendigkeit richtiger und aktueller Daten (lit. d) und die Erforderlichkeit als Prinzip (lit. e). 51
Eine der wesentlichen Möglichkeiten der Zulässigkeit ist die Einwilligung (Art. 7 lit. a DSRL). Definiert war diese in Art. 2 lit. g DS-RL des geänderten Vorschlages noch dahingehend, dass es sich um jede ausdrückliche Willensbekundung handelt, „mit der die betroffene Person akzeptiert, dass sie betreffende personenbezogene Daten verarbeitet werden, sofern sie über Informationen über die Zweckbestimmung der Verarbeitung, die betreffenden Daten oder Datenkategorien, die Empfänger der personenbezogenen Daten sowie Namen und Anschrift des Verantwortlichen der Verarbeitung und ggf. seines Vertreters verfügt“ (Art. 2 lit. g geänderter Vorschlag, 16.10.1992).
52
Eine Einwilligung ist gem. DS-RL „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden“ (Art. 2 lit. h DS-RL). Die Anforderungen an eine wirksame Einwilligung sind auf den Einzelfall bezogen. Schriftlichkeit ist nicht gefordert (anders als in § 4a Abs. 1 Satz 3 BDSG).
53
Etwa entsprechend dem Regel-/Ausnahmeverhältnis zwischen Verbot/Zulässigkeitstatbeständen regelt Abschnitt II die Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten (Art. 7 DS-RL), und zwar einheitlich für den öffentlichen und den privaten Bereich.92 Die Einteilung in schutzrelevante Phasen, die allerdings beim BDSG eine immer geringere Rolle durch die zahlreichen Novellierungen mit Erweiterungen spielt, entfällt bei der DS-RL praktisch.
54
Verarbeiten ist umfassend in Art. 2 lit. b DS-RL definiert. Danach erstreckt sich das Verarbeiten auf „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zshg. mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten“. Es handelt sich um eine nur beispielhafte Aufzählung, sodass andere, neue Verarbeitungsformen zwanglos darunter eingeordnet werden könnten. Nach BDSG sind Erheben und Nutzen gesonderte Phasen (§ 3 Abs. 3, 4 und 5 BDSG).
55
Art. 8 DS-RL regelt verbindliche Restriktionen für besondere Datenkategorien. Die Mitgliedstaaten haben die Verarbeitung von Daten zu untersagen, die den besonderen Kategorien personenbezogener Daten unterliegen. Daraus ließe sich evtl. das Argument ableiten, dass nur für diese Kategorien das Verbotsprinzip gelte. Richtig wird man aber die Passage so verstehen müssen, dass die Richtlinie ein ausgewogenes Verhältnis eines generellen Verbots der Verarbeitung personenbezogener Daten im Anwendungsbereich zu den dazugehörigen Zulässigkeitsvoraussetzungen regelt. Danach dürften Zulässigkeitsregeln nicht geschaffen werden für die folgenden Datenkategorien: – rassische und ethnische Herkunft, – politische Meinungen, – religiöse und philosophische Überzeugungen, 91 Im Kontext der Frage der Marktrelevanz fand das OLG Köln v. 11.3.2016 – 6 U 121/15 u.a. darin einen wichtigen Hinweis (mit Verweis auf LG Berlin), s. Rz. 86. 92 Zum Vergleich mit BDSG 1990 s.a. Kopp, DuD 1993, 11 (13).
24
Schneider
Datenschutz Grundlagen
Rz. 58
A
– Gewerkschaftszugehörigkeit, – Gesundheit und – Sexualleben (bei DS-GVO etwas erweitert, s. Art. 9, Rz. 516, 558). Tatsächlich gilt auch dieses Verbot nicht generell. Nach Art. 8 Abs. 2 DS-RL können Ausnahmen vorgesehen werden, und zwar,
56
– dass der Betroffene einwilligt (es sei denn, dass nach den Rechtsvorschriften des Mitgliedstaates das Verbot des Abs. 1 durch die Einwilligung der betroffenen Personen nicht aufgehoben werden kann), oder – dass die Verarbeitung erforderlich ist, um den Rechten und Pflichten des Verantwortlichen der Verarbeitung auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist (Art. 8 Abs. 2 lit. b DS-RL), oder – dass die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich ist, „sofern die Person aus physischen oder rechtlichen Gründen außer Stande ist, ihre Einwilligung zu geben“ (Art. 8 Abs. 2 lit. c DS-RL), oder – dass die Verarbeitung auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer berechtigten Tätigkeiten und unter der Voraussetzung erfolgt, „dass sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden“ (Art. 8 Abs. 2 lit. d DS-RL), oder dass die Verarbeitung sich auf Daten bezieht, „die die betroffene Person offenkundig öffentlich gemacht hat“ oder zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich ist. Art. 8 Abs. 3 DS-RL regelt weitere Ausnahmen von Abs. 1, dem generellem Verbot der oben 57 genannten Datenkategorien, im Bereich der Gesundheitsvorsorge, der medizinischen Diagnostik u.ä. Bereiche. Art. 8 Abs. 4 DS-RL erlaubt, noch weitere Ausnahmen vorzusehen. Besonders geregelt werden zudem die Datenkategorien der Straftaten, strafrechtlicher Verurteilung oder Sicherungsmaßregeln in Art. 8 Abs. 5 DS-RL, wozu wieder Ausnahmen i.V.m. besonderen Garantien Voraussetzung für die Verarbeitung sind. 1.4.2 Rspr. des EuGH – Leitlinien für die Interpretation der DS-GVO? Die vorstehenden und die folgenden Ausführungen sind vor dem Hintergrund zu sehen, dass 58 die DS-GVO die Regeln der DS-RL weitgehend aufgreift, die bereits durch den EuGH einer Vollharmonisierung dank extensiver Auslegung der DS-RL zugeführt worden waren.93 Deshalb war die DS-GVO, die keine Einheitlichkeit bewirkt, ohnehin nicht erforderlich. Der EuGH sagt es sehr deutlich94: „Die mit der Richtlinie 95/46 … angestrebte Harmonisierung der nationalen Rechtsvorschriften ist nicht auf eine Mindestharmonisierung beschränkt, sondern führt zu einer grds. umfassenden Harmonisierung. Im Hinblick darauf will diese Richtlinie den freien Verkehr personenbezogener Daten sicherstellen, wobei sie zugleich ein hohes Niveau des Schutzes der Rechte und Interessen der von diesen Daten betroffenen Personen gewährleistet. Daher ergibt sich aus diesem Ziel, dass Art. 7 dieser Richtlinie eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personen93 EuGH v. 24.11.2011 – C-468/10, 469/10, CR 2012, 29 – ASNEF u. FECEMD vs. Administración del Estado. 94 EuGH v. 24.11.2011 – C-468/10, 469/10, CR 2012, 29.
Schneider
25
A Rz. 59
Datenschutz und IT-Management
bezogener Daten als rechtmäßig angesehen werden kann. Folglich dürfen die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 dieser Richtlinie einführen, noch zusätzliche Bedingungen stellen, die die Tragweite eines der in diesem Artikel vorgesehenen Grundsätze verändern würden.“ Art. 7 wurde weitgehend als Art. 6 in die DS-GVO übernommen, s. Rz. 532. 59
Der EuGH hat in weiteren Entscheidungen den Anwendungsbereich ausgedehnt, den Schutzbereich präzisiert und mit der GRCh sowie der EMRK bzw. der Rspr. des EGMR harmonisiert, etwa bei Abwägung im Bereich der Wirtschaftsdaten gegenüber der Gewichtung des Datenschutzes im Verhältnis zum Recht auf Zugang zu Unionsdokumenten.95 Hornung betont in seiner Anmerkung unter Ziff. 2: „Unter dem Gesichtspunkt eines einheitlichen europaweiten Grundrechtsschutzes ist es sehr zu begrüßen, dass das Gericht in Rdnr. 44 ff. den Schutzbereich und die Schranken von Art. 7 und Art. 8 GRC ausführlich und unter Bezugnahme auf Art. 8 EMRK und die Rechtsprechung des EGMR (etwa zur Reichweite des Schutzes bei Daten über berufliche Tätigkeiten, Rdnr. 59) entwickelt. Die Gleichrangigkeit der Grundrechtecharta mit dem europäischen Primärrecht (Art. 6 Abs. 1 EUV) und die Bindung des EuGH an die Auslegung, die der EGMR entsprechenden Grundrechten der EMRK beimisst (Art. 52 Abs. 3 GRC), zeigen offenbar Wirkung.“
60
Zentral für die Interpretation des Begriffs des „Privatlebens“ als das eigentliche Schutzgut ist die E. des EuGH zum sog. Recht auf Vergessen (Google Spain).96 Ebenso wichtig war die weite Interpretation des Anwendungsbereichs über die Interpretation des Begriffs der Niederlassung: „Die Wendung ‚im Rahmen der Tätigkeiten einer Niederlassung‘ kann im Hinblick auf das Ziel der RL 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden …“97
61
Ein Effekt dieser Rspr. ist die Überprüfung der Auswirkungen auf Archive und deren Zulässigkeit und in der Folge generell auf Meinungsäußerungsfreiheit.98 Zum (möglichen) Widerspruch von Archiven und Vergessen hebt von Lewinski99 zum Stichwort „Staat als Zensurhelfer“ die konzeptionelle Beschränktheit und Eindimensionalität des datenschutzrechtlichen Ansatzes für medienrechtliche Sachverhalte und Konstellationen hervor. Das wird besonders wichtig für die Beurteilung der DS-GVO, die dieses Problem noch verschärft, s. Rz. 533 ff., 588. Folgt man von Lewinski, führt die Umsetzung von EuGH zu Google Spain100 mit dem Recht auf Vergessen zur Notwendigkeit staatlichen Einwirkens auf die Suchmaschinenergebnisse, womit das grundrechtliche Zensurverbot in den Mittelpunkt gerückt werde.101 Die Problematik zeigt sich auch bei der Frage der Haftung für Informationen Dritter auf der InternetPlattform.102
95 EuGH v. 9.11.2010 – verb. Rs. C-92/09 und C-93/09, MMR 2011, 122 m. Anm. Hornung (127) – Keine Veröffentlichung von Empfängern von EU-Agrarsubventionen im Internet, zu RL 95/46/EG Art. 18 Abs. 2 und Art. 20. 96 EuGH v. 13.5.2014 – C-131/12. 97 EuGH v. 1.10.2015 – C-230/14, NJW 2015, 3636, Rz. 25 – Weltimmo; zu EuGH v. 13.5.2014 – C-131/12, CR 2014, 460 – Google Spain SL u. Google Inc., s.a. Rz. 581. 98 Zum Verhältnis Datenschutz/Pressefreiheit schon EuGH v. 16.12.2008 – C-73/07, CR 2009, 229 m. Anm. Härting, CR 2009, 232. 99 AfP 2015, 1. 100 EuGH v. 13.5.2014 – C-131/12, CR 2014, 460. 101 Von Lewinski, AfP 2015, 1. 102 S. vor Google Spain BGH v. 25.10.2011 – VI ZR 93/10, AfP 2011, 50 Blog-Eintrag (Fortführung BGH v. 17.8.2011 – I ZR 57/09) dazu auch Spindler, CR 2012, 176; Wimmers, AfP 2015, 202; und neuerdings BGH v. 1.3.2016 – VI ZR 34/15, GRUR-Prax 2016, 199 mit Anm. Klinger/Kuhlmann: Bewertungsportal-Betreiber müssen Beanstandungen eingehend prüfen; zu Online-Archiven Rz. 365 ff.
26
Schneider
Datenschutz Grundlagen
Rz. 64
A
Entscheidungen des EuGH zum Datenschutz betreffen nicht nur die DS-RL, sondern liefern 62 auch Interpretationen der Art. 7 und 8 GRCh und deren Verhältnis zueinander, so z.B. zur Vorratsdatenspeicherung, wonach die RL 2006/24/EG ungültig ist.103 Der EuGH behandelt dabei, wie auch an anderer Stelle,104 beide Art. weiträumig und in einem Atemzug (z.B. in Rz. 60) und differenziert insoweit nur wenig. Rz. 68 liest sich wie Vorgriff auf Google und Safe Harbor: „Zweitens schreibt die RL nicht vor, dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, sodass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Rdnr. angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich – C-614/10, Rdnr. 37).“105 1.4.3 EMRK Mit der E. des EGMR zur Haftung eines Newsportals für UserKommentare bei Verletzung von Kontrollpflichten wurde das Rangverhältnis Persönlichkeitsrecht/Meinungsäußerungsfreiheit sehr zugunsten des Verbots zugespitzt.106 Dies zeigt jedenfalls die Bedeutung, die zusätzlich zu Art. 7 und 6 GRCh mit Art. 8 EMRK der Achtung des Privatlebens zukommt.
63
1.5 EU-DS-GVO – Objekt Daten Die Einbindung der Privatsphäre oder des Privatlebens in die Regelung, konkret benannt als 64 Ziel oder Gegenstand, fehlt bei der DS-GVO, Rz. 492. Die Betonung bei der DS-RL dass „insbesondere“ der Schutz der Privatsphäre zu gewährleisten ist, hat keine Entsprechung mehr bei der DS-GVO, die noch stärker und isolierter die personenbezogenen Daten fokussiert. Die Referenz auf die Grundrechte und Grundfreiheiten in Art. 1 Abs. 2 DS-GVO ist unzureichend, weil die dazu passende konkrete Abwägungsmechanik weitgehend fehlt,107 die Datenschutz zu Meinungsäußerungs- und Informationsfreiheit u.a. Grundrechten in ein deren Rang entsprechendes Verhältnis setzt. Daran ändern auch Art. 17 und 85 und die Erwähnung in Erw.grd. (z.B. 4, 65, 153) mangels konkreter Regelungen108 nichts. Praktisch konzentriert sich die DS-GVO also auf eine Art Umsetzung des Art. 8 GRCh, die die übrigen Grundrechte allenfalls als zu berücksichtigen erwähnt, ohne zu regeln, wie das gehen soll. Dies werden die Mitgliedstaaten übernehmen müssen, s.a. Erw.grd. 153, was zu weiterer Uneinheitlichkeit führt. Denkbar wäre, dass die offenen Regelungen und Auslassungen trotz Art. 17, Recht auf Vergessen, ermöglichen, die bisherigen Institutionen, etwa die Rspr. zu Pressearchiven, aufrechtzuerhalten.109
103 EuGH v. 8.4.2014 – C-293/12 u. C-594/12, ZD 2014, 296 m. Anm. Petri – Digital Rights Ireland Ltd; zu Reichweite Roßnagel, MMR 2014, 372, und zu den Folgen s. Boehm/Cole, ZD 2014, 552. 104 EuGH v. 6.10.2015 – C-362/14 – Schrems, Rz. 39: „Die Bedeutung sowohl des durch Art. 7 der Charta gewährleisteten Grundrechts auf Achtung des Privatlebens als auch des durch ihren Art. 8 gewährleisteten Grundrechts auf Schutz personenbezogener Daten wird im Übrigen in der Rechtsprechung des Gerichtshofs hervorgehoben (vgl. Urteile Rijkeboer, C-553/07, EU:C:2009:293, Rn. 47, Digital Rights Ireland u. a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 53, sowie Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 53, 66 und 74 sowie die dort angeführte Rechtsprechung).“ 105 EuGH v. 8.4.2014 – C-293/12 u. C-594/12, Rz. 68 – Digital Rights Ireland Ltd. 106 Europäischer Gerichtshof für Menschenrechte v. 16.6.2015 – 64569/09 – DELFI AS/Estland II. 107 S. positiv zur reinen Umsetzung des Verbotsprinzips Spindler, DB 2016, 937. 108 Spindler, DB 2016, 937 (938 f.): „sehr allgemein gehalten“. 109 Spindler, DB 2016, 937 (939), etwa über Erw.grd. 153, dazu in Fn. 24 Hinweis auf BGH 9.2.2010 – VI ZR 243/08.
Schneider
27
A Rz. 65
Datenschutz und IT-Management
1.6 Spezial-Datenschutzregelungen, v.a. Telemedien und Telekommunikation 65
Im Laufe der Zeit sind in Deutschland zahlreiche Spezialregelungen zum Datenschutz entstanden, was Resultat des Verbotsprinzips, aber auch der Subsidiarität des BDSG ist.110 TMG und TKG enthalten z.B. jeweils bereichsspezifische Regelungen, wie etwa auch SGB. „Soweit“ keine spezielle Regelung erfolgt, ist wieder auf das BDSG zurückzugreifen, § 1 Abs. 3 BDSG, s. Rz. 130 f. Es ist unklar, wieviel von diesen Spezialregelungen in Folge der DS-GVO geändert oder aufgehoben werden (müssen).111
66
Die Spezialregelungen handhaben einige Aspekte bereichsspezifisch abweichend von Grundsätzen des Datenschutzes, etwa zur Einwilligung, mit Opt-out, § 13 Abs. 2 TMG, § 95 Abs. 2 Satz 2 TKG. Beide Normen sind im Bereich ihrer datenschutzrechtlichen Regelungen auf das Datenobjekt ausgerichtet und differenzieren die Daten und deren Handhabung nach Bestandsund Nutzungsdaten (TMG) oder Bestands- und Verkehrs- sowie Standortdaten.
67
Evtl. decken sich Spezialregelungen des TMG nicht mit der DS-RL: Beim EuGH anhängig ist die Frage, ob § 15 Abs. 1 TMG, wonach Diensteanbieter (z.B. Webseitenbetreiber oder App-Anbieter) personenbezogene Daten eines Nutzers nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums zu ermöglichen und abzurechnen, mit Art. 7 lit. f DS-RL vereinbar ist.112 1.7 Informationsfreiheitsgesetze
68
Einen Wechsel im Objekt bringen die Informationsfreiheitsgesetze des Bundes und der Länder. Die Forderung nach „Aktenöffentlichkeit“ wurde im Laufe der Zeit zu einer solchen nach „Informationsfreiheit“,113 wobei auffällt, dass der Begriff „Daten“ dabei nicht Verwendung fand. Im Wesentlichen geht es dabei um den Zugang auch zu solchen Vorgängen und Informationen, die den Bürger nicht selbst betreffen. Einerseits besteht eine Querverbindung zum Datenschutz, die auch Ausdruck in manchen Regelungen, v.a. der Bundesländer,114 gefunden hatte, andererseits besteht ein gewisser Gegensatz, wenn es um Auskünfte über die Daten Dritter geht.115 Das Informationsfreiheitsgesetz des Bundes, IFG,116 greift dieses Spannungsverhältnis auf.117
69
Seit dem 1.1.2006 ermöglicht das Gesetz innerhalb bestimmter Schranken den freien Zugang zu amtlichen Informationen (z.B. Akteneinsicht) der öffentlichen Stellen des Bundes und die Einsicht in deren Verwaltungsvorgänge. Hierzu gehören neben den Ministerien und den nachgeordneten Bundesbehörden unter anderem auch die Deutsche Rentenversicherung Bund, die bundesunmittelbaren Krankenkassen und Unfallversicherungsträger, die Bundesagentur für Arbeit und – seit 1.1.2011 – auch die gemeinsamen Einrichtungen nach § 50 Abs. 2 SGB II (Jobcenter). 110 S. zu § 1 Abs. 3 BDSG Gola/Schomerus, BDSG, 12. Aufl., § 1 Rz. 23 ff. 111 Zu TMG, dessen Datenschutzregeln nicht auf der EK-RL beruhen, also entfallen, s. etwa Keppeler: MMR 2015, 779; der TK-Datenschutz kann über Art. 95 DS-GVO weitgehend weiter Bestand haben, zumindest soweit er auf der EK-RL (RL 2002/58/EG v. 12.7.2002) beruht. S.a. Rz. 1019, 1268. 112 S. zum Schlussantrag, der das wohl verneint, Piltz, https://www.delegedata.de/2016/05/generalan walt-datenschutzvorschriften-des-deutschen-telemediengesetzes-verstossen-gegen-eu-recht/ (EuGH „Breyer“, C-582/14). 113 Zu hist. u. verfassungsr. Grundlagen eines öff. Informationszugangsrechts s. Weber, RDV 2005, 243. 114 Zum IFG Bund: Berger/Roth, IFG, 2013; zu IFG NRW s. Axler, CR 2002, 847; Zilkens, RDV 2002, 300 kritisch. 115 Zu den Konflikten zwischen Informationsfreiheit und Datenschutz s. Roßnagel, MMR 2007, 16. 116 V. 5.9.2005, BGBl. I, S. 2722. S. Kugelmann, NJW 2005, 3609; Sokol, CR 2005, 835 (als kleiner, zögerlicher erster Schritt). 117 Zum Spannungsfeld von Privatsphärenschutz, Sicherheit und Informationsfreiheit s. Schaar, RDV 2006, 1 (auch zur Autobahnmaut). Als Teil von E-Government s. Rz. 1643 ff.
28
Schneider
Datenschutz Grundlagen
Rz. 74
A
Während der Schutz des geistigen Eigentums und von Betriebs- und Geschäftsgeheimnissen 70 nach § 6 IFG absolut formuliert ist,118 also der Anspruch auf Informationszugang nicht besteht, soweit der Schutz geistigen Eigentums entgegensteht, hat beim Schutz personenbezogener Daten, § 5 IFG, eine genauere Prüfung i.S. einer Interessenabwägung stattzufinden. Danach darf der Zugang zu personenbezogenen Daten nur gewährt werden, „soweit das Informationsinteresse des Antragstellers das schutzwürdige Interesse des Dritten am Ausschluss des Informationszugangs überwiegt oder der Dritte eingewilligt hat“ (§ 5 Abs. 1 Satz 1 IFG). Für besondere Arten personenbezogener Daten darf eine Übermittlung nur erfolgen, wenn der Dritte ausdrücklich eingewilligt hat. Auch beim Schutz geistigen Eigentums (§ 6 IFG) erfolgt der Zugang zu den Betriebs- und Geschäftsgeheimnissen nur, soweit der Betroffene eingewilligt hat. Eine Abwägung der Interessen findet nicht statt. Besondere Aufmerksamkeit fand in den Anfängen die Kostenfrage. Nach § 10 IFG werden 71 für die Amtshandlungen nach dem IFG Gebühren und Auslagen erhoben. Dies gilt nur nicht für die Erteilung einfacher Auskünfte (§ 10 Abs. 1 IFG). Dazu gab es gemäß § 10 Abs. 3 IFG eine Rechtsverordnung, die relativ hohe Gebühren vorsah. Inzwischen hat sich die Kritik aber an den Gebührenfragen weitgehend erledigt. Besonders bekannt geworden war das Verlangen nach Einsicht in die Akten des Mautvertrages. Sowohl beim Bund, als auch in Bundesländern mit einem IFG, ist der Beauftragte für den 72 Datenschutz, so der BfDI, zugleich für die Informationsfreiheit zuständig. Dies impliziert, dass es grds. zwischen den beiden Anliegen keine Widersprüche und dadurch Interessenkonflikte geben dürfte, was nicht der Fall ist. Insofern erscheint diese Zusammenlegung widersprüchlicher Aufgaben nicht glücklich. Nach dem Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit aus April 2008 gab es im Jahr 2006 insgesamt 2278 Anträge, in 2007 (vorläufig) 1265 Anträge auf Akteneinsicht. 2015 erfolgten insgesamt laut BMI bei den Ressorts einschließlich Geschäftsbereichen sowie anderen Bundeseinrichtungen 9376 Anträge, 16927 Bescheide, davon wurde in 5033 Fällen der Zugang gewährt, in 8521 Fällen teilweise, in 1612 Fällen wurde der Zugang abgelehnt, 2062 wurden in sonstiger Weise erledigt.119
73
Andererseits haben 2015 insgesamt 227 Fälle vorgelegen, in denen der BfDI angerufen wor- 74 den ist. Davon betraf nur ein kleinerer Teil den Zuständigkeitsbereich des BfDI. Einer der wesentlichen Streitpunkte war, dass „sich die Behörden zu schnell auf das angebliche Vorliegen von Betriebs- und Geschäftsgeheimnissen beriefen, ohne die Angaben der betroffenen Unternehmen zu prüfen.“120 Nach dem Wortlaut § 6 IFG reicht es schlicht aus, dass der Schutz geistigen Eigentums entgegensteht. Allerdings: „3. Die informationspflichtige Behörde muss bei der Entscheidung über die Ausübung der ihr eingeräumten urheberrechtlichen Nutzungsrechte gegenläufigen gesetzlichen Zielvorstellungen und daraus folgenden rechtlichen Verpflichtungen Rechnung tragen; ein genereller Vorrang eines der Behörde zugewiesenen Urheberrechts folgt aus § 6 Satz 1 IFG nicht.“121 Speziell „Zugang zu Betriebs- und
118 S. Schnabel, CR 2016, 342; s. aber zu einer für die Informationsgewährung positiven Abwägung auf Basis des sächsischen UIG: VG Dresden v. 21.4.2016 – 3 K 1317/12: Landkreis muss Umweltinformationen herausgeben. 119 http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/Gesellschaft-Verfassung/Verwaltungs recht/IFG_Statistik_2015.pdf;jsessionid=5DD1C5F87838BDD59A14F08D90B10CFE.2_cid364?__blob= publicationFile (abgerufen am 23.8.2016). 120 Zitiert nach dem Pressebericht vom 8.4.2008, heise.de, 15:17, Nr. 106207. S.a. VG Wiesbaden v. 4.9.2015 – 6 K 687/15.WI, juris Ls. 5: „Nicht alle Angaben sind immer Geschäftsgeheimnisse. Dies können nur solche Angaben sein, die wenigstens im Ansatz kalkulatorisch, preisgestalterisch und damit in sich schutzwürdig sind.“ 121 BVerwG v. 25.6.2015 – 7 C 1/14, NJW 2015, 3258 – Informationszugang zu Unterlagen der Wiss. Dienste des BT.
Schneider
29
A Rz. 75
Datenschutz und IT-Management
Geschäftsgeheimnissen darf nur gewährt werden, soweit der Betroffene eingewilligt hat.“ (§ 6 Satz 2 IFG).122 75
Die Kosten eines Informationszugangs waren öfters Streitpunkt. Nach § 10 Abs. 1 gilt eine Gebührenpflicht für individuell zurechenbare öffentliche Leistungen, gem. Satz 2 nicht jedoch für die Erteilung einfacher Auskünfte. Nach Abs. 2 sind die Gebühren „auch unter Berücksichtigung des Verwaltungsaufwandes so zu bemessen, dass der Informationszugang nach § 1 wirksam in Anspruch genommen werden kann.“123
76
Das angedeutete Spannungsverhältnis zwischen Informationsfreiheit und Datenschutz ist nicht wirklich vom Gesetzgeber berücksichtigt worden. Dies zeigt sich am besten in der Zusammenlegung von Kompetenzen des Bundesbeauftragten für den Datenschutz mit der Funktion eines Bundesbeauftragten für die Informationsfreiheit. Die entsprechende Zusammenlegung entstand mit Inkrafttreten des IFG des Bundesamtes am 1.1.2006. Es muss sich hierbei nicht um eine echte Interessenkollision handeln, auch wenn diese in konkreten Fällen vorstellbar ist. Wie angedeutet muss darauf geachtet werden, dass die Interessenabwägung i.S.d. § 5 IFG nicht einseitig und nur zugunsten des Datenschutzes ausfallen könnte. Ob die Verfahren allerdings, die wohl relativ häufig vorkommen, dazu geeignet wären, dieses Verhältnis auszutarieren, darf bezweifelt werden. Dabei geht es nämlich häufig um die Einsicht in gerichtliche oder behördliche Telefon- bzw. Kommunikationsverzeichnisse, herkömmliche Telefonlisten.124 Im Ergebnis bleibt die Rspr. hierzu wohl besonders restriktiv. Dass das IFG des Bundes bzw. die Landes-IFG dem Auftrag und der Aufgabe gerecht werden, für Transparenz der Verwaltung zu sorgen, darf insoweit bezweifelt werden.125 2. Schutzgüter und Gefährdungspotentiale 2.1 Privatsphäre, Sphärenkonzept, private Lebensführung
77
Ansätze zu einem abgestuften Schutzkonzept bezogen auf Sphären der Persönlichkeit je nach zeitgeschichtlicher Bedeutung der Person bieten Entscheidungen des BGH über längere Zeit.126 Für die Gestaltung von Informationssystemen und deren Berechtigungskonzepte wäre eine solche Abstufung sehr hilfreich. Bislang fehlt es an der genügend klaren und generalisierbaren Abgrenzbarkeit. Durch die Fokussierung auf Daten und durch deren Nivellierung geht die Abstufbarkeit verloren. Den Rückbezug zu Privatsphäre127 oder Privatleben stellt erst wieder die Rspr. her.128
78
Eine zusätzliche Abstufung bzw. Abwägung bei der „absoluten Person der Zeitgeschichte“ führt zu zusätzlichen Prüfungsschritten in einem Bereich, der scheinbar diametral dem Verbotsprinzip des Datenschutzes entgegengesetzt ausgeprägt war: Auch die absolute Person 122 Zur Reichweite etwa BVerwG v. 27.11.2014 – 7 C 12/133, juris Ls. 3. § 3 Nr. 6 IFG schützt das öffentliche Interesse an der Wahrung der Betriebs- und Geschäftsgeheimnisse Dritter nicht weitergehend als § 6 Satz 2 IFG deren eigenes Geheimhaltungsinteresse. 123 S. z.B. VG Berlin v. 23.7.2015 – 2 K 175.13, juris, zu Gebührenrahmen und Ermessen. 124 Debus, NJS 2015, 981; Schmittmann, K&R 2015, 372 u. Schmittmann, K&R 2016, 322 (326). 125 S. a. im Ergebnis Schmittmann, K&R 2016, 322 (327). 126 V. 6.3.2007 – VI ZR 13/06, NJW 2007, 1981, und zu KunstUrhG BGH v. 19.6.2007 – VI ZR 12/06, GRUR 2007, 899 (zur „Abstufung“ mit Verweis auf BGH v. 3.7.2007 – VI ZR 164/06, NJW 2008, 749 – Olli Kahn; auf BGH v. 6.3.2007 – VI ZR 14/06 und VI ZR 51/06, weiteres Urteil zu Caroline von Monaco, Ehemann VI ZR 50/06): Zur Zulässigkeit von Bildveröffentlichungen in der Presse ohne Einwilligung des Abgebildeten (hier: die Lebensgefährtin von Herbert Grönemeyer). Zur Bildberichterstattung ohne Einwilligung Prominenter s. BGH v. 1.7.2008 – VI 243/06. Zur Namensnennung von Prominenten in der Werbung s. BGH v. 5.6.2008 – I ZR 96/07 zu Ernst August Prinz von Hannover; v. 5.6.2008 – I ZR 223/05 zu Dieter Bohlen; bis BGH v. 11.11.2014 – VI ZR 9/14; BGH v. 21.4.2015 – VI ZR 245/14 (Unzulässige Ablichtung Unbeteiligter … als „Beiwerk“). 127 Zum Konzept der Privatheit allg. im Kontext der Kommunikationsbeziehungen s. Becker/Seubert, DuD 2016, 73. 128 Zum Postulat des „Einbaus“ der Privatsphäre s. Härting/Schneider, CR 2015, 819.
30
Schneider
Datenschutz Grundlagen
Rz. 83
A
der Zeitgeschichte hat ein Recht auf Privatsphäre, „das nicht auf den häuslichen Bereich beschränkt ist. Vielmehr muss sie die Möglichkeit haben, sich an anderen, erkennbar abgeschiedenen Orten unbehelligt von Bildberichterstattung zu bewegen“.129 Diese Möglichkeit unbefangener Bewegung müsste erst recht jedem „normalen“ Menschen zustehen. Dies gilt auch für die Maßgabe: „Vielmehr wird der Einbruch in die persönliche Sphäre des Abgebildeten durch den Grundsatz der Verhältnismäßigkeit – unter Berücksichtigung der Umstände des Einzelfalls – begrenzt, sodass eine Berichterstattung keineswegs immer zulässig ist“.130 Der BGH hat dieses aus §§ 22, 23 KunstUrhG entwickelte „abgestufte“ Schutzkonzept unter ausdrücklicher Bezugnahme auf vorzitierte E.131 „fortgeführt“.132 Bei der Interpretation des BDSG können im Hinblick auf die materielle Position (SphärenZuordnung und Schadensersatz) und die Zwecksetzung (§ 1 Abs. 1 BDSG: Schutz vor Beeinträchtigungen des Persönlichkeitsrechts) die Ausgestaltungen des Persönlichkeitsrechts berücksichtigt werden, etwa bei der Beurteilung „schutzwürdiger Interessen“ (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG). Dies betrifft insb. die Regelungen, die eine Abwägung gebieten. In den Fällen, in denen das Datenschutzrecht etwa nicht oder nicht i.S.d. gewünschten Zwecks greift, wird das Recht auf informationelle Selbstbestimmung zur wichtigen Interpretationshilfe.
79
Sowohl das allgemeine Persönlichkeitsrecht als auch das Recht auf informationelle Selbst- 80 bestimmung knüpfen nicht an technische Sachverhalte an. Sie sind in ihrer Anwendung nicht auf Gefahren beschränkt, die sich aus der elektronischen Datenverarbeitung und der Verwertung nach Daten in Dateien ergeben. Dadurch haben das allgemeine Persönlichkeitsrecht und das Recht auf informationelle Selbstbestimmung gerade im nicht-öffentlichen Bereich eine selbständige Bedeutung. Grundprinzip sowohl des allgemeinen Persönlichkeitsrechts als auch des Rechts auf infor- 81 mationelle Selbstbestimmung ist das Sphärenkonzept.133 Als Kollektiv zu dem sehr weiten Anwendungsbereich ordnet das Sphärenkonzept Informationen über eine Person in drei konzentrisch angeordnete Schutzbereiche ein (Privatsphäre, Geheim- oder Intimsphäre). Über die Einbindung in das BDSG (Zielsetzung nach § 1 Abs. 1 BDSG) könnte das Persön- 82 lichkeitsrecht mit dem ihm eigenen Sphärenkonzept in die Datenschutzmethodik einwirken.134 Dem stehen generell, anders als im Einzelfall, die Relativität der Privatsphäre und die Einschätzung bei der informationellen Selbstbestimmung entgegen, dass es kein für sich gesehen belangloses Datum gibt.135 Umso interessanter sind die Abstufungen in den Schutzkonzepten, etwa des BGH (s. Rz. 15), aber auch in Ansätzen im BDSG selbst. Es ist an Entwicklungen wie Facebook, Instagram u.Ä. festzustellen, dass sich die Persön- 83 lichkeitsdarstellung des Einzelnen und die Handhabung der Sphären strukturell gewandelt und tendenziell v.a. bei Jüngeren nach außen gekehrt hat,136 was praktisch zu einer Art Umdrehung der Sphären-Folge führt. Als Folge wäre das Schutzkonzept des Persönlichkeitsrechts für die Abbildung in Datenbanken, Data Mining, Profil-Bildung und Warnsysteme „umzudrehen“, was der Anonymität zu einem besonderen Stellenwert auch in Nutzungs129 BGH v. 19.6.2007 – VI ZR 12/06, GRUR 2007, 899, Rz. 14, mit Verweis „BGHZ 131, 332 ff., bestätigt von BVerfG v. 15.12.1999 – Caroline von Monaco, BVerfGE 101, 361 ff.“ 130 BGH v. 19.6.2007 – VI ZR 12/06, GRUR 2007, 899, Rz. 17. 131 U.a. Urteile v. 6.3.2007 – VI ZR 13/06, VersR 2007, 697 (698 f.) und VI ZR 51/06, GRUR 2007, 527. 132 BGH v. 3.7.2007 – VI ZR 164/06, GRUR 2007, 902. 133 Hubmann, Das Persönlichkeitsrecht, 2. Aufl.; Wanckel, Persönlichkeitsschutz in der Informationsgesellschaft, 1999. 134 Simitis, in: Simitis (Hrsg.), BDSG, 8. Aufl., § 1 Rz. 65 ff.; Gola/Schomerus, BDSG, 12. Aufl., § 1 Rz. 6. 135 BVerfGE 65, 1. 136 Indem die intimen Daten nach außen gekehrt werden, wenn auch situativ verschieden, etwa in Blogs, Video-Clips, TV-Shows.
Schneider
31
A Rz. 84
Datenschutz und IT-Management
verhältnissen bei Telemediendiensten und TK verhilft, was aber meist nicht beachtet wird.137 2.2 Transparenz, Ausspähen 84
I.R.d. Regeln zum Umgang mit Daten spielt die Frage, wozu die Daten erlangt wurden, kaum eine Rolle. Es geht um die rechtmäßige Erlangung (Einwilligung, Gesetz), die Zweckbindung bei der weiteren Verwendung. Das eigentliche Gefährdungspotential ist aber die Transparenz der Person, ihrer Privat – und Intimsphäre sowie die Manipulation der Person bei ihren Entscheidungen, etwa Kauf (s.a. Rz. 88). Eine gewisse Grenze zieht das Verbot unverlangter belästigender Werbung, wobei auch das elektronische „Postfach“ zur Privatsphäre gehört.138
85
Weiter befassen sich BDSG, TMG und DS-RL im Ansatz mit speziellen Techniken, die (unbemerkte) Ausspähung betreffen. Z.B. regelt § 6b BDSG in Ansätzen Videoaufnahmen (Beobachtung mit optisch-elektronischen Einrichtungen) im öffentlichen Raum, regelt § 6c BDSG Mobile personenbezogene Speicher- und Verarbeitungsmedien. Konkret verbietet aber § 6c BDSG nicht den Einsatz, sondern erlegt demjenigen, der solche Systeme ausgibt oder einsetzt, Informationspflichten auf. Relevanz kann dies neuerdings etwa bei Einrichtungen für die „Vernetzung“ des Automobils und die Verfügungsrechte an fahrzeugbezogenen Daten erlangen.139 Das Datenpotential aus der Vernetzung bei Mess- und Kontrollgeräten für Fitness, Sport, Gesundheitskontrolle ist noch weitaus kritischer zu sehen, insb. wenn sich die Verfolgung bis in den Betrieb bzw. ins Büro weiter entwickelt.140 Auch beim Einsatz von Mobile Payment-Lösungen141 spielt die Regelung des § 6c bei den eingesetzten Devices eine Rolle.
86
Speziell mit Ausspähen hat auch Scoring zu tun. Damit befasst sich § 28b BDSG, aber ebenfalls nicht als Verbot, sondern hinsichtlich Zulässigkeit unter sehr weiten Voraussetzungen. Dazu gehört eine Unterrichtungspflicht nach § 28b Nr. 4 BDSG. Es geht also weniger um das Verbot, als um die Heimlichkeit des Ausspähens bzw. Bewertens, hier der Bonität. Dies veranlasst, die Bedeutung der Informationspflichten in den verschiedenen Datenschutzregeln auch als Schutz vor Heimlichkeit zu verstehen.142
87
Eine Methode des Ausspähens ergibt sich auch über Smart TV über den Rückkanal vom Zuschauer zum Fernsehsender, der eine Auswertung des individuellen Nutzungsverhaltens erlaubt, wozu der „Düsseldorfer Kreis“ der Datenschutzbehörden für den nicht-öffentlichen Bereich eine Klarstellung zur Datenschutz-Konformität bei Smart-TV-Diensten und -Geräten erarbeitet hat. Z.B. sind ein Problem die Tracking-Cookies, deren Löschung dem Nutzer bei Smart-TV-Geräten praktisch (noch) nicht möglich ist.143 Diese Orientierungshilfe144 137 S. aber zu Datenvermeidung und Datensparsamkeit Rz. 135 ff.; zu Anonymität oder Pseudonymisierung bei Telemediendiensten Rz. 647 ff. 138 BGH v. 15.12.2015 – VI ZR 134/15, s.a. Rz. 190. 139 S. Hornung, DuD 2015, 359; Hornung/Goeble, CR 2015, 265; zu ähnlichen Fragen im Gesundheitswesen Hornung/Sixt, CR 2015, 828. 140 Zu Wearables, Activity tracking u.Ä. auch im Betrieb Kopp/Sokol, NZA 2015, 1352. 141 S. etwa Brandenburg/Leuthner, ZD 2015, 111. 142 Zur Bedeutung der Informationspflichten bei § 13 TMG s. z.B.: OLG Köln v. 11.3.2016 – 6 U 121/15 mit Verweis auf DS-RL Erw.grd. 38: „Datenverarbeitung nach Treu und Glauben setzt voraus, daß die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden.“ 143 S. Schmidtmann/Schwiering, ZD 2014, 448 zu Datenschutz bei Smart-TV; zu AGB LG Frankfurt/M. v. 10.6.2016 – 2-03 O 364/15, ITRB 2016, 176, wobei es u.a. um den fehlenden Hinweis ging, dass bei Anschluss des Geräts an das Internet die Gefahr besteht, dass personenbezogene Daten des Verbrauchers erhoben und verwendet werden, s.a. Rz. 102. 144 Abrufbar z.B. bei https://www.delegedata.de/2015/11/deutsche-datenschutzbehoerden-veroeffentli chen-orientierungshilfe-fuer-den-datenschutz-bei-smart-tvs/ (zuletzt 23.8.2016); 2014 gab es eine gemeinsame Position des Düsseldorfer Kreises und der Datenschutzbeauftragten der öffentlich-recht-
32
Schneider
Datenschutz Grundlagen
Rz. 91
A
richtet sich an die Anbieter von Smart-TV-Diensten und -Produkten, geht also einen Weg, den „Privacy by design“ fordern würde, das es 2015 noch nicht gab (s. zu Ansätzen in der DS-GVO Rz. 599). Gerätehersteller, Programmveranstalter und Diensteanbieter sind dabei jeweils getrennt zu sehen bzw. haben unterschiedliche Pflichten. Eine gemeinsame Handlungsverpflichtung oder Haftung gegenüber dem Betroffenen ist nicht ersichtlich, könnte sich nach der DS-GVO aus Joint Controllership ergeben, das aber wohl nicht vorliegt (zu Art. 26 DS-GVO s. Rz. 646 ff.). Für Fahrzeuge wird die Frage der selbsttätigen Konnektivität, speziell auch für Carsharing und Flottenüberwachung, und die Datenherausgabe seitens der Provider/Hersteller nicht durch Hinweise zu lösen sein. Es wird klarer Einwilligungen bedürfen.145 2.3 Manipulation der Entscheidungsfreiheit Einerseits dienen die Datenauswertungen den Entscheidungen der Unternehmen (und Ver- 88 waltungen), andererseits versuchen die Datenverarbeiter die Daten so auszuwerten, dass sie den Betroffenen möglichst gezielt ansprechen können und ihn in seinen Entscheidungen beeinflussen. Den ersten Aspekt regeln BDSG und DS-RL sowie nunmehr DS-GVO (s. Rz. 553) als „automatisierte Einzelentscheidung“ (§ 6a BDSG, Art. 15 DS-RL), s. dazu Rz. 195 f. Die DS-GVO ergänzt den Aspekt um „Profiling“, s. Rz. 553. Der zweite Aspekt ist eigentlich eine Frage des E-Commerce und des UWG. Ansätze zum Schutz vor Manipulation gibt es aber auch im Datenschutzrecht, s. Rz. 421 ff. Anwendungsfelder automatisierter Entscheidungen sind etwa bei Bewerberauswahl,146 Bo- 89 nitätsprüfung für Kredit oder Vermietung. Derzeit gilt für die Bereiche von Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, ein Verbot insoweit, als sie „ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen“ (§ 6a Abs. 1 Satz 1 BDSG). Satz 2 erläutert dies näher: „Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.“ Werden Bewerberdaten i.S. eines „Rankings“ nach vorgegebenen Kriterien gespeichert und entscheidet danach der Arbeitgeber auf dieser Grundlage, so handelt es sich nicht um eine automatisierte Entscheidung.147 § 6a Abs. 2 BDSG regelt die Ausnahmen und erlaubt automatisierte Entscheidungen i.R.d. 90 Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses, die dem Begehren des Betroffenen stattgeben. Richtig wäre also vom Verbot von automatisierten Ablehnungs-Entscheidungen auf Basis von (einzelnen) Persönlichkeitsmerkmalen zu sprechen. Insoweit ist die Einbeziehung des Profiling in der DS-GVO (Rz. 553) ein Fortschritt. Die Nichteinhaltung führt allerdings nicht zur Unwirksamkeit oder gar Nichtigkeit der Entscheidung, jedenfalls nicht nach BDSG (vielleicht aber über „Sittenwidrigkeit“), ist allerdings bußgeldbewehrt. Gegenüber der Bedrohung der Entscheidungsfreiheit des Einzelnen gibt es unmittelbar keine entsprechenden Regelungen (evtl. könnte man noch das Widerrufsrecht (z.B. aus dem Fernabsatz § 312g BGB), s. B Rz. 241, dazu rechnen). Allerdings kann man Einwilligungserfordernis, Zweckbindung, Informationspflichten und Regelungen zu Cookies und Tracking als lichen Rundfunkanstalten „Smartes Fernsehen nur mit smarten Datenschutz“ Mai 2014), dazu Grenzer, CR 2014, R75; Schmidtmann/Schwiering, ZD 2014, 448. 145 Zur Herausgabe der Fahrerdaten: http://www.focus.de/auto/experten/winter/bmw-drive-now-ueber wachung-funktioniert-bei-harmlosen-buergern-in-carsharing-autos-wird-ihr-bewegungsprofil-gespei chert_id_5759933.html (abgerufen am: 23.8.2016), s.a. Rz. 103. 146 Zu Bewerberauswahl mittels psychologischer Eignungstests s. Bausewein, DuD 2016, 139. 147 Gola/Schomerus, BDSG, 12. Aufl. § 6a Rz. 6.
Schneider
33
91
A Rz. 92
Datenschutz und IT-Management
Maßnahmen zur Bewahrung der Entscheidungshoheit sehen. Z.B. Grundsätze wie Art. 6a DS-RL (s. Rz. 50), Institute wie Einwilligung, Benachrichtigung und Auskunft sollen einen informierten Betroffenen ergeben. Dennoch besteht auch die Gefahr, dass der Einzelne seine Entscheidungen daran orientiert, dass ihm passgenaue Angebote oder Abfragen in Situationen vorliegen, in denen die Tragweite der Entscheidung nicht absehbar ist. Diese Situationen zu erkennen bzw. für diese die richtigen Angebote zu machen, erlauben Techniken von Tracking, Profiling und Big Data. Werden Rabatte, Boni oder ähnliche Vorteile, gewährt, hat dies Einfluss auf Verhalten, etwa Fahrverhalten. 2.4 Profiling, Big Data 92
Profiling ist längst von der Polizei bekannt,148 hat dort eine mögliche breitere Ausgangsbasis, was das Material betrifft, als nur Daten. Der Ansatz des Profiling liegt auch der Auswertung der Passagierdaten zugrunde, ebenso der Bewertung/Auswahl von Mitarbeitern und besonders bei der Bonitätsbeurteilung.149
93
Beim Profiling wird generell vorausgesetzt, was auch seinen Niederschlag in der DS-GVO gefunden hat (Definition in Art. 4 Nr. 4, s.a. Rz. 553 ff.), dass diese aus der Verarbeitung personenbezogener Daten entstehen, also nicht aus anonymisierten bzw. anonymen Daten. Bei Big Data könnte man sich den Weg geradezu umgekehrt vorstellen, dass nämlich die Daten zunächst als eine Art morsche Masse nicht nur ungeordnet, sondern v.a. auch nicht personenbeziehbar sind. Erst durch die Auswertung mit entsprechenden Metadaten, die ihrerseits ebenfalls nicht personenbeziehbar sein müssen, entstehen Profile die allerdings insofern erst personenbeziehbar werden. Für die Zulässigkeit des Profiling als Verarbeitung personenbezogener Daten greifen die normalen datenschutzrechtlichen Regelungen also unmittelbar und innerhalb der DS-GVO auch als explizit vorgesehene Regeln. Bei Big Data wäre es so, dass möglicherweise keine Restriktionen greifen, solange die Datensammlung als solche besteht und sodann stellt sich erst die datenschutzrechtliche Zulässigkeitsfrage, wenn eine Auswertung erfolgt, die zu personenbeziehbaren Daten führt bzw. zur Beziehbarkeit führen kann. In gewissem Sinne trennt Big Data, wie auch manche ähnliche Technologie der Geheimdienste, zwischen den eigentlichen Daten (vielleicht sogar ohne Kontext) und den Metadaten, mittels derer diese Daten ausgewertet werden können.
94
Es wird sich, wenn die Trennung langsam, also schrittweise durch verschiedene Verarbeitungsvorgänge allmählich aufgehoben wird, kaum feststellen lassen, wann der Übergang von anonymen einzelnen Daten zu personenbeziehbaren bzw. unmittelbar personenbezogenen Daten erfolgt ist. Hierbei geht es noch nicht mal so sehr um die genaue Begriffsdefinition, die allerdings auch sehr wichtig ist. Auch nicht um die Frage, ob die Personenbeziehbarkeit relativ oder absolut, s.a. Rz. 111, 123, zu beurteilen ist. Es geht vielmehr um die Frage, ob es überhaupt handhabbar ist, innerhalb bestimmter Verarbeitungsvorgänge diesen Übergang festzustellen und ggf. dann auch den Vorgang abzubrechen, weil er i.Ü. rechtswidrig wäre. Dies erscheint äußerst unrealistisch.
95
Die eigentliche Problematik auch des Datenschutzes stellt sich allerdings erst ein, wenn die Daten gegenüber irgendjemand verwendet werden. Das heißt, dass der potentielle „Datenschutz“ den Einzelnen wohl weniger tangiert oder gar nicht, vielmehr die Nutzung im konkreten Fall, wie etwa auch beim Scoring. Die Scoring-Algorithmen als solche sind „anonyme“ bzw. statistische Daten. Ihre konkrete Anwendung auf eine Person macht hingegen zumindest aus dem Ergebnis ein personenbeziehbares Datum.
148 Besonders brisant s. Wagner, Allegorie des „racial profiling“ – Die Hautfarbe als polizeiliches Kontrollkriterium, DÖV 2013, 113. 149 Zu Ansätzen i.V.m. Scoring bei SCHUFA: OLG München v. 12.3.2014 – 15 U 2395/13, ZD 2014, 570.
34 Schneider
Datenschutz Grundlagen
Rz. 100
A
Die Problematik zeigt sich auch beim Predicting, was sehr schnell aus dem Profiling entstehen kann. In diesen Fällen, wie auch bei der Bonitätsprüfung, wird aus den vorhandenen Daten ermittelt, welche Ereignisse sich in der Zukunft ergeben können, welche Folgerungen ableitbar sind und inwieweit bestimmte Personen darin involviert sind. Bei Predicting Policing ist dies etwa die vermutete Konzentration von Einbußen in bestimmten Gegenden zu bestimmter Zeit. Bei Krediten ist es die Wahrscheinlichkeit, dass der Vertrag erfüllt wird. Letztlich haben alle Warndienste eine ähnliche Vorstellung, vielleicht noch nicht immer eine entsprechende Ausrüstung, um aus den vorhandenen Daten zukünftiges Verhalten bestimmter Personen vorhersagen zu können.
96
2.5 Redlining, Scoring, Predicting (Anwendung der Techniken), Diskriminierung Die Folge-Gefahr der angedeuteten Techniken v.a. Profiling und Big Data bestehen, sozusa- 97 gen nach dem Ausspähen, in den daraus resultierenden Diskriminierungen. Nicht immer wird es sich dabei um vom Datenschutzrecht erfasste „automatisierte Einzelentscheidungen“ handeln, nicht zuletzt, weil evtl. ganze Gruppen ausgemustert werden. Der typische Fall mit einfachstem Datenmaterial ist Redlining. Redlining kann allein schon aufgrund der Telefonnummer aus dem Festnetz folgen. Die Telefonnummer besagt für z.B. Makler oder Vertriebsbeauftragte viel über die Einkommenssituation der Schicht, der der Anrufer gem. der Telefonnummer angehören dürfte. Wie gut bzw. wie hoch die Trefferquote ist, sei hier dahingestellt. Jedenfalls besteht diese Gefahr. Nach § 28b Nr. 3 BDSG besteht an sich eine Art Datenverwertungsverbot i.R.d. Scoring, wenn die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich auf der Basis von Anschriften-Daten erfolgt. Bei Redlining auf der Basis der Telefonnummer erfolgt mittelbar eine entsprechende Einord- 98 nung durch die Transponierung der Telefonnummer in die Region, auch wenn sich daraus noch keine Anschrift ergibt.150 Es gibt aber auch eine Art Redlining, also eine soziale Diskriminierung insofern, in umgekehrter Richtung, als sich aus anderen Umständen als der Anschrift eine höhere Einkommensklasse ergeben könnte bzw. sich Rückgriffe auf das Vermögen ziehen ließen, so jedenfalls die Vermutung und in diesen Fällen dann Angebote online teurer sein sollen. Es geht also in diesem Falle dann weniger um die Frage der Kreditentscheidung als vielmehr darum, dass der Preis als solcher höher ist. Bei entsprechendem Rating im Hinblick auf Versicherungen mit ihren Einteilungen der Gegenden entsteht die umgekehrte Tendenz, nämlich für bestimmte Gegenden den Tarif zu senken, wenn dort erfahrungsgemäß weniger Unfälle passieren. Die Auswertung von Daten nach geographischen und soziodemographischen Gesichtspunkten ist mittels Big Data-Technologien überhaupt kein Problem. Man spricht insoweit schon von einem „statistischen Kastenwesen“.151 Besonders an der bisherigen Regelung ist, dass das Scoring sozusagen dann verboten ist, wenn die Berechnung des Wahrscheinlichkeitswerts ausschließlich auf Anschriftendaten beruht. Daraus könnte man schließen, dass dann, wenn zusätzliche Daten bei der Ermittlung hinzugezogen werden, diese Problematik der Diskriminierung jedenfalls nach § 28b Nr. 3 BDSG nicht besteht. Andererseits sind, wenn es sich um echtes Scoring handelt, noch die weiteren Voraussetzungen zu berücksichtigen, also die Ermittlung des Scoring-Wertes unter Anwendung wissenschaftlich anerkannter mathematisch-statistischer Verfahren und die Information des Betroffenen (Nr. 1 u. 4). Spezielle Regeln gelten für Auskunfteien (§ 28b Nr. 2 BDSG).
99
Der Auskunftsanspruch bzw. die Informationspflicht nach § 28b Nr. 4 BDSG erscheint zwar die Transparenz zu erhöhen. Die Unterrichtung ist auch seitens des Verarbeiters zu dokumentieren. Allerdings muss diese Information nicht die eigentlichen Bewertungs-Algorithmen enthalten. Wenn also diese Unterrichtung nicht über die inhaltliche Ausgestaltung,
100
150 Zur Frage des Redlining auf der Basis der Anschrift s. Hammersen/Eisenried, ZD 2014, 342. 151 Hammersen/Eisenried, ZD 2014, 342 (343).
Schneider
35
A Rz. 101
Datenschutz und IT-Management
wie der Wert zustande kommt, Auskunft gibt, ist der Informationswert eigentlich eher sehr gering.152 101 Dabei sind die Schwierigkeiten bzw. die Unsicherheiten, die mit der Anwendung von ScoreFormen verbunden sind, evident. In einem Fall, den das OLG Frankfurt zu beurteilen hatte, waren z.B. schon die Einordnungen des zu beurteilenden Unternehmens (es ging also nicht um Datenschutz als solchen) fraglich gewesen.153 Das Gericht stellte im Einzelnen fest, dass nicht nur die Branchenzugehörigkeit widersprüchlich und inkonsistent erfasst worden war, sondern weitere Aspekte zu dem Ergebnis führten, dass die „Tatsachen-Grundlage für das ‚Scoring‘ durch die Beklagte in mehreren wesentlichen Punkten offensichtlich falsch“ war.154 Dies spricht dafür, dass zumindest die Anknüpfungspunkte, auf welche Werte also die Score-Formel abstellt, deutlich erkennbar sein müssen, sodass mit bloßen Kennzahlen etwa für Branchen o.Ä. allein nicht gearbeitet werden dürfte. Auch wäre es wichtig, erkennbar zu machen, welche Bedeutung eigentlich die Beurteilung bzw. die genauere Feststellung einzelner Merkmale hat. Im konkreten Fall hat das Gericht es z.B. als für nicht nachvollziehbar gehalten, „weshalb die Dauer der Geschäftstätigkeit in der Bewertung durch die Beklagte keine Rolle spielt“.155 Es ist deutlich, dass ein gewisser Widerspruch in den Bemühungen des OLG Frankfurt um Transparenz gegenüber der BGH-E. zu Score-Werten gegenüber Privaten besteht. Die Tatsache, dass das Datenschutzrecht nur für natürliche Personen gilt und nicht für juristische Personen, macht diese Ungleichgewichtung noch unverständlicher. Im Fall des OLG Frankfurt handelt es sich insoweit um einen „eingetragenen Kaufmann“. In einem Fall, in dem eine Rechtsanwältin Auskunft über ihre Score-Formel haben wollte, hat z.B. das OLG München wiederum dies abgelehnt, sodass sich die geschlechtsspezifische Benachteiligung durch die Auskunftei bei Kreditauskünften nicht verifizieren ließ.156 2.6 Wem gehören die „Daten“? 102 Auch nach BVerfG – „Volkszählungsurteil“157 gehören die Daten dem Einzelnen nicht als dessen Eigentum: „Dieses Recht auf ‚informationelle Selbstbestimmung‘ ist nicht schrankenlos gewährleistet. Der Einzelne hat nicht ein Recht i.S. einer absoluten, uneinschränkbaren Herrschaft über ‚seine‘ Daten; er ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann. …“158 Ähnlich hat dies der BGH ausgedrückt, als es um die Abwägung des Datenschutzes gegenüber Meinungsäußerung ging.159 103 Oben (Rz. 39) war schon angedeutet worden, dass es eine Diskussion um diese Frage gibt, ob nicht vielleicht sogar dem Betroffenen eine eigentumsähnliche Position „an seinen Daten“ zusteht.160 Unabhängig von der zukünftig evtl. insoweit anstehenden Regelung, etwa i.R.d. 152 Dementsprechend besteht die Wahrscheinlichkeit, dass keine entsprechende Auskunft gegeben werden muss; dies ergibt sich allein schon über BGH v. 20.1.2014 – VI ZR 156/13, CR 2014, 364. 153 OLG Frankfurt v. 7.4.2015 – 24 U 82/14, ZD 2015, 335. 154 OLG Frankfurt v. 7.4.2015 – 24 U 82/14, ZD 2015, 335. 155 OLG Frankfurt v. 7.4.2015 – 24 U 82/14, ZD 2015, 335, Rz. 36. 156 S. OLG München v. 12.3.2015 – 15 U 2395/13, ZD 2015, 570; zu einem Berichtigungsanspruch wegen missverständlicher Bonitätsauskunft s. OLG Karlsruhe v. 3.6.2014 – 12 U 24/14, wonach kein Anspruch auf Löschung wegen einer missverständlichen Bonitätsauskunft bei nach Vollstreckungsbescheid ausgeglichener Forderung besteht. 157 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a. (BVerfGE 65, 1). 158 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., juris Rz. 150 – „Volkszählungsurteil“ (BVerfGE 65, 1). 159 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593, Rz. 30 – spickmich.de: „Allerdings hat der Einzelne keine absolute, uneingeschränkte Herrschaft über ‚seine‘ Daten; denn er entfaltet seine Persönlichkeit innerhalb der sozialen Gemeinschaft. In dieser stellt die Information, auch soweit sie personenbezogen ist, einen Teil der sozialen Realität dar, der nicht ausschließlich dem Betroffenen allein zugeordnet werden kann.“ 160 S.a. Specht, CR 2016, 288 m.w.N.
36
Schneider
Datenschutz Grundlagen
Rz. 105
A
gesamten digitalen Marktes, besteht heute schon in vielen Fällen eine sehr vielschichtige und heterogene Anspruchssituation gegenüber den einzelnen Daten und v.a. deren Sammlung. Besonders hervorzuheben ist dabei die Datenbank, bei der als Datenbankwerk (§ 4 UrhG) ein anderer Rechte-Inhaber vorstellbar ist als der Hersteller der Datenbank nach § 87a ff. UrhG, s. Rz. 1 ff. bzw. Rz. 63 ff. Jedenfalls ist in diesen Fällen nicht der Betroffene Eigentümer161 der Datenbank, allenfalls der in der Datenbank enthaltenen einzelnen Daten. Wenn diese Datenbank wiederum für einen Dritten verwaltet wird, wie dies etwa bei CloudComputing der Fall sein wird, generell auch bei AuftragsDV, ergeben sich wiederum weitere eigentumsähnliche Positionen, bis hin zu Herausgabe-Ansprüchen, die auch vertraglich ausformuliert sind. Als Sammlung bestehen an den Daten Rechte auch insofern, als sie ein Betriebsgeheimnis darstellen können (Kundenlisten). Sodann entstehen Beziehungsgeflechte hinsichtlich einzelner Daten durch spezielle Situationen, so insb. durch Unfälle bei E-Mobile-Datenverarbeitung. Es sind verschiedene Interessen und entsprechende Kollisionen vorstellbar, so etwa zwischen dem Fahrer, dem Beifahrer, dem Hersteller des Autos, dem Versicherer, den übrigen Unfallbeteiligten und deren ebenso entsprechenden Einrichtungen wie Hersteller, Versicherungen etc. Wer Ansprüche auf das Auslesen der „Blackbox“ hat, war schon umstritten. Bei entsprechender Konnektivität besteht dieses Problem verschärft.162 3. Grundprinzipien der bisherigen Datenschutzregeln, v.a. BDSG und EU-Datenschutzrichtlinie 3.1 BDSG 3.1.1 Inhalt, Übersicht 3.1.1.1 Adressat Adressat der DS-RL ist der „für die Verarbeitung Verantwortliche“, definiert in Art. 2 lit. d 104 DS-RL. Adressat ist auch die einzelne Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Das BDSG spricht von der „verantwortlichen Stelle“, definiert in § 3 Abs. 7 BDSG als jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Diese Definitionen und damit die Begriffe sind nicht deckungsgleich.163 Relevanz hat dies für u.a. die Frage, wie sich gemeinsame Verarbeitung von Daten bzw. die gemeinsame Festlegung der Zwecke und Mittel der Verarbeitung darstellen lässt und auf die Verantwortlichkeit auswirkt. Allerdings hat dies, soweit ersichtlich, bislang keine Rolle bei den Gerichten gespielt. Mit der DS-GVO wird einerseits ausdrücklich die gemeinsame Verarbeitung geregelt, s. Rz. 646 ff. zu Art. 26 DS-GVO; andererseits kommt als Adressat noch unmittelbar der Auftragsverarbeiter als Verantwortlicher hinzu. Deshalb ist die evtl. unzureichende Umsetzung der DS-RL ein Problem auf Zeit, das zudem durch Rückgriff auf die DS-RL lösbar ist.164 Es wurde diskutiert, ob das BDSG auf Anwälte u.ä. Berufsgruppen Anwendung finden kann 105 und damit auch die Notwendigkeiten zur Bestellung und der Befugnisse eines Beauftragten für den Datenschutz besteht (s. Rz. 378, 425 ff.). Der Anknüpfungspunkt für die evtl. Konfliktsituation ist § 1 Abs. 3 Satz 2 BDSG. Danach bleibt die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, unberührt. Hauptsächlich wurde dies wegen der evtl. Verpflichtung zur Bestellung des betrieblichen Beauftragten und dessen Kompetenzen abgehandelt (Rz. 376 ff.). Es geht aber auch um das Verhältnis zur Aufsichtsbehör161 Zum Problem s. z.B. Specht, CR 2016, 288 m.w.N. 162 S. a. zu Kollateral-Daten z.B. Cebulla, ZD 2015, 507 (der den Umgang mit Kollateral-Daten als datenschutzrechtliche Grauzone bezeichnet). 163 S. eingehend Monreal, ZD 2014, 611 m. zahlr. Nachw. 164 Monreal, ZD 2014, 611.
Schneider
37
A Rz. 106
Datenschutz und IT-Management
de und deren Kompetenzen, die Zulässigkeit von Outsourcing, die Frage der Abtretung der Honorarforderungen u.Ä. Inzwischen ist die Frage zwar nicht restlos geklärt.165 Jedoch kann man davon ausgehen, dass Anwälte u.ä. Berufe dem BDSG unterliegen, ggf. bei Kollision mit der Geheimniswahrung Abstriche zu machen sind, etwa Benachrichtigung des Gegners. Die DS-GVO wird die Anwendung auf die Kanzleien intensivieren, enthält aber eine begrenzte Öffnungsklausel, s. Rz. 591 zu Art. 90 DS-GVO. 3.1.1.2 Entwicklung 106 Zeitlich stark versetzt folgte das BDSG in seiner Entwicklung auch der Entwicklung der Anwendung der EDV/IT. Die Struktur des BDSG u.a. mit Orientierung an personenbezogenen Daten und Regelung des Umgangs damit in Phasen ist seit 1977 im Prinzip gleich geblieben,166 u.a. mit Aufteilung in öffentlichen und nicht-öffentlichen Bereich, verklammert von einem Allgemeinen Teil als ersten Abschnitt und abschließenden Abschnitten. Ansonsten hat sich im Laufe zahlreicher Novellierungen viel geändert. Insb. wurden einige technische Neuerungen ausgegriffen, die Anwendung stark auch über die Erweiterung der Phasen ausgedehnt und manche Bereiche spezieller geregelt, etwa Auskunfteien und Scoring sowie Arbeitnehmerdaten. Aktuell167 herangezogen wird das BDSG in der Fassung vom 14.8.2009. Den punktuellen Novellierungen 2009 war u.a. eine Änderung in 2006 vorausgegangen, die sich auf die Schwellenwerte bei der Bestellung des Beauftragten für den Datenschutz und dessen Rechte ausgewirkt hat. Davor war eine große Novellierung 2001 mit Erweiterung des Geltungsbereichs, Verstärkung der Transparenz für den Betroffenen durch Änderung der Benachrichtigung und Ausbau der Kontrolle. 107 Mit der Novellierung 2009 wurde versucht, den sog. Datenschutzskandalen, die zuvor bekannt geworden waren, für die Zukunft zu begegnen. Diese betrafen auch die Mitarbeiter, weshalb § 32 neu eingefügt wurde, ein Ansatz zum Beschäftigtendatenschutz (s. im Einzelnen Rz. 692 ff.). Ein neu eingefügter § 28a BDSG soll die Zulässigkeit der Datenübermittlung an Auskunfteien und § 28b BDSG soll die Zulässigkeit des „Scoring“ in Abhängigkeit von der Qualität (wissenschaftlich anerkanntes Verfahren) regeln. Ergänzt wird dies durch ein Auskunftsrecht nach § 34 Abs. 2 speziell für den Fall des 28b BDSG, der allerdings hinsichtlich der Scoreformel selbst nicht gewährt wird.168 Die Frage wird sein, ob die DS-GVO, Art. 22, eine Aufrechterhaltung von § 6b und i.V. damit auch § 28b BDSG (Scoring) zulässt. Evtl. liegt eine sog implizite Öffnungsklausel vor.169 108 Auch die AuftragsDV, § 11 BDSG, wurde nach 2001 nochmals 2009 novelliert und wesentlich detaillierter geregelt, insb. auch die Mindest-Details der Vertragsgestaltung des Auftragsverhältnisses (s. Rz. 226 ff.). 109 Das BDSG gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, und zwar sowohl der öffentlichen Stellen als auch der nicht-öffentlichen Stellen, bei Letzteren nur, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen 165 S. zur Diskussion grundlegend Rüpke, Freie Advokatur, anwaltliche Informationsverarbeitung und Datenschutzrecht, 1995; Henssler, NJW 1994, 1817; Rüpke, RDV 2003, 72; Redeker, NJW 2009, 554; zur Kontrolle nach § 38 BDSG auch bei Berufs- und Amtsgeheimnisträgern trotz der vorzitierten ablehnenden Stimmen Gola/Schomerus, BDSG, 12. Aufl., § 38 Rz. 4 m.w.N. 166 Zur Namensgebung mit „Datenschutz“ haben neben dem Hessischen Datenschutzgesetz vom Okt. 1970 das Gutachten Steinmüller u.a., Grundfragen des Datenschutzes. Gutachten im Auftrag des Bundesministeriums des Innern, 1971, BT-Drs. VI/3826 v. 7.9.1972, sowie der Beitrag von Simitis, NJW 1971, 673 beigetragen. 167 Zur Entwicklung des Datenschutzrechts s. etwa die Berichte von Moos, Datenschutzrecht 2014, K&R 2015, 158; für 2015 s. Moos, K&R 2016, 220; Sydow, ZD 2016, 159. 168 BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235 m. Anm. Schulte am Hülse/Timm. 169 S. zu Taeger, ZRP 2016, 72 (73), und zur Erforderlichkeit eines Ausführungsgesetzes Roßnagel, Drs. 18(24)94, 6.
38 Schneider
Datenschutz Grundlagen
Rz. 111
A
oder dafür erheben (automatisierte Datenverarbeitung) oder die Daten in oder aus nicht-automatisierten Dateien verarbeiten, nutzen oder dafür erheben (§ 1 Abs. 2 Nr. 1 und 2 sowie Nr. 3 BDSG). Praktisch heißt dies, dass im nicht-öffentlichen Bereich Akten und Aktensammlungen, die nicht aus automatisierten Daten entstanden sind und auch nicht durch diese erschlossen sind, nicht unter die Datenverarbeitungsregelungen der §§ 27–38a BDSG fallen, wohl aber unter die allgemeinen Vorschriften der §§ 1–11 BDSG, etwa Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten. § 27 Abs. 2 BDSG drückt dies so aus: „Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten außerhalb von nicht automatisierten Dateien, soweit es sich nicht um personenbezogene Daten handelt, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind.“
Im nicht-öffentlichen Bereich besteht eine Ausnahme hinsichtlich der Geltung: das BDSG ist nicht anwendbar, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt.170
110
3.1.1.3 Prüfungsschritte Es ergeben sich folgende „Prüfungsschritte“ (Schema), wonach v.a. bezogen auf § 1 BDSG 111 im Einzelnen zu prüfen ist: – Geht es um die Verarbeitung bzw. den Umgang mit personenbezogenen Daten? (Definition in § 3 Abs. 1 BDSG). Es ist erstaunlich, aber eine der Grundfragen, die Anwendbarkeit des BDSG ist unklar. Strittig waren z.B. die sog. IP-Adressen171 und dabei die Frage, ob der Bezug relativ oder absolut zu verstehen bzw. zu ermitteln ist.172 „Nach Auffassung des ersten Zivilsenats handelt es sich bei den für Netzsperren auf IP-Ebene heranzuziehenden IPAdressen um personenbezogene Daten als Bestandsdaten i.S.d. § 95 Abs. 1 Satz 1 TKG. Allein die Möglichkeit zur Herstellung eines Bezugs zwischen IP-Adresse und der Person des Nutzers genüge für die Annahme einer Personenbeziehbarkeit.“173 Nach Ansicht des EuGH ist ein Personenbezug nach den Umständen des Einzelfalls zu beurteilen, wobei rechtliche Mittel des Zugangs genügen174. – Liegt hinsichtlich des Umgangs entweder Erhebung oder Verarbeitung oder Nutzung vor? (Definitionen zu Erheben in § 3 Abs. 3 BDSG, zu Verarbeitung, die Speichern, Verändern, Übermitteln, Sperren und Löschen umfasst, in § 3 Abs. 4 BDSG zusammen mit den Definitionen) – Greift eine der Spezialvorschriften innerhalb des BDSG, zusammengefasst „Medienprivileg?“ (§ 41 BDSG) – Handelt es sich um Presse?, wofür § 41 Abs. 1 BDSG eine spezielle Verweisungsregelung enthält, in der v.a. auf §§ 5, 9 und 38a BDSG verwiesen wird, zudem auf § 7 BDSG. 170 S. zur Qualifizierung als nicht „privat“ EuGH v. 6.11.2003, CR 2004, 286 – Bodil Lindquist. 171 BGH v. 3.7.2014 – III ZR 391/13 zur Speicherung dynamischer IP-Adressen i.R.v. § 100 TKG; zur Vorlage BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109 m. Anm. Schleipfer/Eckhardt: Ist die IP-Adresse, die ein Diensteanbieter im Zshg. mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt? Bejaht v. EuGH v. 19.10.2016 – C-582/14. 172 S. z.B. Breyer, ZD 2014, 400; Härting, NJW 2013, 2065 (zu Anonymisierung und Pseudonymisierung); Nink/Pohle, MMR 2015, 563; Krüger/Maucher, MMR 2011, 433. 173 Anm. Kremer/Telle zu BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (206) m.Verweis: „Ebenso Braun in Geppert/Schütz, Beck’scher TKG-Kommentar, § 91 Rz. 16; EuGH, Urt. v. 24.11.2011 – Rs. C-70/10, CR 2012, 33; kritisch Lutz, in: Arndt/Fetzer/Scherer/Graulich, TKG, § 95 Rz. 3; (…).“ Die Diskussion um die Personenbeziehbarkeit von IP-Adressen wird durch EuGH v. 19.10.2016 – C-582/14 - Breyer (zu BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109) im Prinzip zugunsten der objektiven Auslegung beendet, im Detail aber noch weiter zu führen sein. 174 EuGH v. 19.10.2016 – C-582/14 – Breyer.
Schneider
39
A Rz. 112
Datenschutz und IT-Management
– Oder es handelt es sich um Bundesrundfunk, wofür dann über § 41 Abs. 2 und 3 eine spezielle Verweisungsnorm zur Anwendung kommt. – Das Medienprivileg gilt wiederum nicht, wenn es sich nicht um eigene journalistische/ redaktionelle oder literarische Zwecke handelt. Dies ist also generell Voraussetzung für die Privilegierung von „Presse“ oder „Rundfunk“. – Greift das Medienprivileg nicht, ist zu klären, welcher Bereich in Frage steht, also – öffentlicher Bereich, dessen Anwendungsvoraussetzungen sich nach § 1 Abs. 2 Nr. 1 und 2 BDSG richten, oder privater Bereich. – Wenn privater Bereich (nicht-öffentlicher Bereich) vorliegt, ist vorweg noch zu prüfen, ob Folgendes vorliegt – ausschließlich für persönliche oder familiäre Zwecke, was bejahendenfalls zur Nicht-Anwendung des BDSG führt. – Wird dies verneint, stellen sich die speziellen Fragen nach – automatisierter DV, was nach § 1 Abs. 2 Nr. 3 BDSG dann unmittelbar zur Anwendung des Gesetzes führt. – Liegt keine automatisierte Datenverarbeitung vor, muss es sich um Daten handeln, die in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben wurden. 112 Für den Bereich der Anwendung des BDSG gilt das Datengeheimnis, § 5 BDSG. Auf dieses sind Mitarbeiter, die mit personenbezogenen Daten zu tun haben, zu verpflichten. Dies gilt auch für den Auftragnehmer und dessen Mitarbeiter.175 Dies löst das Problem, ggf. § 203 StGB zu wahren, insb. bei Auftrags-DV, nicht, s. Rz. 226 ff., 628 ff. 3.1.2 Anwendbarkeit, auch DS-RL 113 Gemäß § 1 Abs. 5 BDSG findet dieses Gesetz keine Anwendung, sofern eine in einem anderen Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gelegene verantwortliche Stelle personenbezogene Daten in dem Land erhebt, verarbeitet und nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. § 1 Abs. 5 Satz 2 BDSG regelt spiegelbildlich, dass das Gesetz Anwendung findet, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gelegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Es gilt insoweit also das Sitzlandprinzip, wobei durch die Aufnahme auch der EWR-Staaten noch eine zusätzliche territoriale Ausdehnung hinzukommt, nachdem die Länder Norwegen, Island und Liechtenstein die EG-Datenschutz-Richtlinie angenommen haben. 114 Der EuGH hat im Zshg. mit der Frage der Anwendung des Datenschutzrechts den Niederlassungsbegriff stark ausgedehnt:176 „Wie insbesondere die spanische Regierung und die Kommission geltend machen, verlangt Art. 4 Abs. 1 lit. a RL 95/46 aber nicht, dass die in Rede stehende Verarbeitung personenbezogener Daten „von“ der betreffenden Niederlassung selbst ausgeführt wird, sondern lediglich, dass sie „im Rahmen der Tätigkeiten“ der Niederlassung ausgeführt wird. Außerdem kann diese Wendung im Hinblick auf das Ziel der RL 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden
175 Zum Text einer Verpflichtung auf das Datengeheimnis s. z.B. von Sonnleithner, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, 2014, Teil 2 IV, Rz. 38; zur AuftragsDV s. Rz. 226 ff. 176 EuGH v. 13.5.2014 – C-131/12, NJW 2014, 2257 – Google Spain SL u. Google Inc.
40
Schneider
Datenschutz Grundlagen
Rz. 116
A
Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden (…).“177 Ausdrücklich betont der EuGH noch, dass sich insb. aus den Erw.grd. 18 bis 20 und Art. 4 RL 95/46 ergebe, „dass der Unionsgesetzgeber vermeiden wollte, dass der gemäß der Richtlinie gewährleistete Schutz einer Person vorenthalten und umgangen wird, und deshalb die DS-RL einen besonders weiten räumlichen Anwendungsbereich vorgesehen hat“.178 Andererseits wurde schon früher das „Sitzlandprinzip“ des BDSG als zu kurz greifend ange- 115 sehen.179 Gleichwohl fand sich das Sitzprinzip auch in der Begründung der Bundesregierung zum Entwurf eines Gesetzes zur Änderung des BDSG und anderer Gesetze.180 Das Sitzlandprinzip gilt nicht, wenn die verantwortliche Stelle die Erhebung, Verarbeitung oder Nutzung durch eine Niederlassung im Inland betreibt, wobei es nicht auf die Rechtsform dieser Niederlassung ankommt. Insoweit gilt also das Territorialprinzip.181 Das BDSG kommt zudem gegenüber einer Stelle zur Anwendung, die ihren Sitz im Nicht-EU- bzw. EWR-Ausland hat, und zwar unabhängig davon, ob sie im Inland eine Niederlassung betreibt und über diese die personenbezogenen Daten erhebt, verarbeitet oder nutzt. Das BDSG hat, wie auch die DSRL keine Konzern-Klausel, bietet kein Konzernprivileg (s.a. zu Fragen der Datenübermittlung Rz. 404). Die Anwendbarkeit des BDSG richtet sich also nach den vorzitierten allg. Vorschriften. Die Übermittlung von personenbezogenen Daten aus Deutschland ins Nicht-EU- bzw. 116 EWR-Ausland richtet sich nach § 4b Abs. 2 BDSG, wonach die Übermittlung zu unterbleiben hat, wenn dort nicht ein angemessenes Schutzniveau gewährleistet ist.182 Die Lösung für die Übermittlungen nach USA war „Safe Harbor“,183 ansonsten sind es Standardvertragsklauseln184 und BCR.185 Safe Harbor ist seit 6.10.2015 nicht mehr gültig.186 Was Basis der
177 EuGH v. 13.5.2014 – C-131/12, NJW 2014, 2257 – Google Spain SL u. Google Inc, Rz. 52 und 53 mit Verweis auf EuGH v. 12.7.2011 – C-324/09 Rz. 62 u. 63 – L‘Oréal SA. 178 EuGH v. 13.5.2014 – C-131/12, NJW 2014, 2257, Rz. 54, Herv. v. Autor; Rz. 54 und 56 betreffend den engen Zshg. („untrennbar“ verbunden) zwischen Betreiber und Niederlassung hinsichtlich „im Rahmen der Tätigkeiten“ dieser Niederlassung. 179 S. Mankowski, in: Spindler (Hrsg.), Vertragsrecht der Internet-Provider, 2. Aufl., III, 69. S.a. zum Niederlassungsprinzip am Beispiel von Facebook Beyvers/Herbrich, ZD 2014, 556; zum Territorialprinzip s. Voigt, ZD 2014, 15. 180 BT-Drs. 14/4329, 31 f.; wobei Mankowski, in: Spindler (Hrsg.), auch auf Franzen, DB 2001, 1867, 1868, Schaar, RDV 2002, 4, 5, und Gola/Schomerus, BDSG, § 1 Rz. 27 (7. Aufl.) hinweist. 181 S.a. Gola/Schomerus, BDSG 12. Aufl., § 1 Rz. 28. 182 S. Simitis, in: Simitis u.a., BDSG, 8. Aufl., § 4b Rz. 70 ff. zu Safe Harbor als besondere Lösung im Verhältnis zu den USA; Klug, RDV 2000, 212; Simitis, CR 2000, 472 (476 ff.); s.a. Heymann, CRi 2000, 70 zum Entwurf der Internationalen Safe-Harbor-Principles. Für Schweiz und Ungarn war deren Schutzniveau jeweils sehr schnell als angemessen erachtet worden, wobei Ungarn inzwischen Mitgliedsstaat ist; weitere Länder: Argentinien, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay; zu USA: spezielle Entscheidung der EG v. 25.8.2000 mit Safe Harbor. Zur Situation bei den Angemessenheitsbescheinigungen s. Gola/Schomerus, BDSG, 12. Aufl., § 4b Rz. 14, und speziell zu USA – mit „Safe Harbor“ § 4b Rz. 15. 183 2000/520/EG: Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (bekanntgegeben unter Aktenzeichen K(2000) 2441) (Text von Bedeutung für den EWR.). 184 Schmitz/von Dall‘Armi, ZD 2016, 217. 185 Binding Corporate Rules, s. z.B. Grapentin, CR 2009, 693; Filip, ZD 2013, 51; zur Perspektive angesichts DS-GVO (Entwurf): Schuppert, CRi 2014, 40; zu Entsprechung in USA „CBPR“ (cross-border privacy rules) s. FTC v. 4.5.2016, „first public enforcement action by the agency based solely on violations relating to the APEC CBPR framework“: http://www.paulhastings.com/publications-items/ blog/ph-privacy/ph-privacy/2016/05/05/ftc-s-first-foray-into-apec-cross-border-privacy-rules-settlementreached. 186 EuGH v. 6.10.2015 – C-362/14 – Schrems; s.a. Rz. 413 ff.
Schneider
41
A Rz. 117
Datenschutz und IT-Management
Übermittlung sein kann, ist seither unklar, die Übermittlung aber geduldet,187 v.a. seit „Privacy Shield“ in Aussicht ist.188 Die Stellungnahme der WP 29 zu Privacy Shield wird auch so verstanden, dass jedenfalls vorerst die bisherigen Instrumente, also Binding Corporate Rules and Standard Contractual Clauses wirksam bleiben und weiter benutzt werden können.189 Es liegt noch keine Datenübermittlung in Drittländer vor, wenn die personenbezogenen Daten auf einem Webserver bzw. einer Website zugänglich gemacht werden, solange der Host-Provider seinen Sitz im Gebiet der EU hat.190 117 Aufwendig, aber eine echte Alternative zu Safe Harbor waren – und sind wohl weiterhin – BCR, Binding Corporate Rules,191 die für den Datenfluss innerhalb von international operierenden Konzernen das Datenschutzniveau gewährleisten.192 Wie auch für die anderen Instrumente gilt, dass die grundsätzliche Frage der Zulässigkeit der Datenübermittlung dadurch nicht berührt ist, vielmehr diese erste Voraussetzung überhaupt ist, zu der noch die Absicherung gegenüber dem fehlenden angemessenen Schutzniveau kommen muss. 118 Es gibt Texte von Standardvertragsklauseln, denen die Kommission die Angemessenheit des Schutzniveaus bescheinigt,193 davon zwei Standardverträge für Datenübermittlung.194 Der Text 2001 enthält eine „rechtlich durchsetzbare Erklärung (Garantie), nach der sich sowohl der Exporteur als auch der Importeur der Daten in gesamtschuldnerischer Haftung gegenüber dem Betroffenen verpflichten, die für ein angemessenes Datenschutzniveau maßgebenden Datenschutzgrundsätze einzuhalten“.195 Der Text 2004 ist eine für die Wirtschaft günstigere Alternative, die für die Haftung statt einer Gesamtschuld eine verursacherbezogene Haftung (Klausel III lit. a) vorsieht196 und die Auskunftspflicht des Datenexporteurs einschränkt, weshalb etwa diese für Arbeitnehmerdaten als unzureichend angesehen werden.197 Der dritte Text Standardvertragsklauseln gilt speziell für AuftragsDV.198 Die Texte waren unverändert zu übernehmen und sollten die Wirkung haben, dass insoweit solche vereinbart waren, die Aufsichtsbehörden die Angemessenheit des Schutzniveaus nicht mehr prüfen (können).199 Diese Angemessenheitsentscheidungen der Kommission sind von der Safe-Harbor-E. des EuGH zumindest insofern tangiert, als die Frage des Schutzniveaus und dessen An-
187 S. Art. 29-Gruppe: Stellungnahme zu Safe Harbor, dazu Spies, ZD-Aktuell 2015, 04855; s.aber Positionspapier des ULD zum Safe-Harbor-Urteil, https://www.datenschutzzentrum.de/artikel/967-.html. 188 S. aber konstruktive Kritik der Art. 29-Gruppe v. 13.4.2016, (WP29), dazu etwa ZD-Aktuell 2016, 05106 und Filip, ZD-Aktuell 2016, 05108; kritisch Weichert, ZD 2016, 209; s.a. Rz. 637 ff. 189 So wird auch der Chairman der Gruppe, Isabelle Falque-Pierrotin, zitiert: http://arstechnica.com/ tech-policy/2016/04/privacy-shield-us-surveillance-eu-article-29-working-party/. 190 EuGH v. 6.11.2003 – Rs-C-101/01, CR 2004, 286 – Bodil Lindquist (Ls. 4). Kritisch dazu Taraschka, CR 2004, 280 (283), Datenübermittlung erfolgt bereits durch Veröffentlichung. 191 Grapentin, CR 2009, 693; s.a. zu entsprechenden Regeln unter DS-GVO Rz. 641 ff. 192 Mit ihnen lässt sich die Matrixorganisation evtl. abbilden, die ansonsten erhebliche Schwierigkeiten bereiten kann, Datenschutzkonformität zu erreichen, s. zu Datenschutzproblemen der Matrixorganisation Kuß, DuD 2016, 150, und Rz. 930. 193 Schuster, in: Spindler/Schuster, § 4c Rz. 22; Schmitz/von Dall‘Armi, ZD 2016, 217. 194 Standardvertragsklauseln i.S.v. Art. 26 Abs. 2 DS-RL für die Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau gewährleisten, E. der Kommission 2001/497/EG v. 15.6.2001, ABl. 2001 L 181, 19 ff., und „Standardvertrag II“ – Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der Gemeinschaft in Drittländer (Übermittlung zwischen für die Datenverarbeitung Verantwortlichen), 2004/915/EG v. 27.12.2004, ABl. 2004 L 385, 74 ff. 195 Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4c Rz. 12. 196 Kuner/Hladjk, RDV 2005, 193, worauf auch Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4c Rz. 12 verweist. 197 Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4c Rz. 12. 198 Standardvertragsklauseln („Auftragsverarbeiter“), E. der Kommission 2002/16/EG v. 27.12.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl. EG Nr. L 6/52 v. 10.1.2002; Beschluss der Kommission 2010/87/EU v. 5.2.2010, ABl. 2010 L 39, 5 ff. 199 Spindler, in: Spindler/Schuster, § 4c BDSG Rz. 20.
42
Schneider
Datenschutz Grundlagen
Rz. 123
A
gemessenheit und Sicherung seitens der Aufsichtsbehörden geprüft werden und als unzureichend festgestellt werden kann.200 Aufgrund der DS-RL wäre eine Erhebung direkt beim Betroffenen mit dessen Einwilligung (wenn diese ohne jeden Zweifel gegeben ist) möglich (Art. 26 Abs. 1 lit. a). Das BDSG besagt jedoch ausdrücklich, dass die Erhebung im Inland selbst durch im Drittland gelegene Stellen dem BDSG unterfällt. Die eigentliche Frage ist also die, ob ein Erhebungsvorgang gegeben ist. Erheben wird in § 3 Abs. 3 BDSG als das Beschaffen von Daten über den Betroffenen definiert. Hierin liegt ein aktives Moment, v.a. auch eine Willensentfaltung.201 Das würde bedeuten, dass eine Erhebung dann nicht vorliegt, wenn einer Stelle im Drittland die Daten einfach „zufallen“ bzw. ohne jedes Zutun „zuwachsen“.202
119
Es soll deshalb darauf abgestellt werden, ob die Handlungen, mittels deren die Erhebung geschieht, auf Mitteln oder Aktivitäten basieren, die im Inland erfolgen. Demnach wäre es wichtig, welche technischen Mittel dazu verwendet werden und wo diese belegen sind. Im Ergebnis läuft dies darauf hinaus, dass bei Verwendung eines Servers/Computersystems im Inland das BDSG Anwendung findet.
120
3.1.3 Verarbeitung personenbezogener Daten Die Crux der Regelungen in BDSG und DS-RL ist, dass das „Datum“ als Schutzgut erscheint, 121 auch wenn dies anders gewollt ist. Jedenfalls ist es das Objekt, an dem die Regelungen zentral ansetzen. Zur Definition wird der an sich substantiellere Begriff der „Information“ herangezogen, wird als „Datum“ durch „Information“ näher bestimmt203 – in Umkehrung des Verständnisses in der Wissenschaft und des BVerfG.204 Damit verbunden ist die Unsicherheit, wie die Bestimmbarkeit der durch das Datum „betroffenen“ Person ermittelt wird, s. Rz. 123. Der EuGH hat die Auslegung der „Verarbeitung personenbezogener Daten“ weit gezogen.205 122 Im Grunde geht es seitdem nur um „Tätigkeiten“ in Bezug auf bzw. i.V.m. den verschiedenen Medien, die personenbezogene Daten enthalten, etwa wenn Daten „auf der Grundlage öffentlicher Dokumente der Steuerbehörden erfasst und zum Zweck der Veröffentlichung verarbeitet werden“, Daten „in einem Druckerzeugnis, in alphabetischer Reihenfolge und nach Einkommenskategorien aufgeführt, in Form umfassender, nach Gemeinden geordneter Listen veröffentlicht werden“, Weitergabe auf CD-ROM, und wenn Daten „im Rahmen eines Kurzmitteilungsdienstes verwendet werden, in dem Mobilfunkbenutzer nach Versendung einer Kurzmitteilung mit dem Namen und dem Wohnort einer bestimmten Person an eine bestimmte Nummer als Antwort Daten über das Einkommen dieser Person aus Erwerbstätigkeit und Kapital sowie über deren Vermögen erhalten können“. Bestimmbarkeit des einzelnen als Betroffenen ist ein Problem, seit es das BDSG gibt, also 123 seit 1976.206 Dieses Kriterium ist entscheidend für die Anwendbarkeit des BDSG, auch der DS-RL und dann der DS-GVO. Der Hauptstreitpunkt war die Frage, ob die Beurteilung objektiv/absolut oder subjektiv/relativ vorzunehmen ist.207 Die DS-GVO löst das Problem 200 S. zu den Wirkungen von EuGH v. 6.10.2015 – C-362/14 – Schrems; Ambrock, NZA 2015, 1493. 201 S. Duhr/Naujok/Schaar, MMR 2001, Heft 7, XVI, XVII und Hinweis auf Dammann, in: Simitis (Hrsg.), BDSG, 4. Aufl., § 3 BDSG Rz. 108. 202 S. Duhr/Naujok/Schaar, MMR 7/2001, XVI f. m. Hinw. auf Dammann, in: Simitis (Hrsg.), BDSG, 4. Aufl., § 3 BDSG Rz. 109. 203 § 3 Abs. 1 BDSG definiert „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ 204 S.a. Zech, Information als Schutzgegenstand, 2012; Zech, CR 2015, 137 (138 f.), BVerfG „informationelle Selbstbestimmung“ – wesentlich weiter als „Datenverarbeitung“. 205 V. 16.12.2008 – C-73/07, CR 2009, 229. 206 S. Bergt, ZD 2015, 365. 207 Zum Theorienstreit Bergt, ZD 2015, 365 fächert 6 Ansichten auf und diskutiert diese. Kontrovers gegenüberstehend diskutiert: Brink/Eckhardt, ZD 2015, 1.
Schneider
43
A Rz. 124
Datenschutz und IT-Management
nicht: Art. 4 definiert in Abs. 1 „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insb. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“. Mit Big Data-Werkzeugen trifft dies „identifiziert werden kann“ mittlerweile auf nahezu jedes Merkmal zu. Insofern erscheint auch der Streit bzw. die Diskussion im Zshg. mit IP-Adressen208 überholt (s.a. Rz. 111). 3.1.4 Anwendbarkeit im nicht-öffentlichen Bereich 124 Für Betriebe/Unternehmen ist gem. § 1 Abs. 2 Nr. 3 i.V.m. § 27 BDSG ein eigener Abschnitt hinsichtlich der speziellen Zulässigkeitsregeln eröffnet. Das BDSG gilt gem. § 1 Abs. 2 Nr. 3 BDSG hinsichtlich – nicht-öffentlicher Stellen, die in § 2 Abs. 4 BDSG definiert sind, – soweit diese personenbezogene Daten (definiert in § 3 Abs. 1 BDSG) – unter Einsatz von Datenverarbeitungsanlagen oder – in oder aus nicht automatisierten Dateien, definiert in § 3 Abs. 2 BDSG,209 – nicht ausschließlich für persönliche oder familiäre Tätigkeiten – verarbeiten, nutzen oder dafür erheben (Definitionen in § 3 Abs. 3, 4 und 5 BDSG).210 Die Erhebung fällt nicht generell, aber dann unter die schutzrelevanten Phasen und führt zur Anwendung auch im privaten Bereich (§ 27 Abs. 1 Satz 1 BDSG), wenn diese für die Verarbeitung und Nutzung unter Einsatz von Datenverarbeitungsanlagen oder für die Verarbeitung und Nutzung aus Dateien erfolgt. 125 Für den nicht-öffentlichen Bereich sind aus dem allgemeinen Teil (Erster Abschnitt des BDSG) die Zulässigkeitstatbestände Rz. 144 ff.), die Kontrolle durch den betrieblichen Beauftragten für den Datenschutz (…) sowie die Aufsichtsbehörde i.V.m. den Rechten des Betroffenen im Einzelnen relevant. Weiterhin sind wichtig die allgemeinen Vorschriften des ersten Abschnitts, v.a. § 1 BDSG, der Ausnahmen von der Anwendung des Gesetzes enthält, §§ 2 und 3 BDSG mit Begriffsbestimmungen, § 3a BDSG mit den Geboten der Datenvermeidung und Datensparsamkeit, § 4 BDSG mit der allgemeinen Regelung der Zulässigkeit der Datenverarbeitung und -nutzung, § 4a BDSG zur Einwilligung, § 5 BDSG zum Datengeheimnis sowie § 6 BDSG mit den unabdingbaren Rechten des Betroffenen. 126 Für Konzerne bzw. international tätige Firmen wichtig sind §§ 4b, 4c BDSG Übermittlung ins Ausland. Auch der „Beauftragte für den Datenschutz“ ist im Allgemeinen Teil, §§ 4f und 4g BDSG geregelt. § 7 BDSG regelt den Schadensersatz im Grundsatz, § 8 BDSG enthält eine spezielle Gefährdungshaftung und immaterielle Schäden für öffentliche Stellen. § 9 BDSG regelt allg. die technischen und organisatorischen Maßnahmen, früher § 6 BDSG. § 10 BDSG enthält eine neue Vorschrift über die Einrichtung automatisierter Abrufverfahren, während § 11 BDSG die Verarbeitung (oder Nutzung) personenbezogener Daten im Auftrag regelt. 208 BGH v. 28.10.2014 – VI ZR 135/13 EuGH-Vorlage; zum Nachweis der Zuordnung der ermittelten IPAdresse zu einem konkreten Internetanschluss zum Tatzeitpunkt s. BGH v. 11.6.2015 – I ZR 19/14 – Tauschbörse I. 209 Zum alten Dateibegriff Goldenbohm/Weise, CR 1992, 535; Simitis, in: Simitis (Hrsg.), § 3 BDSG 1990 Rz. 92 ff. 210 Zur Ausweitung der Phasen 1990 s. z.B. Walz, CR 1991, 364.
44 Schneider
Datenschutz Grundlagen
Rz. 130
A
Der zweite Abschnitt betrifft den öffentlichen Bereich, der hier nicht weiter dargelegt wird. Der dritte Abschnitt enthält also die besonderen Vorschriften über die Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen. Der vierte Abschnitt enthält Sondervorschriften u.a. zu Forschungseinrichtungen und Medien sowie Rundfunk. Der fünfte Abschnitt enthält Straf- und Bußgeldvorschriften. Zu den Anwendungsbedingungen des BDSG für den nicht-öffentlichen Bereich:
127
– Nach § 2 Abs. 4 BDSG sind nicht-öffentliche Stellen „natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Abs. 1 bis 3 fallen“. Es handelt sich also im Wesentlichen um die natürliche Person, aber auch die Inhaberfirma, die OHG, KG, GmbH und AG sowie den e.V. Auch das Unternehmen bzw. die juristische Person hat ein allgemeines Persönlichkeitsrecht.211 Die Wirtschaftsdaten einer juristischen Person sind personenbezogen, wenn sie dem Alleinaktionär oder Gesellschafter zuzurechnen sind.212 – Die Stelle muss personenbezogene Daten erheben, verarbeiten oder nutzen. Personenbezogene Daten sind nach § 3 Abs. 1 BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. Es genügt, dass sich die Daten auf eine natürliche Person beziehen. Diese muss bestimmbar sein. Dies ist lediglich dann nicht mehr der Fall, wenn die Bestimmung, also die Individualisierung, einen unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft erfordert.213 In Streit stand die Frage des Personenbezugs v.a. für Score-Werte und IPAdressen. Bei Score-Werten ist der Bezug evident.214 Zu dynamischen IP-Adressen s. Rz. 111. Der Betroffene muss eine natürliche Person sein. Nicht erfasst sind juristische Personen. 128 Geschäftsführer oder Vorstandsmitglieder von juristischen Personen sind dennoch „Betroffene“, weil sie natürliche Personen sind. Daten der GmbH oder AG sind auf diese natürlichen Personen beziehbar und unterfallen insoweit dann dem BDSG. Jedoch sind bei Zulässigkeit bzw. Abwägung auch die Regelungen und Interessen zu beachten, die zu den Daten der juristischen Person bestehen, hinter denen die Interessen der natürlichen Person, die dadurch mit abgebildet werden, zurückzutreten haben.215 Es wäre aber denkbar, dass eine Verletzung des Persönlichkeitsrechts des Unternehmens216 zugleich eine Verletzung des Persönlichkeitsrechts des Betroffenen, der etwa Leiter bzw. Organ dieser Gesellschaft ist, darstellt. – Weiter ist erforderlich, dass die nicht-öffentliche Stelle die Daten unter Einsatz von DVA oder aus nicht automatisierten Dateien verarbeitet oder nutzt oder dafür erhebt. Der Dateibegriff ist in § 3 Abs. 2 BDSG geregelt. Es handelt sich um „jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann“.
129
– Nicht anwendbar ist das BDSG, wenn und „soweit“ eine andere Vorschrift vorrangig ist 130 (§ 1 Abs. 3 Satz 1 BDSG). Dies ist der Fall, „soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind“ – Subsidiarität. Eine Norm braucht, um diese Funktion der Vorrangigkeit zu erlangen, nicht die Anforderungen des BDSG als Mindestanforderungen zu enthalten, sondern kann vielmehr eine schwächere datenschutzrechtliche Ausgestaltung enthalten. Wichtig ist aber,
211 S. BGH v. 8.2.1994, CR 1994, 396. 212 VG Wiesbaden v. 7.12.2007 – 6 E 928/07, jur-pc 70/2008. S.a. BGH v. 24.6.2003, NJW 2003, 2904 zu GF-Daten. 213 Zu statistischen bzw. anonymisierten Daten enthält § 30 BDSG 2001 eine Spezialvorschrift. Die Definition für Anonymisieren enthält § 3 Abs. 6 BDSG. 214 S.a. zum Ansatz gesetzlicher Regelung mit Novellierung des BDSG Rz. 37. 215 S. BGH v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505 zum BDSG 1977. 216 S.a. BGH v. 8.2.1994 – VI ZR 286/93, CR 1994, 396.
Schneider
45
A Rz. 131
Datenschutz und IT-Management
dass die Norm insoweit eine „deckungsgleiche“217 Ausgestaltung des Regelungsbereichs enthält, ansonsten gilt wieder das BDSG. 131 Der Charakter des BDSG als Auffanggesetz ist also deutlich. Dies ist im Hinblick auf die Transparenz dieser Norm zu begrüßen. Die Subsidiarität besteht nur gegenüber Vorschriften des Bundes. Allerdings ist – immer noch – nicht klar, ob gewisse Mindestanforderungen hinsichtlich der datenschutzrechtlichen Ausgestaltung der vorrangigen Norm gegeben sein müssten. Die Formulierung „soweit“ könnte darauf schließen lassen, dass das BDSG i.Ü. gilt, soweit die vorrangige Norm keine Datenschutzvorschriften enthält, die dem Spektrum des BDSG entsprechen. Diese Konsequenz gilt in der Praxis nicht. Beim TMG löst sich das Problem dadurch, dass dort i.Ü. auf die Vorschriften für den Schutz personenbezogener Daten, also insb. das BDSG, verwiesen wird, und zwar auch insofern, als die Daten nicht automatisiert verarbeitet werden.218 132 Das BDSG regelt die Zulässigkeit der Datenverarbeitung nicht-öffentlicher Stellen, sog. privater Bereich, im Gegensatz zu öffentlichen Stellen bzw. öffentlicher Verwaltung, in einem einheitlichen Abschnitt (Dritter Abschnitt). Es erfolgt also die Differenzierung in Verarbeitung personenbezogener Daten für eigene und solche für fremde Zwecke im gleichen Abschnitt. Der Anwendungsbereich wird durch §§ 1 Abs. 2 i.V.m. 27 BDSG eröffnet. 133 Die Zulässigkeit der Verarbeitung wird sodann vom Prinzip des § 28 BDSG – Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke – ausgehend gestaffelt über – § 29 BDSG, geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung, – § 30 BDSG, geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung in anonymisierter Form, – § 31 BDSG, besondere Zweckbindung für Daten aus dem Bereich der Sicherheit. Diese Paragrafen bilden den ersten Unterabschnitt des dritten Abschnitts. Dieser ist überschrieben mit „Rechtsgrundlagen der Datenverarbeitung“. Zu beachten sind zugleich: – § 4d BDSG, Meldepflicht, – §§ 4f und 4g BDSG zum Beauftragten für den Datenschutz. 134 Da nach § 4 BDSG jede Verarbeitung personenbezogener Daten im Anwendungsbereich des BDSG zunächst einmal verboten ist, bedarf es, wenn nicht die Einwilligung des Betroffenen (s. Rz. 174 ff.) vorliegt oder ein anderes Gesetz dies erlaubt, der Zulässigkeitsvoraussetzungen nach dem BDSG. Einzige Ausnahme ist der Umgang mit personenbezogenen Daten für rein private (persönliche und familiäre) Tätigkeiten (§ 1 Abs. 2 Nr. 3 BDSG). Für den Betrieb kommt i.d.R. § 28 BDSG, Verarbeitung für eigene Zwecke, als Zulässigkeitsnorm in Betracht, wenn es sich um einen Handels- oder Produktionsbetrieb handelt. Auskunfteien, Detekteien, Warndienste, wie z.B. SCHUFA, Adressverlage u.Ä. fallen unter § 29 BDSG, geschäftsmäßige Datenerhebung- und -speicherung zum Zwecke der Übermittlung. Der Beschäftigtendatenschutz bzw. genauer: die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses ist speziell nach § 32 BDSG zu beurteilen (s. Rz. 719 ff.).
217 Dix, in: Simitis, BDSG, 8. Aufl., § 1 Rz. 170. 218 § 12 Abs. 4 TMG.
46
Schneider
Datenschutz Grundlagen
Rz. 138
A
3.2 Verbotsprinzip, Datenvermeidung, Datensparsamkeit, Qualität, schutzrelevante Phasen Im Anwendungsbereich des Gesetzes, im nicht-öffentlichen Bereich, also bei automatisier- 135 ten Verfahren oder Dateien mit personenbezogenen Daten, gilt das Verbotsprinzip: jegliche Erhebung, Verarbeitung oder Nutzung ist verboten, es sei denn, dass ein Gesetz (das BDSG oder ein anderes) dies erlaubt oder eine Einwilligung des Betroffenen vorliegt. Auch die DS-RL besagt, dass die Verarbeitung „lediglich erfolgen darf, …“ (Art. 7 Satz 1 DS-RL, s. Rz. 57 ff.). Auch Art. 8 Abs. 2 GRCh enthält dieses Verbotsprinzip. Die DS-GVO hat das Verbotsprinzip übernommen, Art. 6 (s.a. Rz. 533). Insofern erscheinen allerdings die Regelungen, die auf dem risikobasierten Ansatz beruhen, inkompatibel, s.a. Rz. 571. Das BDSG erlaubt – wie auch die DS-RL und die DS-GVO – nicht etwa die „normale“ Verarbeitung personenbezogener Daten i.R.d. Alltags-Kommunikation und der Geschäfte des täglichen Lebens, um sie für bestimmte Daten, evtl. niedergelegt in einem Katalog bzw. ab einer bestimmten Grenze der Sensibilität und bei Zweckentfremdung, zu verbieten. Das Verbotsprinzip des BDSG ist vielmehr umfassend und erfordert eine Grundlage für jede Art der Erhebung, Verarbeitung und Nutzung.219 Allerdings sind die Zulässigkeitstatbestände weit genug, um die Regel – Verbot – zur Ausnahme werden zu lassen. Das Verbot ist entgegen dem Wortlaut des Gesetzes im Ergebnis nicht das normale praktische Ergebnis, sondern eher die Ausnahme.220
136
Soweit eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat der Europäischen Uni- 137 on oder einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum gelegen ist, Daten im Inland erhebt, verarbeitet oder nutzt, findet das BDSG Anwendung. Das bedeutet, da auch die DS-RL das Verbotsprinzip vorsieht, dass innerhalb der EU einheitlich ein grundsätzliches Verbot zu beachten ist. In anderen Mitgliedsstaaten wurde das bislang kaum wahrgenommen, wohl weil eine Generalklausel einfachen Zuschnitts (also anders als §§ 28, 29 BDSG) im Focus der Anwendung steht.221 Ist die Hürde des Verbots überwunden, gelten die Prinzipien der Datenvermeidung und der Datensparsamkeit (§ 3a BDSG) sowie der Zweckbindung. Durch das Verbotsprinzip sind die Funktionen dieser weiteren Prinzipien wie auch spezieller Verwendungsregeln unnötig, in der Wirkung schwach und als unlogisch schwer vermittelbar. Wie soll man sich zusätzlich zum Verbotsprinzip, wenn konkret die Zulässigkeit im Einzelfall festgestellt wird, die dogmatische Begründung und logisch richtige Handhabung der Datenvermeidung vorstellen? Ursprünglich war das Gebotsduo Vermeidung und Sparsamkeit auf die technische Ausgestal- 138 tung gerichtet, was Sinn machte. Datenvermeidung und Datensparsamkeit waren bereits in TDDSG/MDStV enthalten, dort weitgehend unbekannt und wirkungslos geblieben, und wurden allgemeines Datenschutzrecht (§ 3a BDSG 2001). Damit verbreiterte sich die Basis der Regeln, die nicht auf den Umgang mit personenbezogenen Daten im Einzelnen abstellen, sondern auf Systemgestaltung und strukturelle Maßgaben – „Systemdatenschutz“.222 Seit 2009 gilt das Gebot verallgemeinert, betrifft den Umgang mit Daten ohne die technische Orientierung und ist nun ein sog. reiner Programmsatz.223 Das Verbotsprinzip gilt auch beim Recht auf informationelle Selbstbestimmung, nicht beim allgemeinen Persönlichkeitsrecht. Dem „Systemdatenschutz“ lassen sich die Regelungen zu technisch organisatorischen Maß-
219 Zu den Ausnahmen im Geltungsbereich – „private“ DV, s. Rz. 134, 428, 530 (DS-GVO). 220 Zu den Zulässigkeitstatbeständen s. Rz. 144 ff. 221 UK z.B. http://www.legislation.gov.uk/ukpga/1998/29/contents als Kombination von Art. 6 und 7 DS-RL. 222 S. dazu z.B. Roßnagel, DuD 1999, 253; Gola/Schomerus, BDSG, 12. Aufl., § 3a Rz. 4; Hackenberg, in: Hoeren/Sieber/Holznagel, 42. EL 2015, Teil 16.7 Big Data Rz. 43 f. 223 S. z.B. Gola/Schomerus, BDSG, 12. Aufl., § 3a Rz. 2.
Schneider
47
A Rz. 139
Datenschutz und IT-Management
nahmen (§ 9 BDSG mit Anlage; s. Rz. 240 ff.), Abrufverfahren (§ 10 BDSG) und AuftragsDV (§ 11 BDSG)224 zuordnen.225 139 Die DS-RL trug dem Anliegen nach Ausgleich u.a. dadurch Rechnung, dass sie gleichwertig neben dem „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ den Zweck „freier Datenverkehr“226 verfolgt. Dem trägt Art. 1 Abs. 2 DS-RL Rechnung, in dem es heißt: „Die Mitgliedsstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen den Mitgliedsstaaten aus Gründen des gemäß Abs. 1 gewährleisteten Schutzes.“ Wie erwähnt, ist wieder die Qualität der Daten ein besonderes Anliegen (in Art. 6 DS-RL geregelt), wobei hervorzuheben ist, dass die Daten neben der Zweckbindung auch richtig und, falls erforderlich, auch aktuell sein müssen und nicht länger in einer Form aufbewahrt werden dürfen, die die Identifizierung der betroffenen Personen ermöglicht, als für die Realisierung der angestrebten Zwecke erforderlich ist (Art. 6 Abs. 1 lit. e DS-RL). 140 Das BDSG ist (auch) ein Eingriff227 in die wirtschaftliche Betätigungsfreiheit der Unternehmen, also nicht nur ein Schutzgesetz228 zugunsten der Betroffenen. Ursprünglich war dieser Eingriff dadurch dosiert, dass er nur gegenüber besonderen Gefährdungen galt, die wiederum in bestimmten Phasen der Datenverarbeitung gesehen wurden, die dementsprechend geregelt wurden. Noch heute enthält das BDSG entsprechende Phasen auch in den Definitionen bzw. den Zulässigkeitstatbeständen. S. Rz. 124. 141 Die Zulässigkeitsnormen, insb. § 28 BDSG, beziehen diese Einteilung in Phasen noch weitgehend ein, häufig allerdings relativ pauschal. Zum Beispiel zählt § 28 in Abs. 1 die Phasen einzeln auf: „Erheben“, „Speichern“, „Verändern“ oder „Übermitteln“ und „Nutzen“. § 28 Abs. 2 stellt nur auf Übermittlung oder Nutzung für einen anderen Zweck ab. D.h. also, dass dem Grunde nach zunächst die Phasen relativ weit bei der Zulässigkeit zusammenhängend geregelt sind, während dann einzelne Vorgänge auch an einzelne Phasen geknüpft werden. Das Erheben z.B. spielt eine besondere Rolle auch im Bereich der besonderen Arten personenbezogener Daten, § 28 Abs. 6 und 7 BDSG. 142 Grds. ist stets darauf zu achten, ob für den konkreten Fall für die in Frage kommende Art des Umgangs, ausgedrückt in einer der Phasen, die entsprechende Zulässigkeit gegeben ist. Dies gilt auch für die Einwilligung, die deutlich machen muss, für welche Phasen sie gegeben werden soll. Anders herum gesagt: Das Verbotsprinzip gilt nicht für solche Arten des Umgangs mit personenbezogenen Daten, die nicht durch die entsprechenden Phasen des BDSG oder anderer Rechtsvorschriften abgedeckt sind. Solche sind allerdings in der Praxis kaum mehr vorstellbar. 143 Indirekt ergibt sich eine andere Abschichtung, dass nämlich an einer Reihe von Stellen zwischen der automatisierten und der konventionellen Datenverarbeitung unterschieden wird und besondere Anforderungen nur für die automatisierte Verarbeitung gelten. Den umgekehrten Fall regelt § 32 BDSG, der ausdrücklich auch für konventionelle Verarbeitung (ohne Automation der Verarbeitung oder der Datei) gilt (§ 32 Abs. 3 BDSG). Der Anwendungsbereich des Gesetzes ist also für Beschäftigtendaten auch eröffnet, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. Dies ist wichtig für die Geltung des
224 Zum Systemdatenschutz s. Hackenberg, in: Hoeren/Sieber/Holznagel (Hrsg.), Teil 16.7 Rz. 43 f., 38. EL Stand 3/2014, und zum Ansatz in § 15 TMG Rz. 1278. 225 S. Lotz/Wendler, CR 2016, 31 (33). 226 ABl. Nr. L 281, 31. 227 S.a. Gola/Schomerus, BDSG, 12. Aufl., Rz. 16 zu § 1. 228 S. Gola/Schomerus, BDSG, 12. Aufl., Rz. 3 ff. zu § 1 zu den Implikationen.
48 Schneider
Datenschutz Grundlagen
Rz. 147
A
§ 32 Abs. 1 BDSG, der somit unabhängig von der Art der Verarbeitung der personenbezogenen Daten gilt. 3.3 Zulässigkeit, Zweckbindung, Zweckänderung 3.3.1 Zweckbindung Aufgrund des Verbotsprinzips sind in einem nächsten Schritt – nach Feststellung der Gel- 144 tung des BDSG – die „Ausnahmen“ vom Verbot, also die Zulässigkeitsvoraussetzungen, zu prüfen. Diese sind naturgemäß sehr weit, pauschal und abstrakt. Die für den nicht-öffentlichen Bereich besonders relevanten Vorschriften hierzu sind §§ 28 und 29 BDSG. § 28 BDSG regelt die Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke, § 29 BDSG die geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Datenübermittlung. In diesem Zshg. taucht ein Prinzip auf, das grds. geeignet wäre, als primäres Schutzinstru- 145 ment (i.V.m. Erforderlichkeit) zu fungieren, nämlich die „Zweckbindung“. Statt des Verbotsprinzips wäre es evtl. wesentlich pragmatischer und im Ergebnis wirksamer, die Voraussetzung zu anderen Zwecken unter ähnliche Vorbehalte zu stellen, wie das BDSG die gesamte Datenverarbeitung stellt. Das würde es ermöglichen, die „normale“ Verarbeitung und Kommunikation entsprechend als zulässig zu erachten, soweit sie sich innerhalb des durch die Zweckbindung gegebenen Rahmens bewegt. Dies sei erwähnt, weil die Zweckbindung ein hervorragendes Instrument zur Steuerung der Datenflüsse sein könnte. Vorbild war das Autobahnmautgesetz. Bekanntlich geriet aber auch dieses in die Diskussion, für Zwecke der Strafverfolgung, also auch für andere Zwecke genutzt zu werden.229 Ähnliche Problemlagen entstehen nunmehr verstärkt durch e-Mobile, smart life, Wearables (Fitnessarmbänder, Datenbrillen oder Sensoren in der Kleidung, s.a. Rz. 625 f.), also die Entwicklungen bei „EHealth“ u.ä., wenn Fahrdaten, Trainingsdaten (einschl. Gesundheitsdaten) bei den Providern, Herstellern der Geräte anfallen. Als „Activity Tracker“ können sie Teil betrieblicher bzw. betrieblich veranlasster Gesundheitsprogramme sein, wenn die Vorgaben des BDSG beachtet werden.230 § 28 BDSG legt zunächst einmal für eine abgestufte Rangfolge fest, wann die Verarbeitung zulässig ist. Ohne Abwägung bzw. Einschränkung ist die Erhebung, Verarbeitung und Nutzung i.R.v. § 28 Abs. 1 Nr. 1 BDSG zulässig, wenn dies der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. Dies erfasst also alle Situationen, in denen jemand einen Vertrag mit einer Institution anbahnt oder schließt bzw. geschlossen hat. Das betrifft ebenso Arbeitnehmerverträge wie Online-Kaufverträge (wobei für den Onlinebereich zum Teil spezielle Regelungen gelten, s. B Rz. 389 ff., 495 ff. (E-Commerce).
146
§ 28 Abs. 1 Nr. 2 BDSG enthält einen zusätzlichen Vorbehalt für den Fall, dass kein ausrei- 147 chender Grad an Beziehung besteht, wenn nämlich die Erhebung, Verarbeitung oder Nutzung zur Wahrung berechtigter Interessen der verantwortlichen Stelle dient und dafür erforderlich ist. In diesem Falle darf, vom Wortlaut her, „kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Im Ergebnis wird hier eine Interessen-Abwägung stattzufinden haben.231
229 S.a. AG Gummersbach v. 21.8.2003 – 10a Gs 239/03, NJW 2004, 240: „… ein umfassendes, auch die allgemeinen strafprozessualen Eingriffsbefugnisse einschließendes Verwertungsverbot kann dem Autobahnmautgesetz nicht entnommen werden.“, Demgegenüber für völlig beschränkte Verwendung nur für ABMG: LG Magdeburg v. 3.2.2006 – 25 Qs 7/06, juris. 230 S. Kopp/Sokol, NZA 2015, 1352. 231 Gola/Schomerus, BDSG, 12. Aufl., § 28 Rz. 24 ff., 27.
Schneider
49
A Rz. 148
Datenschutz und IT-Management
148 Das versteckte Problem dabei ist, ob und inwieweit eine Stelle, die grds. schon die Berechtigung zur Datenverarbeitung nach § 28 Abs. 1 Nr. 1 BDSG hat, weil ein Vertrag mit dem Kunden besteht, sich zusätzlich für andere Fälle auf Nr. 2 berufen kann. Hierzu ist v.a. die restriktive Meinung von Simitis bekannt geworden, wonach der Katalog der Möglichkeiten nach § 28 BDSG nicht in das Belieben des Datenverarbeiters gestellt wird, sondern er diejenige Kategorie für sich zu prüfen und sich an dieser zu orientieren hat, die für den konkreten Fall zutreffend ist, sodass die verantwortliche Stelle sich den Anknüpfungspunkt „weder beliebig auswählen noch und erst recht kumulativ auf die Zulässigkeitsgründe zurückgreifen kann“.232 3.3.2 § 28 BDSG, einzelne alternative Tatbestände 149 § 28 BDSG enthält in Abs. 1 das Prinzip der Zulässigkeit für Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder für die Nutzung, und zwar jeweils „als Mittel für die Erfüllung eigener Geschäftszwecke“. Dieses Grundprinzip verteilt sich auf drei Ausprägungen (Nr. 1 bis 3). § 28 Abs. 2 BDSG regelt darüber hinaus weitere Zulässigkeitsvarianten für die Übermittlung und Nutzung.233 Die Zulässigkeit der jeweiligen Art des Umgangs muss jeweils gesondert gegeben sein. D.h. dass an sich zulässigerweise gespeicherte Daten nicht ohne Weiteres beim Anwender genutzt werden dürfen. Vielmehr ist jeweils für weitere Phasen und für jeden einzelnen Vorgang die Zulässigkeit zu prüfen. Typisch ist etwa die Auswertung der zulässig gewonnenen Kundendaten für andere Zwecke als den ursprünglich der Erhebung, Speicherung und Nutzung zugrunde liegenden Vertrag.234 150 Vorsorglich eine Einwilligung einzuholen,235 wäre eine Vorsichtsmaßnahme, kann aber unerwünschte wettbewerbsrechtliche Folgen haben. Die Einwilligung sollte nur insoweit eingeholt werden, als sie Vorgänge betrifft, die über das ohnehin Erlaubte hinausgehen, drohen dann aber, wegen Intransparenz und v.a. § 7 Abs. 2 UWG unwirksam zu sein.236 151 Das Erheben, Speichern, Verändern oder Übermitteln oder die Nutzung sind nach § 28 Abs. 1 BDSG – ohne Einwilligung des Betroffenen237 – zulässig entweder: 1. Alternative, § 28 Abs. 1 Satz 1 Nr. 1 BDSG: „Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses“. Zur Präzision zwingt: „Wenn es der Zweckbestimmung … dient.“ Eine Abwägung ist nicht gefordert. Entscheidend ist die Zweckdienlichkeit für das Vertrags- bzw. Vertrauens- (v.a. Vertragsanbahnungs-)Verhältnis. Während das Merkmal Vertragsverhältnis relativ klare Konturen hat, ist die gleichwertig erachtete Variante des vertragsähnlichen Vertrauensverhältnisses denkbar vage, zumindest weit, weshalb eine restriktive Auslegung geboten ist.238 Typisch dürfte etwa die Bewerbungsphase für eine neue Stelle sein.
232 Simitis, in: Simitis, BDSG, 8. Aufl., § 28 Rz. 54 und dazu Rz. 141. 233 Zur Übersicht der Übermittlungen des Arbeitgebers Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 6. Aufl. Rz. 250 ff. 234 S. z.B. zu Inverssuche OLG Köln v. 10.11.2000, CR 2001, 454; OLG München v. 23.5.2006, MMR 2006, 753 (LG München I v. 13.9.2005, RDV 2006, 22); zu freiwilliger Beschränkung der Inverssuche LG München I v. 9.3.2006 – 12 O 12679/05, RDV 2006, 169; keine Einwilligung erforderlich bei TKVerzeichnis: BGH v. 5.7.2007 – III ZR 316/06, CR 2007, 567; s. Rz. 1345. 235 Zur Einwilligung s. Rz. 174 ff., 539 ff. 236 LG München I v. 1.2.2001 – 12 O 13009/00, CR 2001, 470 – Payback I unter UWG-Aspekten; s.a. LG München I v. 9.3.2006 – 12 O 12679/05, RDV 2006, 169; zu Opt-out-Klausel für datenschutzrechtliche Einwilligung OLG München v. 28.9.2006 – 29 U 2769/06, ITRB 2007, 30 und zu SMS- und E-Mail-Werbung a.M. BGH v. 16.7.2008 – VIII ZR 348/06 zu § 7 Abs. 2 UWG. 237 Zur Einwilligung s. Rz. 174 ff., 539 ff.; s.a. LG Halle v. 18.3.1996, CR 1998, 85 zur formularmäßigen Einwilligungsklausel zur Datenspeicherung bei Wirtschafts- und Finanzberatungsverträgen. 238 S. Simitis, in: Simitis, BDSG, 8. Aufl., § 28 Rz. 87.
50
Schneider
Datenschutz Grundlagen
Rz. 156
A
2. Alternative, § 28 Abs. 1 Satz 1 Nr. 2 BDSG: Die gleichen Verarbeitungsphasen sind zulässig, („oder“) „soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stellen erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. In einem ersten Prüfungsschritt geht es darum, ob die Verarbeitungsschritte zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich sind. Beim zweiten Prüfungsschritt geht es um das schutzwürdige Interesse des Betroffenen und darum, ob Grund zu der Annahme besteht, dass dieses überwiegt.
152
Die Praxis versteht dies so, dass nicht schon Anhaltspunkte genügen, vielmehr konkret eine Abwägung der beiden Interessenlagen für den Einzelfall zu erfolgen hat.239 Diese Auslegung hat weitere Auswirkungen, und zwar zum einen auf die Darlegungs- und Beweislast und sodann auf die Beurteilung des Verhältnisses der in § 28 BDSG geregelten Alternativen untereinander. Zunächst zur Beweislast.
153
Nach § 23 2. Alt. BDSG 1977 ging es noch darum, ob schutzwürdige Belange des Betroffenen 154 beeinträchtigt werden. Daraus resultierte das Abwägungsmodell, wie es längere Zeit trotz der späteren Änderung benutzt wurde.240 Nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG ist Voraussetzung, dass kein Grund zur Annahme besteht, dass schutzwürdige Interessen/Belange des Betroffenen überwiegen. Insoweit ist eine „Pauschalprüfung“ erforderlich, aber auch ausreichend, sodass evtl. im Einzelfall bestehende besondere Aspekte erst i.R.d. Widerspruchsrechts Wirkung erlangen.241 Es erfolgt also primär eine Pauschalprüfung für das jeweilige Geschäftsmodell, nicht für den Einzelfall, wenn nicht insoweit konkrete Einzelheiten als entgegenstehend bekannt sind oder werden. Der Betroffene trägt insoweit die Beweislast. Der Betroffene muss darlegen und beweisen, dass sein schutzwürdiges Interesse die Interessen des Anwenders überwiegt. Diese Frage wird auch relevant, wenn es um das Verhältnis der Tatbestandsvarianten untereinander geht. Die restriktive Folge ist, dass ein Vertragspartner etwa über die Daten hinaus, die für die Abwicklung der vertraglichen Beziehung erforderlich sind, keinen weiteren Rechtfertigungsgrund aus den Alternativen § 28 Abs. 1 Nr. 2 und 3 BDSG gewinnen kann. Zulässig nach § 28 Abs. 1 Nr. 1 BDSG erhobene und zu verarbeitende Daten zu bevorraten, lässt sich demnach nicht dadurch rechtfertigen, dass man auf die Wahrung berechtigter Interessen des Anbieters i.R.d. Vertragsverhältnisses (§ 28 Abs. 1 Nr. 2 BDSG) verweist.242 Die Zweckänderung beurteilt sich dann nach § 28 Abs. 2 BDSG.
155
Die 3. Alternative des § 28 Abs. 1 BDSG besagt, dass die Daten zulässigerweise für die Er- 156 füllung eigener Geschäftszwecke verarbeitet werden, wenn die Daten allgemein zugänglich sind oder die sie speichernde Stelle sie veröffentlichen dürfte, „und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung offensichtlich überwiegt“. Demnach ist keine, jedenfalls keine „intensive“ Einzelfallprüfung erforderlich.243 Allerdings wird Hinweisen nachzugehen sein, etwa dass die Daten zwar historisch richtig sind, aber hinsichtlich weiterer Verwertung das
239 H.M., s. z.B. schon BGH v. 15.12.1983 – III ZR 207/82, NJW 1984, 1889; zum schutzwürdigen Interesse i.R.d. BDSG 1977 s. Simitis in: Simitis, BDSG, 8. Aufl., § 28 Rz. 125, 138 sowie BGH v. 19.5.1981 – VI ZR 273/79, NJW 1981, 1738 und BGH v. 7.7.1983 – III ZR 159/82, NJW 1984, 436/437. 240 Zum Abwägungsmodell s. v.a. BGH v. 15.12.1983, NJW 1984, 1889 im Zshg. mit Kreditinformationssystem der SCHUFA. 241 Gola/Schomerus, BDSG, 12. Aufl., § 28 Rz. 28. 242 S. Gola/Schomerus, BDSG, 12. Aufl., § 28 Rz. 9 unter Hinweis auf die Aufsichtsbehörde BW, noch zu BDSG 1977; zur unzulässigen Erhebung mit Fragebogen s.a. Rz. 837 ff. 243 S. Gola/Schomerus, 12. Aufl., § 28 BDSG Rz. 31.
Schneider
51
A Rz. 157
Datenschutz und IT-Management
Recht auf Vergessen entgegenstehen kann.244 Es können ein besonderer Sachverhalt und mithin auch besondere Daten in Frage stehen, wo das schutzwürdige Gegeninteresse genügend deutlich als Möglichkeit erkennbar ist.245 157 So genannte Fremdforschung, § 28 Abs. 3 Nr. 4 BDSG. Diese Zulässigkeitsalternative trägt der Freiheit von Forschung und Wissenschaft Rechnung, was bei der Prüfung, ob das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt, zu berücksichtigen ist, und zwar als sozusagen gewichtiger Grund aufseiten der Daten verarbeitenden Stelle. 158 Nach § 28 Abs. 1 Satz 2 BDSG 1990 mussten die Daten „nach Treu und Glauben und auf rechtmäßige Weise erhoben werden“. Dies entfiel 2001 – gehörte aber zu den Grundsätzen der DS-RL (Art. 6, (wird nun Art. 5 DS-GVO) s.a. Rz. 50). Stattdessen wurde die Pflicht der verantwortlichen Stelle aufgenommen, „bei der Erhebung … die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen“ (§ 28 Abs. 1 Satz 2 BDSG). I.V.m. dem Hauptfall eines Vertrags- oder eines vertragsähnlichen Vertrauensverhältnisses zwingt dies zur Definition und Dokumentation der Zwecksetzung. Für andere Zwecke dürfen die Daten nur unter erneut zu prüfenden Voraussetzungen, also ggf. auch erneuter Abwägung, übermittelt oder genutzt werden (§ 28 Abs. 1 BDSG). 159 Die Zulässigkeitstatbestände sind sehr weit. Im Ergebnis führte dies zu extensivem Datenhandel. Diesem sollte durch die Novellierung des BDSG 2009 Einhalt geboten werden.246 Tatsächlich war der Effekt wohl sehr gering, der von der Regelung ausging: § 28a Übermittlung an Auskunfteien, also eine Spezialnorm, die nur gilt, wenn Empfänger der Daten eine Auskunftei ist, und § 28b Scoring. Eine stärkere Zweckbindung gibt es bei besonderen Arten von Daten, etwa in § 28 Abs. 6 BDSG. Für Gesundheitsdaten gelten zudem spezielle Regeln gem. § 28 Abs. 7 BDSG für die Zulässigkeit der Erhebung, etwa zum Zwecke der Gesundheitsversorgung und für die Verarbeitung durch spezielles Personal. Diese Voraussetzungen sind aber bei den schon angedeuteten smart life und health-bezogenen Geräten und Übermittlungen oft nicht gegeben, sodass allenfalls Einwilligungen helfen könnten. 160 Bei Big Data droht, dass u.a. auch Gesundheitsdaten in die Sammlung und Auswertung einbezogen werden, ohne dass die Voraussetzungen gegeben sind. Das Working Paper „Purpose Limitation“247 der Art.-29-Gruppe hat auch zur Verwendung von personenbezogenen Daten i.R.v. Big Data Stellung genommen. Danach ist eine Einwilligungserklärung bei Big Data zumindest dann erforderlich, wenn die Analyse sich gezielt auf eine bestimmte Person bezieht, so etwa i.R.v. Tracking und Profiling. Bei Online-Datenerhebungen empfiehlt die Art.29-Gruppe zudem „Multi-Layer-Privacy-Notices“. Diese sollen auf userfreundliche und leicht zugängliche Art und Weise bereitgehalten werden, wobei zusätzliche Informationen über Links erreichbar sein müssen. 161 Mitarbeiterdaten waren als „Normalfall“ bei Zulässigkeit der Erhebung, Verarbeitung und Nutzung für die Zwecke eines Vertragsverhältnisses nach § 28 Abs. 1 Nr. 1 BDSG zu beurteilen, hier des Mitarbeiter-Vertragsverhältnisses, etwa Abrechnungen u.Ä. Bewerberdaten waren nach der gleichen Norm zulässigerweise zu erheben und zu verarbeiten, naturgemäß aber zunächst nur für die Zwecke des Anbahnungsverhältnisses. Wurde der Vertrag geschlossen, konnten die Daten gem. § 28 für das Mitarbeiterverhältnis verwendet werden (Be244 Als Konsequenz aus EuGH v. 13.5.2014 – C-131/12 – Google Spain, s. z.B. OLG Hamburg v. 7.7.2015 – 7 U 29/12, CR 2016, 86 zum „Recht auf Vergessenwerden“ auch gegen Internetarchiv-Betreiber. 245 S. Gola/Schomerus, BDSG, 12. Aufl., § 28 Rz. 32. 246 Zur Forderung des Bundesrats nach Verschärfung des bisherigen Entwurfs zur BDSG-Novellierung durch starke Regulierung der Auskunfteien und des Scoring s. heise-Meldung v. 19.9.2008 (116250); s.a. zum Verbotsprinzip, Rz. 297 i.V.m. Rz. 41 f. 247 WP 203 – Opinion 03/2013 on purpose limitation; v.a. Annex II zu Big Data, S. 45 f., zu Layered notice S. 52 f.
52 Schneider
Datenschutz Grundlagen
Rz. 165
A
stands-, Vertragsdaten), wurde der Bewerber abgelehnt, entfällt die Erforderlichkeit der Speicherung, sodass die Daten zu löschen sind. Dies gilt auch im Prinzip, seit § 32 BDSG als Spezialnorm für Mitarbeiterdaten eingeführt wurde. Allerdings stellte sich die Frage, inwieweit für andere Zwecke als das Beschäftigungsverhältnis die Daten ggf. nach § 28 zu nutzen waren. S. zu Daten im Beschäftigungsverhältnis Rz. 719 ff. Zu anderen Zwecken als unmittelbar für Zwecke des Anbahnungs- oder Vertragsverhältnis- 162 ses dürfen die Daten gem. § 28 Abs. 2 BDSG unter den Voraussetzungen des § 28 Abs. 1 Satz 1 Nr. 2 und 3 BDSG übermittelt und genutzt werden. § 28 Abs. 1 Satz 2 BDSG erfordert, dass die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, bei der Erhebung konkret festzulegen sind. So ist feststellbar, ob eine Zweckänderung vorliegt. § 28 Abs. 3 BDSG enthält eine Ausweitung der Möglichkeiten zur Zweckänderung und erklärt Übermittlung oder Nutzung für einen anderen Zweck zudem für drei Kategorien für zulässig:
163
Nr. 1: „soweit es zur Wahrung berechtigter Interessen eines Dritten“ erforderlich ist oder Nr. 2: zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten oder Nr. 3: sog. listenförmige Übermittlung – für Zwecke der Werbung, der Markt- und Meinungsforschung, „wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf a) eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe, b) Berufs-, Branchen- oder Geschäftsbezeichnung, c) Namen, d) Titel, e) akademische Grade, f) Anschrift und Geburtsjahr, beschränken und kein Grund zu der Annahme besteht …“
Wenn zusätzliche Daten aufgenommen werden, würde das die Gesamtliste unzulässig machen (wenn nicht ein anderer Rechtfertigungsgrund vorliegen würde), da die Erlaubnis zur listenmäßigen Übermittlung nur gilt, wenn das Datenspektrum entsprechend „beschränkt“ ist. Des Weiteren ist erforderlich, dass „kein Grund zu der Annahme besteht, dass der Betroffe- 164 ne ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat“ (§ 28 Abs. 3 Satz 1 Nr. 3 BDSG). § 28 Abs. 3 Satz 2 BDSG stellt darüber hinaus eine gesetzliche Vermutung für den Fall Nr. 3 auf, wonach anzunehmen ist, dass „dieses Interesse besteht, wenn im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses gespeicherte Daten übermittelt werden sollen, die sich auf strafbare Handlungen, auf Ordnungswidrigkeiten, bei Übermittlung durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhältnisse beziehen“.248 Das bedeutet, dass die Frage, ob eine Stelle berechtigt ist, listenmäßig Daten z.B. an befreun- 165 dete Firmen, eine Reparaturwerkstätte etwa an einen Versicherer, weiterzugeben, vom Gesetz mit der Vermutung geregelt ist, dass dies dem Interesse der Betroffenen zuwiderläuft.249
248 Ähnlich s. z.B. den Negativkatalog im französischen Datenschutzgesetz. 249 Für Arbeitnehmerdaten wurde (vor Geltung des § 32 BDSG) z.B. die Übermittlung von Namen und Anschriften aller Arbeitnehmer an eine Gewerkschaft zwecks Einladung zu einer Betriebsversamm-
Schneider
53
A Rz. 166
Datenschutz und IT-Management
166 Interessenten-Daten können als der Begründung eines rechtsgeschäftsähnlichen Schuldverhältnisses gem. § 28 Abs. 1 Satz 1 Nr. 1 BDSG zulässig sein. Die Daten eines Bestellers oder Interessenten, der einen Katalog oder ein Angebot anfordert, Mitgliedschaft beantragt u.Ä., sind unproblematisch zulässig erhoben und gespeichert. Die Schwierigkeiten betreffen die Nutzung über den Zweck hinaus und nach Erledigung des Zwecks. Schematisch entfällt mit dem Abbruch der Verhandlungen, etwa Ablehnung der Bestellung durch den Anbieter oder des Angebots durch den Interessenten, die Zulässigkeit. Die bloße Hoffnung, irgendwann käme es doch zum Vertragsschluss, evtl. zu anderen Bedingungen, rechtfertigt die weitere Speicherung nicht.250 Wird aus dem Interessenten ein Kunde, richtet sich der Umfang der Zulässigkeit nun nach diesem Vertragsverhältnis. Dabei dürfte weitgehende Deckungsgleichheit mit dem Zweck des Anbahnungsverhältnisses bestehen, etwa für die Berechtigung der im Antrag an die Versicherung genannten Gesundheitsdaten. 167 Kunden-Daten sind im Hinblick auf die Zweckbestimmung des Vertragsverhältnisses zu prüfen. Für die Speicherung ist dies meist relativ gut bestimmbar. Hinsichtlich der Übermittlung an Dritte stellen sich evtl. Probleme, etwa bei zentralen Datenbanken im Konzern, bei Information an den Rückversicherer, an die Bank oder SCHUFA, an Inkasso u.Ä., die ggf. über die Alternative „berechtigter Interessen“, § 28 Abs. 1 Satz 1 Nr. 2 BDSG, gelöst werden251 oder über § 28 Abs. 3 BDSG, wie dies die SCHUFA selbst anstrebt. Der Text der SCHUFA-AGB aus dem Vertrag mit den Partnerfirmen lautete (inzwischen gilt § 28a BDSG) hinsichtlich der „Meldungen über nicht-vertragsgemäßes Verhalten“: „Die Übermittlung von Merkmalen über nicht vertragsgemäßes Verhalten darf nur dann erfolgen, wenn die in § 28 Abs. 3 BDSG genannten Voraussetzungen erfüllt sind, d.h. die Datenweitergabe zur Wahrung berechtigter Interessen eines Vertragspartners der SCHUFA erforderlich ist und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat“.252 168 Dazu passt AG Plön,253 wonach die „standardmäßige“ Androhung einer „SCHUFA“-Meldung und/oder Androhung der Mitteilung an einen „Pool“ zur Geltendmachung eines Unterlassungsanspruchs berechtigt, „wenn nicht unbestrittene oder rechtskräftig festgestellte Forderungen des Anbieters gegenüber dem Kunden vorliegen“. Neben der Prüfung der Vertragswidrigkeit muss also zusätzlich die Abwägung vorgenommen werden.254 „Standardmäßig“ lässt vermuten, dass es sowohl an der Prüfung rechtmäßiger Einwendungen bzw. Gegenforderungen fehlt als auch an der Einzelfallabwägung. Im Hinblick auf § 28a BDSG, Datenübermittlung an Auskunfteien, muss ein Hinweis, hier eines Mobilfunkunternehmens, auf die bevorstehende Übermittlung der Daten des Schuldners an die SCHUFA deutlich machen § 28a Abs. 1 Satz 1 Nr. 4 BDSG, „dass ein Bestreiten der Forderung durch den Schuldner selbst ausreicht, um eine Übermittlung der Schuldnerdaten zu verhindern“.255 169 Diese evtl. Grauzone von Unsicherheit veranlasst häufig, zum Mittel der Einwilligung zu greifen. Genau diese Unsicherheit der genauen Zuordnung führt allerdings dazu, dass die
255
lung als unzulässig erachtet, LAG Hamburg v. 16.6.1992 – 2 TaBV 10/91, CR 1994, 417. S.a. Rz. 760 ff. Simitis, in: Simitis, BDSG, 8. Aufl., § 28 Rz. 96. S.a. Simitis, in: Simitis, BDSG, 8. Aufl., § 28 Rz. 78 f. Zitiert aus Kamlah/Hoke, RDV 2007, 242; s.a. OLG Frankfurt v. 18.6.2008 – 23 U 221/07: „weiche“ Negativmerkmale dürfen übermittelt werden, wenn das Verhalten des Kunden auf Zahlungsunfähigkeit oder -unwilligkeit beruht (hier: Kreditkündigung). AG Plön v. 10.12.2007 – 2 C 650/07 – „SCHUFA-Schock“, MMR 2008, 269; s.a. sogleich zu SCHUFA Rz. 172, 204 ff. AG Plön v. 10.12.2007 – 2 C 650/07 – „SCHUFA-Schock“, MMR 2008, 269; s.a. Rz. 198 ff. (Pranger u.a. Warndateien). BGH v. 19.3.2015 – I ZR 157/13.
54
Schneider
250 251 252 253 254
Datenschutz Grundlagen
Rz. 173
A
Einwilligung auch zu viel abzudecken sucht, unübersichtlich, schwer verständlich und in der Folge unwirksam wird.256 Lieferanten-Daten betreffen zunächst, ähnlich wie bei B2B-Geschäft, Unternehmensdaten. 170 Über Themen wie diverse Ansprechpartner mit unterschiedlichen Zuständigkeiten gelangen auch die Daten der Mitarbeiter in die Datenbanken. Bei Beratern ist der Bezug zu einer natürlichen Person noch wesentlich stärker. V.a. die Interessenten- und Kundendaten werden verstärkt im Hinblick auf ihren Wert zu Betreuung und Akquisition in Data Warehouses zwecks Data Mining verarbeitet und dadurch weitgehend ihres Kontextes entledigt. Dies erschwert die Prüfung der Zulässigkeit i.R.d. Zweckbestimmung.257 3.3.3 (Einzelne Dienste zu) § 29 BDSG § 29 BDSG ist eine Art Privilegierung für den Geschäftsbereich, bei dem es um den Handel 171 mit Daten geht. Aus § 28 BDSG gehören thematisch insoweit noch die Regeln zu diesem Geschäftsbereich, in dem es um listenmäßige Übermittlung (s. Rz. 163, 421) geht. Die Privilegierung i.S. vereinfachter Voraussetzungen betrifft bei § 29 Abs. 1 BDSG258 einmal (Satz 1 Nr. 1) den Fall, dass kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, zum anderen (Satz 1 Nr. 2) die Entnahme der Daten aus öffentlich zugänglichen Quellen. Der dritte Fall (Satz 1 Nr. 3) ist, dass die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 BDSG erfüllt sind, Übermittlung an Auskunfteien; allerdings dürfen (Satz 1 Nr. 3 2.Teil) Daten i.S.v. § 28a Abs. 2 Satz 4 BDSG nicht erhoben oder gespeichert werden. Zu den „klassischen“ bzw. typischen Adressaten, die dem Anwendungsbereich des § 29 172 BDSG unterfallen, gehören insb. die Tätigkeiten von (Kredit-)Auskunfteien259 wie der SCHUFA, der CEG, Bürgel oder InfoScore.260 § 28a BDSG regelt speziell die Datenübermittlung an „Auskunfteien“, ohne aber den Begriff zu definieren. Jedoch gibt § 29 Abs. 6 BDSG eine Umschreibung zur näheren Bestimmung. Danach ist Auskunftei eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, erhebt, speichert oder verändert, und zwar zum Zwecke der Übermittlung. Die Empfänger-Stellen sind oft, insb. bei SCHUFA die Datenlieferanten, für die insoweit § 28a BDSG gilt, also etwa Banken. Dabei muss es nicht nur um Kredit- und Bonitätsauskunftei gehen, sondern fallen auch solche Stellen darunter, „die Auskunft über persönliche Angelegenheiten des Betroffenen zu anderen Zwecken, zum Beispiel zur Adressermittlung, erteilen.“261 Es fallen auch die Warndienste bzw. Warndateien unter § 29 BDSG (s.a. Rz. 198 ff.). Bei „Ge- 173 schäftsmäßigkeit“ kommt es nicht auf „Entgeltlichkeit“ der Warndiensttätigkeit an.262 Das ist deshalb relevant, weil viele Warndienste „branchenintern“ sind. „Sie sammeln Hinweise und Informationen über Personen, die im Zusammenhang mit der jeweiligen Branche ‚negativ‘ aufgefallen sind, und leiten die Daten auf Anfrage an die teilnehmenden Unternehmen weiter. Damit erfolgt die Tätigkeit dieser Dienste geschäftsmäßig und mit dem Zweck der Übermittlung. Von besonderer Bedeutung sind die Warndienste der Versicherungswirtschaft 256 S. zu den Schwierigkeiten wirksamer Gestaltung Rz. 317 ff., 689 ff. 257 Zu DS-RL s. Rz. 57 ff. 258 „Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, … .“ 259 S. z.B. Elgert, K&R 2013, 288; Krämer, NJW 2012, 3201; s.a. zu Warndateien Gola/Schomerus, BDSG, 12. Aufl., § 29 Rz. 17. 260 Plath/Plath, BDSG, 2. Aufl. 2016, § 29 Rz. 14 mit Hinweis auf VG Darmstadt v. 18.11.2010 – 5 K 994/10, MMR 2011, 416. 261 Plath/Plath, BDSG, 2. Aufl. 2016, § 29 Rz. 14. 262 Gola/Schomerus, BDSG, 12. Aufl. 2015, § 29, Rz. 7.
Schneider
55
A Rz. 174
Datenschutz und IT-Management
(die Auskunftsstelle über den Versicherungsaußendienst, AVAD sowie das Hinweis- und Informationssystem, HIS/Uniwagnis), der Wohnungswirtschaft (gegen Mietnomaden) und der Spielbanken.“263 Wenn der Warndienst zugleich auch Forderungsdaten übermittelt, wird dies als Auskunftei angesehen, sodass § 28a zur Anwendung kommt.“264 3.4 Einwilligung, Widerruf 3.4.1 Charta 174 Die GRCh enthält i.R.d. Datenschutzgrundrechts das Erfordernis der Rechtsgrundlage, eine Alternative dabei ist die Einwilligung: Art. 8 Abs. 2 GRCh: „… (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.“ Demnach kommt der Einwilligung hohe Bedeutung zur Gestaltung datenschutzkonformer Verarbeitung zu. 3.4.2 DS-RL 175 DS-RL: Art. 2 lit. h DS-RL definiert Einwilligung als „Jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“ Zulässigkeit per Einwilligung setzt voraus, Art.7a DS-RL: Die betreffende Person hat ohne jeden Zweifel ihre Einwilligung gegeben. Bei besonderen Kategorien personenbezogener Daten erfordert Art. 8 Abs. 2a DS-RL für die Ausnahme der Zulässigkeit: „ausdrückliche Einwilligung“. Im Rückschluss heißt das auch, dass nach Art.7 DS-RL konkludente Einwilligung, wenn sie eindeutig ist, ausreicht.265 176 Die Frage ist, ob BDSG dies richtig umsetzt, v.a. wegen der Schriftform, s. sogleich. Das Problem wird sich mit der DS-GVO zwar erledigen, s. Rz. 540. Jedoch hat es bis dahin (Mai 2018) durchaus praktische Relevanz, da die Schriftform eine hohe Hürde darstellt. 3.4.3 BDSG Einwilligung i.V.m. Unterrichtung, Widerruf 177 Nach § 4 Abs. 1 BDSG ist die Erhebung und Verarbeitung personenbezogener Daten und deren Nutzung nur zulässig, „wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der Betroffene eingewilligt hat“.266 Die Erlaubnistatbestände des BDSG, für den nicht-öffentlichen Bereich §§ 27 ff. BDSG, und andere Erlaubnisnormen gewähren unter bestimmten Zulässigkeitsvoraussetzungen die Verarbeitung ohne Einwilligung der Betroffenen. § 4a BDSG regelt die Voraussetzungen wirksamer Einwilligung, leicht anders als die DS-RL. Tatsächlich ist es wenig aussichtsreich, sich die Einwilligung der Betroffenen einzuholen, jedenfalls unter AGB-Aspekten.267 178 § 4 Abs. 3 BDSG sieht in jedem Falle der Erhebung der Daten beim Betroffenen dessen Unterrichtung vor. Dies ist primär eine Förmlichkeit. Im Zshg. mit der Einwilligung wird da263 Plath/Plath, BDSG, 2. Aufl. 2016, § 29 Rz. 22 f.m.w.N.; Gola/Schomerus, BDSG, 12. Aufl. 2015, § 29, Rz. 17. 264 Plath/Plath, BDSG, 2. Aufl. 2016, § 29 Rz. 23. 265 Einwilligung i.R.d. Persönlichkeitsrechts konkludent möglich: BGH v. 11.11.2014 – VI ZR 9/14, ZD 2015, 180 – Zulässige Bildveröffentlichung einer nichtprominenten Partyteilnehmerin – Hostess auf Eventportal – mit Hinweis in Rz. 6 auf, dort abgelehnt lt. Sachverhalt in BGH v. 28.9.2004 – VI ZR 305/03 (KG) Charlotte Casiraghi II. Zur Einwilligung nach DS-GVO s. Rz. 539 ff. 266 Zum Problem wirksamer Einwilligung s. die Fundstellen bei Rz. 185. 267 S. aber Empfehlung zu wirksamer Einwilligung https://www.bfdi.bund.de/SharedDocs/Publikatio nen/Entschliessungssammlung/DuesseldorferKreis/OH_EinwilligungInFormularen.pdf?__blob=publi cationFile&v=4 (abgerufen am 23.8.2016).
56
Schneider
Datenschutz Grundlagen
Rz. 181
A
raus eine der Voraussetzungen für die Wirksamkeit im Sinne einer „informierten“ Einwilligung, wie sie die DS-RL fordert (Rz. 52), wobei zur Kenntnis der Sachlage268 noch mehr als diese Informationen erforderlich sind. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht, § 4a Abs. 1 Satz 1 BDSG.269 Dabei ist der Betroffene auf den „vorgesehenen Zweck der Erhebung, Verarbeitung und Nutzung hinzuweisen“, § 4a Abs. 1 Satz 2 BDSG. Grds. sind Daten beim Betroffenen zu erheben. Dabei hat eine Unterrichtung des Betroffenen zu erfolgen, sofern dieser nicht schon auf andere Weise Kenntnis erlangt hat (§ 4 Abs. 3 BDSG). Diese Unterrichtung bezieht sich auf:
179
– Die Identität des Verarbeiters. – Die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung. – Die Kategorien der Empfänger nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. – Des Weiteren ist der Betroffene, wenn nach den Umständen des Einzelfalles erforderlich, sonst auf Verlangen über die Rechtsgrundlage und über die Folgen der Verweigerung der Einwilligung aufzuklären. Während die unterbliebene Unterrichtung hinsichtlich der drei ersten Themen, wenn sie nicht Grundlage für die Einwilligung wird, sanktionslos bleibt, macht das Fehlen der Aufklärung über die Rechtsgrundlage bzw. die Freiwilligkeit die Erhebung und weitere Verarbeitung evtl. unzulässig.270 Dies gilt zumindest, wenn objektiv davon auszugehen ist, dass ein Teil der Betroffenen bei entsprechender Information die Daten nicht oder nur teilweise mitgeteilt hätte.271 Zudem ist bei der Einholung der Einwilligung auf den Zweck der Erhebung, Verarbeitung oder Nutzung sowie – in Abhängigkeit von den Umständen oder auf Verlangen – auf die Folgen der Verweigerung hinzuweisen (§ 4a Abs. 1 Satz 1 BDSG). Sodann bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände ei- 180 ne andere Form angemessen ist (§ 4a Abs. 1 Satz 2 BDSG). Die für AGB erforderliche Transparenz der Gestaltung (§ 307 Abs. 1 Satz 2 BGB) fehlt häufig, zudem sind die Klauseln mit der Einwilligungserklärung wegen Benachteiligung des Betroffenen oft unwirksam.272 Bei Abgabe der Einwilligung i.V.m. anderen Erklärungen ist die Einwilligungserklärung besonders hervorzuheben (§ 4a Abs. 1 Satz 4 BDSG). Schriftform erfüllt i.V.m. der Hinweispflicht zunächst und v.a. die so genannte Warnfunktion.273 Nahezu gleichrangig aber dürfte die Kontrollfunktion sein, die es etwa dem Datenschutz- 181 beauftragen des Betriebes und/oder der Aufsichtsbehörde erlaubt, das konkrete Vorliegen der
268 Schaar, CR 2006, 619 (625). 269 Daran fehlt es bzw. kann es fehlen, wenn die Einwilligung mit einer Gewinnspielteilnahme (aleatorisch) gekoppelt und diese Kopplung zu spät erkennbar wird: OLG Köln v. 12.9.2007 – 6 U 63/07, MIR 416-2007 (Verlosung von WM-Tickets deshalb wettbewerbswidrig). 270 Gola/Schomerus, BDSG, 12. Aufl., § 4 Rz. 46: „fraglich“, was die Konsequenzen sind. 271 Gola/Schomerus, BDSG, 12. Aufl., § 4 Rz. 48. 272 Zum Problem Ayad/Schafft, BB 2002, 1711 ff. Zur Wirksamkeit der Datenschutzklausel eines Mobilfunkanbieters: AG Elmshorn, RDV 2005, 174 f. Zur Haushaltsumfrage und Verwertung der Antworten ohne schriftliche Einwilligung: OLG Frankfurt v. 13.12.2000 – 13 U 204/98, CR 2001, 294; BGH v. 15.11.2001 – I ZR 47/01, ITRB 2002, 73; s. andererseits OLG Köln v. 12.9.2007 – 6 U 63/07, MIR 416-2007 (Verlosung von WM-Tickets wegen Kopplung mit Einwilligung, die zu spät als Erfordernis der Teilnahme erläutert wird, wettbewerbswidrig) und LG Heidelberg v. 11.12.2007 – 2 O 173/07, MMR 2008, 258 (kein Erklärungswille beim Ausfüllen der Bildschirmmaske zum Gewinnspiel). Unwirksame Einwilligung: künftige Telefonanrufe des Handyservice OLG Hamm v. 15.8.2006, CR 2006, 750; zu Einwilligung in Werbung s. Schmitz/Eckardt, CR 2006, 533. 273 S. Dörr, RDV 1992, 167; zur Erforderlichkeit der Schriftform s.a. BGH v. 11.12.1991 – VIII ZR 4/91, NJW 1992, 737, s.a. Rz. 467 ff.
Schneider
57
A Rz. 182
Datenschutz und IT-Management
Einwilligung zu überprüfen.274 Liegt keine den Anforderungen des § 4a BDSG genügende Einwilligung vor, ist – mangels anderer Zulässigkeitstatbestände – die Verarbeitung der personenbezogenen Daten rechtswidrig. Die so erlangten Daten wären entgegen gesetzlichen Bestimmungen erhoben, sodass die weitere Datenverarbeitung unzulässig wäre. Es wurde zu BDSG 1990 die Ansicht vertreten, die Hinweispflicht (§ 4 Abs. 2 Satz 1 BDSG 1990) sei Nebenpflicht275 und betreffe nicht die Fälle, in denen der Betroffene von sich aus Daten zur Verfügung stellt.276 § 4 Abs. 3 BDSG ergibt aber („… so ist er …“), dass es sich um eine Hauptpflicht handelt. 182 Die Funktion der Einwilligung i.V.m. der Hinweispflicht ist, dass der Betroffene sich über die Tragweite seiner Entscheidung, hier den Verwendungszweck, also die Folgen seines Tuns, klar wird. Eine Verletzung der Hinweispflicht muss deshalb, auch wenn die Schriftform gewahrt ist, zur Unzulässigkeit der Verarbeitung führen, da es an einer wirksamen Einwilligung fehlt. Allerdings kann dieser Mangel dadurch geheilt werden, dass andere Zulässigkeitstatbestände greifen. Man könnte aber argumentieren, dass dann, wenn schon die Einwilligung des Betroffenen eingeholt werden soll, diese auch wirksam sein muss und die anderen Zulässigkeitstatbestände nicht alternativ greifen können. Diese Ansicht lässt sich damit begründen, dass § 4 Abs. 2 Satz 1 BDSG ausdrücklich anordnet, dass Daten beim Betroffenen zu erheben sind. 183 Die Einwilligung ist nochmals speziell für die Erhebung und Verarbeitung besonderer Arten von Daten erforderlich. Diese Hervorhebung von Datenarten passt zwar nicht zum Verbotsprinzip, ist jedoch inzwischen eine eigenständige Institution, die auch die DS-GVO stark ausbaut, s. Rz. 624 ff. Schon Art. 6 der Konvention des Europarates zum Datenschutz von 1981 sah z.B. einen Kurz-Negativ-Katalog vor, wonach Daten über – die rassische Herkunft, – die politischen Anschauungen, – die religiösen oder anderen Überzeugungen oder – das Sexualleben des Betroffenen einer Berechtigungsnorm bedürfen. 184 Die DS-RL sieht hinsichtlich besonderer Arten von personenbezogenen Daten einen ähnlichen Katalog vor, der an Merkmalen enthält: – rassische und ethnische Herkunft, – politische Meinung, – religiöse oder philosophische oder moralische Überzeugung, – Gewerkschaftszugehörigkeit, – Gesundheit, – Sexualleben.277 Umgesetzt findet sich dieser Katalog besonderer Daten in § 3 Abs. 9 BDSG. Für diesen gelten bei diversen Regelungen im BDSG spezielle Regelungen. Insoweit muss sich eine ggf. einzuholende Einwilligung ausdrücklich (speziell) auf die besonderen Arten von Daten und deren Erhebung, Verarbeitung und Nutzung beziehen (§ 4a Abs. 3 BDSG). Z.B. bedürfen im nicht-öffentlichen Bereich das Erheben, Verarbeiten und Nutzen besonderer Daten ohne Einwilligung des Betroffenen besonderer Voraussetzungen (§ 28 Abs. 6 BDSG), speziell für das 274 275 276 277
Zu den Funktionen der Schriftform s. Heinrichs/Ellenberger, in: Palandt, § 125 BGB Rz. 1 ff. Dörr, RDV 1992, 167. Dörr/Schmidt, BDSG 1990 § 4 Rz. 7. S. Art. 8 DS-RL; zum Katalog im BDSG s. Rz. 194.
58
Schneider
Datenschutz Grundlagen
Rz. 189
A
Erheben ergänzt durch die Möglichkeiten nach § 28 Abs. 7 Satz 1 BDSG (für Gesundheitsvorsorge, Diagnostik u.Ä.). Die Verarbeitung und Nutzung hierfür erhobener Daten richtet sich nach den Geheimhaltungspflichten der betrauten Personen (§ 28 Abs. 7 Satz 2 BDSG). Für besondere Arten von Daten ist auch i.R.d. § 28 BDSG gemäß Abs. 6 die Einwilligung erforderlich, wenn nicht eine der engen Ausnahmen vorliegt. Die Einwilligung als explizite schriftliche Erklärung des Betroffenen kann evtl. durch die 185 schriftliche Bestätigung der mündlichen Einwilligung ersetzt werden. Allerdings gilt dies nur, soweit die Bestätigung hinsichtlich des Umfangs mit dem mündlich zustande gekommenen Ergebnis übereinstimmt. Z.B. kann sich eine „Konzerneinwilligungsklausel“ nur auf die Unternehmen erstrecken, die in dem Telefonat vor der mündlichen Erklärung genannt wurden278 – ein Nachweisproblem zulasten des Werbenden. Durch die Inkongruenz von tatsächlicher Erklärung und zu weiter Bestätigung wird aus deren Zusendung unverlangte Werbung mit unzumutbarer Belästigung, da der Verbraucher aktiv werden muss.279 Es kann wirksam sein, die Einwilligung in einem „Opt-out“-Prozess zu geben. Dabei kann 186 der Betroffene, etwa als Kunde, durch „Ankreuzen“ (ggf. elektronisch) bestimmen, dass er die ansonsten als erteilt geltende Einwilligung versagt.280 Allerdings wird dies nur gelten (wenn überhaupt), wenn nicht zusätzliche Hürden dafür sorgen, dass die Versagung nur mit Schwierigkeiten („Barrieren“) möglich ist.281 Bestehen diese, fehlt die Freiwilligkeit, sodass die (fiktive) Einwilligung nicht mehr gilt.282 Die Einwilligung bezieht sich u.U. auf die Übermittlungsbefugnisse, die für Bonitätsprüfun- 187 gen erforderlich sind. Bei entsprechendem Interesse, etwa wegen der Vorleistungspflichten, kann die Einwilligung wirksam sein, dass die kontoführende Bank (über die auch der Lastschrifteinzug erfolgt) ermächtigt wird, dem AGB-Verwender (hier Mobilfunkdienstleister) mitzuteilen, ob die vom Kunden mitgeteilten Daten zu seinen EC-Karten/Kreditkarten zutreffend sind.283 Allerdings muss dazu das Interesse auch klar und widerspruchsfrei in den geforderten Angaben seine Entsprechung finden, ansonsten die Klausel mangels Transparenz unwirksam ist.284 Ob ein Widerruf der Einwilligung möglich ist und welcher Form er ggf. bedarf, ist im BDSG 188 nicht explizit geregelt. Dass ein Widerruf aber grds. (jederzeit) möglich ist, ist allg. Meinung.285 Der Widerruf macht nicht die bisherige Verarbeitung unzulässig, sondern wirkt für die Zukunft. Ausnahmen der Widerrufbarkeit bestehen, wenn ein Vertragsverhältnis o.ä. die weitere Nutzbarkeit der Daten erfordert, etwa, solange dieses besteht bzw. bis es abgewickelt ist.286 Dabei kann es sich auch um Rechtsbeziehungen mit Dritten, die die Daten a.G. der Einwilligung i.R.d. Vertragsbeziehung erhalten, handeln. Ausdrücklich regelt § 13 TMG den Widerruf der Einwilligung (dazu Rz. 1274), die auch elek- 189 tronisch möglich ist. Dies gilt aber u.a. nur, wenn sichergestellt ist, dass der Betroffene (der Nutzer) die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann (§ 13 Abs. 2 Nr. 4 TMG). 278 LG Bonn v. 9.1.2007 – 11 O 74/06, CR 2007, 671. 279 LG Bonn v. 9.1.2007– 11 O 74/06, CR 2007, 671 (672). 280 OLG München v. 28.9.2006, CR 2007, 179; s. aber (nur theoretische Möglichkeit, praktisch viel zu aufwendig) OLG Frankfurt v. 17.12.2015 – 6 U 30/15, juris. 281 LG Köln v. 7.3.2007 – 26 O 77/05, MIR 2007, 288; s.a. (darf nicht zu umständlich sein): OLG Frankfurt v. 17.12.2015 – 6 U 30/15 (s.a. zu Cookies, Rz. 424, 1290). 282 Im Falle des LG Köln v. 7.3.2007 – 26 O 77/05, MIR 2007 – 288 bestand die Barriere in der Notwendigkeit, eine mehrzeilige Klausel zu streichen. Dieses Problem ließe sich elektronisch leichter lösen. 283 S. BGH v. 23.1.2003 – III ZR 54/02, CR 2003, 819. 284 BGH v. 23.1.2003 – III ZR 54/02, CR 2003, 819 (823). 285 S. z.B. Gola/Schomerus, BDSG, 12. Aufl., § 4a Rz. 38. 286 Gola/Schomerus, BDSG, 12. Aufl., § 4a Rz. 38 f., mit u.a. dem Beispiel des Weiterverkaufs der Daten mit Einwilligung.
Schneider
59
A Rz. 190
Datenschutz und IT-Management
190 Der Widerspruch (s. Rz. 378 f.) ist im BDSG (und anderen Normen) an einigen Stellen vorgesehen, wird auch oft nur als Opt-Out angesprochen. Es ist denkbar, ausdrücklich in Verträgen bzw. AGB dem Betroffenen zwecks Klarheit eine Widerspruchsmöglichkeit einzuräumen, wenn die Verarbeitung grds. erlaubt ist, soweit nicht überwiegende Interessen des Betroffenen entgegenstehen.287 Gemäß § 28 Abs. 4 Satz 1 BDSG macht der Widerspruch des Betroffenen gegenüber der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung die Verarbeitung oder Nutzung für diese Zwecke unzulässig. Darüber ist der Betroffene zu unterrichten (Satz 2). Die weitere Verarbeitung stellt eine Persönlichkeitsverletzung dar.288 3.4.4 TMG 191 Spezialgesetze erlauben die elektronische Einwilligung und regeln deren Erfordernisse, § 13 Abs. 2 TMG (früher § 4 TDDSG) und § 94 TKG praktisch gleichlautend. Der Diensteanbieter muss bestimmte Voraussetzungen sicherstellen (s. Rz. 651) und auf nähere Umstände rechtzeitig hinweisen. Interessant ist die Steigerung der Anforderungen hinsichtlich bewusster und eindeutiger Erklärung gegenüber § 4a BDSG („freie Entscheidung des Betroffenen“), wodurch die Absenkung gegenüber der Schriftform kompensiert wird. 192 Hinsichtlich der Freiwilligkeit und damit der Barrierefreiheit v.a. bei „Opt-out“-Modellen gelten die Maßgaben wie bei konventioneller Form.289 Bei Kontaktformularen im Internet ist eine Datenschutzerklärung erforderlich, aus der der Kontaktsuchende erkennen kann, wofür seine Daten verwendet werden, wie lange sie gespeichert bleiben und dass er einer Verwendung nach Freigabe widersprechen kann. Insoweit greifen auch Grundprinzipien der DS-RL hinsichtlich Treu und Glauben bzw. umfassender Information.290 3.5 Besondere Arten von Daten, automatisierte Entscheidung 3.5.1 Besondere Arten von Daten 193 Trotz der angedeuteten Probleme weist das BDSG an einer Reihe von etwas versteckten Stellen Ansätze zu Kategorisierungen von Sphären und Abstufung von Empfindlichkeitsgraden der Daten auf (z.B. Besondere Arten von Daten, § 3 Abs. 9 BDSG; angestrebter Schutzzweck, § 9 Satz 2 BDSG).291 194 Der Katalog der besonderen Arten personenbezogener Daten nennt Angaben über: – die rassische und ethnische Herkunft, – politische Meinungen, – religiöse oder philosophische Überzeugungen, – die Gewerkschaftszugehörigkeit, – Gesundheit oder Sexualleben. Relevant ist dieser Katalog für eine Reihe spezieller Tatbestände, so etwa Meldepflichten und Vorabkontrolle (§ 4d Abs. 5 BDSG; s.a. Rz. 376 ff.); die DS-GVO hat einen entsprechen287 Gola/Schomerus, BDSG, 12. Aufl., § 4a Rz. 40 f. 288 S.a. zu entsprechender Verletzung im Internet durch Werbung in einer automatisch generierten Bestätigungs-E-Mail: BGH v. 15.12.2015 – VI ZR 134/15 Rz. 11: „11 a) Die Verwendung von elektronischer Post für die Zwecke der Werbung gegen den eindeutig erklärten Willen des Klägers stellt einen Eingriff in seine geschützte Privatsphäre und damit in sein allgemeines Persönlichkeitsrecht dar, § 823 Abs. 1, § 1004 Abs. 1 Satz 2 BGB.“ 289 S. vorstehend zu LG Köln v. 7.3.2007 – 26 O 77/05, MIR 2007, Dok. 288. 290 Zu § 13 Abs. 1 Satz 1 TMG i.V.m. Erw.grd. 38: OLG Köln v. 11.3.2016 – 6 U 121/15, dazu auch Rz. 1274. 291 S. dazu im Einzelnen Rz. 193 ff.
60 Schneider
Datenschutz Grundlagen
Rz. 197
A
den Katalog und behandelt Gesundheitsdaten besonders, Art. 4 Nr. 15, Art. 9 DS-GVO, s. Rz. 559. 3.5.2 Automatisierte Entscheidungen Der Schutz vor automatisierten Einzelentscheidungen ist in Art. 15 DS-RL (nun Art. 22 DSGVO, s. Rz. 554) geregelt. Allerdings können Ausnahmen hierzu vorgesehen werden, und zwar unter folgenden Voraussetzungen:
195
– Sofern die Entscheidung i.R.d. Abschlusses oder der Erfüllung eines Vertrages ergeht und dem Ersuchen der betroffenen Person stattgegeben wurde oder die Wahrung ihrer berechtigten Interessen durch geeignete Maßnahmen – bspw. die Möglichkeit, ihren Standpunkt geltend zu machen – garantiert wird (Art. 15 Abs. 2 lit. a DS-GVO) oder – die Entscheidung durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt (Art. 15 Abs. 2 lit. b DS-GVO). § 6a BDSG verbietet Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich 196 ziehen oder ihn erheblich beeinträchtigen, wenn diese „ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen.“ Als solche ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung wird gemäß Abs. 1 Satz 2 insb. angesehen, „wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat“. Z.B. verläuft Bestellabwicklung mit Bonitätsprüfung im Onlinehandel so, dass über Annahme des Antrags bzw. über die Zahlungsart je nach deren Ergebnis automatisch entschieden wird.292 Als Lösung wird empfohlen, die Einwilligung in die Einholung einer Bonitätsauskunft, einzuholen.293 Nach Meinung des OLG Frankfurt ist die Bonitätsauskunft von Auskunfteien, keine automatisierte Einzelentscheidung, da auf dieser Basis erst die Auskunftsempfänger ihre Entscheidung treffen.294 Problematisch könnten die Bewertungs- und Profilbildungsverfahren der Personalberater bei der automatischen Vorauswahl von Bewerbern u.ä. Funktionen der durch Personalinformationssysteme erstellten Listen als Vorentscheidungen werden (s.a. Rz. 218 ff., 529 ff.). 3.5.3 Scoring § 28b BDSG regelt speziell Scoring, das BDSG definiert diesen Begriff nicht. Indirekt ergibt 197 sich dies aber aus der Norm: „Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn …“ (§ 28b BDSG). Die Begründung des Gesetzentwurfs295 definierte Scoringverfahren als „mathematisch-statistische Verfahren zur Berechnung der Wahrscheinlichkeit, mit der eine bestimmte Person ein bestimmtes Verhalten zeigen wird, die v.a. zur Bewertung der Kreditwürdigkeit (Zahlungsfähigkeit und -willigkeit) der Betroffenen verwendet werden“.296
292 293 294 295 296
Born, ZD 2015, 66. Born, ZD 2015, 66 (70 f.). OLG Frankfurt v. 14.12.2015 – 1 U 128/15, ZD 2016, 137. BT-Drs. 16/10 529, S. 1 f. Zur Erläuterung s.a. G; Gola/Schomerus, BDSG, 12. Aufl., § 28b Rz. 3 mit Verweis auf BT-Drs. 16/10 529, S. 1 und Hinweis auf fehlende Schadensersatzpflicht bei als Meinungsäußerungen zu qualifizierenden Bonitätsbeurteilungen; zur fehlenden Schadensersatzpflicht bei als Meinungsäußerungen zu qualifizierenden Bonitätsbeurteilungen vgl. BGH v. 22.2.2011 – VI ZR 120/10.
Schneider
61
A Rz. 198
Datenschutz und IT-Management
3.5.4 Warndateien 198 Berater- und Marketingfirmen gehören zu den Dienstleistern, die häufig mit den personenbezogenen Daten des Betriebs in Kontakt kommen, wobei außer den Datenschutzrechten der Betroffenen auch Mitbestimmungs- und Informationsrechte des Betriebsrats tangiert werden können. Der Arbeitgeber „muss … durch entsprechende Vertragsgestaltung sicherstellen, dass die ordnungsgemäße Wahrnehmung des Mitbestimmungsrechts gewährleistet ist“.297 Die Verträge mit den Beratern sollten Klauseln hinsichtlich der Geheimhaltung und Wahrung des Datengeheimnisses enthalten, deren Wirkung über die Vertragslaufzeit hinausgeht.298 Dabei ist zu berücksichtigen, dass bei der Interessenlage hinsichtlich der Einhaltung der Geheimhaltung zu differenzieren ist. Während das Geschäftsgeheimnis im eigenen Interesse des Betriebs besteht, dient das Datengeheimnis der Wahrung der Interessen des Betroffenen. Diese Divergenz zeigt sich etwa beim Verkauf von Kundendaten.299 Über die Haftung bzw. die „Compliance“ erst wird die Einhaltung auch des Datengeheimnisses zum eigenen Interesse des Betriebs. 199 Evtl. bedient sich der Betrieb zum eigenen Schutz vor Risiken bei Vertragsschlüssen mit Kunden oder Geschäftspartnern (z.B. Vertrieb) externer Informationsdienste. Solche Dienste werden auch Warndateien300 genannt, wenn sie darauf ausgerichtet sind, vor dem Eingehen spezieller Risiken darüber Aufschluss zu geben. Warndateien sollen interessierte Kreise davor schützen, mit den negativ gekennzeichneten Personen Verträge abzuschließen.301 Solche Warndateien gibt es zu speziellen Berufskreisen, aber auch allg. zu Risikogruppen in bestimmten Sparten.302 Die Drohung mit der Aufnahme ist beliebt, bedarf jedoch evtl. erklärender Hinweise, BGH v. 19.3.2015 – I ZR 157/13: Ein in der Mahnung eines Mobilfunkunternehmens erfolgter Hinweis auf die bevorstehende Übermittlung der Daten des Schuldners an die SCHUFA steht nur im Einklang mit der Bestimmung des § 28a Abs. 1 Satz 1 Nr. 4 BDSG, wenn nicht verschleiert wird, dass ein Bestreiten der Forderung durch den Schuldner selbst ausreicht, um eine Übermittlung der Schuldnerdaten zu verhindern. 200 Privatisierung und Zentralisierung des Schuldnerverzeichnisses lassen dieses unter die Rubrik der Warndienste einordnen.303 Es gibt auch Dienste, die sich den Anstrich eines Schuldnerverzeichnisses geben, tatsächlich jedoch Druck auf die Zahlung – unberechtigter – Rechnungen ausüben sollen.304
297 BAG v. 18.4.2000, DB 2000, 2227 unter Bezugnahme u.a. auf BAG v. 17.3.1987, CR 1988, 224 und v. 16.6.1998, DB 1998, 1339. 298 Zum geschützten Gut „Kundendaten“ s. BGH v. 27.4.2006 – I ZR 126/02, CR 2006, 810. 299 S. z.B. OLG Stuttgart v. 22.2.2007 – 2 U 132/06, Kundendaten eines TK-Anbieters mit Bankverbindung; s.a. Rz. 227. 300 Reif, RDV 2007, 4. 301 Auch sog. „Pranger“ oder „Schuldnerspiegel“ im Internet können dazu gezählt werden, s. etwa OLG Rostock v. 21.3.2001 – 2 U 55/00, CR 2001, 618; BVerfG v. 9.10.2001 – 1 BvR 622/01, CR 2002, 363; Score-Werte bei Bonitätsprüfung: AG Hamburg v. 27.6.2001 – 9 C 168/01, ITRB 2002, 179; zur zulässigen Übermittlung von geringen Forderungsrückständen durch SCHUFA zum Wohle der Allgemeinheit s. OLG Saarbrücken v. 12.9.2001 – 1 U 62/01, DB 2002, 526; SCHUFA haftet nicht für falsch übermittelte Daten: LG Stuttgart v. 15.5.2002 – 21 O 97/01, DB 2002, 1499; zur Rechtswidrigkeit eines virtuellen Prangers zur Strafverfolgung OLG Celle v. 19.6.2007 – 16 U 2/07, MMR 2008, 180. 302 Zu den Warndateien s. Bongard, RDV 1987, 209; Waniorek, RDV 1990, 228; Ehmann, AcP 188 (1988), 368 ff.; zur SCHUFA s. z.B. Simon, CR 1988, 637; zur SCHUFA-Klausel s. Kamlah, MMR 1999, 395; Reif, RDV 2007, 4; Hornung, CR 2007, 753. 303 Zum Schuldnerverzeichnis s. Abel, RDV 1988, 185; BVerfG v. 25.7.1988, CR 1989, 528; zum privaten Schuldnerverzeichnis Abel, RDV 1991, 233; zur Verbreitung einer „Konkursliste“ als Anschwärzung s. BGH v. 23.2.1995, CR 1995, 657: Verpflichtung gegenüber dem betroffenen Wettbewerber zur Auskunft, wer diese Liste verfasst und wer sie verteilt hat. Zur Zweckbindung bei § 882 f ZPO s. Simitis in: Simitis, BDSG, 8. Aufl., § 28 Rz. 155. 304 S. heise.de v. 4.7.2007, 92184 zu schuldnerverzeichnis.de, bei dem es sich um einen Dienst eines Inkassounternehmens handelt, dazu s.a. Pressemitteilung der Verbraucherzentrale Sachs. v. 4.7.2007.
62
Schneider
Datenschutz Grundlagen
Rz. 204
A
Zu den sog. Warndateien gehören z.B.: – Schwarzfahrerdateien der
201
Verkehrsbetriebe,305
– Risikogruppen der Versicherer, z.B. AIDS, Drogen, – Testteilnehmer, – Mieter-Warndateien,306 – HIS (Hinweis- und Informationssystem der Versicherungswirtschaft),307 2013 neu als Selbstverpflichtung der Versicherungswirtschaft (Code of Conduct)308 – AVAD, Auskunftsstelle über den Versicherungsaußendienst,309 – FPP, „Fraud Prevention Pool“, brancheninterne Missbrauchsdatenbank der Mobilfunkbranche.310 Auch das zentrale Schuldnerverzeichnis lässt sich als „Warndatei“ bzw. als Quelle für Warndateien sehen.311 Bekannt wurde die Warndatei AVAD als Auskunftsstelle über den Versicherungsaußen- 202 dienst über kontroverse Entscheidungen hinsichtlich der Zulässigkeit der Übermittlung der Daten an die AVAD: Ohne Einverständnis des Versicherungsnehmers dürfen Personaldaten nicht an die AVAD weitergegeben werden.312 Dorthin werden seitens des Versicherers auch Verstöße des Vertreters gegen vereinbarte Ausschließlichkeit gemeldet.313 Die Warndienste stellen Datenbevorratung dar. Wenn Interessenten keinen Zugang erhalten, nutzen sie die Möglichkeit, dass ihr Geschäftspartner als „Betroffener“ Auskunft über sich verlangen kann.
203
Vermieter lassen den Mietinteressenten evtl. über den Makler wissen, dass sie selbst, die 204 Vermieter, zwar nicht Anschluss an die SCHUFA haben, dass es aber im Interesse des Mieters liege, sich eine Auskunft über sich selbst zu beschaffen, die unproblematisch gewährt wird, um sie sodann dem Makler bzw. Vermieter vorzulegen. Der Missbrauch des Auskunftsrechts als Selbstanzeige erfolgt u.a. aus ökonomischen Gründen.314
305 Zu Schwarzfahrer-Dateien Reif, RDV 2007, 4, 7 und Regierungspräsidium Dresden http://www.daten schutz.sachsen-anhalt.de/service/veroeffentlichungen/taetigkeitsberichte/tb-11/13-wirtschaft-undverkehr/136-verkehr/1362-schwarzfahrerdatei-beim-oepnv/. 306 Bundesbeauftragter für den Datenschutz und Informationsfreiheit, 19. Tätigkeitsbericht, 2001–2002, S. 68 f.; zu Warndateien im Wohnungswesen s. bfdi.de; Reif, RDV 2007, 4. 307 Polenz, VuR 2015, 416; zur Zulässigkeit der Speicherung z.B. LG Augsburg v. 14.1.2014 – 43 S 1683/13; GDV und Düsseldorfer Kreis hatten sich auf eine Beschreibung des unter dem Begriff UNIWAGNIS bekannten „Hinweis- und Informationssystems der Versicherungswirtschaft“ (HIS) verständigt. Im Zshg. mit der Prüfung von Versicherungsanträgen und Versicherungsfällen können Informationen an das HIS gemeldet werden, um unter bestimmten Voraussetzungen Erkenntnisse zwischen Versicherungsunternehmen auszutauschen. Diese Erkenntnisse können dazu führen, dass es bei Anträgen zu Risikozuschlägen oder im Extremfall zur Ablehnung und bei Schadensregulierungen zu Nachfragen kommt (Quelle: PM des ULD v. 4.7.2007). 308 http://www.gdv.de/wp-content/uploads/2013/03/GDV_Code-of-Conduct_Datenschutz_2012.pdf, http:// www.gdv.de/2013/03/versicherungswirtschaft-und-datenschuetzer-schaffen-neue-massstaebe-fuer-da tenschutz/. 309 http://www.avad.de/avadinfo.htm (abgerufen am 17.5.2016). 310 S. AG Plön v. 10.12.2007 – 2 C 650/07, MIR 2008/012, auch zu SCHUFA-Mitteilung, s.a. Rz. 206. 311 S. BGH v. 28.1.2015 – IV AR (VZ) 1/14, NJW-RR 2015, 631 zur Entstehungsgeschichte (Rz. 15 ff.). 312 LAG Berlin v. 13.2.1979 – 3 Sa 104/78, DB 1979, 2178; zustimmend Simitis, in: Simitis (Hrsg.), BDSG, 8. Aufl., § 32 Rz. 127 m.w.N.; a.M. LAG München v. 19.8.1986 – 4 Sa 298/85, RDV 1986, 278. 313 S. BVerfG, Nichtannahmebeschluss v. 1.3.2006 – 1 BvR 54/03 zu Meldung. 314 Weichert, CR 1995, 361; Kloepfer/Kutzschbach, MMR 1998, 650 (656); Kamlah, MMR 1999, 395 (399 f.), speziell für Scores 402; Weichert, NJW 2001, 1463. Zur entsprechenden Gefahr bei der Gesundheitskarte s. J. Jakobs, heise.de, 27.6.2008, 7:57, 110048.
Schneider
63
A Rz. 205
Datenschutz und IT-Management
205 Eines der typischen Probleme i.V.m. SCHUFA u.a. Warnsystemen ist die Wirksamkeit der Einwilligung. Diese ist i.d.R. für die unbestimmte Vielzahl von Fällen vorformuliert, also AGB gem. § 305 BGB.315 Die typische Situation, die Einwilligung des Betroffenen zur Übermittlung an die SCHUFA und deren Weiterverwendung durch die SCHUFA abzufordern, sind Bankkontoeröffnung, Kreditantrag, Leasingvertrag. Das Problem war immer schon, dass datenschutzrechtlich der Kreis der Nutzer des Warnsystems klein und homogen sein sollte, während das Kartellrecht für Öffnung sprach. Dies führte zu einem Kompromiss, nachdem der BGH die Klausel als unwirksam erachtet hatte, da sie nicht die erforderliche Abwägung zwischen den Belangen des einzelnen Kreditnehmers und den Interessen der kreditgebenden Stellen enthielt.316 Die Klausel wurde in den Folgejahren aufgrund der Umstrukturierung der SCHUFA als Version „2002“ novelliert, wobei eine Abstimmung mit dem Kartellamt erfolgt war.317 206 Eines der Probleme des SCHUFA-Systems ist die Aussagekraft der Angaben. Wird etwa vermerkt, eine Kreditrate sei nicht bezahlt, führt die spätere Zahlung nicht zur Löschung dieses Vermerks, sondern zu einem weiteren Vermerk. Erfolgte der Einbehalt zu Recht, wird nicht vermerkt, dass der Darlehensgeber zu Unrecht Zahlung forderte. Deshalb ist gegenüber entspr. Meldungen und zu weiten Klauseln große Vorsicht geboten, was kaum beachtet wird.318 207 Ein weiteres „Dauer“-Thema ist die Haftung der SCHUFA für falsch an die SCHUFA oder von dieser gemeldete Daten.319 Zur Haftung der SCHUFA für Falschmeldungen ist primär Bedingung, dass nicht die angelieferten Daten bereits falsch waren, da die SCHUFA keine besondere Prüfungspflicht hat.320 Zu den Haftungsfällen gehören auch die Meldungen richtiger Daten mit verwechselter Zuordnung zu falschem Betroffenen. Dies thematisiert die Frage nach einer Prüfungspflicht der SCHUFA. I.d.R. wird diese abgelehnt. Im Vergleich mit den vorbeugenden Prüfungspflichten von Plattformbetreibern, die vom Gesetz her (bzw. gemäß EC-RL) explizite Privilegierungen genießen (§§ 7 ff. TMG), gemäß BGH-Rspr. zur Störerhaftung321 erscheint diese Privilegierung der SCHUFA eher fraglich bzw. schwer verständlich. 208 Negativmerkmale sind die typischen Inhalte der Warndateien. Typisch für die Beurteilung der Zulässigkeit der Kreditdatenverarbeitung ist die Einteilung in „harte“ und „weiche“ Negativmerkmale.322 „Harte“ Kreditdaten sind relativ leicht verifizierbar. Aber auch sie geben
315 Unproblematisch bei Altersbestätigung OLG Bdb. v. 11.1.2006, CR 2006, 490 geschäftsfähig. S. andererseits OLG Düsseldorf v. 14.12.2006 – I-10 U 69/06, MMR 2007, 387 – Anforderungen an die Einwilligung zur Weiterleitung persönlicher Daten an die SCHUFA. 316 BGH v. 19.9.1985 – III ZR 213/83, CR 1985, 83 – SCHUFA-Klausel; dazu Geiger, CR 1985, 72; s.a. Hornung, CR 2007, 753. 317 S. Hornung, CR 2007, 753 (755). 318 S.a. Rz. 289; s.a. z.B. zur zulässigen Übermittlung von geringen Forderungsrückständen durch SCHUFA zum Wohle der Allgemeinheit OLG Saarbrücken v. 12.9.2001, DB 2002, 526; zu Mitteilung eines „Scheckkarten-Missbrauchs“ an die SCHUFA OLG Frankfurt v. 5.9.2002 – 16 U 92/02, RDV 2003, 245. Wenige Ausnahmen: OLG Düsseldorf v. 14.12.2006 – I-10 U 69/06, MMR 2007, 387 – Anforderungen an die Einwilligung zur Weiterleitung persönlicher Daten an die SCHUFA; AG Elmshorn v. 2.6.2005 – 50 C 60/05, NJW 2005, 2404 – Unzulässige SCHUFA-Meldung – Widerrufsrecht bei teilbarer Dienstleistung; LG Karlsruhe v. 15.8.1997 – 9 S 145/97, RDV 1998, 116 – Unzulässige Meldung an die SCHUFA. 319 Kosmides, Haftung für unzulässige Verarbeitung personenbezogener Daten, München 2007. 320 BGH v. 20.6.1978 – VI ZR 66/77, NJW 1978, 2152 – Zu SCHUFA-Falschmeldungen; LG Stuttgart v. 15.5.2002 – 21 O 97/01, DB 2002, 1499 – SCHUFA haftet nicht für falsch übermittelte Daten, aus deren Veröffentlichung dem Betroffenen ein Schaden entsteht. 321 S. etwa BGH v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 – Ärztebewertungsportal III m.w.N. in Rz. 17 ff. 322 Reif, RDV 2006, 229; OLG Saarbrücken v. 6.10.2006, RDV 2006, 124; OLG Frankfurt v. 18.6.2008 – 23 U 221/07.
64
Schneider
Datenschutz Grundlagen
Rz. 211
A
für sich allein u.U. kein genaues Bild der Bonitätslage.323 Dennoch überwiegt generell bei „harten“ Bonitätsdaten das Interesse der Kreditgeber bzw. der am SCHUFA-Verfahren Beteiligten gegenüber dem Interesse des Betroffenen.324 Bei „weichen“ Kreditdaten wird die Abwägung leichter zugunsten des Betroffenen ausfallen, 209 sodass insoweit ohne Einwilligung die Verarbeitung unzulässig ist. Strittig in der Zuordnung sind z.B. Mahnschreiben. Sie stellen (noch) keine objektiven, harten Anhaltspunkte zur Beurteilung der Kreditwürdigkeit dar,325 nicht zuletzt, weil dem Kunden Gegenansprüche bzw. Einreden zustehen können, die der Mahnende nur noch nicht akzeptiert, etwa Mängel des Produkts. Auch ein Mahnbescheid ist noch nicht als „hart“ zu qualifizieren, es sei denn, es stünde fest, dass der Betroffene keinen Widerspruch eingelegt hat.326 Für den Betroffenen schwer belastend ist, dass zwar auch entlastende Merkmale eingetragen 210 bzw. gemeldet werden, etwa Zahlungen, dies aber nicht zur Sperrung oder gar Löschung der Negativ-Daten führt. Z.B. besteht kein Anspruch des Schuldners gegenüber der SCHUFA auf Untersagung der Weitergabe seiner Informationen nach Zahlungsausgleich.327 Eine Diskussion um SCHUFA-Daten ergab sich aus dem Einsatz automatischen Scorings.328 Dies könnte der Einzelne anonym zur Selbsteinschätzung nutzen. Sobald die Scoring-Werte des Einzelnen der SCHUFA oder Dritten bekannt werden, handelt es sich um personenbezogene Daten.329 Deren Verarbeitung ist ohne Einwilligung des Einzelnen unzulässig.330 Die automatische Kreditablehnung wäre auch bei Einwilligung in das Verfahren unwirksam, § 6a BDSG (anders als die Gewährung, § 6a Abs. 2 Nr. 1 BDSG).331 Ebay-Bewertungen könnten auch als Warnhinweise verstanden werden.332 Allerdings können erhebliche Bedenken hinsichtlich der Validität der Angaben der Kunden bestehen. U.a. zu unsachlichen Äußerungen gegenüber Anbietern in deren Bewertung gibt es des Öfteren Streit, v.a. wenn Anbieter Powerseller bzw. unternehmerisch tätig sind.333 Die Frage ist, inwieweit die Äußerungen der Kunden (als Tatsachenbehauptungen) überprüfbar sind und wann sie Schmähkritik darstellen.334
323 OLG Düsseldorf v. 11.5.2005 – 15 U 196/04, NJW 2005, 24/01 – Ansprüche bei unrichtiger Datenübermittlung an SCHUFA – Angaben waren zutreffend, erweckten aber mangels Voreintragungen den Eindruck vertragswidrigen Verhaltens. 324 Gola/Schomerus, BDSG, 12. Aufl., § 28 Rz. 30: die Rspr. erachtet „die Belange der beteiligten Wirtschaft für so gravierend …“. Insofern die Ausnahme: OLG Düsseldorf v. 11.5.2005 – 15 U 196/04, NJW 2005, 24/01. 325 S. Ehmann, in: Simitis, BDSG, 8. Aufl., § 29 Rz. 175 zu „weichen“ Negativmerkmalen mit Beispiel Kündigungsausspruch. 326 S. OLG Hamm v. 25.3.1983 – 11 U 200/82, MDR 1983, 668. 327 AG Bielefeld v. 2.10.2001 – 41 C 549/01, DB 2002, 525. 328 Abel, RDV 2006, 108; AG Hamburg v. 27.6.2001, ITRB 2002, 179; s.a. Wuermeling, NJW 2002, 3508; Gola/Schomerus, BDSG, 12. Aufl., § 3 Rz. 3a, 4. 329 AG Düsseldorf v. 13.11.2002 – 232 C 5842/02, MMR 2003, 204 – Keine Unterlassungserklärung gegen SCHUFA-Scoring; Wuermeling, Scoring von Kreditrisiken, NJW 2002, 3508; zum Personenbezug Gola/Schomerus, BDSG, 12. Aufl., § 3 Rz. 3a, 4; Bergt, ZD 2015, 365; s.a. Vorlage BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109 m. Anm. Schleipfer/Eckhardt. 330 Zu „Datenschutz beim Kreditscoring/Basel II“, Tagung Aufsichtsbehörden für den Datenschutz im nicht-öff. Bereich 19./20.4.2007, RDV 2007, 178. 331 Möller/Florax, MMR 2002, 806; Wolber, CR 2003, 624. 332 S.a. Rz. 173, 198 ff. S. zu den AGB von eBay B Rz. 524, 541. 333 Zur Differenzierung und zum Schluss von Powerseller auf Unternehmer s. B Rz. 51 ff. 334 S. z.B. OLG Oldenburg v. 3.4.2006, CR 2006, 634 zu Beseitigung einer negativen eBay-Bewertung; LG Konstanz v. 28.7.2004, MMR 2005, 54 Widerruf von eBay-Bewertungen; LG Bad Kreuznach v. 13.7.2006, CR 2007, 335: Kein Unterlassungsanspruch nach negativer Bewertung; s. im Einzelnen zu eBay-Bewertungen B Rz. 747 ff.
Schneider
65
211
A Rz. 212
Datenschutz und IT-Management
3.5.5 Automatisierte Abrufverfahren 212 Die Einrichtung automatisierter Abrufverfahren liegt vor, wenn die Übermittlung personenbezogener Daten durch Abruf ermöglicht wird. Die Zulässigkeit dieser Einrichtung ist unabhängig von der Zulässigkeit des einzelnen Abrufs zu prüfen (§ 10 Abs. 1 Satz 2 BDSG). Voraussetzung der Zulässigkeit des Abrufverfahrens ist (nur), dass dieses „unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder der Geschäftszwecke der beteiligten Stellen angemessen ist“ (§ 10 Abs. 1 Satz 1 BDSG).335 Die öffentliche Verwaltung hat zahlreiche solche Verfahren, dafür aber jeweils Spezialregelungen. Beim BDSG 1977 bestand das Problem, dass die Übermittlung dort so definiert war, dass bereits dann eine Übermittlung vorlag, wenn personenbezogene Daten zur Einsichtnahme, namentlich zum Abruf, bereitgehalten wurden. Diese Definition war Gegenstand einer BGH-E. im Zshg. mit dem sog. Telex-Direktverfahren, die in gewissem Sinne eine Uminterpretation der Übermittlung und deren Definition mit sich brachte, was zur Einführung dieses Sondertatbestands (1990) führte,336 der eine Privilegierung darstellt.337 213 Von Bedeutung war die Fiktion einer Übermittlung bei bloßer Bereithaltung für die Frage, ob der Betroffene Auskunft über die Personen und Stellen als Anschlussnehmer erhalten kann. Diese Unsicherheiten sind durch eine andere Definition des Begriffs der Übermittlung beseitigt. Nach § 3 Abs. 4 Nr. 3 BDSG ist Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten entweder durch Weitergabe der Daten an den Empfänger oder das konkrete Einsehen oder Abrufen seitens des Empfängers von zur Einsicht oder zum Abruf bereitgehaltener Daten. Es genügt also nicht, dass die Daten bereitgehalten werden. Die Übermittlung setzt voraus, dass die entsprechende Einsicht bzw. der Abruf auch erfolgt. 214 Das „Gegenstück“ zu dieser Definition in § 3 BDSG ist die Regelung des § 10 BDSG, Bereitstellung im automatisierten Abrufverfahren. Anders als § 11 BDSG, der das „Wie“ der AuftragsDV regelt, ist § 10 BDSG eine Zulässigkeitsregelung, die das „Ob“ der Zulässigkeit regelt. Nach § 10 Abs. 1 BDSG ist die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, zulässig, „soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist“. Ausdrücklich stellt § 10 Abs. 1 Satz 2 BDSG klar, dass die einzelnen Abrufe hinsichtlich ihrer Zulässigkeit gesondert zu prüfen sind, indem die Vorschriften über die Zulässigkeit des einzelnen Abrufs „unberührt“ bleiben. 215 Demnach ist die Weitergabe von personenbezogenen Daten an ein Abrufverfahren im Hause der speichernden Stelle selbst kein zusätzlicher datenschutzrelevanter Vorgang. Die Daten werden durch die Übergabe an das Abrufverfahren noch nicht an eine speichernde Stelle weitergegeben. Handelt es sich allerdings bei dem Träger des Abrufverfahrens um einen Dritten, so ist diese Weitergabe der Daten an diese dritte Stelle Übermittlung, z.B. vonseiten der Bank an die SCHUFA. Ebenso ist der Abruf der Daten eines Kreditnehmers oder Interessenten aus der SCHUFA eine Übermittlung.338 Einer der häufigsten Anwendungsfälle dürfte die Einrichtung konzernweiter Informationssysteme sein. 216 Grds. ist es Sache der Stelle, die das Abrufverfahren betreibt, die Zulässigkeit des einzelnen Abrufs zu prüfen (§ 10 Abs. 1 Satz 2 BDSG). Nach § 10 Abs. 4 BDSG, Sonderregelung, trägt jedoch die Verantwortung für die Zulässigkeit des einzelnen Abrufs beim Abrufverfahren 335 S. hierzu Alles/Mitchell, DuD 1993, 331 (334). 336 BGH v. 15.12.1983 – III ZR 187/82, NJW 1984, 1887; s.a. Ehmann in: Simitis, BDSG, 8. Aufl., § 10 Rz. 2 f. 337 Ehmann, in: Simitis, BDSG, 8. Aufl., § 10 Rz. 2. 338 Positive Darstellung der SCHUFA: Kamlah, MMR 1999, 395 gegen Kloepfer/Kutzschbach, MMR 1998, 650.
66
Schneider
Datenschutz Grundlagen
Rz. 221
A
der Empfänger. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht (§ 10 Abs. 4 Satz 2 BDSG). „Anlass“ könnte ähnlich verstanden werden, wie die Voraussetzung für ein Einschreiten der Aufsichtsbehörde nach § 38 Abs. 1 BDSG 1990. Danach wurde als Einzelfall die so genannte Anlass-Aufsicht ausgelöst, wenn der Aufsichtsbehörde hinreichende Anhaltspunkte dafür vorlagen, dass Datenschutzvorschriften durch nicht-öffentliche Stellen verletzt wurden. Diese Differenzierung in unterschiedliche Arten der Kontrolle wurde mit § 38 BDSG n.F. aufgegeben. Im konkreten Falle der Abrufverfahren müssten also Anhaltspunkte dafür vorliegen, dass unzulässigerweise Abrufe erfolgen. Wie konkret diese Anhaltspunkte allerdings sein müssen, wird im Einzelfall zu entscheiden sein, nicht zuletzt auch in Abhängigkeit von der Größe des Verfahrens und v.a. den evtl. Folgen einer massenhaften unzulässigen Kenntnisnahme durch unzulässige Abrufe. Die beteiligten Stellen haben im Gesetz geregelte Pflichten zu erfüllen. Nach § 10 Abs. 2 BDSG haben die beteiligten Stellen zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:
217
– Anlass und Zweck des Abrufverfahrens, – Datenempfänger, – Art der zu übermittelnden Daten, – nach § 9 BDSG erforderliche technische und organisatorische Maßnahmen. Außerdem hat die speichernde Stelle zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann (§ 10 Abs. 4 Satz 3 BDSG). Bei sog. Stapelverarbeitung, wenn ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt wird, bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes (§ 10 Abs. 4 Satz 4 BDSG). Wenn es sich um ein Abrufverfahren handelt, bei dem der Abruf aus Datenbeständen erfolgt, die jedermann, sei es ohne oder nach besonderer Zulassung, zur Benutzung offen stehen, gilt § 10 BDSG nicht (§ 10 Abs. 5 BDSG). Öffentliche Online-Dienste werden also ausgenommen.
218
§ 10 BDSG regelt eine von zwei verschiedenen Zulässigkeitsfragen: Die eine betrifft die Zulässigkeit des Abrufverfahrens als solches. Die andere ist die – unberührt belassene – Frage der Zulässigkeit des einzelnen Abrufs. Die Einrichtung von automatisierten Abrufverfahren stellt ein erhöhtes Gefährdungspotential dar. Die Relevanz dürfte demnach eher geringer werden. Die typischen Abrufverfahren dürften den Regelungen der Tele-, TK- oder Mediendienste unterfallen.
219
§ 10 BDSG enthält kein generelles Verbot automatisierter Abrufverfahren, von dem wiederum bei Erfüllung bestimmter Kriterien Ausnahmen gegeben sind. Man kann jedoch indirekt ein solches Verbot aus der Verbindung von § 10 Abs. 1 BDSG – die Einrichtung ist zulässig, – mit § 10 Abs. 2 BDSG – „Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann“ – ableiten. Der Umkehrschluss ist also erlaubt: Wenn die beteiligten Stellen nicht gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann, wird dieses unzulässig und zwar, „soweit“ es nicht „unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgabe dem Geschäftszweck der beteiligten Stellen angemessen ist“ (§ 10 Abs. 1 Satz 1 BDSG). Jedenfalls resultiert aus Abs. 2 eine entsprechende Dokumentationspflicht.339
220
Grds. wäre bei der Übermittlung ohne Zwischenschaltung von Abrufverfahren im privaten Bereich die abgebende Stelle für die Frage der Zulässigkeit verantwortlich (§§ 28, 29 BDSG).
221
339 Gola/Schomerus, BDSG, 12. Aufl., § 10 Rz. 12 und 14 f.
Schneider
67
A Rz. 222
Datenschutz und IT-Management
Bei Zwischenschaltung von Abrufverfahren wird nun die Verantwortung für die Zulässigkeit des einzelnen Abrufs auf den Empfänger übertragen (§ 10 Abs. 3 Satz 1 BDSG). Dies stellt eine Privilegierung der automatisierten Abrufverfahren gerade trotz ihrer erhöhten Gefährdungspotentiale dar. 222 Ein Problem ist, dass nicht ganz klar ist, wer eigentlich Normadressat ist. § 10 BDSG spricht nicht vom Betreiber als Adressaten, sondern in § 10 Abs. 2 BDSG von den „beteiligten Stellen“, wie erwähnt. Dies könnte so verstanden werden, als ob es sich nur um die abrufenden Teilnehmer handelt. Dies würde in Widerspruch zum Verbleib der Verantwortung beim abgebenden Unternehmen, das die Daten in das Abrufsystem übergibt, stehen, das bei Auftragsverarbeitung Herr der Daten wäre und bei Übermittlung direkt (erste Alternative nach § 3 Abs. 5 Nr. 3 BDSG) die Zulässigkeit in eigener Verantwortung zu prüfen hätte. Es ist deshalb die Verallgemeinerung der Verantwortung für die Zulässigkeit, hier nicht der konkreten Übermittlung, sondern des Abrufverfahrens so zu verstehen, dass „beteiligte Stellen“ auch die Betreiber bzw. die Abgebenden, das Verfahren unterhaltenden bzw. speisenden Unternehmen umfasst. Evtl. sind weiter eingeschaltete „Betreiber“ Auftragnehmer i.S.v. § 11 BDSG und wären dann nicht Adressaten und insoweit auch nicht privilegiert.340 223 Öffentlich zugängliche Abrufverfahren sind i.d.R. ein Telemediendienst.341 Es greifen demnach die §§ 11 ff. TMG. Dies beeinflusst die Organisation solcher Abrufverfahren, im Detail können sich Widersprüche zwischen den Aussagen bzw. Anforderungen der beiden Regelungsbereiche hier ergeben. Beim TMG wird das Interesse des Benutzers an einer möglichst anonymen oder pseudonymen Nutzung geschützt, geht es also um die Daten des Nutzers. Bei § 10 BDSG sind die Daten der Inhalt (Datenbank) des Abrufverfahrens und unterliegen eigentlich nicht dem Spezial-Datenschutz. § 10 BDSG dient insoweit dem Schutz „vor dem Nutzer“, nicht dem Schutz des Nutzers. Soweit dadurch ein Widerspruch entsteht, gilt § 10 BDSG als lex specialis gegenüber dem TMG.342 224 Andererseits stellt sich die Frage, ob überhaupt das Einstellen personenbezogener Daten, etwa der Mitarbeiter, im Internet einen Abrufdienst darstellt. Technisch bzw. formal wird die Frage zu bejahen sein.343 Die Lösung erfolgt zum einen über § 10 Abs. 5 Satz 1 BDSG: wenn die Daten allgemein zugänglich gemacht werden, gelten die übrigen Absätze des § 10 nicht. Satz 2 definiert, wann dies der Fall ist: die Daten kann jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen. Praktisch verbleibt als Anwendungsfall für § 10 BDSG auf Daten im Internet die geschlossene Benutzergruppe oder eine entsprechende technisch unterstützte Beschränkung. Dann sind die Abs. 1–4 zu beachten.344 225 Soweit spezielle Löschungspflichten wie in § 13 Abs. 4 Nr. 2 TMG bestehen, dürften von den sog. Protokollpflichten bzw. der Dokumentationspflicht gemäß § 10 Abs. 4 BDSG verdrängt werden. Die Whois-Datenbank für Domainnamen lässt sich etwa auch als Abrufverfahren i.S.d. § 10 BDSG sehen. Der Schutz privater Inhaber erscheint schwach.345 3.6 Privilegierung der AuftragsDV, Funktionsübertragung 226 In § 11 BDSG sind die Voraussetzungen einer Privilegierung für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag geregelt. Liegen die Voraussetzungen des § 11 BDSG nicht vor, stellen die Vorgänge des Transports der Daten an den Empfänger 340 341 342 343 344 345
Zum Hinweis auf § 11 BDSG s. Gola/Schomerus, BDSG, 12. Aufl., § 10 Rz. 6 und 9. Gola/Schomerus, BDSG, 12. Aufl., § 10 Rz. 7 ff. Gola/Schomerus, BDSG, 12. Aufl., § 10 Rz. 7. Ehmann, in: Simitis u.a., BDSG, 8. Aufl., § 10 Rz. 25. Ehmann, in: Simitis u.a., BDSG, 8. Aufl., § 10 Rz. 26 ff. Änderungen über ICANN sind seit längerer Zeit in der Diskussion. Zu ICANN s. K Rz. 18; s.a. AuerReinsdorff, ITRB 2011, 188.
68
Schneider
Datenschutz Grundlagen
Rz. 229
A
oder die Übertragung der Aufgabe der Erhebung der Daten und Übermittlung dieser Daten an einen Vertragspartner bzw. der Zugriff hierauf jeweils für sich gesonderte Vorgänge, insb. Übermittlung dar, die auf ihre Zulässigkeit zu prüfen sind. Dies entfällt, wenn das Privileg des § 11 BDSG greift. Die Privilegierung basiert auf der gesetzlichen Fiktion, dass der Auftragnehmer – bei geeigneter Ausgestaltung – nicht „Dritter“ ist, der seinerseits die Daten empfängt, verarbeitet und nutzt, wenn er seinen Sitz in der EU bzw. im EWR hat (§ 3 Abs. 8 Satz 3). Dann entfällt die Prüfung der Zulässigkeit der Handhabung der Daten zwischen den beiden Vertragspartnern und beim Auftragnehmer. Verantwortlich für die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz ist (und bleibt) der Auftraggeber (§ 11 Abs. 1 Satz 1 BDSG). Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen (§ 11 Abs. 2 Satz 1 BDSG). Da nach Satz 2 der Auftrag schriftlich zu erteilen ist, empfiehlt sich für die Praxis ein an § 11 BDSG orientierter Vertrag. Nachdem Satz 2 ausdrücklich betont, dass bei der Auftragserteilung „die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind“, empfiehlt sich weiter, die Anforderungen (und Pflicht zur Weiterentwicklung) der technischen und organisatorischen Maßnahmen, etwa i.R.d. Leistungsbeschreibung, in den Vertrag aufzunehmen.
227
Nach § 11 Abs. 3 BDSG darf der Auftragnehmer die (ihm anvertrauten) Daten nur i.R.d. Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Fehlt diese Weisungsgebundenheit, besteht das Privileg der AuftragsDV nicht. Dann ist der Auftragnehmer selbständige, eigenverantwortliche Stelle. U.a. wird dies im Vertrag klarzustellen sein, an den § 11 Abs. 2 Satz 2 Mindestanforderungen stellt:
228
„Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.“
Nach § 3 Abs. 7 BDSG ist verantwortliche Stelle „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“. Damit entfällt für AuftragsDV das wichtige Kriterium, v.a. bei der Übermittlung, dass es sich bei dem Empfänger um einen „Dritten“ handelt. Infolge dessen wird v.a. die Weitergabe nicht als Übermittlung (i.S.v. § 3 Abs. 4 Nr. 3 BDSG), sondern als interner Vorgang gesehen, der sich trotz Beauftragung eines Auftragnehmers noch in der Sphäre des Auftraggebers bewegt.
Schneider
69
229
A Rz. 230
Datenschutz und IT-Management
230 Den Auftraggeber treffen Kontrollpflichten. Dem BDSG ist zu entnehmen, dass der Auftraggeber besonderes Augenmerk auf die Qualität des Auftragnehmers zu legen hat und diese eigentlich nicht nur einmalig prüft, um dann die Verarbeitung dem Auftragnehmer zu überlassen. Vielmehr hat der Auftraggeber nach sorgfältiger Auswahl den Auftragnehmer auch zu überwachen. Dementsprechend gehört die „Überwachbarkeit“, ähnlich einer Auditierbarkeit, zu den Qualitäten eines guten Auftragnehmers. Jedenfalls hat der Auftraggeber nach § 11 Abs. 2 Satz 1 den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Demnach gibt es für den Startpunkt ein bestimmtes Niveau einer technisch-organisatorischen Maßnahme, das für die Entscheidung des Auftraggebers zugunsten des Auftragnehmers maßgeblich ist. Dazu gehört, dass der Auftraggeber sich vor der Auftragserteilung von diesem Gegebenheiten, auf die er dann abstellt, selbst überzeugt.346 Zumindest vom Wortlaut her muss also der Auftragnehmer bereits jetzt, wenn es um seine Auswahl geht, die entsprechenden Maßnahmen getroffen haben und nicht erst in einer Art Leistungsverzeichnis versprechen, diese zu treffen.347 231 Die 10 einzuhaltenden Punkte, die auch in der vertraglichen Gestaltung auftauchen müssen, enthalten u.a. den Hinweis, dass die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen aufzuführen sind. Hier liegt in gewissem Sinne ein Widerspruch zu der gerade geäußerten Notwendigkeit, dass die Auswahl auf der Basis bereits getroffener Sicherheit und den dieser zugrundeliegenden Maßnahmen zu erfolgen hat, während hier, Nr. 3 der Liste, auch zukünftig zu treffende technisch-organisatorische Maßnahmen gemeint sind. Der Widerspruch lässt sich wie folgt auflösen: Die Auswahl hat zu erfolgen auf der Basis geeigneter Maßnahmen, die jetzt schon bestehen. In dem Vertrag sind diese aber nicht nur als solche festzuhalten, sondern auch noch weiter zu treffende, also etwa i.S.e. Qualitätsverbesserung, einer Zukunftssicherung u.Ä. 232 § 11 Abs. 2 Nr. 3 BDSG, der von den zu treffenden technischen und organisatorischen Maßnahmen spricht, verweist insoweit auf § 9 BDSG. § 9 BDSG wiederum hat zur Anlage, die allerdings in § 11BDSG nicht erwähnt ist, als eine der Kontrollen, die damit auszuführen sind, dass die innerbehördliche oder innerbetriebliche Organisation so zu gestalten ist, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dazu gehört die schon erwähnte Prüfbarkeit. § 11 BDSG nun schreibt dem Auftraggeber vor, dass dieser sich nicht nur vor Beginn der Datenverarbeitung, sondern „sodann regelmäßig“ von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat. Dieses Ergebnis ist zu dokumentieren (§ 11 Abs. 2 Sätze 4 und 5 BDSG). Die Frage ist, ob der Auftraggeber dies selbst, und im Zweifel vor Ort beim Auftragnehmer auszuführen hat. Dass dies wünschenswert wäre, ist klar. Allerdings wird kaum ein Auftraggeber in der Lage sein, ein Auftragnehmer auch evtl. gar nicht berechtigt, einen Außenstehenden in alle Details seiner Datenverarbeitung hineinschauen zu lassen. Unter Sicherheitsaspekten wäre dies evtl. sogar kontraindiziert. Infolgedessen wird an einem ausgewogenen Kompromiss zu arbeiten sein, der dahingeht, dass sich einerseits der Auftraggeber selbst von bestimmten Gegebenheiten überzeugt und dazu Prüfungen veranlasst, die er allerdings durch entsprechend zuverlässige Dritte ausführen lassen kann. Dies könnte ein Sachverständiger sein, ähnlich wie auch ansonsten Auditierungen stattfinden. Hierzu können wohl auch, und insoweit Auditionen entbehrlich werden, als „werthaltig und aussagekräftige“ Zertifizierungen“ vorhanden sind, die auch aktuell sein müssten bzw. sich auf die aktuelle Organisation und technische Maßnahmen beim Auftragnehmer beziehen, sodass auf dieser Basis der Auftraggeber bzw. sein Beauftragter sich von der Eignung überzeugen kann.348 346 Zur Datenschutz-rechtlichen Erstkontrolle durch vertrauenswürdige Dritte s. Bergt, ITRB 2012, 45. 347 Schneider, in: Forgó/Helfrich/Schneider, Teil VI. Kap. 2 Rz. 23. 348 S. a. Bergt, ITRB 2012, 45 (46) u. Hinw. a. Petri, in: Simitis, hier 7. Aufl., § 11 Rz. 59 (so auch 8. Aufl.).
70
Schneider
Datenschutz Grundlagen
Rz. 238
A
Dies macht allerdings nicht entbehrlich, dass der Auftraggeber den Audit-Bericht inhaltlich 233 konkret prüft bzw. prüfen lässt und seinerseits Kontrollen vornimmt, die geeignet sind, weitere Fragen, die das Audit bzw. die Zertifizierung evtl. nicht umfasst hat, zu vervollständigen.349 Die nötigen Berechtigungen seitens des Auftraggebers ergeben sich im Detail so vielleicht nicht aus dem Gesetz, lassen sich aber aus § 11 BDSG schließen und insoweit dann in den gemäß § 11 BDSG abzuschließenden Vertrag sozusagen als Leistungsverzeichnis einbauen. Dabei hilft auch, wenn die technisch-organisatorischen Maßnahmen nicht einfach mit dem Gesetz abgeschrieben werden, also § 9 BDSG wiedergeben, was ohnehin nicht ausreichend ist, sondern neben den 10 Vertragspunkten, die auszufüllen sind, auch die Kontrollen nach § 9 BDSG inkl. Anlage auf den konkreten Fall hin beschrieben werden. Dies gilt insb. für solche Fragen, die durch die Anwendung im Hinblick auf deren Sicherheit, die der Auftragnehmer übernehmen soll, erforderlich sind.
234
Besondere Probleme im Hinblick auf die Einsehbarkeit bzw. Prüfbarkeit beim Auftragneh- 235 mer könnten Cloud-Computing u.ä. Einrichtungen mit sich bringen und zwar nicht zuletzt deshalb, weil kaum die Betretbarkeit bzw. Prüfbarkeit im klassischen Sinne bestehen wird und daneben, weil sich das Problem stellt, wie bei weltweit operierenden Systemen die vor Ort-Prüfung ggf. erfolgen könnte. Insofern ist wohl auch die Initiative von Microsoft in diese Richtung zu verstehen, dass möglichst wenig entsprechende Prüfungen erforderlich sind, weil das Modell sogar als „Treuhand“ („Datentreuhand“) ausgebaut ist.350 Aber ganz lässt sich der Umstand nicht weg argumentieren, dass gem. Gesetz der Auftraggeber sich nicht nur vorab, sondern regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technisch-organisatorischen Maßnahmen zu überzeugen hat (§ 11 Abs. 2 Satz 4 BDSG). Diese Überzeugung kann letzten Endes nicht allein auf übermittelte Unterlagen u.Ä. basieren. Es müssen auch geeignete Tests in Form vielleicht von Stichproben, also etwa auch Plausibilitätstests in Kombination mit selbständigen Dritten und deren Begutachtung erfolgen. In der Lit. wird allerdings auch darauf hingewiesen, dass der Gesetzgeber es nicht für zwingend erforderlich gehalten habe, dass die Überzeugung durch „eigene Augenscheinnahme vor Ort beim Auftragnehmer erfolgt“.351 Man wird also davon ausgehen können, dass ein Gesamtbild, das sich der Auftraggeber macht und bei dem er sich sachverständig beraten lässt, aus entsprechender Dokumentation seitens des Auftragnehmers, eigenen Prüfungen, und sei es mit Hilfe von Fragebogen und den angedeuteten Tests und entsprechende Unterstützung durch Dritte besteht. Das Mindestmaß dürfte sich aus § 11 Abs. 2 Satz 5 BDSG ergeben, wonach die Ergebnisse 236 zu dokumentieren sind. Dies impliziert, dass auch eigene Recherchen und Überprüfungen stattfinden. Ansonsten wären nur die entsprechenden Dokumente entgegenzunehmen, was offensichtlich als nicht ausreichend empfunden wird. Die Privilegierung gilt nicht, wenn der Auftragnehmer seinen Sitz im Nicht-EU-Ausland hat.352 Ohnehin entfällt aber die Privilegierung mit der DS-GVO, s. Rz. 628 ff. Die Auftragsverarbeitung gem. Art. 28 DS-GVO wird einfacher, aber riskanter für den Auftragnehmer.
237
Der Gegensatz ist die so genannte Funktionsübertragung.353 Bei dieser liegt keine AuftragsDV (mehr) i.S.v. § 11 BDSG vor, sodass dessen Privileg nicht mehr greift. Wann genau
238
349 Bergt, ITRB 2012, 45 (46). 350 Zu Microsoft Cloud in Deutschland mit Datentreuhand als Schutzschild gegenüber NSA & Co. s. Rath/Kuss/Maiworm, CR 2016, 98 mit dem Treuhändermodell von Microsoft. 351 S. z.B. Gola/Schomerus, BDSG, 12. Aufl., § 11 Rz. 21 u. Hinw. a. BT-Drs. 16/13. 352 S.a. Nielen/Thum, K&R 2006, 161; Giesen, CR 2007, 543; Beschluss des Düsseldorfer Kreises v. 19./20.4.2007 (z.B. abrufbar unter datenschutz-berlin.de), s. weiter Rz. 404 ff. 353 Zu Abgrenzung und Begriff Sutschet, RDV 2004, 97; mit Beispielen ausführlich Gola/Schomerus, BDSG, 12. Aufl., § 11 Rz. 9.
Schneider
71
A Rz. 239
Datenschutz und IT-Management
dies der Fall ist, muss im Einzelfall untersucht werden.354 Wichtig ist v.a., wenn AuftragsDV vorliegen soll, dass sich die Verantwortlichkeit i.S.d. „Datenhoheit“ noch beim Auftraggeber befindet,355 sodass Funktionsübertragung vorliegt, wenn die Datenhoheit (auch) beim Auftragnehmer liegt. Zur „Datenhoheit“ gehört neben der jederzeitigen Beanspruchungsmöglichkeit, sei es Zugriff, sei es Herausgabe, die „Überwachbarkeit“.356 Ausgedrückt wird dies v.a. dadurch, dass es auch noch Personen bzw. Funktionsträger beim Auftraggeber gibt, die die Aufgabe wahrnehmen, um deren Computerunterstützung es geht. Das typische Outsourcing, bei dem auch Aufgaben, Geschäftsprozesse und Abteilungen ausgelagert werden, wird deshalb in vielen Fällen nicht mehr unter die AuftragsDV fallen.357 Manche ASP-Anbieter und Cloud-Modelle betonen gerade die Auslagerung der Funktion, etwa SaaS, BPaaS, s.a. Rz. 438 ff. 239 Bei denjenigen Auftraggebern, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, ist i.d.R. das Outsourcing wegen der nicht beschlagnahmefesten Preisgabe der Daten gegenüber Dritten nicht zulässig bzw. würde gegen Datenschutzrecht verstoßen und das Recht der Betroffenen auf informationelle Selbstbestimmung verletzen. Dies wird bislang nicht sehr streng gesehen.358 Dies betrifft v.a. Anwälte und Ärzte.359 Banken und Versicherungen haben zudem spezielle (aufsichtsrechtliche) Anforderungen hinsichtlich Herrschaft und Prüfbarkeit zu erfüllen.360 Besonders heikel sind Verträge, in denen keine klaren Regelungen zur Herausgabe der Daten an den Auftraggeber vorgesehen sind. Dieses Defizit wird v.a. beim Umstieg auf einen neuen Partner oder sonstiger Beendigung des Vertragsverhältnisses im Verhältnis der Vertragspartner virulent.361 Es bestehen Rechte der Betroffenen (Abgebildeten), die zentral den typischen Auslagerungen (mit der Folge der Funktionsübertragung und somit Datenübermittlung) entgegenstehen, wenn eine Einwilligung des Einzelnen fehlt. Das Problem der Wahrung der „Geheimnisse“ stellt sich erst recht bei Cloud-Anwendungen, die Funktionsübertragung beinhalten, also etwa BPaaS, s. zur Funktionsübertragung Rz. 440 ff. 3.7 Technisch-organisatorische Maßnahmen „TOM“, Skandalisierungspflichten 240 Im Zshg. mit § 3a BDSG, Datenvermeidung und Datensparsamkeit, war schon das Thema „Systemdatenschutz“ angesprochen. Man versteht diese Regelung als Programm, nicht als unmittelbar bindende Vorschrift, s.a. Rz. 138. Datenvermeidung und Datensparsamkeit sind aber demnach grds. als Systemgestaltungsprinzip zu berücksichtigen bzw. in die entsprechenden Systeme einzubauen. Dem stehen andere Prinzipien möglicherweise entgegen, so etwa Redundanzen zum Zwecke der Sicherheit oder auch Performance im Rahmen verteilter Systeme. Ansonsten gibt es relativ wenig Gestaltungs- bzw. Design-leitende Maßgaben im BDSG, die etwa wie eine Leistungsvorgabe oder sogar ein Leistungsverzeichnis im Hin354 Zu Reichweite der Privilegierung und Zweck des „Privilegierungsgedankens“ Kramer/Herrmann, CR 2003, 938. 355 Wichtigstes Abgrenzungskriterium „Entscheidungsbefugnis über die Daten“: Gola/Schomerus, BDSG, 12. Aufl., § 11 Rz. 9. 356 Kramer/Herrmann, CR 2003, 938 (940). 357 Zu Datenschutz bei EDV-Outsourcing von Versicherungsunternehmen s. Seffer/Horter, ITRB 2004, 165. S.a. Rz. 438 ff. sowie U. und W. 358 S. Axmann/Degen, NJW 2006, 1457. S.a. BGH v. 9.6.2005 – I ZR 135/02, CR 2006, 254, zu OnlineRechtsberatung. 359 S. schon zu Inkasso bzw. Abtretung der Honorarforderung BGH v. 10.7.1991 – VIII ZR 296/90, NJW 1991, 2955; BGH v. 1.3.2007 – IX ZR 189/05; s.a. Rz. 105. 360 S. z.B. Witzel, ITRB 2006, 286 zu Besonderheiten von § 25a Abs. 2 KWG im Überblick. Zu EDV-Outsourcing privater Versicherungsunternehmen s. Seffer/Horter, ITRB 2004, 165; s.a. zu Funktionsübertragung Rz. 445 ff. und U. 361 S. z.B. „Außervertragliche Ansprüche auf Herausgabe von Daten gegenüber dem Outsourcinganbieter“ Grützmacher, ITRB 2004, 282. S.a. M Rz. 420 ff., M Rz. 479 ff., M Rz. 500, U und W. S.a. Intveen/ Hilber/Rabus, in: Hilber, Teil 2 Rz. 334 ff., 386 f.
72
Schneider
Datenschutz Grundlagen
Rz. 244
A
blick auf die Gestaltung von IT-System verstanden werden könnten. Die einzige echte Ausnahme dürfte § 9 BDSG sein, verbunden mit der Anlage dazu. § 9 regelt die technischen und organisatorischen Maßnahmen, häufig TOM abgekürzt. Das Interessante an diesem Regelungsmechanismus ist, dass insoweit die technischen und organisatorischen Maßnahmen zu treffen sind, als diese „erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insb. die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten“ (§ 9 Satz 1 BDSG). D.h. also, dass der Anwender selbst zu prüfen und zu entscheiden hat, welche Maßnahmen erforderlich sind, um den Datenschutz zu realisieren und umzusetzen. § 9 BDSG enthält in Satz 2 dazu eine spezifische Ausprägung des Erforderlichkeitsprinzips, in dem nämlich Maßnahmen „nur“ sind, „wenn der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht“. Diese Maßgabe ist insofern sehr wichtig, aber auch kritisch zu sehen, weil dem Anwender 241 oder auch dem Auftraggeber bei der Auftragsverarbeitung auferlegt wird, einen Schutzzweck, den das Gesetz nicht näher beschreibt oder definiert, als Maßstab für die Erforderlichkeit zu erarbeiten. Am ähnlichsten kommt von der Wortwahl her § 1 Abs. 1 BDSG, wonach „Zweck“ dieses Gesetzes es ist, den Einzelnen davor zu schützen … Insofern wäre also der Schutzzweck der Schutz des Persönlichkeitsrechts des Einzelnen bzw. desjenigen, der durch die personenbezogenen Daten abgebildet wird. Damit ist aber wohl diesem Satz nicht Genüge getan, weil offensichtlich eine Art Abwägung mit dem Aufwand vorzunehmen ist. Bei klassischen Datensicherungsmaßnahmen würde man darauf abstellen, welche Kritikalität die Daten und die Verarbeitung selbst für die Zwecke des Anwenders haben. Beim Datenschutz wäre dies ähnlich, aber bezogen auf die Bedeutung für den Betroffenen zu sehen. D. h., dass letztlich die Daten in ihrer Kritikalität und Bedeutung für den Betroffenen abzuschichten, zu bewerten und die Erforderlichkeit der Maßnahmen an dem Ergebnis zu orientieren sind. Also werden die Daten nach ihrer Sensibilität abgestuft. Hierfür gibt das Gesetz bedenklich wenige Maßgaben, weil grds. nur zwischen den personenbezogenen Daten als solchen und den besonderen Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) zu unterscheiden ist. Einige Datenarten werden dabei noch gesondert hervorgehoben bzw. behandelt. Dies betrifft insb. Gesundheitsdaten. Sobald also solche besonderen Arten von Daten und dabei wiederum insb. Gesundheitsdaten betroffen sind, sind die Anforderungen an die Sicherheit bzw. die zu treffenden technischen und organisatorischen Maßnahmen besonders hoch. Das bedeutet für das Verhältnismäßigkeitsprinzip, dass insofern größerer Aufwand zu treiben ist. Da einige der Ordnungswidrigkeiten praktisch voraussetzen, dass insoweit keine geeigneten 242 Sicherungsvorkehrungen getroffen waren bzw. diese nicht ausreichend waren, so etwa der Umstand, dass personenbezogene Daten, die nicht allgemein zugänglich sind, abgerufen oder von einem anderen aus automatisierten Verarbeitungen jemand sich verschafft (§ 43 Abs. 2 Nr. 3 BDSG), wird die Gestaltung von § 9 BDSG u. U. auch strafrechtlich relevant. Insofern ist die Ungenauigkeit dieser Vorschrift i.V.m. der Anlage möglicherweise von Belang, weil sie dem Bestimmtheitsgebot nicht genügt. Dieses Problem wird auch nicht etwa durch die DS-RL gelöst. Diese hat nur allgemeine Re- 243 gelungen. Dort fehlt also eine der Anlage zu § 9 BDSG entsprechende Auflistung von erforderlichen Maßnahmen und erforderlichen Kontrollen. Art. 17 DS-RL regelt die Notwendigkeit der „geeigneten technischen und organisatorischen Maßnahmen“, die der Verantwortliche durchzuführen hat, „die für den Schutz gegen die zufällige und unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unberechtigten Verarbeitung personenbezogener Daten erforderlich sind“ (Art. 17 Abs. 1 DS-RL). Allerdings enthält Art. 17 DS-RL insofern eine Steigerung, als (1) Abs. 2 besagt, dass die Maßnahmen „unter Berücksichtigung des Standes der Technik und der bei ihrer DurchfühSchneider
73
244
A Rz. 245
Datenschutz und IT-Management
rung entstehenden Kosten ein Schutzniveau gewährleisten müssen, „das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist“. Hier ist also relativ klar, worauf sich die Abschichtung zu beziehen hat. 245 Die in der Anlage zu § 9 BDSG aufgelisteten Kontrollen finden sich also im Ansatz in der Datenschutz-RL, Art. 17 (1) Abs. 1 DS-RL wieder, ebenso Satz 2 in Abs. 2. Die Anlage zu § 9 BDSG kann nicht unmittelbar umgesetzt werden. Dies hängt einmal damit zusammen, dass die sog. Kontrollen sehr allg. formuliert sind. Zum anderen sind sie zum Teil veraltet, etwa ist der Bezug auf „Datenverarbeitungssysteme“, was genau dies sein soll, inzwischen unklar. 246 Ein wichtiges Prinzip im Hinblick auf die Verhältnismäßigkeit bzw. die Effizienz der Maßnahmen wäre noch, dass diese möglichst kompatibel sein sollten mit den Maßnahmen, evtl. sogar überlappend, die der Auftraggeber im eigenen Interesse durchführen sollte und wird. Zu diesem Zweck führt normalerweise ohnehin ein IT-Anwender entsprechende Analysen und Tests durch, um die für seine spezifischen Gegebenheiten bestehenden Risiken und Gefährdungspotentiale abschätzen zu können und die daraus erforderlichen Konsequenzen zu ziehen. Die typischen Prinzipien, auf die dabei abgestellt wird und die entsprechend zu gewichten sind, wie es sich also aus den konkreten Verhältnissen ergibt, sind neben der Vertraulichkeit, die weitgehend mit dem Datengeheimnis bzw. überhaupt dem Anliegen des Datenschutzes im Hinblick auf die Datenminimierung nach außen hin deckungsgleich sein wird, die „Verwendbarkeit“ und Integrität der gesamten Anwendung, aber auch speziell der sensiblen Bereiche. Zu Integrität wird u.a. auf die Sicherstellung der Richtigkeit und Vollständigkeit von personenbezogenen Daten und die darauf anzuwendenden Verarbeitungsmethoden verwiesen.362 247 Die Übereinstimmung zwischen der IT-Sicherheit i.S.d. Anwenders und den technisch-organisatorischen Maßnahmen i.S.d. Datenschutzes könnte konvergierend „Datensicherung“ genannt werden. Dies wäre aber nicht ganz richtig, nachdem sich der Begriff doch weitgehend dafür eingebürgert hat, was der Anwender in seinem eigenen Interesse an Maßnahmen realisiert. Dementsprechend werden also bei der Analyse und Bewertung von Gefahrenpotentialen die verschiedenen Sichtweisen zu berücksichtigen, während bei der Ausbildung von Maßnahmen bzw. der Auswahl der geeigneten Maßnahmen möglichst Konvergenz zu erzeugen wäre und insofern sich dann die Datensicherung und die technisch-organisatorischen Maßnahmen i.S.d. Datenschutzes überlagern. Es ist auch nicht zu übersehen, dass wesentliche Maßgaben aus dem Bereich der Datensicherung auch dazu dienen, solche Ziele zu realisieren, die i.R.d. Datenschutzes verfolgt werden sollen, etwa der Verlust der Daten, deren Schutz vor Verfälschung, Diebstahl oder einfach nur unberechtigte Nutzung.363 248 Für die Ausführung der acht expliziten Kontrollen, die von der Datenschutz-Kontrolle in Satz 1 der Anlage überlagert und auch überspannt wird, gibt es eine Reihe von Hinweisen wie diese zu realisieren sind. Dazu gehört auch, die Maßgaben der IT-Sicherheitsvorschriften allg., etwa das Grundschutzhandbuch bzw. der Grundschutzkatalog des BSI,364 ggf. auch die sich aus BSIG und NIS-RL (s. Rz. 6) entsprechend auszuwerten und umzusetzen. Einige Empfehlungen von verschiedener Stelle ergänzen die zu treffenden Maßnahmen bzw. sind geeignet, daraus solche auszuwählen, die für den konkreten Anwendungsfall hilfreich sind. Allerdings sind die entsprechenden Empfehlungen ihrerseits auch etwas veraltet. Zum Beispiel weisen Gola/Schomerus auf eine Publikation beim Bundesbeauftragten für den Datenschutz aus dem Jahre 1993 hin, was die Empfehlung zu Passwortgestaltung und Sicherheitsmanagement betrifft. Gleichwohl sind solche Empfehlungen nach wie vor durchaus sinnvoll. Darunter finden sich z.B. Hinweise wie zeitliche Begrenzung hinsichtlich Zugangsberechti362 S. z.B. Gola/Schomerus, BDSG, 12. Aufl., § 9 Rz. 2, vorgenannte Prinzipien als zu gewährleisten. 363 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 9 Rz. 3. 364 S. z.B. Conrad, in: Auer-Reinsdorff/Conrad, Teil F, § 33 Rz. 304 f.
74 Schneider
Datenschutz Grundlagen
Rz. 255
A
gungen, zahlenmäßige Begrenzung der Anzahl der Anmeldungs-Fehlversuche, Abschalten nach angemessenen Zeitabständen, Vermeidung der Vergabe alter Passwörter u.Ä. Die Empfehlungen sind zudem noch dahingehend zu spezifizieren bzw. danach auszuwählen, inwieweit es sich konkret handelt um – eine Gesamt-IT-Infrastruktur mit ggf. angeschlossener TK- und Internet-Technologie, also jederzeit von außen auch erreichbar – einzelne, tragbare Geräte, – evtl. von den Mitarbeitern mitgebrachte eigene Geräte (BYOD).365 Damit ist noch nicht die Frage beantwortet, ob überhaupt personenbezogene Daten, die der Verantwortliche verarbeitet, von Arbeitnehmern auf deren PC oder sonstigen tragbaren Geräten gespeichert und ggf. verarbeitet werden dürfen. S. dazu im Einzelnen Rz. 340 ff.
249
Besonderes Augenmerk der technisch-organisatorischen Maßnahmen ist bei der AuftragsDV erforderlich. Dort spielen diese Maßnahmen schon bei der Auswahl eine erhebliche Rolle (S.a. Rz. 226 ff.).
250
Anders gesagt: Die technisch-organisatorischen Maßnahmen sind nicht nur als solche zu treffen und zu dokumentieren. Sie sind vielmehr ein Gegenstand, der in mehrerlei Hinsicht auch jeweils vertraglich zu regeln ist. Dies beginnt bei der Beschaffung und geht weiter über den Betrieb im eigenen Hause, bei der AuftragsDV und im Zshg. mit den Mitarbeitern.
251
3.8 Datenschutzbeauftragter – interne Kontrollinstanz 3.8.1 Verhältnis zur DS-RL Die deutsche Besonderheit des betrieblichen Datenschutzbeauftragten wurde bei der DS-RL insofern berücksichtigt, als die Vereinfachung gegenüber den Grundsätzen nach Art. 18 Abs. 1 DS-RL (Meldepflicht) und Art. 20 (Vorabkontrolle) dann greift, wenn der Verantwortliche entsprechend dem einzelstaatlichen Recht, dem er unterliegt, einen Datenschutzbeauftragten bestellt. Diesem obliegt dann insb.
252
– die unabhängige Überwachung der Anwendung der zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Bestimmung, – die Führung eines Verzeichnisses mit den in Art. 21 Abs. 2 DS-RL vorgesehenen Informationen, wobei Art. 21 DS-RL auf Art. 19 DS-RL, Inhalt der Meldung, verweist, um auf diese Weise sicherzustellen, dass eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung unwahrscheinlich ist. Etwas konturiert wird die Aufgabe des Datenschutzbeauftragten durch Art. 20 DS-RL, wonach dieser alternativ zur Kontrollstelle „Vorabprüfungen“ durchführen kann, im Zweifel jedoch die Kontrollstelle anzurufen hat (dem entspricht § 4g Abs. 1 Satz 2 BDSG).
253
Es wird angenommen, dass ein hoher Prozentsatz aller Firmen in Deutschland, die einen Be- 254 auftragten zu bestellen hätten, dieser Pflicht nicht oder nur ungenügend nachgekommen sind. Dennoch wird dieser Institution als deutscher Besonderheit hoher Rang zugemessen. Das BDSG verfolgte von Anfang an eine zweispurige Strategie bei der Kontrolle. Die relative 255 Zurückhaltung im Bereich externer Kontrolle durch die Datenschutzbehörden wurde dadurch gerechtfertigt, dass eine interne Kontrolle, „der betriebliche Datenschutzbeauftragte“, nun der „Beauftragte für den Datenschutz“, ab einer gewissen Größenordnung einzurichten war.366 Die Adressaten folgten dieser Pflicht eher zögerlich. I.R.d. Umsetzung der DS-RL 365 Zu BYOD s. Rz. 892 ff. 366 Zum Konfliktpotential s. z.B. Schefzig, ZD 2015, 503.
Schneider
75
A Rz. 256
Datenschutz und IT-Management
tauchte das Problem auf, dass diese ein anderes Konzept verfolgte. Die Zweispurigkeit in der Kontrolle gibt es danach nicht. Dafür sind die Aufsichtsbehörden wesentlich unabhängiger, nämlich „völlig unabhängig“ auszugestalten (Art. 28 Abs. 1 Satz 2 DS-RL). Den Kontrollstellen sind nach Art. 28 Abs. 3 DS-RL eine Reihe von Befugnissen einzuräumen, darunter – Untersuchungsbefugnisse – wirksame Einwirkungsbefugnisse und das – Klagerecht oder die Anzeigebefugnis. 256 Diesen Anforderungen ist die deutsche Umsetzung nur teilweise gefolgt. Die Aufsichtsbehörde ist nach Art. 38 DS-RL in ihrer Aufgabenstellung weitgehend geregelt, ohne dass solche Befugnisse konkret eingeräumt wurden und v.a. ohne dass die Unabhängigkeit sichergestellt wäre. Dagegen ist die Institution als solche geblieben, nunmehr „Beauftragter für den Datenschutz“ genannt (§§ 4f, 4g BDSG). Die Datenschutzrichtlinie sah ausdrücklich vor, was als „deutsche Sonderlösung“ gesehen wurde, dass der Adressat, also die Daten verarbeitende Stelle, gewisse Privilegien erhält, wenn sie einen Datenschutzbeauftragten bestellt, der gemäß dem einzelstaatlichen Recht dann bestimmte Aufgaben innehat (Art. 18 Abs. 2, 2. Gedankenstrich DS-RL). Zu dessen Obliegenheiten gehört insb.: – Die unabhängige Überwachung der Anwendung der zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Bestimmungen. – Die Führung eines Verzeichnisses mit den in Art. 21 Abs. 2 DS-RL vorgesehenen Informationen, um auf diese Weise sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung nicht beeinträchtigt werden. Demnach erfolgt die „unabhängige“ Überwachung der Anwendung der Datenschutzbestimmungen durch den Datenschutzbeauftragten. Diese Unabhängigkeit der Funktion muss durch die Geschäftsleitung gewährt sein, ansonsten die Privilegierung bei den Meldepflichten und der Vorabkontrolle (geregelt in Art. 20 Abs. 2 DS-RL) entfallen. 257 Dem ist der deutsche Gesetzgeber ansatzweise gefolgt und hat den Beauftragten für den Datenschutz so installiert, dass die Meldepflichten grds. bei Bestellung eines Beauftragten entfallen, allerdings dann nicht, wenn es sich um besondere Arten von Daten (§ 3 Abs. 9 BDSG) handelt, die der Vorabkontrolle unterliegen (§ 4d Abs. 5 BDSG). In diesen Fällen wäre dann der Datenschutzbeauftragte auch bei solchen Institutionen erforderlich, die an sich von der Größenordnung her noch keinen zu bestellen hätten. 3.8.2 Bestellungsnotwendigkeit 258 Der Beauftragte für den Datenschutz ist seit Änderung des Gesetzes in 2006367 zu bestellen, wenn die DV-Stelle „in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Bei konventioneller Datenverarbeitung ist die Grenze bei mindestens zwanzig Personen. „Ständig“ heißt nicht Vollzeit, sodass auch der gelegentliche, aber regelmäßig/periodische Anfall der Arbeit (etwa wie Gehaltsabrechnung, Rechnungsschreibung) ausreicht.368 Demnach sind vorübergehend Beschäftigte, v.a. Auszubildende, nicht mitzuzählen. 259 Nicht erforderlich ist, dass es sich um Angestellte handelt. Auch freie Mitarbeiter und Leiharbeitnehmer sind mitzuzählen,369 wenn sie mit der DV personenbezogener Daten beschäftigt sind. 367 Aufgrund 1. Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft v. 22.8.2006 ins BDSG aufgenommen. 368 Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 12. 369 Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 10a.
76
Schneider
Datenschutz Grundlagen
Rz. 264
A
Soweit die nicht-öffentliche Stelle Daten verarbeitet, die einer Vorabkontrolle unterliegen 260 oder soweit die Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung automatisiert verarbeitet werden, ist die Bestellung des Beauftragten für den Datenschutz unabhängig von der Zahl der dabei Beschäftigten (§ 4f Abs. 1 Satz 6 BDSG). 3.8.3 Voraussetzungen für das Amt § 4f Abs. 2 BDSG regelt die Voraussetzungen für die Person, die zum Beauftragten bestellt 261 wird. Diese muss insb. die zur Erfüllung der Aufgabe erforderliche „Fachkunde und Zuverlässigkeit“ besitzen (§ 4f Abs. 2 Satz 1 BDSG). Während die Zuverlässigkeit nicht weiter ausgeführt wird, wird das Maß der erforderlichen Fachkunde etwa näher umrissen: Diese bestimmt sich „insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet“ (§ 4f Abs. 2 Satz 2 BDSG).370 Zuverlässigkeit lässt sich anders als Fachkunde weder genauer definieren noch ermitteln. „Harte“ Kriterien, die gegen die Zuverlässigkeit sprechen, dürften i.d.R. schon einer sonstigen Beschäftigung entgegenstehen. Sind die Kriterien nicht erfüllt, gilt die Bestellung als nicht erfolgt und liegt eine Ordnungswidrigkeit nach § 43 Abs. 1 Nr. 2 BDSG vor.371 3.8.4 Unterstellung, Einordnung in der Hierarchie Der Beauftragte ist dem Leiter der verantwortlichen Stelle „unmittelbar zu unterstellen“ 262 (§ 4f Abs. 3 Satz 1 BDSG). In gewissem Sinne werden damit eine ganze Reihe von Problemen, wo genau der Datenschutzbeauftragte in der Organisation anzusiedeln ist, gelöst, aber auch eine Reihe anderer Probleme geschaffen. Von der hierarchischen Stellung her erscheint es somit unwichtig, welche Ebene der Beauftragte innehat, sodass er also auch „einfacher Sachbearbeiter“ sein kann, weil er jedenfalls im Hinblick auf die Ausübung seines Amtes, und sei dies im Nebenamt, der Geschäftsleitung unmittelbar unterstellt ist (unmittelbar an diese berichtet). Dies hat hinsichtlich der Verantwortlichkeit noch den Vorteil, dass die Geschäftsleitung für die Einhaltung des Datenschutzes verantwortlich bleibt, sich jedoch insoweit unmittelbar der Leistung des Beauftragten zu versehen hat. 3.8.5 Weisungsfreiheit Gerade innerhalb von Organisationen besteht natürlich die Gefahr, dass der unliebsame Da- 263 tenschutz, wenn ihn ein Beauftragter besonders ernst nimmt, zu Benachteiligungen führt. Insofern stellt § 4f Abs. 3 Satz 2 BDSG ausdrücklich klar, dass der Beauftragte „in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei“ ist. Nach Satz 3 darf er wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Einen besonderen Schutz genießt der Beauftragte aber insofern, als die Bestellung (was nicht mit seiner Anstellung, also dem zugrunde liegenden Arbeitsverhältnis verwechselt werden darf) in entsprechender Anwendung von § 626 BGB, bei nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden kann. Das bedeutet, dass die Bestellung beendet werden kann. 3.8.6 Inkompatibilität Soweit der Beauftragte nicht sich selbst zu kontrollieren hat, liegt zumindest insoweit keine 264 Inkompatibilität vor.372 Das Amt kann nebenamtlich ausgeübt werden. Allerdings wird dies nur bis zu einer gewissen, im Einzelfall zu ermittelnden Größenordnung gelten. Aus der 370 Zur Diskussion der Erwerbs- bzw. Ausbildung(skonzepte) Kongehl, DuD 2007, 330; Jaspers/Reif, DuD 2007, 333; Bizer, DuD 2007, 336. 371 Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 23. 372 S. Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 24, 26.
Schneider
77
A Rz. 265
Datenschutz und IT-Management
Kombination mit dem Hauptamt dürfen keine Kollisionen resultieren. Insofern ist eine Reihe von Stellen „inkompatibel“. Als typisch werden etwa genannt373 – IT-/EDV-Leiter, – Personalleiter, – Vertriebsleiter bei Direktvertrieb. Dagegen soll der Leiter der Revision oder der Sicherheitsbeauftragte „kompatibel“ sein.374 265 Strittig war, ob ein Betriebsratsmitglied zugleich Datenschutzbeauftragter sein kann. Auf den ersten Blick könnte man aus der internen Sphärentrennung, die das BAG hinsichtlich der Beschränkung des Kontrollrechts des Beauftragten vorgenommen hat,375 schließen, dass Inkompatibilität vorliegt. Da das Betriebsratsmitglied als DSB aber gerade aufgrund dieses Urteils den Betriebsrat nicht zu prüfen hat und das Benachteiligungsverbot des § 78 BetrVerfG zu beachten ist, wird man im Ergebnis bei einem Betriebsratsmitglied die Kompatibilität nicht wegen dieser Eigenschaft verneinen.376 3.8.7 Schriftlichkeit 266 Die Bestellung hat „schriftlich“ zu erfolgen (§ 4f Abs. 1 Satz 1 BDSG). An sich wäre die Bestellung einseitige Erklärung des Arbeitgebers. Aber zum einen muss der Bestellte auch einverstanden sein, zum anderen wird „schriftlich“ hier so interpretiert, dass dies auch die Gegenzeichnung des Bestellten umfasst.377 Aus dem Wortlaut des Gesetzes, auch i.V.m. § 126 BGB, ist dies nicht abzuleiten. Der BAG hat mittlerweile geklärt, dass der Arbeitgeber i.R.d. Bestellung des Datenschutzbeauftragten jedenfalls nicht auf sein Direktionsrecht zurückgreifen kann, sondern vielmehr eine einvernehmliche Vereinbarung erforderlich ist, die aber auch konkludent geschlossen werden kann, z.B. indem der Arbeitnehmer das angetragene Amt annimmt.378 Indirekt zeigt sich hier die Frage nach der Grundstruktur bzw. dem Verhältnis von Amt (Bestellung) und Anstellungsverhältnis. S. Rz. 267 ff. 3.8.8 Verhältnis Bestellung/Anstellung 267 Das BAG setzt – wie Simitis – für eine wirksame Bestellung eine arbeitsvertragliche Vereinbarung i.R.d. Bestellung eines Internen voraus und lehnt das Direktionsrecht als Grundlage ab.379 Allerdings heißt dies auch, dass mit der demnach notwendigen arbeitsrechtlichen Änderungsvereinbarung eine enge Verbindung von Arbeitsverhältnis und Bestellung zum bzw. Amt des Beauftragten entsteht. Ein Widerruf der Bestellung kann in diesem Fall nur analog § 626 BGB erfolgen, ansonsten nur auf Verlangen der Aufsichtsbehörde (§ 4f Abs. 3 Satz 4 BDSG).380 Das BAG löst das Problem, indem insoweit doch getrennt wird. 373 Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 26. 374 Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 27. 375 BAG v. 11.11.1997 – I ABR 21/97, CR 1998, 328, s. Rz. 561; zu BAG v. 13.3.2007 – 9 AZR 612/05, DB 2007, 1198, Widerruf, s.a. Rz. 758 ff. 376 So auch BAG v. 23.3.2011 – 10 AZR 562/09, CR 2011, 776 (red. Ls. 3, Rz. 25); Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 28; Fitting, Betriebsverfassungsgesetz, 28. Aufl., § 80 Rz. 7. 377 S. Simitis, in: Simitis u.a., BDSG, 8. Aufl., § 4 f Rz. 57 ff., 61; Gola/Schomerus, BDSG, 12. Aufl. § 4f Rz. 30. 378 BAG v. 23.3.2011 – 10 AZR 562/09, CR 2011, 776 (Rz. 29). 379 BAG v. 23.3.2011 – 10 AZR 562/09, CR 2011, 776 (Rz. 29); v. 13.3.2007 – 9 AZR 612/05, DB 2007, 1198; a.A: Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 30 abgelehnt, der auf die Bedingungen des Arbeitsvertrags abstellt. 380 BAG v. 23.3.2011 – 10 AZR 562/09, CR 2011, 776 (Rz. 13).
78
Schneider
Datenschutz Grundlagen
Rz. 273
A
Ausdrücklich bejaht das BAG die Zulässigkeit einer Teilkündigung hinsichtlich der Aufgabe des Datenschutzbeauftragten, wobei die zusätzliche Aufgabe „lediglich wegfällt“.381 Im Jahr 2007 hat das BAG die Zulässigkeit einer Teilkündigung noch aus dem Benachtei- 268 ligungsverbot (§ 4f Abs. 3 Satz 3 BDSG) gefolgert.382 Mit Urteil v. 23.3.2011 hat das BAG hingegen ausgeführt, dass es keiner Teilkündigung mehr bedarf, wenn die Bestellung nach § 4f Abs. 3 Satz 4 BDSG wirksam widerrufen wird und die Tätigkeit des Beauftragten somit auch ohne Teilkündigung fortan nicht mehr Bestandteil der vertraglich geschuldeten Leistung ist.383 Das weitere Problem, ob nämlich mit Beendigung des Arbeitsverhältnisses automatisch auch das Amt des Beauftragten endet, da die Akzessorietät dies erfordern würde, hat das BAG gesehen, musste und wollte dies aber nicht entscheiden.384 Ausdrücklich verweist das BAG insoweit auf die E. des LAG Nds. v. 16.6.2003385 – kein besonderer Kündigungsschutz für Datenschutzbeauftragte. 3.8.9 Unterstellung, „Kompatibilität“ Durch die Unterstellung unter die Geschäftsleitung kommen im Hinblick auf die typischen 269 hierarchischen Prinzipien grds. einerseits weniger die leitenden Angestellten in Betracht, andererseits wohl auch weniger die unterste Ebene. Es ist aber auch klar, dass niemand aus der Geschäftsleitung selbst grds. zum Beauftragten bestellt werden kann, was ein nicht unerhebliches Problem bei Sozietäten bzw. Gesellschaften bürgerlichen Rechts darstellen wird (s. Rz. 386 ff.). Ein besonderes Problem kann die Kombination von erforderlicher Fachkunde und geeignete 270 Unterstellung, also Kombination der Anforderungen von § 4f Abs. 2 und 3 BDSG darstellen: Möglicherweise ist diese Fachkunde im eigenen Hause zwar durchaus zu finden, jedoch nur bei Personen, die aufgrund ihrer Funktion und evtl. auch hierarchischen Einordnung dafür eher nicht in Frage kommen, nicht zuletzt, wenn sie sich selbst kontrollieren müssten. S. zur Inkompatibilität Rz. 264. Das BDSG hat ausdrücklich die Möglichkeit vorgesehen, dass zum Beauftragten für den Datenschutz auch eine Person außerhalb der verantwortlichen Stelle bestellt werden kann, ein so genannter externer Beauftragter.
271
In der Praxis macht es auch bei Externen nicht unerhebliche Schwierigkeiten, in einer Person die hohen Anforderungen an die Fachkunde und Zuverlässigkeit zu erfüllen. Bei Fachkunde liegt auf der Hand, dass es mindestens drei Bereiche gibt, die abgedeckt sein müssten, nämlich einerseits generell der IT-Bereich als technischer Bereich, sodann der juristische, nämlich des BDSG und alle sonstigen Datenschutzvorschriften, und als dritter Bereich die konkrete Rechtssituation im Daten verarbeitenden Unternehmen. Nur wenn diese Kenntnisse im letzten Bereich auch bestehen, kann der Datenschutzbeauftragte beurteilen, was konkret „zulässig“ bzw. „erforderlich“ ist. Die technische Komponente wird insb. über § 9 und Anlage dazu gefordert.
272
Evtl. gibt es Kompatibilitätsprobleme bzw. Probleme, einen geeigneten Beauftragten zu fin- 273 den. Als Grundsatz gilt (s. Rz. 269), dass dieser nicht zugleich ein Mitglied der Geschäftsleitung sein kann. Hierzu enthält § 4g Abs. 2a BDSG eine Ausnahme. Soweit bei einer nicht-öffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz 381 382 383 384 385
BAG v. 13.3.2007 – 9 AZR 612/05, DB 2007, 1198, Ls. 3. BAG v. 13.3.2007 – 9 AZR 612/05, DB 2007, 1198 Rz. 34. BAG v. 23.3.2011 – 10 AZR 562/09, CR 2011, 776 (Rz. 30b m.w.N.). BAG v. 13.3.2007 – 9 AZR 612/05, DB 2007, 1198 Rz. 35. LAG Nds. v. 16.6.2003 – 8 Sa 1968/02, NZA-RR 2004, 354; RDV 2004, 177.
Schneider
79
A Rz. 274
Datenschutz und IT-Management
besteht, hat der Leiter der nicht-öffentlichen Stelle die Erfüllung der Aufgaben nach § 4g Abs. 1 und 2 BDSG in anderer Weise sicherzustellen. D.h. nicht, dass ein Mitglied der Geschäftsleitung Beauftragter für den Datenschutz ist. Jedoch heißt dies, dass jemand aus der Geschäftsleitung diese Aufgaben wahrnimmt, was als Wertungsmaßstab in der Tendenz die Möglichkeit zulässt, in Ausnahmefällen einen formellen Beauftragten für den Datenschutz aus der Geschäftsleitung zu wählen. Das Gesetz selbst bietet diesen Anhaltspunkt, der für kleinere Organisationen, die aber die nötige Anzahl von Mitarbeitern bereits aufweisen oder der Vorabkontrolle unterliegen, durchaus interessant ist. Damit wird die Stelle nicht automatisch darauf verwiesen, einen Externen zu bestellen, was z.B. gerade bei einer RA-Kanzlei meist unerwünscht ist. 3.8.10 Externer Datenschutzbeauftragter 274 Ausdrücklich besagt § 4f Abs. 2 Satz 3 BDSG, dass auch ein Externer, eine Person außerhalb der verantwortlichen Stelle, bestimmt werden kann. Für kleinere und mittlere Betriebe, auch für größere spezialisierte, ist es u.U. wie erwähnt nicht einfach, einen geeigneten Datenschutzbeauftragten aus den eigenen Reihen zu rekrutieren. Im Hinblick auf die Unterstellung unter die Geschäftsleitung, die Unabhängigkeit, also Weisungsfreiheit, wenn auch ohne Entscheidungsbefugnisse, kann es sich empfehlen, einen Externen zu beauftragen. Dies gilt, obwohl es im Prinzip beim Beauftragten für den Datenschutz um eine innerbetriebliche Selbstkontrolle geht.386 275 Bei Konzernen wird oft ohnehin ein (1) Beauftragter bestellt werden, der für den gesamten Konzern zuständig ist (vielleicht auch mit eigenen Mitarbeitern), sodass er aus der einen Konzerntochter stammt und insofern dort interner Beauftragter ist, während er für die übrigen Konzern-Geschwister bzw. die Mutter (wenn er nicht dort „aufgehängt“ ist) Externer ist. Dadurch, dass eine externe Person bestellt wird, wird diese datenschutzrechtlich gesehen aber nicht „Dritter“, sodass insoweit auch ein externer Datenschutzbeauftragter behandelt wird wie ein interner, ohne Probleme hinsichtlich des Geheimnisses, der Übermittlung u.Ä.387 276 Der Vorteil des Externen als Beauftragtem ist, dass die verantwortliche Stelle größere „Auswahl“ bei der Fachkunde hat. Gleichwohl wird es nicht einfach sein, jemand zu finden, der sowohl juristisch (und dabei auch, aber nicht nur datenschutzrechtlich) versiert ist, sondern auch technisch und dies auch bezogen auf die jeweiligen Anwendungsverhältnisse beim Auftraggeber. Insofern wird sich der Datenschutzbeauftragte, je nachdem, wo er seinen Schwerpunkt hat, als Externer weiterer Hilfskräfte zu bedienen haben, i.d.R. dann der internen Mitarbeiter. 277 Da insoweit allerdings dann wieder Probleme bestehen könnten, wenn es sich bei der Daten verarbeitenden Stelle etwa um eine Anwaltskanzlei oder Arztpraxis handelt, ob der Beauftragte dann auch genügend Kontrollmöglichkeiten hat, da die Daten dem Arzt- bzw. Anwaltsgeheimnis unterliegen, wurde ausdrücklich noch bei der Änderung 2006 zusätzlich klargestellt: „Die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung unterliegen“ (§ 4 f Abs. 2 Satz 3, 2. Halbs.).
Damit ist ausdrücklich klargestellt, dass auch in den Bereichen, in denen an sich entsprechende Geheimnisse bestehen, ein Externer als Beauftragter für den Datenschutz fungieren darf, womit auch das Problem nach § 4 f Abs. 3 BDSG hinsichtlich der unmittelbaren Unter386 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 5. 387 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 4f Rz. 18 unter Hinweis auf Simitis in: Simitis (Hrsg.), BDSG, 8. Aufl., § 4f Rz. 45.
80
Schneider
Datenschutz Grundlagen
Rz. 285
A
stellung gelöst werden kann. Andererseits stellt sich beim Externen evtl. in verstärkter Form das Problem der Zuverlässigkeit und auch die Frage, unter welchen Bedingungen die Beendigung möglich ist. Dazu Rz. 314. Zum Schutz insb. auch des externen Beauftragten enthält § 4f BDSG einen Abs. 4a. Danach 278 steht dem Beauftragten für den Datenschutz und dessen Hilfspersonal dann, wenn seine Arbeit einen Bereich betrifft, bei dem die beteiligten Personen aus beruflichen Gründen ein Zeugnisverweigerungsrecht hätten, dieses Recht ebenfalls zu. Das bedeutet, dass dann, wenn etwa eine Ärztesozietät, eine Anwaltskanzlei o.Ä. einen Externen beauftragt, dies nicht zur „Schwachstelle“ im Hinblick auf das Zeugnisverweigerungsrecht wird. Entsprechendes gilt für das Beschlagnahmeverbot, § 4f Abs. 4a Satz 3 BDSG:
279
„Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und anderen Schriftstücke einem Beschlagnahmeverbot.“
Eine andere Frage ist, ob ein Externer nur dann die Funktion des Datenschutzbeauftragten 280 übernehmen darf, wenn er als Anwalt zugelassen ist, weil es sich insoweit um Rechtsberatung handelt. Man wird wohl davon auszugehen haben, dass die Beauftragung nicht voraussetzt, dass eine entsprechende Zulassung besteht. Eher drohen Schwierigkeiten, wenn der Externe der Rechtsanwalt ist, der die auftraggebende 281 Stelle auch in übrigen Fragen berät. So kann er u.U. in die Zwickmühle geraten, einerseits bei der Beschaffung von IT-Produkten bis hin zu Datenmaterial an der Vertragsgestaltung und dem Vertragsabschluss mitzuwirken, andererseits aber datenschutzrechtlich kontrollieren zu müssen, ob die Verwendung der Daten zulässig bzw. ob die Datenverarbeitung, die so entsteht, sicher ist. Soweit ersichtlich, wird dieser Aspekt allerdings bisher kaum als virulent bzw. praktisch relevant betrachtet. Die Bestellung eines Externen kann u.U. zu einer Art Umgehung des Benachteiligungsverbots werden, und zwar in seiner Ausprägung, dass die Bestellung nur widerrufen werden kann in analoger Anwendung des § 696 BGB bzw. wenn die Aufsichtsbehörde dies verlangt.
282
Wenn allerdings das BAG388 keinerlei Probleme sieht, was die Voraussetzungen des Wider- 283 rufs bei einem Angestellten betrifft, sollte es für den freien Mitarbeiter erst recht keine Probleme geben. Hinsichtlich der Benachteiligung argumentiert das BAG, dass ohne die Gefährdung des gesamten Bestands des Arbeitsverhältnisses die Benachteiligung geringer ist, da nach einer Teilkündigung das Arbeitsverhältnis in jedem Fall fortbesteht.389 Bei einem Externen, der in einem freien Mitarbeiterverhältnis steht, liegt ein Geschäfts- 284 besorgungsvertrag zugrunde. Eine „Teilkündigung“ kommt insoweit nicht in Betracht. Geschäftsbesorgungsvertrag als zugrunde liegender Vertrag und Bestellung als Datenschutzbeauftragter decken sich. Infolge dessen wird man lediglich zu beachten haben, dass beim Widerruf der Bestellung ggf. der Geschäftsbesorgungsvertrag zu kündigen ist, weil er ansonsten fortbestehen würde. Ggf. kann aber der Geschäftsbesorgungsvertrag jederzeit entsprechend § 627 BGB gekündigt werden. Die BAG-E. berücksichtigt ausdrücklich die Möglichkeit, dass ein Geschäftsbesorgungsvertrag nach § 611, § 675b BGB geschlossen wird. Allerdings betraf dies im konkreten Fall die Frage, ob dies regelmäßig geschieht. Das BAG hat dies verneint, und zwar im Verhältnis zum Arbeitsvertrag („nur ausnahmsweise“). Die ausdrückliche Abrede, die dafür erforderlich ist, wird i.d.R. im Rahmen eines Beratungsvertrages mit dem Externen vorliegen.
388 BAG v. 13.3.2007 – 9 AZR 612/05, DB 2007, 1198; s.a. Rz. 264. 389 BAG v. 13.3.2007 – 9 AZR 612/05, DB 2007, 1198.
Schneider
81
285
A Rz. 286
Datenschutz und IT-Management
286 Die Argumentation etwa, dass überhaupt nur ein Externer wahrhaft die Funktion ausüben darf, ein Angestellter hingegen nicht dem Erfordernis der Weisungsfreiheit entspreche, ist mit dem Gesetz nicht vereinbar. Wie auch das BAG ausdrücklich festhält, besagt das Gesetz gerade, dass bei der Ausübung des Amtes der Beauftragte weisungsfrei ist, was impliziert, dass er i.Ü. ein Anstellungsverhältnis haben kann: „Wäre der Datenschutzbeauftragte bereits auf Grund seines Grundverhältnisses keinen Weisungen des beauftragenden Unternehmens unterworfen, hätte es der Regelung in § 4 f Abs. 2 Satz 3 BDSG nicht bedurft. Diese Vorschrift schließt ausdrücklich möglicherweise schon bestehende Weisungsrechte für die Tätigkeit des Datenschutzbeauftragten aus. Zudem wird der Datenschutzbeauftragte nicht gänzlich weisungsfrei tätig. Er entscheidet zwar eigenverantwortlich (§ 4 f Abs. 3 Satz 2 BDSG), der Arbeitgeber kann ihm jedoch Prüfaufträge erteilen. Außerdem ist der Arbeitgeber berechtigt, die Amtsausübung des Datenschutzbeauftragten zu beobachten (BAG vom 11.11.1997, 1 ABR 21/97 – BAGE 97, 64).“390
287 I.R.d. Meldepflichten (§ 4d Abs. 6 Satz 3 BDSG) und bei den Aufgaben des Beauftragten für den Datenschutz (§ 4g Abs. 1 Satz 2 BDSG) ist ausdrücklich geregelt, dass sich der Beauftragte in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden kann (so bei seinen Aufgaben) oder zu wenden hat (bei der Vorabkontrolle). Hier könnte sich zeigen, dass evtl. ein externer Berater (wenn er nicht sonstige Aufgaben für den Auftraggeber wahrnimmt) unabhängiger dasteht als der interne Beauftragte. Aus dem Grundverhältnis hat der Interne eine arbeitsvertragliche Treuepflicht, die es grds. als ultima ratio erscheinen lässt, sich an die Aufsichtsbehörde zu wenden. Nach § 4d BDSG „hat“ sich der Beauftragte, in Zweifelsfällen an die Aufsichtsbehörde zu wenden, nach § 4g Abs. 1 Satz 2 BDSG „kann“ sich der Beauftragte an die Behörde wenden.391 3.8.11 Datenschutz und Berufsgeheimnis, insb. Rechtsanwalt 288 Auch Anwälte und andere freie Berufe unterliegen dem BDSG und müssen, wenn die Voraussetzungen vorliegen, einen Beauftragten bestellen. Allerdings findet das BDSG bzw. finden die Rechte der Betroffenen und der Aufsichtsbehörde dort ihre Grenzen, wo das Berufsgeheimnis berührt wird. Soweit ersichtlich, gab es über längere Zeit keine Urteile aus dem Spannungsverhältnis Datenschutz und Anwaltsgeheimnis, wohl aber solche zu Beschlagnahme beim Rechtsanwalt bzw. ggf. auch Online-Durchsuchung dort.392 Gem. § 1 Abs. 3 Satz 2 BDSG bleibt die Verpflichtung zur Wahrung u.a. des Berufsgeheimnisses des Anwalts „unberührt“. Anders als bei Rechtsvorschriften des Bundes zu personenbezogenen Daten, denen gegenüber das BDSG nachrangig ist, gilt diese Subsidiarität nicht gegenüber Berufsgeheimnissen, auch wenn sie unberührt bleiben.393 289 Aufgrund der Arbeit von Rüpke war es lange Zeit eine wichtige Meinung in der Lit., dass letztlich aus verfassungsrechtlichen Gründen insgesamt das BDSG nicht für Anwälte greifen würde, zumindest nicht im Kernbereich des Verhältnisses zwischen Anwalt und Mandant, wohl auch nicht zwischen Anwalt und Gegner, allenfalls i.R.d. Verwaltung, also Mitarbeiter-Datenschutz.394 290 In jüngerer Zeit ergingen Urteile zur Kollision zwischen anwaltlicher Verschwiegenheitspflicht und Auskunftsanspruch. Sie sind eher untypisch und klären wohl auch nicht das ge390 BAG v. 13.3.2007 – 9 AZR 612/05, DB 2007, 1198 Rz. 22 am Ende. 391 Zu den Konfliktsituationen s.a. Klug, RDV 2001, 12, 17; Gola/Schomerus, RDV 1998, 47, worauf auch Gola/Schomerus, BDSG, 12. Aufl., § 4d Rz. 18 ausdrücklich hinweisen. 392 S. u.a. BVerfG v. 30.4.2007 – 2 BvR 2151/06 i.V.m. der Telekommunikationsüberwachung, bzw. 18.4.2007 – 2 BvR 2094/05; zur Online-Durchsuchung BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, s. Rz. 36. 393 Zur Reichweite des Berufsgeheimnisses s. Zikesch/Kramer, ZD 2015, 461. 394 S. Rüpke, Freie Advokatur, anwaltliche Informationsverarbeitung und Datenschutzrecht, Berufsund verfassungsrechtliche Aspekte, München 1995; s.a. Rüpke, NJW 2008, 1121.
82
Schneider
Datenschutz Grundlagen
Rz. 293
A
nerelle Verhältnis zwischen Rechtsanwalt und Datenschutz. AG Heidelberg betrifft die Kollision zwischen anwaltlicher Verschwiegenheitspflicht und Auskunftsanspruch mit dem Ergebnis, dass keine Auskunftspflicht über Mandantendaten seitens des Rechtsanwalts besteht.395 Allerdings ist dabei die Besonderheit, dass zum einen die dortige Klägerin ihr Grundrecht auf andere Weise leicht durchsetzen konnte, wie das Gericht befand, während im Falle der Bejahung des Auskunftsanspruchs das Recht der Beklagten (Kanzlei) schwer beeinträchtigt würde.396 Entsprechend sah auch das AG Köln, dass die anwaltliche Verschwiegenheitspflicht gem. § 43a Abs. 2 BRAO „einem gegen den Rechtsanwalt gerichteten Auskunftsanspruch des Prozessgegners seines Mandanten nach § 34 BDSG grundsätzlich entgegen“ steht.397 Wichtig erscheint die Antwort auf die grundsätzliche Frage, ob das BDSG überhaupt anwendbar ist, wobei dies nicht zur Debatte stand.398 Das Ergebnis des AG Heidelberg hätte aber auch insoweit erzielt werden können, als nach § 34 Abs. 4 BDSG eine Pflicht zur Auskunftserteilung nicht besteht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 BDSG und §§ 5 bis 7 BDSG nicht zu benachrichtigen ist. Eine Benachrichtigungspflicht seitens der verantwortlichen Stelle, also hier des Rechtsanwalts, entfällt bekanntlich, wenn z.B. nach § 33 Abs. 2 Nr. 3 BDSG (woraufhin ausdrücklich von § 34 BDSG verwiesen wird) die Daten ihrem Wesen nach, namentlich wegen des überwiegend rechtlichen Interesses eines Dritten, geheim gehalten werden müssen. Dieses Interesse eines Dritten ist hier das Mandatsgeheimnis bzw. der Mandant.
291
Weiter wurde relativ bekannt die E. des AG Tiergarten.399 Danach ist ein Anwalt nicht dazu 292 verpflichtet, „dem Datenschutzbeauftragten Auskunft nach § 38 Abs. 3 BDSG über die Herkunft bestimmter Unterlagen zu erteilen“. Hier ist das Besondere, dass das Gericht die Anwendbarkeit des BDSG insgesamt behandelt hat. Satz 2 des Leitsatzes lautet insofern: „Die BRAO ist eine bereichsspezifische Sonderregelung i.S.d. § 1 Abs. 3 Satz 1 BDSG“.400 Mit dieser Äußerung wäre also eine grundsätzliche Entscheidung zur Frage der Anwendbarkeit des BDSG ergangen. Aus den Gründen ergibt sich, dass das Gericht die BRAO als eine bereichsspezifische Sonderregelung behandelt. Die Diskussion ist noch nicht abgeschlossen. Vor der E. des AG Tiergarten wurde sie v.a. behandelt in dem Diskussionsstrang („Streit“),401 wobei sich allmählich eine Front BRAK einerseits und „Düsseldorfer Kreis“ andererseits herauskristallisierte.402 Aber auch AG Tiergarten403 befasst sich nicht mit der Äußerung des Gesetzes in der an sich aber zitierten Vorschrift. Nach § 1 Abs. 3 Satz 2 BDSG heißt es ausdrücklich, dass die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, unberührt bleibt. Eine Vorrangigkeit lässt sich daraus nicht entnehmen, auch wenn dies häufig so behauptet wird. Mit lex specialis lässt sich auch nicht argumentieren. Dies ergibt sich daraus, dass das Gesetz sich gemäß § 1 Abs. 3 Satz 1 BDSG für subsidiär erklärt, in Satz 2 BDSG hingegen insoweit klargestellt hat, dass einerseits das Anwaltsgeheimnis zu wahren ist und erhalten bleiben soll, andererseits aber das BDSG gilt. Insofern passt auch die E. des AG Heidelberg i.S. einer 395 396 397 398 399 400 401
AG Heidelberg v. 9.6.2006 – 61 C 20/06, RDV 2007, 80. AG Heidelberg v. 9.6.2006 – 61 C 20/06, RDV 2007, 80. AG Köln v. 4.2.2015 – 134 C 174/14 Kl, NJW 2015, 1701. Allein schon § 39 BDSG ist klares Indiz, dass das BDSG anwendbar sein soll. AG Tiergarten v. 5.10.2006 – 317 OWi 3235/05, AnwBl. 2007, 161. AG Tiergarten v. 5.10.2006 – 317 OWi 3235/05, AnwBl. 2007, 161. Rüpke, AnwBl. 2004, 552 ff.; Schneider, AnwBl. 2004, 618 ff.; Härting, AnwBl. 2005, 131 ff. und Schöttle, AnwBl. 2005, 740 ff. 402 S.a. Beschluss des Düsseldorfer Kreises v. 8./9.11.2007 (in Hamburg), abrufbar z.B. unter datenschutzberlin.de. 403 AG Tiergarten v. 5.10.2006 – 317 OWi 3235/05, AnwBl. 2007, 161; bestätigt von KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07.
Schneider
83
293
A Rz. 294
Datenschutz und IT-Management
Abwägung. Die Ausschließlichkeit, mit der das AG Tiergarten operiert hat, ist mit dieser Formulierung des Gesetzes nicht vereinbar. Das KG betonte bei der Bestätigung des AG Tiergarten im Ergebnis, dass die Bestimmungen der BRAO keine „bereichsspezifische Sonderregelung“ i.S.d. § 1 Abs. 3 Satz 1 BDSG sind, stellte aber zusätzlich zu dem wichtigen Umstand, dass § 38 Abs. 3 Satz 2 BDSG die Verweigerung rechtfertigt, darauf ab, „dass eine Verletzung des mit der Auskunftspflicht korrespondierenden Einsichtsrechts des Datenschutzbeauftragten (§ 38 Abs. 4 Satz 2 BDSG) nicht bußgeldbewehrt ist, da § 43 Abs. 1 Nr. 10 BDSG insoweit nur auf § 38 Abs. 4 Satz 1 BDSG verweist“.404 294 Im Ergebnis ist entscheidend, dass weder der Gegner noch die Aufsichtsbehörde einen Anwalt so ohne weiteres dazu bringen kann, sein Mandatsgeheimnis preiszugeben. Dazu bedarf es entsprechender Eingriffsbefugnisse, die das Datenschutzrecht grds. wenn das Anwaltsgeheimnis berührt wäre, nicht hergibt. Es bedarf demnach anderer Eingriffsbefugnisse als des BDSG. 295 Das weitere Problem ist generell die genaue Wirkung der Subsidiarität des BDSG im Hinblick auf das „soweit“ in § 1 Abs. 3 Satz 1 BDSG. Nach der wohl absolut h.M., die v.a. von Simitis immer schon vertreten wurde, bedeutet dies, dass nicht eine ansatzweise Datenschutzregelung das BDSG vollständig verdrängen kann. Vielmehr ist es so, dass die Regelungen des BDSG i.Ü., soweit das jeweilige Gesetz keine Spezialregelung enthält, im Prinzip gelten. 296 Zum Problem „Vorrang und Deckungsgleichheit“ heißt es bei Simitis: „Inwieweit sich der Subsidiaritätsgrundsatz im Einzelfall auswirkt, bestimmt sich allein nach Ziel und Inhalt der mit dem BDSG konkurrierenden Vorschrift; entscheidend für die Vorrangwirkung ist ausschließlich deren Spezialität im Verhältnis zur allgemeineren Regelung im BDSG. Der ‚soweit‘Vorbehalt in Abs. 3 Satz 1 verdeutlicht, dass die Verdrängung des BDSG nur in dem Umfang stattfindet, in dem nach einem genauen inhaltlichen Vergleich eine abweichende Regelung für den exakt gleichen Sachverhalt vorliegt. Erst eine ‚deckungsgleiche‘ Norm geht dem BDSG vor. Ein Rückgriff auf weiter gehende Erlaubnistatbestände des BDSG kommt nicht in Betracht. … In der Regel ist Deckungsgleichheit nur für einzelne Phasen der Datenverarbeitung oder -nutzung oder für einzelne Individualrechte gegeben. Daher schließt § 30 AO, der das Steuergeheimnis statuiert und damit in datenschutzrechtlicher Terminologie vor allem die Phase der Datenübermittlung regelt, die Anwendung des BDSG als Finanzverwaltung und damit z.B. den Auskunftsanspruch des Steuerbürgers nach § 19 BDSG nicht aus“.405
297 Dix geht in der Kommentierung zu § 1 Abs. 3 Satz 2 BDSG näher auf die „Parallelgeltung“ besonderer Geheimhaltungspflichten ein. Zu den gesetzlichen Geheimhaltungspflichten bzw. zum Berufsgeheimnis wird u.a. genannt das Anwalts- und das Notargeheimnis sowie die Verschwiegenheitspflicht der Steuerberatung und der Wirtschaftsprüfer.406 298 Es wird also davon auszugehen sein, dass das BDSG dem Grunde nach und auch in einer ganzen Reihe von einzelnen Regelungen voll auf die Anwaltskanzlei anzuwenden ist, dass jedoch dadurch das Anwaltsgeheimnis bzw. die anwaltliche Schweigepflicht, § 43a BRAO, nicht verletzt werden darf.407 299 Das eigentliche Problem ist wegen weitgehender Konformität von Anwaltsgeheimnis und Datenschutz einmal das Verhältnis zum Gegner bzw. zu Nicht-Beteiligten, zum anderen das
404 405 406 407
KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07. Dix, in: Simitis (Hrsg.), BDSG, 8. Aufl., § 1 Rz. 170. Dix, in: Simitis (Hrsg.), BDSG, 8. Aufl., § 1 Rz. 177, jeweils m.w.N. S.a. Härting, AnwBl 2005, 131; Redeker, FPR 1998, 294, 296 als Gegenmeinung und für die weiter gehende Sonderstellung der Anwälte auch Roßnagel/Abel, Handbuch Datenschutzrecht, Kap. 7.11. Dazu, dass sich auch die Anwälte und eine Reihe weiterer Berufsgruppen an das Datenschutzrecht zu halten haben, s. BGH v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505 f.; von Lewinski, DuD 2000, 40 f., 43, zitiert bei Simitis in: Simitis, BDSG, 8. Aufl., § 27 Rz. 52.
84
Schneider
Datenschutz Grundlagen
Rz. 305
A
Verhältnis zur Aufsichtsbehörde (wobei rechtspolitisch die Frage ist, welche Institution dies sein soll, etwa die RAK). Gegenüber Nicht-Beteiligten, die also weder Mandanten noch Gegner sind, scheint das Problem am geringsten. Tatsächlich aber würde es Anwalts-strategisch verfehlt sein, etwa alle Personen zu benachrichtigen, die im Rahmen einer Sozialauswahl Berücksichtigung gefunden haben bzw. gerade geprüft werden. Dass dabei zum Teil besondere Arten von Daten, nämlich Krankheit oder andere heikle Bereiche wie etwa Verschuldung, Kinderzahl u.Ä. berücksichtigt werden, ist nicht zuletzt auch im Hinblick auf AGG relevant. Jedenfalls muss es i.R.d. Beratung seitens des Anwalts berücksichtigt werden und kann nicht durch Datenschutzrecht sozusagen offenbarungspflichtig werden. Ähnliches gilt im Verhältnis zu Zeugen, von denen man vielleicht auch eidesstattliche Versicherungen eingeholt hat, sodass insoweit auch ganze Dateien über diese Personen bzw. aus der Zusammenarbeit mit diesen hervorgehen.
300
Bislang hält sich die Problematik von Überschneidungen, aber auch Widersprüchen im Verhältnis Datenschutz zum Berufsrecht in Grenzen.408 Das anwaltliche Berufsrecht regelt datenschutzrechtliche Fragen eigentlich nicht, allenfalls in Ansätzen.409
301
Interessant ist v.a. auch ein Argument, das wohl bislang keine allzu große Rolle gespielt hat: 302 Es ist nicht zu verkennen, dass nicht zuletzt im Hinblick auch auf konkrete Verfahren eine Aufsicht denkbar wäre, etwa wenn man sich vorstellt, dass man mit einer Behörde einen Streit zu führen hat, bei dem das Ministerium bzw. der Bereich betroffen ist, bei dem etwa der Beauftragte für den Datenschutz dieses Landes bzw. die Aufsichtsbehörde ressortiert, z.B. in Bayern beim Innenministerium. Insofern ist aber bemerkenswert, dass die anwaltlichen und berufsrechtlichen Vorschriften keinen Hinweis darauf geben, insb. keine explizite Regelung enthalten, dass die Rechtsanwaltskammern oder die BRAK die Aufsichtsbehörde sein sollen.410 §§ 56, 73 BRAO betreffen nicht das Datenschutzrecht, sondern nur die berufsrechtliche Aufsicht, sind infolgedessen datenschutzrechtlich nicht einschlägig.411
303
3.8.12 Aufgaben des Beauftragten Die Aufgaben des Beauftragten sind in § 4g BDSG geregelt. § 4g Abs. 1 Satz 1 BDSG enthält die Generalklausel: „Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin.“ Dies wird noch konkretisiert, wobei zu beachten ist, dass auch außerhalb des § 4g BDSG dem Beauftragten Aufgaben zugewiesen werden. § 4d Abs. 5 BDSG verpflichtet die verantwortliche Stelle zur Vorabkontrolle, die bei besonderen Risiken durchzuführen ist (§ 4d Abs. 5 Satz 2 i.V. v.a. mit § 3 Abs. 9 BDSG, dazu Rz. 243).
304
Diese Vorabkontrolle wird als Aufgabe gemäß § 4d Abs. 6 BDSG dem Beauftragten für den 305 Datenschutz zugewiesen. „Dieser nimmt die Vorabkontrolle nach Empfang der Übersichten nach § 4g Abs. 2 Satz 1 vor.“ Daraus folgt, dass dieses Verfahrensverzeichnis nicht vom Beauftragten selbst zu erstellen ist, sondern von der verantwortlichen Stelle. Allerdings dürfte in vielen Fällen die verantwortliche Stelle zu dessen Erstellung gar nicht (allein) in der Lage sein, weil das geeignete Personal ansonsten fehlt.412 408 409 410 411
S. Zuck, in: Abel (Hrsg.), Datenschutz in der Anwaltschaft, § 2 Rz. 24 ff. S. Petri, in: Simitis u.a., BDSG, § 38 Rz. 22 f. S. zu diesem Hinweis auch Petri in: Simitis, BDSG, § 38 Rz. 20. S. Petri, in: Simitis, BDSG, § 38 Rz. 23 zu den Befugnissen der Aufsichtsbehörde gegenüber Rechtsanwälten. 412 Zu den Erfolgsfaktoren eines internen Verfahrensverzeichnisses s. Caster, RDV 2006, 29; Weniger, RDV 2005, 153.
Schneider
85
A Rz. 306
Datenschutz und IT-Management
306 Die weiteren Aufgaben des Beauftragten sind („insbesondere“) nicht abschließend: – Die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen (§ 4g Abs. 1 Satz 4 Nr. 1 BDSG). – Die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (§ 4g Abs. 1 Satz 4 Nr. 2 BDSG). 307 Eine weitere Aufgabe ist, die Übersicht über die in § 4e Satz 1 BDSG genannten Angaben („Verfahrensverzeichnis“) bzw. dessen Angaben „jedermann in geeigneter Weise verfügbar“ zu machen (§ 4g Abs. 2 Satz 2 BDSG). Dieses Verfahrensverzeichnis, § 4g Abs. 2 BDSG, ist eigentlich von der verantwortlichen Stelle dem Beauftragten zu stellen, wird aber meist vom DSB bzw. gemäß dessen Vorgaben erstellt.413 308 Das Eigenartige an dieser Auflistung der explizit genannten Aufgaben ist – wenn man von der Vorabkontrolle absieht –, dass der Beauftragte hinsichtlich der explizit genannten Aufgaben eine mehr revisionsähnliche Aufgabe hat (Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme) und ansonsten eine Schulungsaufgabe. Insofern kommt der erwähnten Generalklausel wesentlich mehr Gewicht zu, als ihre lapidare Formulierung vermuten ließe. 309 Dass es dabei in § 4g Abs. 1 Satz 1 BDSG heißt, dass der Beauftragte auf die Einhaltung „hinwirkt“, also nicht „sicherstellt“, ist plausibel. Verantwortlich für die Einhaltung des Datenschutzes bleibt die Daten verarbeitende Stelle. Dies gilt auch für die Sicherheit bzw. die so genannten technisch-organisatorischen Maßnahmen, § 9 BDSG i.V.m. der Anlage. Die Aufgabenstellung nach § 4g BDSG ist jeweils für den einzelnen Betrieb genauer zu untersuchen bzw. festzustellen. Die so genannte Kompetenz (der Aufgabenbereich) des Datenschutzbeauftragten hinsichtlich konkreter Einrichtungen muss u.U. im Einzelfall ermittelt werden. 310 Strittig kann z.B. sein, ob eine Video- oder Telefonüberwachung unter den Aufgabenbereich fällt (wird zu bejahen sein). Dabei geht es nicht um die Frage grundsätzlicher Zulässigkeit und auch nicht um die Frage der Mitbestimmung etwa des Betriebsrats. Vielmehr geht es darum, ob im Zshg. mit diesen Einrichtungen die Datenschutzbelange eingehalten sind. 311 Die Schnittstelle könnte die Personalakte sein, wobei die „Personalaktenkontrolle“, „d.h., die Überwachung der arbeitsrechtlichen Vorschriften zur Erhebung, Speicherung, Übermittlung von Personaldaten bei herkömmlicher Personalaktenführung“, auch zum Aufgabenbereich des Beauftragten gehören.414 Eine weitere Schnittstelle besteht zur Mitbestimmung, die in bestimmten Fällen „Zulässigkeitsvoraussetzung“ ist. Dies betrifft v.a. die Fälle nach § 87 Abs. 1 Nr. 1 und 6 BetrVG, s. Rz. 557 ff. 3.9 Kontrollen 3.9.1 Kontrollen durch den Betroffenen 312 Der Betroffene wird nicht eigentlich als Kontrollinstanz gesehen, hat aber über die Rechte auf Benachrichtigung, Auskunft, ggf. Berichtigung und Löschung (s.a. Rz. 1146) Instrumente, die sich als Kontrolle auswirken könnten – wenn denn davon Gebrauch gemacht würde. Bislang ist der formelle Datenschutz eine Materie hauptamtlicher Datenschützer. Mangels 413 Zur Gestaltung: Caster, RDV 2006, 29; zu der fälschlichen Aufgabenzuweisung an den BDSB s. Gola/ Schomerus, BDSG, 12. Aufl. § 4g Rz. 24. Zu dessen Aufgaben s. Rz. 304 ff. 414 S. Gola/Schomerus, BDSG, 12. Aufl., § 4g Rz. 4.
86
Schneider
Datenschutz Grundlagen
Rz. 318
A
geeigneter „Anreize“ machen Prozesse kaum Sinn. Wenn man bedenkt, dass ein Entfernen eines SCHUFA Negativeintrags bei einem Beschwerdewert von bis 500 Euro415 liegt, kann man sich die Wertschätzung solcher Fälle in gerichtlicher und anwaltlicher Praxis vorstellen. 3.9.2 Kontrollen extern/Aufsichtsbehörde Die Aufsichtsbehörde nimmt die „externe“ Kontrolle wahr. Nach § 38 Abs. 1 Satz 1 BDSG 313 „kontrolliert“ die Aufsichtsbehörde die Ausführung der Datenschutzvorschriften.416 Gem. § 38 Abs. 1 Satz 2 BDSG „berät“ und „unterstützt“ sie „die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse“. Die Aufsichtsbehörde kann gem. § 38 Abs. 5 Satz 3 BDSG die Abberufung des Beauftragten 314 für den Datenschutz verlangen, wozu das Pendant die Regelung in § 4f Abs. 3 Satz 3 BDSG ist, wonach nur analog § 626 BGB oder auf Verlangen der Aufsichtsbehörde die Bestellung widerrufen werden kann. Diese kann sich auf die Feststellung fehlender Fachkunde oder auf Unzuverlässigkeit stützen.417 Auch kann ein Mangel vorliegen, der aber nicht der Person anhaftet, wenn die direkte Unterstellung nicht vorgenommen wird oder eine generelle Interessenkollision mit dem Hauptamt vorliegt.418 Die Aufsichtsbehörde führt gemäß § 38 Abs. 2 Sätze 1 und 2 BDSG das Register, in das jeder- 315 mann Einsicht hat. Dieses Register enthält die Daten, wie sie gem. § 4d BDSG meldepflichtig sind. Nach § 38 Abs. 3 BDSG sind der Aufsichtsbehörde von den Stellen, die ihrer Kontrolle un- 316 terliegen, auf Verlangen die für die Erfüllung der Aufgaben der Aufsichtsbehörde erforderlichen Auskünfte unverzüglich zu erteilen (Satz 1). Gemäß Satz 2 kann die verantwortliche Stelle unter bestimmten Voraussetzungen die Beantwortung der Fragen verweigern. § 38 Abs. 4 BDSG gibt ein Betretungsrecht der Betriebsgelände und Geschäftsräume zu den Betriebs-Geschäftszeiten. Besondere Befugnisse hat die Aufsichtsbehörde hinsichtlich der technisch-organisatorischen 317 Maßnahmen; gem. § 38 Abs. 5 Satz 1 BDSG kann die Aufsichtsbehörde verlangen („anordnen“), dass Maßnahmen zur Beseitigung von Beanstandungen getroffen werden. Bei schwerwiegenden Mängeln, „insbesondere, wenn sie mit besonderer Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie den Einsatz einzelner Verfahren untersagen, wenn die Mängel entgegen der Anordnungen gem. Abs. 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden“. Die Organisation der Aufsicht ist hinsichtlich der Landesverwaltungen naturgemäß Länder- 318 sache. Die Länder haben jeweils in ihren Landesdatenschutzgesetzen Institutionen für die Aufsicht vorgesehen, wobei diese zum Teil gemeinsame Einrichtungen, also doppelte Zuständigkeit hinsichtlich der Landesbeauftragten für den öffentlichen Bereich darstellen. Zudem ist diesen Institutionen bei mehreren Bundesländern auch die Kompetenz für die Aufsicht hinsichtlich des Informationsfreiheitgesetzes übertragen worden, was hinsichtlich evtl. Kollisionen nicht uninteressant bzw. nicht ohne Probleme ist. S. Rz. 68 ff.
415 BGH, Beschl. v. 12.4.2016 – VI ZB 48/14, wobei gem. Rz. 10 die Nachteile außer Betracht bleiben, „die nicht mit der Befolgung des Unterlassungsgebots, sondern mit einer Zuwiderhandlung – etwa durch die Festsetzung eines Ordnungsgeldes oder durch die Bestellung einer Sicherheit – verbunden sind“. 416 Zu einer Checkliste zur „Betriebsprüfung“ gem. § 38 BDSG s. Münch, RDV 2006, 272 ff. 417 Gola/Schomerus, BDSG, 12. Aufl., § 38 Rz. 27. 418 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 38 Rz. 27.
Schneider
87
A Rz. 319
Datenschutz und IT-Management
319 Das Hauptproblem allerdings der Aufsichtsbehörden ist ihre zu geringe oder nicht bestehende Unabhängigkeit, was für den Bund und für viele Bundesländer gilt. In Ansehung der DS-RL ist dies ein erhebliches Problem, ebenso wie ein Mangel an Befugnissen, v.a. bei den Landesbeauftragten und dem Bundesbeauftragten für den Datenschutz (und die Informationsfreiheit). Gemäß Art. 28 Abs. 1 Satz 2 DS-RL nehmen die dort sog. Kontrollstellen ihre Aufgaben „in völliger Unabhängigkeit“ wahr. An dieser fehlt es zumindest bei den Aufsichtsbehörden, die innerhalb der Behördenhierarchie eingegliedert sind. Nach § 28 Abs. 2 DS-RL sind diese Kontrollstellen mit Befugnissen auszustatten, wovon das BDSG nur einen Teil gewährt. Schließlich soll sich aus Art. 28 und 29 DS-RL auch eine Konzentration bzw. Zentralisation als Gebot ergeben, dem die deutsche Struktur nicht entspricht. 320 Über den Mangel an Unabhängigkeit wird seit längerer Zeit diskutiert. Relevant ist, dass die Kommission die „völlige Unabhängigkeit“ nicht gegeben sieht und ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet hatte.419 Die EU-Kommission hat die Bundesrepublik Deutschland wegen unzureichender Umsetzung der DS-RL in den jeweiligen Landesgesetzen verklagt.420 Die Formen der Aufsicht entsprechen den Anforderungen jedenfalls dort nach Ansicht der Kommission nicht, wo die Aufsicht in die jeweilige Landesverwaltung (z.B. Innenministerium wie in Baden-Württemberg, Bayern, Brandenburg) integriert ist.421 Dagegen wurde angeführt, die DS-RL verlange ausschließlich die funktionelle Unabhängigkeit der Datenschutzaufsichtsbehörde von der beaufsichtigten Stelle. Diese werde in der Bundesrepublik gewährleistet.422 Das Verfahren erhielt neue Nahrung über den Streit zur Speicherung von dynamischen IP-Adressen.423 Der EuGH hat die Bundesrepublik verurteilt.424 Schließlich wurde das BDSG im Februar 2015 hinsichtlich der Regelungen für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) geändert und wurden die §§ 22–26 BDSG den unionsrechtlichen Vorgaben (knapp 20 Jahre nach Veröff. der DS-RL) angepasst.425 321 Der Wirkungsbereich der Aufsichtsbehörde erstreckt sich nur auf die Kontrolle der Ausführung des BDSG (§ 38 Abs. 1 Satz 1 BDSG), deckt sich also mit dem Geltungsbereich des BDSG. Demgegenüber hat der Beauftragte für den Datenschutz auch die Einhaltung der anderen Vorschriften zum Datenschutz zu überwachen (§ 4g Abs. 1 Satz 1 BDSG, s. Rz. 425 ff.). Nicht zum Wirkungsbereich gehören somit Akten426 (§ 38 Abs. 1 Satz 1 BDSG). Eine Ausnahme greift für Auskunfteien: § 34 Abs. 2 Satz 1 BDSG erstreckt die Rechte des Betroffenen bei Auskunfteien auch auf nicht automatisiert verarbeitete oder gespeicherte Daten.427
419 V. 5.7.2003, Nr. 2003/4820, CR 2005, R 117; s.a. PM v. 31.8.2005 Bundesbeauftragter für den Datenschutz fordert Unabhängigkeit der Datenschutzaufsicht im nicht-öffentlichen Bereich (aus Anlass des Plans, in Nds. die Aufsicht voll im Innenministerium anzusiedeln). 420 CR 2007, R 103 und MMR 2007, Heft 9, V. 421 S. PM in CR 2007, R 103. 422 Kamlah, MMR 2007, Heft 9, V, auch zur Historie des Verfahrens. 423 Kamlah, MMR 8/2007, V. S.a. Regierungspräsidium Darmstadt, MMR 2003, 213; zur Unzulässigkeit der Speicherung bei Flatrate LG Darmstadt v. 25.1.2006 – 25 S 118/05, MMR 2006, 330; BGH v. 26.10.2006 – II ZR 40/06, MMR 2007, 37; AG Darmstadt, MMR 2005, 634; für bis zu sieben Tage zulässig, s.a. AG Bonn v. 5.7.2007 – 9 C 177/07, CR 2007, 640. 424 EuGH v. 9.3.2010 – C-518/07, weil „die für die Überwachung der Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen, falsch umgesetzt“ worden war, ebenso zu Österreich v. 16.10.2012 – C-614/10. 425 Dazu im Einzelnen Roßnagel, ZD 2015, 106. 426 OVG Hamburg v. 7.7.2005 – 1 Bf 172/03, NJW 2006, 310: Keine Anordnungsbefugnis der Aufsichtsbehörde im Bereich nicht automatisierter Datenerhebung; es reicht, wenn die manuell erfolgende Beschaffung bzw. Erhebung für eine automatisierte Verarbeitung erfolgt: VG Osnabrück v. 1.6.2005 – 6 A 17/04. Fundstelle: BfDi.de. 427 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 38 Rz. 3.
88
Schneider
Datenschutz Grundlagen
Rz. 327
A
Auch nicht zur Kompetenz der Aufsichtsbehörde gehört die Erhebung von Daten ohne automatisierte Verfahren.428 Eine Meldepflicht bei der Kontrollstelle regelt Art. 18 DS-RL, und zwar bevor eine vollstän- 322 dige oder teilweise automatisierte Verarbeitung durchgeführt wird. Hier ist die in Art. 28 DS-RL geregelte Kontrollstelle der Adressat solcher Meldungen. Art. 18 Abs. 2 ff. DS-RL regeln Vereinfachungen und Befreiungen von der Meldepflicht, z.B. für die „normale“ Datenverarbeitung. § 4d BDSG regelt die Meldepflicht der verantwortlichen Stellen. Die Meldepflicht besteht 323 gegenüber der zuständigen Aufsichtsbehörde mit einer Ausnahme für die öffentlichen verantwortlichen Stellen des Bundes sowie für Post- und Telekommunikationsunternehmen. Für diese ist die zuständige Stelle der Beauftragte für den Datenschutz und die Informationsfreiheit (§ 4d Abs. 1 BDSG). Für die Meldepflicht gibt es Ausnahmen. Im Hinblick auf die deutsche Besonderheit eines „internen“ Beauftragten für den Datenschutz ist die wichtigste die nach § 4d Abs. 2 BDSG: die verantwortliche Stelle trifft keine Meldepflicht, weil diese entfällt, „wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat“.429 Dies ist ein wenig beachteter, aber wichtiger Aspekt für solche Stellen, die von der Größenordnung her nicht verpflichtet wären, einen Beauftragten zu bestellen. Durch die „freiwillige“ Bestellung entheben sie sich des Problems der Meldepflichten. Nach § 4d Abs. 3 BDSG entfällt die Meldepflicht außerdem, wenn die verantwortliche Stelle 324 zum einen die personenbezogenen Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei zum anderen höchstens neun Personen mit der Erhebung, Verarbeitung unter Nutzung personenbezogener Daten beschäftigt sind und entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung und Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. Diese beiden Ausnahmen gelten wiederum nicht, § 4d Abs. 4 BDSG, wenn es sich um automatisierte Verarbeitung handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweilige Stelle entweder zum Zweck der Ermittlung oder zum Zweck der anonymisierten Übermittlung gespeichert werden.
325
Eine Besonderheit bilden die Vorabkontrolle und die besonderen Arten personenbezogener Daten. § 4d Abs. 5 Satz 1 BDSG unterwirft automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Diese Vorabkontrolle ist nach Satz 2 insb. durchzuführen, wenn
326
1. besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) verarbeitet werden430 oder 2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Dies gilt wiederum nicht für den Fall, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. Nach § 4d Abs. 6 Satz 1 BDSG ist für die Vorabkontrolle der Beauftragte für den Datenschutz zuständig.
428 OVG Hamburg v. 7.7.2005 – 1 Bf 172/03, NJW 2006, 31; s a. Gola/Schomerus, BDSG, 8. Aufl. § 38 Rz. 25a. 429 Zur Ausnahme gemäß DS-RL s. Rz. 376 ff. 430 Zum Katalog s. Rz. 30.
Schneider
89
327
A Rz. 328
Datenschutz und IT-Management
328 Im Ergebnis bedeutet dies, dass Stellen, die der Vorabkontrolle unterliegen bzw. eine Datenverarbeitung betreiben, die die Vorabkontrolle erfordert, auch dann einen Beauftragten für den Datenschutz brauchen, wenn sie die Zahl der Personen, die bei der Datenverarbeitung beschäftigt sind, nicht erreichen. Dies wird ausdrücklich in § 4f Abs. 1 Satz 6 BDSG so bestimmt. 329 Insofern ist der Streit um die Anwendungen der gesetzlichen Regelungen hinsichtlich der Mindestgröße bzw. der Mindestanzahl der bei der Datenverarbeitung Beschäftigten v.a. für solche Berufe bzw. verantwortlichen Stellen irrelevant, die besondere Arten personenbezogener Daten verarbeiten. Dies ist bei Ärzten in jedem Falle gegeben, häufig aber auch bei Rechtsanwälten (v.a. wegen der Erfassung und Verarbeitung von Daten zu Gesundheit und im Familienrecht zum Sexualleben). 330 Kapitel VI. befasst sich mit der Kontrollstelle und der Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten. Die Kontrollen sind zweistufig vorgesehen. (Theoretisch könnte man allerdings die Möglichkeit des internen Datenschutzbeauftragten, indirekt eingeführt über Art. 18 Abs. 2 DS-RL, als Instanz mitzählen, sodass dann ein dreistufiges Verfahren entstünde.) Eine Instanz ist die – völlig unabhängige – Kontrollstelle nach Art. 28 DS-RL, die jeder Mitgliedstaat zu benennen hat, um den Schutz personenbezogener Daten zu gewährleisten. 331 Die Kontrollstelle verfügt über – völlige Unabhängigkeit, Art. 28 Abs. 1 Satz 2 DS-RL, – Untersuchungsbefugnisse, Art. 28 Abs. 3, 1. Spiegelstrich DS-RL, – wirksame Einwirkungsbefugnisse, Art. 28 Abs. 3 2. Spiegelstrich DS-RL, und – Klagerecht oder Anzeigebefugnis, Art. 28 Abs. 3 3. Spiegelstrich DS-RL. S. hierzu auch Rz. 320. Für die Umsetzung der Aufsicht unter der DS-GVO werden diese Maßgaben zu beachten sein, s. Rz. 679. 332 Die Kontrollstelle ist die Stelle, an die sich der Betroffene (oder ein ihn vertretender Verband) wendet. Sie legt regelmäßig Berichte über ihre Tätigkeit vor. Diese Anforderungen werden von den Kompetenzen, die den bisher zur Kontrolle berufenen Stellen zur Verfügung stehen, nicht erfüllt.431 333 Daneben bzw. darüber hinaus war nach Art. 29 DS-RL eine Datenschutzgruppe (Art. 29-Gruppe) zu schaffen, „eine Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten“. Diese unabhängige, beratende Gruppe setzt sich aus Vertretern der von den einzelnen Mitgliedstaaten bestimmten Kontrollstellen und einem Vertreter der Stelle bzw. der Stellen, die für die Institution und Organe der Gemeinschaft eingerichtet sind sowie einem Vertreter der Kommission zusammen. Die Art. 29-Gruppe hat in der Folgezeit eine enorme Wirkung entfaltet, indem sie sowohl interpretierende Hilfestellung und Kritik gab, als auch de lege ferenda, v.a. auch bei der DS-GVO und „privacy shield“ aktiv wurde. Sie hat ihre Aufgabe weit aufgefasst. 334 Die Aufgaben der Art. 29-Gruppe sind in Art. 30 DS-RL geregelt, um zur einheitlichen Anwendung der zur Durchführung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften beizutragen (lit. a), zum Schutzniveau in der Gemeinschaft und in Drittländern Stellung zu nehmen (lit. b) und die Kommission zu Vorhaben zusätzlicher oder spezifischer Maßnahmen zur Wahrung der Rechte und Freiheiten natürlicher Personen sowie zu allen anderen Vor431 S. dazu Rz. 98 f., 376 ff., 433 ff. Der Bundesbeauftragte etwa wirkt v.a. über Öffentlichkeit und Skandalisierung. S. z.B. restriktiv zu den Kommentaren der BfDI zur Häuserbilddatenbank, VG Köln v. 11.3.1999 – 20 L 3757/98, CR 1999, 557.
90
Schneider
Datenschutz Grundlagen
Rz. 340
A
haben zu beraten, die sich auf diese Rechte und Freiheiten auswirken (lit. c),432 sowie Stellungnahmen zu den auf Gemeinschaftsebene erarbeiteten Verhaltensregeln abzugeben. Kapitel VII. regelt die gemeinschaftlichen Durchführungsmaßnahmen. Art. 31 DS-RL regelt 335 hierbei das Ausschussverfahren, also das Verfahren zu einem Ausschuss, der die Kommission unterstützt. Art. 32 DS-RL enthält die Schlussbestimmungen. Darin ist u.a. eine Übergangsregelung enthalten, wonach die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie bereits in manuellen Dateien enthaltenen Daten in einer Übergangszeit von 12 Jahren nach Annahme dieser Richtlinie angeglichen werden müssen. Es gab eine Diskussion über die Frage, ob und inwieweit das neue Kontrollsystem, das keine Selbstkontrolle im privaten Bereich vorsieht, beizubehalten ist.
336
Dabei würden zwar die Datenschutzbeauftragten des Bundes und der Länder die Kriterien 337 nach völliger Unabhängigkeit der Kontrollstelle, Art. 28 DS-RL, erfüllen, ohne bisher die erforderlichen Befugnisse zu haben, während die Aufsichtsbehörden ansatzweise die Kompetenzen haben, über die die Kontrollbehörde verfügen muss, aber nicht die nötige Unabhängigkeit, sodass neue Organisationsstrukturen zu schaffen sind, um die geforderte völlige Unabhängigkeit zu gewährleisten.433 Diese Defizite sind durch die Umsetzung der Richtlinie im BDSG nicht beseitigt worden.434 Dagegen wurde die bisherige Konzeption des betrieblichen Beauftragten für den Datenschutz ergänzt, um die durch die Richtlinie eröffneten Vorteile – Meldepflicht entfällt, Vorabkontrolle wird vom Beauftragen wahrgenommen – zu nutzen. Die weit verbreitete und wohl auch richtige Ansicht der Autoren, die sich mit diesen Fragen befasst haben, ist, dass sich die Einrichtung des betrieblichen Datenschutzbeauftragten,435 im Prinzip, auch wenn diese teilweise als „Feigenblatt“ benutzt worden sein mag, bewährt hat.436
338
Im Ergebnis ist ein betrieblicher Beauftragter nicht notwendigerweise zu bestellen (anders aber die Regelung in § 4f Abs. 1 BDSG).
339
4. Rechtsfolgen 4.1 Unzulässigkeit Soweit bei der Verarbeitung personenbezogener Daten kein Zulässigkeitstatbestand gegeben 340 ist, also weder eine Rechtsvorschrift die entsprechende Verarbeitung erlaubt, noch eine wirksame Einwilligung vorliegt, ist die Verarbeitung unzulässig. Eine unzulässige Verarbeitung ist im Falle von Vorsatz strafbewehrt, § 44 BDSG, weil insofern einer der Tatbestände der Ordnungswidrigkeit nach § 43 Abs. 2 BDSG erfüllt ist. Allerdings kommt insoweit immer noch in Betracht, ob die Daten allgemein zugänglich sind, wie dies ausdrücklich § 43 BDSG während der genannten Fälle vorsieht, wobei dies nichts anderes als eine Zulässigkeitsvorschrift für die Verarbeitung personenbezogener Daten ist, dass nämlich das BDSG die Möglichkeit zulässiger Verarbeitung insofern eröffnet, als die Daten allgemein zugänglich sind. Dabei ist noch zu berücksichtigen, dass deren allgemeine Zugänglichkeit wiederum theoretisch auch unzulässig sein könnte. Dies betrifft insb. den Fall, dass dem Recht auf Vergessen nicht Ge432 Zur EU-Datenschutz-Kontrollinstanz nach dem 1. Entwurf und den dazugehörigen EG-rechtlichen Grundlagen s. Mähring, RDV 1991, 245. 433 A.M. Weber, CR 1995, 298. 434 Zum Verfahren der Kommission s. Rz. 320 ff. 435 Nun: Beauftragter für den Datenschutz, § 4f BDSG. 436 Diesen Zugang der Autoren zu dem Problem sieht z.B. Kopp, RDV 1993, 223; zur Diskussion s. z.B. Geis, ZR 1993, 31; Ehmann, CR 1993, 327; Ehmann (Hrsg.), Der Datenschutzbeauftragte im Unternehmen, 1993; Schneider, CR 1993, 35; Körner-Dammann, RDV 1993, 14; Mütsch, RDV 1994, 67 (70); Müthlein, RDV 1993, 253.
Schneider
91
A Rz. 341
Datenschutz und IT-Management
nüge getan worden ist. Zu diesem Problem in Abwägung von Meinungsäußerungsfreiheit und Presse-Archiven s. Rz. 61, 380 ff. 341 Bei der Frage der Zulässigkeit ist insb. zu berücksichtigen, dass auch dann, wenn die Daten berechtigterweise aus allgemein zugänglichen Quellen beschafft wurden, die Zulässigkeit dieser Verarbeitung bzw. der dabei entstehenden Daten gesondert zu prüfen sein wird. Dies betrifft insb. die Erstellung von Profilen, die Entstehung neuer, durch die Auswertung entstandener Daten und die Zusammenstellung zu spezifischen Dateien, also etwa i.S.d. Warndateien (dazu Rz. 198 ff.). Insofern rücken die Big Data-Technologien und deren Anwendung auch dann sehr schnell in den Focus von Zulässigkeitsfragen, wenn sie sich aus öffentlichen Quellen bedienen. Entsprechendes gilt, wenn sie zunächst nur anonymisierte Daten bzw. anonyme Daten verwenden. Sobald personenbezogene Daten (neu) entstehen, greift wieder die Notwendigkeit der Zulässigkeitsprüfung. 4.2 Data Breach und die Folgen 342 Nach § 42a BDSG besteht eine Pflicht der verantwortlichen Stelle, eine Meldung unverzüglich an die zuständige Aufsichtsbehörde vorzunehmen und dies auch den Betroffenen mitzuteilen (§ 42a Satz 1 BDSG). Voraussetzung ist, dass einer der näher genannten Umstände vorliegt. Dies gilt insb., wenn besondere Arten personenbezogener Daten betroffen sind, also Daten nach § 3 Abs. 9 BDSG oder solche Daten, die einem Berufsgeheimnis unterliegen sowie Daten, die zu Bank- oder Kreditkartenkonten gehören. 343 Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen wurden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird (§ 42a Satz 2 BDSG). Dabei muss dem Betroffenen auch mitgeteilt werden, also eine schlüssige Darlegung erfolgen, welcher Art die unrechtmäßige Kenntniserlangung war und zudem müssen Empfehlungen für die Maßnahmen zur Minderung möglicher Nachteile und ihre Folgen genannt werden (§ 42a Satz 3 BDSG). Die Benachrichtigung gegenüber der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher Nachteile und ihre Folgen der unrechtmäßigen Kenntniserlangung enthalten sowie die von der verantwortlichen Stelle daraufhin ergriffenen Maßnahmen. 344 Denkbar wäre, dass aufgrund etwa der Vielzahl der Betroffenen deren Benachrichtigung einen erheblichen bzw. unverhältnismäßigen Aufwand verursacht. In diesem Falle tritt an die Stelle der Mitteilung die Information der Öffentlichkeit durch Anzeigen, die im Einzelnen näher beschrieben wird (§ 42a Satz 5 BDSG). Das heißt also, dass das BDSG unter bestimmten Voraussetzungen eine Skandalisierungspflicht seitens der verantwortlichen Stelle festschreibt, die jedenfalls gegenüber der Aufsichtsbehörde wahrzunehmen ist, ggf. gegenüber dem Betroffenen und notfalls gegenüber der Öffentlichkeit. Die Benachrichtigung des Betroffenen hat insofern etwas Nachrang, als zeitlich gesehen Voraussetzung dafür ist, dass zunächst angemessene Maßnahmen zur Sicherung der Daten ergriffen wurden. 345 Die Darlegung wird nicht sehr tiefgehend sein, da andererseits wiederum nicht nur die Sicherheitsinteressen des Anwenders selbst zu berücksichtigen sind, sondern auch die Integrität seiner technisch-organisatorischen Maßnahmen nach § 9 BDSG. Insofern geht es darum, plausibel zu machen, dass die Vorkommnisse sich nicht wiederholen könnten. Im Hinblick auf die zwangsläufig in dieser Skandalisierung liegenden Selbstbezichtigung regelt § 42a Satz 6 BDSG, dass solche Benachrichtigungen in einem Strafverfahren oder in einem Verfahren nach dem Gesetz zu Ordnungswidrigkeiten nur Verwendung finden dürfen, wenn der Benachrichtigungspflichtige seinerseits die Zustimmung erteilt hat. 346 Die Skandalisierungspflicht bekommt nochmals besondere Bedeutung im Kontext der DSGVO, nicht zuletzt im Hinblick auf deren wesentlich erhöhten Haftungsrahmen, s. Rz. 657 ff.
92
Schneider
Datenschutz Grundlagen
Rz. 352
A
4.3 Rechte des Betroffenen Eines der wichtigsten Rechte des Betroffenen ist das auf Auskunft, das durch die Rechte auf Berichtigung, Löschung oder Sperrung flankiert und ergänzt wird. Diese Rechte sind für den privaten Bereich in § 34 BDSG für die Auskunft und § 35 BDSG bezüglich der übrigen Ansprüche geregelt. Nach § 6 Abs. 1 BDSG können diese Rechte nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.
347
Besonderheiten gibt es bei den Auskunfts- und Einsichtsrechten des Arbeitnehmers als Betroffener. Insoweit ist v.a. die Rspr. des BAG zur Einsicht in die Personalakte relevant.437
348
4.3.1 Auskunft, Benachrichtigung Art. 8 Abs. 2 Satz 2 GRCh besagt bereits: „Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.“
349
Nach § 34 BDSG kann der Betroffene Auskunft verlangen über
350
– die zu seiner Person gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfänger beziehen, – den Zweck der Speicherung und – Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden. Damit ist klargestellt, dass auch ohne Zuhilfenahme von § 1004 BGB (mit dem Problem, ob und inwieweit das BDSG eine abschließende Regelung darstellt)438 oder informationellem Selbstbestimmungsrecht der Betroffene Auskunft über die Daten zu seiner Person selbst verlangen kann. Werden die Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann der Betroffene Auskunft über Herkunft und Empfänger nur verlangen, sofern nicht das Interesse an der Wahrung des Geschäftsgeheimnisses überwiegt. Eine andere Besonderheit gilt für die geschäftsmäßige Verarbeitung personenbezogener Da- 351 ten für Dritte insofern, als der Betroffene Auskunft über seine personenbezogenen Daten verlangen kann, auch wenn sie weder in einer automatisierten Verarbeitung, noch in einer nicht automatisierten Datei gespeichert sind (§ 34 Abs. 3 Satz 1 BDSG). Eine versteckte Ausnahme vom Personenbezug enthält § 34 Abs. 3 Satz 2 BDSG: Dem Betroffenen ist auch Auskunft zu erteilen über Daten, die 1. gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zshg. mit der Auskunftserteilung von der verantwortlichen Stelle hergestellt werden soll, 2. die verantwortliche Stelle nicht speichert, aber zum Zweck der Auskunftserteilung nutzt. Eine generelle Einschränkung des Auskunftsrechts besteht mittelbar darin, dass der Betrof- 352 fene bei Geltendmachung seines Auskunftsanspruchs die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen soll (§ 34 Abs. 1 Satz 2 BDSG). Weiß der Betroffene überhaupt nicht, was die angefragte Stelle an Daten über ihn gespeichert haben könnte, fällt eine solche Spezifikation schwer. Es handelt sich gerade deshalb um eine Soll-Vorschrift, deren Nichtbeachtung grds. nicht zur Verweigerung der Auskunft führen kann. Allenfalls wird die speichernde Stelle zwar zunächst damit antworten, dass sie dem Betroffenen die Datenkategorien, wenn sehr viel über ihn gespeichert ist, bekannt gibt und ihn fragt, zu welchen Daten er Auskunft haben will. Höhere Anforderungen an die Spezifikation können dann gestellt werden, wenn der Betroffene über die Speicherung benachrichtigt worden ist.439 437 S. dazu Rz. 702. 438 S. BGH v. 22.5.1984 – VI ZR 105/82, NJW 1984, 1886 zu BDSG 1977. 439 S. hierzu auch Rz. 356 ff.
Schneider
93
A Rz. 353
Datenschutz und IT-Management
353 Nach § 34 Abs. 5 Satz 1 BDSG ist die Auskunft grds. unentgeltlich. Ausnahmen sieht § 34 Abs. 5 Satz 2 ff. BDSG für den Fall vor, dass die personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert werden und der Betroffene die Auskunft gegenüber Dritten wirtschaftlich nutzen kann. Das Entgelt darf die direkt zurechenbaren Kosten für die konkrete Auskunftserteilung nicht übersteigen, umfasst deshalb nicht allgemeine Verwaltungs- und Betriebskosten.440 Wenn besondere Umstände „die Annahme rechtfertigen“, dass die Daten unrichtig oder rechtswidrig sind oder erweist sich die Unrichtigkeit bzw. Unzulässigkeit, darf kein Entgelt verlangt werden (§ 34 Abs. 5 Satz 4 BDSG). 354 Grds. wird der Betroffene sich jeweils an einen (1) Adressaten wenden. Nicht immer wird der Betroffene aber wissen, wer eigentlich genau Herr der Daten bzw. Herr der Datei ist. § 6 Abs. 2 BDSG sieht deshalb vor, dass in einem solchen Fall, wenn der Betroffene nicht in der Lage ist, die speichernde Stelle festzustellen, er sich an jede dieser Stellen wenden kann, die für eine Datei speicherberechtigt ist. Diese ist dann verpflichtet, das Vorbringen des Betroffenen an die speichernde Stelle weiterzuleiten. Dies gilt also nicht nur für das Auskunftsrecht, sondern auch für die folgenden Ansprüche des Betroffenen. Über diesen Vorgang der Weiterleitung ist der Betroffene zu unterrichten. Interessant werden insoweit Art. 26 und 28 DS-GVO mit Regeln, das Verhältnis gegenüber Betroffenen transparent zu gestalten, Rz. 510. „Der Betreiber eines Internetportals ist in Ermangelung einer gesetzlichen Ermächtigungsgrundlage im Sinne des § 12 II TMG dagegen grundsätzlich nicht befugt, ohne Einwilligung des Nutzers dessen personenbezogene Daten zur Erfüllung eines Auskunftsanspruchs wegen einer Persönlichkeitsrechtsverletzung an den Betroffenen zu übermitteln.“441
355 Nach § 43 Abs. 1 Nr. 8 BDSG stellt es eine Ordnungswidrigkeit dar, wenn der Betroffene nicht, nicht richtig oder nicht vollständig gemäß § 33 Abs. 1 BDSG benachrichtigt wird. Hinsichtlich der Auskunft gilt eine entsprechende Regelung nach § 43 Abs. 1 Nr. 10 BDSG, wenn eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt wird. Löschung, Sperrung und Widerspruch sind hingegen nicht entsprechend sanktioniert und könnten also nur zivil- oder arbeitsgerichtlich durchgesetzt werden. 4.3.2 Benachrichtigung 356 Zeitlich vorausgehend ist die Pflicht der speichernden Stelle, den Betroffenen zu benachrichtigen. Diese Pflicht der speichernden Stelle ist allerdings nicht im Zshg. mit den „Grundrechten“ i.S.v. §§ 6 i.V.m. 34 und 35 BDSG des Betroffenen geregelt, sondern in § 33 BDSG, den § 6 BDSG nicht als „unabdingbar“ qualifiziert. 357 Die Bedeutung von § 33 BDSG ist relativ gering. Nach § 33 BDSG ist die Benachrichtigung des Betroffenen nur dann erforderlich, wenn „erstmals“ personenbezogene Daten für eigene Zwecke gespeichert werden oder bei geschäftsmäßiger Speicherung zum Zwecke der Übermittlung, bei erstmaliger Übermittlung vorzunehmen (§ 33 Abs. 1 Sätze 1 und 2 BDSG). Relevant ist die Benachrichtigung etwa gegenüber neuen Mitarbeitern oder Kunden. 358 Ein Katalog von Ausnahmen in § 33 Abs. 2 BDSG entbindet die verantwortliche Stelle von der Pflicht zur Benachrichtigung. Nicht erforderlich ist es, dass der Betroffene eine förmliche Nachricht auf andere Weise erhalten hat. Die verantwortliche Stelle muss aber gem. § 33 Abs. 2 BDSG schriftlich festlegen, unter welchen Voraussetzungen von einer Benachrichtigung nach § 33 Abs. 2 Satz 1 Nr. 2 bis 7 BDSG abgesehen wird.442 440 § 34 Abs. 5 Satz 3 BDSG; s.a. LG Berlin v. 14.1.1999 – 14 O 417/97, DuD 10/2000 (war elektronisch verfügbar unter: www.dud.de) zum Verlangen überhöhter Kosten durch eine SCHUFA-Gesellschaft. 441 S. zu Bewertungsportale, Ärztebewertung: BGH v. 23.9.2014 – VI ZR 358/13, ZD 2015, 85 Ls. 2. 442 Gola/Schomerus, BDSG, 12. Aufl., § 33 Rz. 43: „Diese Dokumentation ist sinnvollerweise Bestandteil der nach § 28 Abs. 1 Satz 2 und § 29 Abs. 1 Satz 2 bereits bei der Erhebung von Daten zu treffenden konkreten Zweckbestimmung (vgl. § 28 Rn. 48).“
94
Schneider
Datenschutz Grundlagen
Rz. 363
A
Weitere Ausnahmen von der Benachrichtigungspflicht bestehen z.B., wenn die Daten aufgrund gesetzlicher, satzungsgemäßer oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden (Nr. 2), die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten geheim gehalten werden müssen (Nr. 3), Zwecke der wissenschaftlichen Forschung dies erfordern und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde (Nr. 5), die Daten für eigene Zwecke gespeichert und aus allgemein zugänglichen Stellen entnommen worden sind (Nr. 7 lit. a).
359
Ein besonderer Fall ist der, dass die Benachrichtigung die Geschäftszwecke der speichernden 360 Stelle bei Verarbeitung für eigene Zwecke erheblich gefährden würde (Nr. 7 lit. b). Hiervon ist wiederum die Ausnahme, dass das Interesse an der Benachrichtigung seitens des Betroffenen die Gefährdung der speichernden Stelle überwiegt. Hier hat also eine Interessenabwägung bezogen auf den Einzelfall stattzufinden. Bei Rechtsanwälten kommt die Vorschrift etwa zur Anwendung, wenn Maßnahmen gegen den Gegner des Mandanten vorzubereiten sind (einstweilige Verfügung), von denen der Gegner nicht vorab indirekt durch Benachrichtigung erfahren sollte. Bei Auskunfteien, Detekteien oder Wirtschaftsdiensten geht es um die Verarbeitung von Da- 361 ten geschäftsmäßig zum Zwecke der Übermittlung.443 Hierfür gilt eine besondere Regelung im Hinblick auf unverhältnismäßigen Aufwand in § 33 Abs. 2 Nr. 8 BDSG. Die Benachrichtigungspflicht entfällt, wenn die Daten aus allgemein zugänglichen Quellen stammen und sich auf die Personen beziehen, die diese Daten veröffentlicht haben (§ 33 Abs. 2 Nr. 8a BDSG), oder es handelt sich um listenmäßig oder sonst zusammengefasste Daten i.S.d. § 29 Abs. 2 Satz 2 BDSG und die Benachrichtigung wäre wegen der Vielzahl der betroffenen Fälle unverhältnismäßig. 4.3.3 Korrektur, Berichtigung Die GRCh gewährleistet in Art. 8 Abs. 2 Satz 2 die Rechte des Betroffenen: „Jede Person hat 362 das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Nach § 35 BDSG hat der Betroffene dort näher spezifizierte Ansprüche auf Berichtigung, Löschung und Sperrung seiner Daten unter den dort genannten Voraussetzungen.“444 Gemäß § 35 Abs. 1 BDSG sind die Daten zu berichtigen, wenn sie unrichtig sind. Der Betroffene muss also nicht einmal selbst die Berichtigung geltend machen. Vielmehr ist die speichernde Stelle bereits zur Berichtigung verpflichtet, sobald sie die Unrichtigkeit der Daten des Betroffenen kennt. Ein Problem könnte die Dokumentation der Berichtigung insoweit darstellen, als bereits 363 Empfänger im Hause oder Dritte die Daten erhalten haben und somit auf einem unrichtigen Stand die Daten evtl. weiternutzen oder verarbeiten (soweit zulässig). § 35 Abs. 7 BDSG sieht deshalb vor, dass von der Berichtigung unrichtiger Daten (ebenso von der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit) die Stellen zu verständigen sind, denen im Rahmen einer regelmäßigen Datenübermittlung diese Daten zur Speicherung weitergegeben werden. Allerdings gilt dies nur, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.
443 Hilpert, ZD 2015, 259 zum Austausch von Seriositätsdaten durch Auskunfteien. 444 Im öffentlichen Bereich gibt es neben der Regelung in § 20 BDSG in einer Vielzahl von Spezialnormen Löschungspflichten und -fristen; s. z.B. § 32 BKAG, dazu etwa HessVerwGH v. 23.5.2007 – 10 UE 1392/06, RDV 2007, 213.
Schneider
95
A Rz. 364
Datenschutz und IT-Management
364 Berichtigt die speichernde Stelle nicht von sich aus unrichtig gespeicherte personenbezogene Daten des Betroffenen, kann dieser einen entsprechenden Anspruch geltend machen. Die Frage ist allerdings, ob dies nur innerhalb einer bestimmten Frist geschehen kann. Diese Frage ist deshalb von besonderer Bedeutung, weil sich die Beurteilung von Daten im Laufe der Zeit ändern kann, ohne dass das Datum selbst sich deshalb ändern müsste. Es geht also nicht um das Datum selbst, sondern um dessen Verwertung bzw. Einschätzung. Damit ist zugleich auch das Problem angesprochen, ob und inwieweit jeweils festgestellt werden kann, ob die Daten unrichtig sind oder nicht. Für den Fall, dass die Richtigkeit der Daten vom Betroffenen bestritten wird, sich jedoch weder die Richtigkeit noch die Unrichtigkeit feststellen lässt, sieht § 35 Abs. 4 BDSG die Sperrung vor. 4.3.4 Löschen, Recht auf „Vergessen“, s. EuGH u. BGH zu Archiven 365 Löschung und Sperrung der Daten sind die weiteren Rechte des Betroffenen bzw. Pflichten der speichernden Stelle. § 35 Abs. 2 BDSG regelt den Grundsatz der Löschung zunächst dahingehend, dass personenbezogene Daten jederzeit gelöscht werden können. Dies gilt nicht in den Fällen, wo eine Sperrung ausdrücklich zum Schutze des Betroffenen vorgesehen ist (§ 35 Abs. 3 Nr. 1 bis 3 BDSG). Die Löschung soll nicht zum Nachteil des Betroffenen erfolgen, sondern unterbleiben, wenn dieser ein Interesse daran hat, dass die Daten verfügbar sind. An die Stelle des Löschungsanspruchs tritt dann der Anspruch des Betroffenen bzw. die Pflicht der speichernden Stelle auf Sperrung (§ 35 Abs. 3 BDSG). 366 Eine Pflicht zur Löschung der Daten besteht in vier ausdrücklich geregelten Fällen gemäß § 35 Abs. 2 Satz 2 BDSG. Der erste Fall ist der, dass die Speicherung der Daten unzulässig ist. Über die Frage der Unzulässigkeit ist nach §§ 28, 29 BDSG und nach den allgemeinen Grundsätzen zu entscheiden. Dabei beurteilt sich die Rechtslage nicht nach dem Zeitpunkt der Speicherung, sondern dem Zeitpunkt der Prüfung. 367 Nach § 35 Abs. 2 Nr. 2 BDSG sind personenbezogene Daten zu löschen, wenn es sich um besondere Arten von Daten (§ 3 Abs. 9 BDSG), strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann. Diese Ziffer enthält eine Reihe besonders sensibler Datenbereiche, ohne allerdings § 3 Abs. 9 BDSG direkt in Bezug zu nehmen. Das Interessante dabei ist aber, dass die Beweislast für die Richtigkeit hier ausdrücklich der speichernden Stelle auferlegt wird. Diese Pflicht ist zwingend und muss auch von der speichernden Stelle von sich aus wahrgenommen werden. 368 § 35 Abs. 2 Nr. 3 BDSG regelt die Löschungspflicht für den Fall, dass die personenbezogenen Daten für eigene Zwecke verarbeitet werden und ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. § 35 Abs. 2 Nr. 4 BDSG regelt die Löschungspflicht bei geschäftsmäßiger Verarbeitung. Für diese kommt es darauf an, dass die Kenntnis nicht mehr erforderlich ist. Dazu ist in vierjährigem Rhythmus die Erforderlichkeit zu prüfen. Dagegen muss nicht der ursprüngliche Speicherungszweck entfallen sein. Ist dieser durch einen neuen ersetzt worden, blieb die Verarbeitung so lange, wie dieser neue Zweck besteht – die übrigen Voraussetzungen als gegeben unterstellt –, zulässig.445 Das Löschen stellt das Unkenntlichmachen gespeicherter personenbezogener Daten dar (§ 3 Abs. 4 Nr. 5 BDSG). Der Text bzw. die Eintragung darf nicht mehr lesbar sein.446 369 Die DS-RL besagt in Art. 6, dass die personenbezogenen Daten nicht länger, als es für die Realisierung der Zwecke, für diese erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Person ermöglicht. Daneben ist aber die Möglichkeit einzuräumen, dass die Daten auch über die vorgenannte 445 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 35 Rz. 13. 446 „Unlesbar“: Gola/Schomerus, BDSG, 12. Aufl., § 3 Rz. 40.
96
Schneider
Datenschutz Grundlagen
Rz. 373
A
Dauer hinaus für historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden (Art. 6 Satz 1 lit. e DS-RL). I.R.d. Sicherheit der Verarbeitung, Art. 17 DS-RL, wird die Löschung nicht, anders als der Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust oder die unberechtigte Änderung, erwähnt. Art. 12 lit. b u. Art. 14 Abs. 1 lit. a DS-RL betreffen direkt und indirekt die Löschung. Art. 12 lit. b DS-RL regelt ausdrücklich, dass der Betroffene das Recht hat, je nach Fall die Berichtigung, Löschung oder Sperrung von Daten zu „erhalten“ (die Regelung läuft unter „Auskunftsrecht“), Art. 14 lit. a DS-RL gibt dem Betroffenen das Widerspruchsrecht mit der Folge, dass die weitere Verarbeitung sich nicht nur auf diese Daten beziehen darf. Auf diese Vorschriften hat der EuGH den bekannten Löschungsanspruch gegen Google gegründet.447 Das Ergebnis bei der EuGH-E. ist v.a., dass der Anspruch dahingeht, internetbezogen die Ergebnisliste, die im Anschluss an die anhand des Namens einer Person durchgeführte Suche angezeigt wird, von Links zu befreien, die von Dritten veröffentlichte Internetseiten mit Informationen zu dieser Person führen, „auch wenn der Name oder die Information auf diesen Internetseiten nicht vorher oder gleichzeitig gelöscht werden und ggf. auch dann, wenn die Veröffentlichung auf den Internetseiten als solche rechtmäßig ist“.448
370
Der BGH449 hat entschieden, dass auch die Bereithaltung nicht mehr aktueller Beiträge (sog. 371 Altmeldungen) in Online-Archiven eine Persönlichkeitsrechtsverletzung darstellen kann. Die Zulässigkeit dieses Bereithaltens entscheidet sich aufgrund einer umfassenden Abwägung des Persönlichkeitsrechts des Betroffenen mit dem Recht der Presse- und Meinungsfreiheit. Dabei wird auch zu berücksichtigen sein, ob die Schwelle zur Persönlichkeitsrechtsverletzung bei Mitteilung wahrer Tatsachen über die Sozialsphäre überschritten wird, etwa wenn nach längerer Zeitspanne eine subjektive Bewertung des Geschäftsgebarens eines nach wie vor in gleicher Weise tätigen Gewerbebetreibers als unstreitig wahre Tatsache nicht mehr geäußert werden dürfte.450 4.3.5 Sperren Besteht eine gesetzliche, satzungsgemäße oder vertragliche Aufbewahrungsfrist, so ist statt 372 der Löschung eine Sperrung vorzunehmen (§ 35 Abs. 3 Nr. 1 BDSG). Die Sperrung ist die hilfsweise Lösung gegenüber der Löschung, weil diese die Daten endgültig aus der Welt schafft und somit evtl. Nachweisprobleme bestehen können. Nach dieser Nr. 1 können z.B. die Vorschriften über die Aufbewahrung von Unterlagen im Zshg. mit der Buchhaltung, aber auch bei sonstigen Geschäftsunterlagen, bei den Akten des Arztes und des Rechtsanwalts einschlägig sein. Nach § 35 Abs. 3 Nr. 2 BDSG erfolgt eine Sperrung, wenn Grund zu der Annahme besteht, 373 dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt werden. Hierbei kann es sich um die bereits erwähnten Nachweisprobleme handeln. Liegt einer dieser beiden Fälle des § 35 Abs. 2 Nr. 1 oder 2 BDSG vor, gilt soweit das Recht der speichernden Stelle auf jederzeitige Löschung nach § 35 Abs. 2 Satz 1 BDSG – oben erwähnt – nicht. 447 EuGH v. 13.5.2014 – C-131/12 – Google; dazu a. Holznagel/Hartmann, MMR 2016, 228 m. Blick auch a. die DS-GVO (dort nun Art. 17), s. u.; Sofiotis, CR 2015, 84; Boehme-Neßler, in: NVwZ 2014, 825; Kühling/Klar, ZD 2014, 506 zu den Löschpflichten im Konflikt mit der Datenaufbewahrung; Mann, AfP 2014, 210 zu Online-Archiven nach EuGH. 448 EuGH v. 13.5.2014 – C-131/12, aus Ls. 3 – Google; Spindler, JZ 2014, 981; Ziebarth, ZD 2014, 394; zur Löschung alter Beiträge s.a. OLG Hamburg v. 7.7.2015 – 7 U 29/12, MMR 2015, 770 m. Anm. Verweyen/Ruf; kritisch zu OLG Hamburg, weil auf falschen technischen Grundlagen beruhend: http://irights.info/artikel/oberlandesgericht-hamburg-ein-urteil-gegen-online-archive/25984 (abgerufen am 17.5.2016). 449 BGH v. 16.2.2016 – VI ZR 367/15. 450 BVerfG v. 29.6.2016 – 1 BvR 3487/14, Rz. 16, insoweit besteht kein „Recht auf Vergessenwerden“ von Bewertungen.
Schneider
97
A Rz. 374
Datenschutz und IT-Management
374 § 35 Abs. 3 Nr. 3 BDSG regelt sodann noch zugunsten der speichernden Stelle die Pflicht zur Sperrung, falls eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. 375 Kann die Richtigkeit der Daten weder von der verarbeitenden Stelle bewiesen noch vom Betroffenen, der die Richtigkeit bestreitet, widerlegt werden, lässt sich also weder die Richtigkeit noch die Unrichtigkeit feststellen, sind die Daten zu sperren, § 35 Abs. 4 BDSG. 376 Die Fälle, wo eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist, sind schwer vorstellbar. Es wird etwa die Unmöglichkeit der Löschung einzelner Daten auf einem CD-ROM-Speicher erwähnt.451 377 Konkret wird das Sperren dadurch ausgeführt, dass gespeicherte personenbezogene Daten entsprechend gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken (§ 3 Abs. 4 Nr. 4 BDSG). 4.3.6 Widerspruch des Betroffenen 378 Grds. steht dem Betroffenen kein ausdrücklich vom BDSG gewährtes generelles Widerspruchsrecht zu. Ausnahmen finden sich punktuell. § 28 Abs. 4 BDSG gilt z.B. nur für solche Daten, die sich bei der speichernden Stelle auf die Nutzung oder Übermittlung der Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung erstrecken. Widerspricht in einem solchen Falle der Betroffene, so ist eine Nutzung oder Übermittlung für diese Zwecke unzulässig. Damit ist die so genannte Robinson-Taktik bzw. -Liste hinsichtlich ihrer Voraussetzung im Gesetz verankert. Gegenüber anderen Formen der Verarbeitung bzw. Adressaten der Übermittlung oder Nutzung gilt diese Widerspruchsmöglichkeit nicht. 379 Eine weitere Ausnahme bietet sich dem Betroffenen präventiv bei schutzwürdigem Interesse in einer besonderen persönlichen Situation, § 35 Abs. 5 Satz 1 BDSG. Widerspricht der Betroffene mit dieser Begründung, hat eine Prüfung des Einzelfalls zu erfolgen. Ergibt diese, dass das schutzwürdige Interesse wegen dieser besonderen persönlichen Situation überwiegt, dürfen diese Daten nicht erhoben, verarbeitet oder genutzt werden. Dies gilt nicht, wenn eine Verpflichtung aufgrund einer Rechtsvorschrift besteht. 4.3.7 Kompatibilität/Probleme mit Meinungsäußerungsfreiheit 380 Das BDSG wie insgesamt das Datenschutzrecht berücksichtigt kaum, dass zu den wesentlichen Akteuren inzwischen der Betroffene selbst gehört, hier häufiger auch unter dem Aspekt der Selbstentäußerung angedeutet. Bei Bewertungsportalen, Blogs u.Ä. besteht zudem die Möglichkeit, dass der einzelne Beteiligte schmähende, beleidigende oder in sonstiger Weise abfällige Äußerungen tätigt, also der Gesamtbereich des Meinungsäußerungsrechts in Frage steht. Gezielt wird dies auch als Cybermobbing betrieben. Die Handhabe dagegen ist, nicht zuletzt im Hinblick auf das Pseudonymisierungsrecht der Akteure, schwierig bzw. problematisch. Insofern ist die Frage durchaus noch intensiver zu stellen, als dies bisher der Fall war, unter welchen Voraussetzungen evtl. ein Herausgabeanspruch bzw. ein Auskunftsanspruch dahingehend besteht, dass der potentiell Beleidigte Auskunft über die Person erhält, die über ihn unsachliche Äußerungen im Portal, im Blog u.Ä. eingestellt hat.452 381 Einen Ansatzpunkt im Hinblick auf einen evtl. Löschungsanspruch bei gemeinsamer Erstellung von später nicht mehr gewollter Selbstdarstellung stellt die BGH-E. zu Intim-Fotos dar, die nach Beziehungsende im konkreten Fall zwar nicht herausverlangt wurden, deren Lö451 S. Gola/Schomerus, BDSG, 12. Aufl., § 35 Rz. 17. 452 S. BGH zu der Frage, wann ein solcher Auskunftsanspruch besteht bzw. zu den Prüfpflichten des Portalbetreibers s. BGH v. 23.9.2014 – VI ZR 358/13, ZD 2015, 85.
98 Schneider
Datenschutz Grundlagen
Rz. 385
A
schung aber verlangt werden konnte. Dieser Löschungsanspruch nach dem Ende der Beziehung kann dem betroffenen Partner „wegen Verletzung seines Persönlichkeitsrechts zustehen, wenn er seine Einwilligung in die Anfertigung und Verwendung der Aufnahmen auf die Dauer der Beziehung – konkludent – beschränkt hat“.453 Wichtig und analog anwendbar erscheint, dass zwar eine Einwilligung bzw. Einvernehmen angenommen wurde, dieses aber eben konkludent auf die Dauer der Beziehung bezogen wurde. Die Frage ist, ob sich diese zeitliche Erstreckung bzw. Zweckbestimmung nicht auch auf andere Fälle bzw. Medien und Konstellationen anwenden lässt. Insofern wäre etwa ein Blogbeitrag durchaus im Rahmen einer nahezu automatischen Veraltung zu sehen und von daher ohnehin nach einer gewissen Zeit zu löschen. Hierfür ist aber nicht Voraussetzung etwa das Ende der „Beziehung“ oder ein irgendwie anders geartetes Ereignis. Es würde insoweit ausreichen, dass einfach die übliche Zeitdauer abgelaufen wäre, für die ein solcher Beitrag Interesse hat. Oder anders: bei Eintreten weiterer Umstände bzw. bei der Möglichkeit, dass auch Zweckentfremdung gegeben ist u.Ä., könnte der Betroffene seinerseits Sperrung bzw. Löschung aus den gleichen Motiven herausverlangen, wie dies bei der fraglichen BGH-E. der Fall war, auch wenn es sich als Grundlage hier nur um § 242 BGB handelt. Soweit eine Gestattung bzw. Einwilligung in Betracht kommt, wäre ohnehin ein Widerruf denkbar, sodass zumindest die Teile von Daten, die den widerrufenen Teil betreffen, zu sperren oder zu löschen wären. Ggf. wäre auch daran zu denken, dass der Betroffene das Nutzungsverhältnis insoweit, als auch er darin einbezogen ist (weil er in einem Blog-Dialog beteiligt war) seinerseits kündigen könnte.
382
Kritisch wäre hierbei ein Eingreifen der Betreiberseite. Diese könnte allerdings über das Recht auf Vergessenwerden gezwungen sein, entsprechende Maßnahmen zu ergreifen. Grds. ist aber die Abwägung gegenüber der Meinungsäußerungsfreiheit stets im Auge zu behalten.
383
4.4 Haftung für Datenschutzverstöße, für Persönlichkeitsrechtsverletzungen 4.4.1 § 823 BGB Die Regelung in § 7 BDSG kann zwar als verunglückt bezeichnet werden, wenn man dem 384 Datenschutz tatsächlich zu konkreter Geltung i.S. eines „scharfen Schwerts“ hätte verhelfen wollen. Letztlich misst sich die Durchsetzungsfähigkeit eines Gesetzes, das vor Verletzungen schützen soll, gerade daran, ob es im Falle von Verletzungen einen adäquaten Schadensersatzanspruch gewährt. Dieser besteht auf dem Papier, aber nicht tatsächlich. Dies hängt damit zusammen, dass Datenschutz als vorverlagerter Grundrechtsschutz454 ein Terrain betrifft, auf dem die materiellen Schäden noch relativ gering, wenn überhaupt, und die immateriellen (noch) nicht erstattungsfähig sind, weil der Eingriff als zu gering angesehen wird. Insofern ist das allgemeine Persönlichkeitsrecht und in Verbindung damit eine Haftung auch auf Ersatz immateriellen Schadens auf der Basis von § 823 BGB eine der wichtigen Ergänzungen des BDSG, wenn auch in Hilfsfunktion.455 Das allgemeine Persönlichkeitsrecht, wie auch das Recht auf informationelle Selbstbestim- 385 mung, das ebenfalls i.R.d. § 823 Abs. 1 BGB geschützt ist,456 greift auch dann, wenn das formelle Datenschutzrecht nicht gilt. Für den privaten Bereich bedeutet dies, dass es insoweit nicht auf die Organisationsform – Daten, die nicht in nicht-automatisierten Dateien enthalten sind (§ 27 Abs. 2 BDSG) – ankommt. Andererseits sind die Risiko- und Verletzungs453 454 455 456
BGH v. 13.10.2015 – VI ZR 271/14, GRUR 2016, 315 – Intime Fotos. Gallwas, NJW 1992, 2785. S.a. Simitis, in: Simitis (Hrsg), BDSG, 8. Aufl., § 7 Rz. 60. S.a. Simitis, in: Simitis (Hrsg), BDSG, 8. Aufl., § 7 Rz. 59; zur Übertragung der Grundsätze der informationellen Selbstbestimmung aus dem Volkszählungsurteil auf eine privatrechtliche Rechtsbeziehung s. Beschl. des BVerfG E 84, 192 – Entmündigung II; s. Fn. 115 und BVerfG, Kammerbeschl. v. 14.12.2001 – 2 BvR 152/01, NJW 2002, 2164.
Schneider
99
A Rz. 386
Datenschutz und IT-Management
potentiale für § 823 BGB völlig offen, sodass die Abschichtung nach betroffener Sphäre und Schwere des Eingriffs vorzunehmen ist. In der Folge gibt es Ersatz immateriellen Schadens nicht bei Eingriffen in die Sozialsphäre, die aber gerade das typische Feld für den vorverlagerten Grundrechtsschutz, Schutz der Daten darstellt. 4.4.2 § 7 BDSG 386 Dem Betroffenen kann ein Anspruch auf Unterlassung und Ersatz des materiellen Schadens, in schweren Fällen auch des immateriellen Schadens, zustehen (§ 7 BDSG). Solche Fälle sind äußerst selten, da Datenschutzverletzungen meist das Vorfeld der Sphären betreffen und insofern keine ausreichende Schwere des Eingriffs bzw. kein schweres Verschulden erkennbar ist.457 Als Ausnahme, bei der Personaldaten den Gegenstand bildeten, sei eine E. des BAG erwähnt, die eine „Schlagzeile“ mit diskriminierendem Inhalt („Die faulste Mitarbeiterin Deutschlands“) betraf.458 Denkbar ist ein Anspruch in Kombination mit Verletzung von Spezialnormen, etwa durch Bildberichte (KunstUrhG)459 oder durch Offenlegung besonderer Daten, etwa Krankheitsdaten. Dieses etwas unbefriedigende, kaum präventiv wirkende Bild resultiert aus folgender Situation bei der Haftungsregelung. 387 Grds. könnte eine der schärfsten Waffen im Bereich des Datenschutzes die Haftung desjenigen sein, der rechtswidrig personenbezogene Daten erhebt, verarbeitet oder nutzt. In der Praxis spielt jedoch die Haftung, soweit ersichtlich, kaum eine Rolle. Dies hat u.a. seinen Grund darin, dass sich die Kompliziertheit der Materie eher negativ auswirkt. Des Weiteren war die Anspruchsgrundlage relativ schwach, da für die Erlangung des Ersatzes für immateriellen Schaden das BDSG 1990 lediglich eine Regelung für öffentliche Stellen enthielt und entsprechend der Rspr. zu § 823 BGB ein Ersatz des immateriellen Schadens lediglich bei einer (besonders) schweren Verletzung des Persönlichkeitsrechts in Betracht kam.460 § 8 BDSG 1990 enthielt zudem keine eigene Anspruchsgrundlage, sondern nur eine Beweislastregel, die noch dazu etwas missglückt formuliert war. 388 In Umsetzung der DS-RL wurde 2001 ein § 7 BDSG eingefügt (die entsprechende Regelung für öffentliche Stellen wurde § 8 BDSG 2001). Damit wurde eine grundsätzliche Anspruchsgrundlage sowohl für den öffentlichen als auch für den nicht-öffentlichen Bereich geschaffen, die völlig eigenständig ist und autonom bzw. konform mit der auszulegen ist. § 7 BDSG besteht zunächst in Satz 1 aus der Anspruchsgrundlage. Demnach ist die verantwortliche Stelle dem Betroffenen zum Schadensersatz verpflichtet, wenn eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten diesen Schaden verursachen. 389 Gemäß § 7 Satz 2 BDSG allerdings entfällt diese Ersatzpflicht, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Somit ist hier eine Beweislastregelung enthalten, die im Ergebnis auf eine Beweislastumkehr hinausläuft. Die verantwortliche Stelle hat sich also ggf. zu entlasten. Eine positive Regelung konkreter Haftung auch für immaterielle Schäden, etwa für den Fall einer schweren Verletzung des Persönlichkeitsrechts, fehlt für den nicht-öffentlichen Bereich. I.R.d. DS-RL – Art. 23 DS-RL – blieb offen, ob auch der immaterielle Schaden von der Anspruchsgrundlage erfasst wird.461 Die DS-GVO ändert dies mit Art. 82, s. Rz. 662 ff.
457 Insofern typisch: ThürOLG RDV 2005, 70: Kein Schmerzensgeld wegen unbefugter Aufnahme in das Telefonbuch, wenn dies auf einem leicht fahrlässigen Übermittlungsfehler beruht; s. Gola/Schomerus, BDSG, 12. Aufl., § 7 Rz. 19; s.a. Rz. 397 ff. 458 BAG v. 18.2.1999 – 8 AZR 735/97, NJW 1999, 1988. 459 S. z.B. OLG München v. 26.6.2007 – 18 U 2067/07, jur-pc 147/2007. 460 S. noch zu BDSG 1977 auch Rz. 19. 461 S.a. Ehmann/Helfrich, EG-Datenschutzrichtlinie Art. 23 Rz. 20 ff.
100
Schneider
Datenschutz Grundlagen
Rz. 396
A
Man wird jedoch als in deutsches Recht umgesetzte Regelung § 7 BDSG vor dem Hinter- 390 grund bzw. unter den Maßgaben der allgemeinen Vorschriften zu würdigen haben. Dies bedeutet, dass in Deutschland die Voraussetzung einer expliziten Regelung auch des Ersatzes des immateriellen Schadens nicht gegeben ist, es sei denn, es greift die weitere Anspruchsgrundlage auf Basis der bisherigen Rspr., in Fällen der schweren Verletzung des allgemeinen Persönlichkeitsrechts (§ 823 Abs. 1 BGB).462 Verschulden bei Vertragsabschluss kommt insoweit in Betracht, als die speichernde Stelle 391 Daten, die sie etwa zum Zwecke der Einstellungsbeurteilung ohne Einwilligung des Betroffenen anderen Arbeitgebern übermittelt oder Werbeunternehmen verkauft oder sonstwie diese Daten Dritten übermittelt, ohne dass die Zulässigkeitsvoraussetzungen gegeben sind. Es kommt bei dem Verschulden bei Vertragsabschluss nicht darauf an, ob der intendierte Vertragsabschluss tatsächlich auch zustande kommt. Ähnliche Situationen mag es im Verhältnis zu einem potentiellen Vermieter einer Wohnung oder eines Autos geben, wo Gehaltsnachweise oder andere Sicherheiten dargelegt oder vorgelegt werden. Erst recht gilt dies dann etwa im Verhältnis zu einer Bank im Zshg. mit der Anbahnung eines Kreditvertrages. Positive Vertragsverletzung kommt in Betracht, wenn etwa der Arbeitgeber seinerseits die 392 Daten an andere Arbeitgeber übermittelt. Insb. im Bereich etwa des Anstellungsvertrages, des Kreditvertrages, des Versicherungsvertrages und ähnlicher sensibler Bereiche wird man nicht mehr davon ausgehen können, dass es sich bei der Wahrung des Datenschutzes um eine Nebenpflicht handelt. Vielmehr wird dies zu den so genannten Kardinalpflichten gehören, ohne dass dies sich ausdrücklich aus dem Vertrag ergeben müsste.463 Allein schon von der Formulierung nach § 1 Abs. 1 BDSG, wonach Zweck des Gesetzes ist, den Einzelnen vor Beeinträchtigungen seines Persönlichkeitsrechts zu schützen, kommt insb. die aus § 823 BGB entwickelte Anspruchsgrundlage des Schadensersatzes wegen Verletzung des allgemeinen Persönlichkeitsrechts in Betracht. Gleichzeitig ist aber davon auszugehen, dass das BDSG Schutzgesetz i.S.d. § 823 Abs. 2 BGB ist und somit ein Verstoß gegen das BDSG einen Anspruch nach § 823 Abs. 2 BGB auslöst.
393
Das BDSG enthält mit § 7 BDSG eine eigenständige Haftungsnorm, aber keine abschließen- 394 de Regelung der Haftung für Verletzungen des Datenschutzrechts,464 sodass zusätzlich § 823 Abs. 1 BGB als weitere Anspruchsgrundlage zur Verfügung steht, insb. einbezogen über § 1 Abs. 1 BDSG.465 Weil das BDSG a.F. keine eigenständige Schadensersatzregelung enthielt, galt früher § 823 Abs. 1 BGB als die eigentliche Anspruchsgrundlage.466 Der Vollständigkeit halber seien noch § 824 BGB, Kreditgefährdung, und § 826 BGB erwähnt. Allerdings sind gerade die an die letztere Regelung zu stellenden Voraussetzungen relativ hoch, nämlich Vorsatz bzw. Bewusstsein, dass das Handeln den schädlichen Erfolg haben wird. Eine nur allgemeine Vorstellung, dass eine Schädigung möglich ist, genügt nicht.467
395
4.4.3 Beweislast Die Struktur des § 7 BDSG entspricht der des § 280 BGB.468 § 7 Satz 1 BDSG besagt, dass die verantwortliche Stelle schadenersatzpflichtig ist, wenn sie dem Betroffenen durch eine nach 462 S.a. Ehmann/Helfrich, EG-Datenschutzrichtlinie Art. 23 Rz. 27; Brühann/Zerdick, CR 1996, 429, worauf auch Ehmann/Helfrich hinweisen; zur Diskussion s.a. Wuermeling, CR 1995, 111. 463 A.M. Wind, RDV 1991, 16. 464 S. Gola/Schomerus, BDSG, 12. Aufl., § 7 Rz. 1 und 16. 465 Veraltet insoweit BGH v. 19.5.1981 – VI ZR 273/79, NJW 1981, 1738. 466 S.a. Ordemann/Schomerus/Gola, 5. Aufl., § 8 BDSG 1990, Ziff. 2.2. 467 S. Sprau, in: Palandt, § 826 BGB Rz. 10. 468 Zur Schadensersatzregel des § 7 BDSG s. Kosmides, Haftung für unzulässige Verarbeitung personenbezogener Daten, 2007.
Schneider
101
396
A Rz. 397
Datenschutz und IT-Management
diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zufügt. Gemäß § 7 Satz 2 BDSG entfällt diese Ersatzpflicht, „soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat“. Während Satz 1 sich also zunächst liest, als ob auch im privaten Bereich eine verschuldensunabhängige Haftung greifen könnte, ergibt sich aus Satz 2, dass Verschulden erforderlich ist, allerdings in der Variante, dass die Beweislast insoweit, dass kein Verschulden vorliegt, bei der verantwortlichen Stelle liegt. Diese Interpretation deckt sich mit der DS-RL, dort insb. mit Erw.grd. 55.469 Nachdem aber ganz allg. zu § 280 BGB eher von einer Beweislast auch hinsichtlich des Verschuldens beim Verletzten ausgegangen wird,470 dürfte es sich hier eher um die Mindermeinung handeln. 4.4.4 Beurteilung der Schadensersatzposition des Betroffenen 397 Die im Ergebnis schlechte Position des Betroffenen lässt tiefgreifendere Maßnahmen zur Vermeidung kaum lohnend erscheinen. Die Frage wäre, wie die Position des Einzelnen i.S. stärkerer Relevanz verbessert werden könnte.471 398 In der Praxis spielt die Tatsache, dass unbefugte Speicherung, Veränderung oder Übermittlung ebenso strafbar ist wie unbefugte Bereithaltung zum Zwecke des Abrufs oder unbefugter Abruf (§ 43 Abs. 2 i.V.m. § 44 Abs. 1 BDSG), kaum eine Rolle.472 Wesentlich wichtiger wäre es für die Praxis zur Durchsetzung von Ansprüchen des Betroffenen und zur Verbesserung der Datenschutzsituation, dass der Betroffene einen Anspruch auf Ersatz seines immateriellen Schadens unter vereinfachten Bedingungen erlangt. Wie schon angedeutet, bleibt § 823 Abs. 1 BGB eine der wichtigsten Anspruchsgrundlagen im Zshg. mit Datenschutzverletzungen im privaten Bereich. Danach wäre Ersatz materiellen Schadens bei Datenschutzverletzungen relativ einfach zu erlangen. Dies nutzt dem Betroffenen jedoch häufig wenig. 399 Um einen Schadensersatzanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts auszulösen, müsste ein Eingriff in dieses Recht vorliegen. Weiter müsste dieser Eingriff widerrechtlich sein. Schließlich müsste er schuldhaft sein, wobei allerdings dann die Beweiserleichterung greift. Zudem muss es sich bei einem immateriellen Schaden um einen schweren Eingriff handeln. Bei der Widerrechtlichkeit müssen gegeneinander abgewogen werden die Güter und Interessen der beiden Beteiligten, sodass aufseiten des Verletzten zu prüfen ist, in welche Sphäre seiner Persönlichkeit eingegriffen wird mit der weiteren Folge, dass bei der Abwägung nur relativ geringfügige Güter des Verarbeiters zu dessen Gunsten sprechen dürften, um den Eingriff in diese äußere Sphäre zu rechtfertigen.473 400 Datenschutzrechtlich stellt sich die Abwägung so dar, dass an sich jede Verarbeitung personenbezogener Daten einen Eingriff darstellt. Denn grds. ist die Verarbeitung personenbezogener Daten verboten. Infolge dessen bedarf es eigentlich keiner weiteren Prüfung, ob die Verarbeitung einen Eingriff darstellt, widerrechtlich ist usw., wenn sie nicht durch Einwilligung oder durch Rechtsnorm erlaubt wird. 401 Sodann ist gemäß der Rspr. des BVerfG grds. kein Datum als per se belanglos anzunehmen.474 Die Folge müsste eigentlich sein, dass ein Verletzer nur im Einzelfall jeweils nach469 Worauf z.B. Gola/Schomerus, BDSG, 12. Aufl., § 7 Rz. 9 hinweisen. 470 Grüneberg, in: Palandt, § 280 BGB Rz. 34. 471 Zum Zweiten Schadensersatzrechtsänderungsgesetz s. Wagner, NJW 2002, 2049. Weiterhin ist für Persönlichkeitsrechtsverletzungen auch immaterieller Schaden erstattungsfähig, Wagner, NJW 2002, 2049 (2056). 472 Ausnahme: BayObLG v. 12.8.1998, CR 1999, 150, wobei die vom Polizeibeamten verübte unbefugte Nutzung als nicht strafbar erkannt wurde. 473 So etwa, zusammengefasst: Sprau, in: Palandt, § 823 BGB Rz. 95 ff. (96). 474 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, NJW 1984, 419; s. Rz. 31, 82.
102
Schneider
Datenschutz Grundlagen
Rz. 404
A
weisen könnte und muss, dass ein konkretes Datum, das er unzulässigerweise verarbeitet hat, völlig belanglos ist. Unter „belanglos“ wäre hier zu verstehen, dass es nicht weit in die Persönlichkeitssphäre eingedrungen ist. Beweispflichtig hierfür wäre, weil er sich auf diesen für sich ungünstigen Umstand berufen will, der Verletzer.475 In der Praxis wird aber vom Betroffenen verlangt, dass er seinerseits die Persönlichkeitsrechtsverletzung darlegen muss, als ob es nicht ausreichend wäre, den Verstoß gegen das BDSG und damit die Unzulässigkeit der Verarbeitung darzulegen. Insb. den immateriellen Schaden erhält der Betroffene nur ersetzt, wenn er eine schwere Verletzung seines Persönlichkeitsrechts darlegen kann. Er müsste, wohl allgemeine Auffassung, nachweisen, dass in einen inneren Bereich seines Persönlichkeitsrechts eingegriffen wurde, sodass sich daraus die Schwere des Eingriffs ergibt. Nur unter der Voraussetzung der schweren Verletzung ist dem Betroffenen Geldentschädigung zu leisten.476 Datenschutz ist auch als Recht auf informationelle Selbstbestimmung vorverlagerter 402 Grundrechtsschutz und zugleich Datenverkehrsrecht.477 Aus der Vorverlagerung folgt automatisch, dass ein Datenschutzverstoß in den Datenbereichen der äußeren Sphäre des Betroffenen selten zugleich einen schweren, vom Betroffenen nachweisbaren Eingriff in den inneren Bereich seiner Persönlichkeit darstellt. In der Praxis wird vom Betroffenen häufig verlangt, über die Datenschutzverletzung als solche hinaus weitere Beeinträchtigungen, etwa die Missachtung der Nachbarn, der Kollegen, Behinderung des weiteren Fortkommens u.Ä. (gleich, ob dies evtl. nicht zum materiellen Schaden gehört) darzulegen. Lediglich bei medizinischen Daten, die einem besonderen Amtsgeheimnis oder der Verschwiegenheitspflicht (§ 203 StGB) unterliegen, oder anderen besonderen Arten von Daten478 dürfte es der Betroffene relativ leicht haben, die Schwere des Eingriffs zugleich mit der Datenschutzverletzung selbst darzulegen. 4.5 Strafrechtliche Verantwortlichkeit Die Strafvorschriften des BDSG (§ 44) spielen eine geringe Rolle, mehr schon die Bußgeldvor- 403 schriften (§ 43). Deren Bedeutung erhöht sich drastisch durch die DS-GVO mit ihrem weiten Rahmen, s. Rz. 657 ff. Besonders relevant könnte die Ausdehnung der Tatbestände werden, indem nun auch Verletzungen von Pflichten aus dem Bereich der technisch-organisatorischen Maßnahmen erfasst sind (Art. 83 Abs. 4 lit. a DS-GVO), aber andererseits auch die Maßnahmen mindernd zu berücksichtigen sind (Art. 83 Abs. 2 lit. d DS-GVO).479 5. Datenübermittlung, Cloud: Safe Harbor, Privacy Shield und BCR, Standardklauseln 5.1 EU Die Mitgliedsstaaten haben die DS-RL umgesetzt. Insoweit gilt ein einheitlicher Datenschutz 404 in der EU. Im Detail variieren die Regelungen nicht unerheblich.480 Einige vereinheitlichende Maßgaben, v.a. im Verhältnis zu Drittländern, sind der Art. 29-Gruppe zu verdanken. Eine wichtige Entscheidung zum Begriff der Datenverarbeitung für deutsche Verhältnisse ist keine
475 Allg. zur Beweislast s. Zöller/Greger, vor § 284 ZPO Rz. 15 ff., insb. Rz. 20. 476 S. zu § 823 Abs. 1 BGB im Bereich des Presserechts Schulenberg, in: Schwartmann (Hrsg.), Praxishandbuch Medien-, IT- und Urheberrecht, Kap. 1.7 Rz. 200 ff. 477 S. Gallwas, NJW 1992, 2785; Alberts, CR 1994, 492 (493); s. kritisch im Hinblick auf die fehlende Einbindung in die Abwägung mit den Grundrechten der Akteure Gallwas, in: Conrad/Grützmacher, § 26 Rz. 31 ff., 45 ff., 73 ff. 478 § 3 Abs. 9 BDSG, zum Spektrum dieser Daten s. Rz. 184. 479 Zur Entwicklung bei EU/US-Datentransfer in Strafsachen Smagon, ZD 2016, 55; zum IT-Strafrecht ausführlich s. E. 480 Zu Besonderheiten des österr. DSchG gegenüber der EG-DSsch-RL, Andréwitch/Steiner, ITRB 2005, 260.
Schneider
103
A Rz. 405
Datenschutz und IT-Management
Überraschung: Das Einstellen von Mitgliedsdaten auf einer Internetseite ist Verarbeitung personenbezogener Daten und zugleich „Auslandsübermittlung“.481 5.2 Datenschutzniveau außerhalb der EU 405 Gem. Art. 25 DS-RL setzt die Übermittlung in ein Drittland grds. voraus, dass dort ein angemessenes Datenschutzniveau gewährleistet ist. International agierenden Firmen fällt deshalb die Zurverfügungstellen der Mitarbeiterdaten an den ausländischen Sitz von KonzernBetrieben an sich schwer.482 Die Kommission hat zur Erleichterung Standardklauseln zur Verfügung gestellt (s. Rz. 118). In gewissem Sinne als Alternative fungierte das Safe HarborAbkommen (Rz. 413). Diese Regelungen decken aber nicht den besonders kritischen Bereich der Überwachung von Passagierdaten und Telefon bzw. Telekommunikation durch die USA ab.483 2015 erklärte der EuGH Safe Harbor für ungültig.484 Die Nachfolge soll „Privacy Shield“ übernehmen, dazu Rz. 417. 406 Die Übermittlung von Fluggastdaten an Drittstaaten (insb. US-Sicherheitsbehörden) fällt mangels Datenverarbeitung zur Erbringung einer Dienstleistung nicht in den Anwendungsbereich der DS-RL. Die Angemessenheitsentscheidung der Kommission und der Beschluss des Rates zum Abschluss des Abkommens mit den USA vom 17.5.2004 erklärte das Abkommen schon aus diesem Grund für nichtig.485 407 Das Abkommen, das ab 1.1.2008 die Übermittlung der PNR-Daten in einem Pushverfahren, also aktiv an die USA, vorsieht, wurde wegen des niedrigeren Datenschutzes von der Art. 29-Gruppe kritisiert.486 Zu den Kritikpunkten gehören das erweiterte Spektrum der Datenelemente, die ungenaue Beschreibung der Zwecke, die Erweiterung der Speicherungsfrist auf 15 Jahre und die fehlende Prüfung durch unabhängige Aufsichtsbehörden.487 Das Europäische Parlament hat am 13.4.2016 der EU-Richtlinie zu Fluggastdatensätzen zugestimmt, deren Entwurf seit 2011 vorliegt. 408 Die USA überwachen international den Telefon- und Internetverkehr. Seit 7.8.2007 gilt ein „Protect America Act of 2007“ mit Ergänzungen zum „Foreign Intelligence Serveillance Act“, FISA.488 Für Europa besonders wichtig und bedenklich ist, dass die Auslandsüberwachung ohne vorherigen Gerichtsbeschluss erfolgt.489 5.3 Standardklauseln, Vereinbarungen Selbstbindung/Richtlinien 409 Sog. Standardvertragsklauseln lösen das Problem fehlender Angemessenheit des Datenschutzniveaus im Empfängerland.490 Sie ersetzen – ebenso wie bei BCR oder bilateralen Ab481 EuGH v. 6.11.2003, CR 2004, 286 – Bodil Lindquist, und dazu Taraschka, CR 2004, 280, Roßnagel, MMR 2004, 99; Retzer/Ritter, CRi 2004, 24; Elteste, ITRB 2004, 147. S.a. LG Ulm v. 1.12.2004, MMR 2005, 265. 482 S. z.B. Wisskirchen, CR 2004, 862 zu den Anforderungen für „Global Player“. 483 Nielen/Thum, K&R 2006, 171; zu den Ausnahmen § 4c Abs. 2 BDSG: Räther/Seitz, MMR 2002, 425; Räther/Seitz, MMR 2002, 520. 484 EuGH v. 6.10.2015 – C-362/14, s.a. Rz. 414. 485 EuGH v. 30.5.2006 – C-317/04, C-318/04, MMR 2006, 527 m. Anm. Geis/Geis = NJW 2006, 2029 m. Anm. Simitis; s.a. Peeters, MMR 2005, 11: Transfer of European air passenger’s personal data to US authorities violates European data protection legislation. 486 S. Pressemitteilung http://ec.europa.eu/justice/policies/privacy/news/docs/pr_17_08_07_de.pdf (abgerufen am 18.5.2016). 487 S. http://ec.europa.eu/justice/policies/privacy/news/docs/pr_17_08_07_de.pdf. 488 Zum weiten Spielraum, den auch der US-Supreme Court bei Abhörmaßnahmen für Gespräche und E-Mails aus dem Ausland (FISA) gewährt, s. Spies, ZD-Aktuell 2012, 02957. 489 S. Bericht Spies, MMR aktuell 10/2007, XV (XVI). 490 S. z.B. Kuner/Hladjk, Die alternativen Standardvertragsklauseln der EU für internationale Datenübermittlungen, RDV 2005, 193.
104
Schneider
Datenschutz Grundlagen
Rz. 414
A
kommen – naturgemäß nicht die Rechtsgrundlage für die Erhebung, Datenverarbeitung und Nutzung als Vorfrage der Zulässigkeit. Bei Übermittlung muss also zunächst geprüft werden, ob die Übermittlung überhaupt zulässig ist, dann, ob sie für das konkrete Empfängerland die nötigen Voraussetzungen hat. S. Rz. 113 ff. Standardvertragsklauseln wie auch BCR haben aber enorm an Bedeutung als Ersatz für Safe 410 Harbor, dazu sogleich, gewonnen, jedenfalls für die Übergangszeit bis zur Nachfolgeregelung. Allerdings ist fraglich, ob nicht auch sie letztlich das Problem des adäquaten Schutzes im Empfängerland nicht lösen können und deshalb von der Wirkung des EuGH-Urteils erfasst werden.491 Die DS-GVO bietet über die Art. 47 i.V.m. Art 46 entsprechende Grundlagen für den Daten- 411 transfer auf Basis von Standardvertragsklauseln (speziell auch gem. Erw.grd. 81, Art. 28 für Auftragsverarbeitung und BCR.492 Ein Code of Conduct wäre derzeit noch keine eigene Grundlage, § 38a BDSG. Solche Selbstbindung ist deshalb noch selten.493 Das könnte sich mit Art. 40 und 41 DS-GVO ändern, s. Rz. 641.
412
5.4 Safe Harbor, Privacy Shield Seit 1.11.2000 war Safe Harbor für die Beteiligten eine relative einfache Möglichkeit, die Da- 413 tenübermittlung transatlantisch zwischen EU und USA zu handhaben. Im Prinzip handelte es sich nicht um eine Vereinbarung in dem Sinne, dass dadurch in der USA ein angemessenes Schutzniveau hergestellt wurde und insofern auch attestiert werden konnte. Es handelte sich lediglich um ein bilaterales Abkommen, das gegen den Widerstand des EU-Parlaments zustande gekommen war, das die Wirtschaft begünstigte und für den Spezialfall der USA das Problem des zu niedrigen Schutzniveaus umging und zwar auf einer, so schien es, legalen Basis. Diese Entscheidung der Kommission hat der EuGH für ungültig erklärt.494 Andererseits waren in der Zwischenzeit für eine ganze Reihe von Drittstaaten die entspre- 414 chenden Erklärungen seitens der Kommission erfolgt, wonach die Angemessenheit des jeweiligen Schutzniveaus in diesen Staaten EU-seitig anerkannt worden war.495 Dass hier eine Art Missverhältnis bestand, war klar. Es war auch eine Frage der Zeit, bis sich andere Staaten auf die Besonderheiten von Safe Harbor beziehen würden. Wie auch für die anderen Instrumente, ist festzuhalten, dass bei Safe Harbor nicht außeracht gelassen werden dürfte, dass die Grundlage dafür war, dass auf der ersten Ebene die Verarbeitung der Daten überhaupt zulässig war. Erst auf der zweiten Ebene war dann zu prüfen, ob insofern eine Übermittlung an einen sicheren Drittstaat erfolgt. Diese Möglichkeit schuf Safe Harbor. Der EuGH hat diese „Brücke“ für nicht mehr gangbar, also ungültig erklärt.496
491 Positiv zur (Fort-) Geltung gegenüber EuGH v. 6.10.2015 – C-362/14 – Schrems, s. Borges, NJW 2015, 3617; Grau/Granetzny, NZA 2016, 405 (zu Übergangszeit und EU-US-Privacy Shield). 492 Spindler, DB 2016, 937 (945). 493 Als Beispiel ist aber etwa zu nennen: Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ (2102, GDV), s.a. Rz. 308. 494 EuGH v. 6.10.2015 – C-362/14 – Schrems. Zur Wirkung s. z.B. Borges, NJW 2015, 3617; Spindler, DB 2016, 937 (945) im Kontext DS-GVO. 495 Nun geht es um die Nachfolgeregelung, Privacy Shield, s. Rz. 417 f., aber auch parallel um den Draft TiSA Core Text, s. Kilian, CRi 2016, 51 (52 f). 496 EuGH v. 6.10.2015 – C-362/14 – Schrems. Allerdings bedürfen die Standardvertragsklauseln insgesamt einer Überprüfung. Moos/Schefzig, CR 2015, 625; unproblematisch auch nach EuGH zu Safe Harbor: Borges NJW 2015, 3617; s.aber zu möglichen Auswirkung auf BCR bzw. model clauses schon vor Urteil Moos http://www.cr-online.de/blog/2015/10/05/eugh-countdown-fuer-safe-harbor-teil33-auswirkungen-eines-potenziellen-urteils/.
Schneider
105
A Rz. 415
Datenschutz und IT-Management
415 Einerseits war klar, dass die USA nicht generell die Anforderungen für ein „angemessenes Schutzniveau“ erfüllen, worunter zu verstehen ist, dass das Drittland „aufgrund seiner innerstaatlichen Rechtsvorschriften oder intern. Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, dass dem in der Union aufgrund der RL 95/46 im Lichte der Charta garantierten Niveau der Sache nach gleichwertig ist“.497 Der EuGH befand, dass die grundsätzliche Möglichkeit zwar besteht, über Zertifizierung, ggf. auch Selbstzertifizierungen für die nötige Höhe des Schutzniveaus zu sorgen. Gleichzeitig verband der EuGH jedoch damit das Erfordernis, dass auch wirksame Überwachungs- und Kontroll-Mechanismen geschaffen werden, die in der Praxis es auch erlauben, die Wahrung der Grundrechte zu prüfen und ggf. deren Nichtwahrung zu ahnden.498 Tatsächlich wurde aber seitens der USA nicht die Möglichkeit geschaffen, eine entsprechende Prüfung vorzunehmen. Vielmehr war es so, dass die Erfordernisse nationaler Sicherheit und andere Interessen der USA konkret Vorrang vor den Grundsätzen des sicheren Hafens gem. der Entscheidung der Kommission hatten. Als einen besonders wichtigen Verletzungstatbestand bzw. eine besonders gravierende Lücke sah der EuGH es an, dass eine Regelung es den Behörden gestattete, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, was „dem Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens …“ verletzt.499 Auch fehlte die entsprechende notwendige Durchsetzungsmöglichkeit für den EU-Bürger.500 416 Als möglichen Ausweg wird gelegentlich die Einwilligung erwähnt. Dies erscheint zwar möglich, aber praktisch unbrauchbar. Die Einwilligungen müssten sämtlich nachgeholt werden, was praktisch nicht geht, heilt auch ggf. nicht das Zwischenstadium. Sodann kann die Einwilligung grds. jederzeit für die Zukunft wieder widerrufen werden, s.a. Rz. 177 ff., 546 ff. 417 Den Ersatz für „Safe Harbor“ soll „Privacy Shield“ flankiert von weiteren Maßnahmen der USA bringen.501 Hierzu wurde in einer Zeit verhandelt, als die DS-GVO in ihrem Wortlaut bereits weitgehend feststand. Insofern wurde parallel dazu von verschiedenen Stellen darauf eingewirkt, dass Privacy Shield entgegen dem, was ursprünglich vorgestellt wurde, „nachgebessert“ wird.502 Die Art. 29-Gruppe machte besonders deutlich, dass sie zwar das Anliegen und auch Ansätze des Privacy Shield-Textes als in die richtige Richtung weisend ansieht, dass dagegen noch erhebliche Nachbesserungen erforderlich sind. Diese werden im Einzelnen von der Art. 29-Gruppe im WP 238 dargestellt. Insb. fordert die Art. 29-Gruppe insoweit, dass kurz nachdem die DS-GVO endgültig verabschiedet ist, auch die Überarbeitung des „Privacy Shield“-Textes in Angriff genommen werden soll.503 Ob dieses Privacy Shield die nötige Qualität und insb. das nötige angemessene Schutzniveau schaffen kann, ist zurzeit noch offen. Die Kommission hat die Angemessenheit des Privacy Shield per 12.7.2016 festgestellt, das Abkommen trat mit sofortiger Wirkung in Kraft.504 Die Kommission fördert 497 498 499 500
501 502 503 504
106
EuGH v. 6.10.2015 – C-362/14 – Schrems, Rz. 73. EuGH v. 6.10.2015 – C-362/14 – Schrems, Rz. 81. EuGH v. 6.10.2015 – C-362/14 – Schrems, Rz. 94. Ein Fortschritt auch für die Möglichkeiten, Ersatz über Privacy Shield zu erlangen, ist der Judicial Redress Act, zur final version s. H.R.1428 – 114th Congress (2015-2016) Latest Action: 02/24/2016 Became Public Law No: 114-126. https://www.congress.gov/bill/114th-congress/house-bill/1428. Dies räumt EU-Bürgern ein Klagerecht in den USA ein, wenn US-Unternehmen gegen Datenschutzrechte verstoßen. EU-Bürger bekommen damit einen ähnlichen, aber nicht denselben Schutz wie US-Bürger: http://www.golem.de/news/judicial-redress-act-unterzeichnet-erstmals-datenschutzbeschwerden-inden-usa-moeglich-1602-119392.html. Zu den Eckpunkten Rz. 639. Kritisch dazu Börding, CR 2016, 431; Weichert, ZD 2016, 209; Stellungnahme Art. 29-Gruppe zum Zwischenstand, WP 238, Opinion 01/2016 v. 13.4.2016. Dazu gehört insb. die Stellungnahme der Art. 29-Gruppe, WP 238, Opinion 01/2016 v. 13.4.2016. Art. 29-Gruppe, WP 238, S. 3, dazu auch Rz. 640, Liste der Kritikpunkte. S. Spies u.a., ZD-Aktuell 2016, 05235; Lejeune, ITRB 2016, 201. S.a. GDD: https://www.gdd.de/ak tuelles/startseite/eu-u-s-privacy-shield-verabschiedet (abgerufen am 9.8.2016), verweist u.a. auf die Stellungnahme der GDD, Whitepaper des GDD-Arbeitskreises „Datenschutz International“ zu Datenexporten in die USA – https://www.gdd.de/aktuelles/startseite/whitepaper-zu-den-datenexpor ten-in-die-usa“.
Schneider
Datenschutz Grundlagen
Rz. 418
A
die Akzeptanz u.a. durch Handreichungen zum Umgang mit der neuen Regelung, etwa mit Guide u.a. zu den Rechten der EU-Bürger.505 Die Registrierung erfolgt seit 1.8.2016, offensichtlich mit zunehmenden Zahlen.506 Erhebliche Zweifel wurden von verschiedenen weiteren Stellen geäußert.507 Andererseits bedarf es angesichts der wirtschaftlichen Bedeutung eine nüchterne Betrachtung der Möglichkeiten zwecks Gewährleistung des internationalen Datenaustausches.508 Umso interessanter ist evtl. das Verlangen, den Aufsichtsbehörden ein Klagerecht gegen Privacy Shield einzuräumen.509 Schon früher stellte sich die Frage, inwieweit, ggf. auch durch Vertragslösungen i.V.m. Be- 418 triebsvereinbarungen, das Datenschutzniveau legitim abgesenkt werden darf,510 was wohl zu verneinen ist.511 Insofern sind die nun erzielten Ergebnisse zu Privacy Shield vor dem Hintergrund jährlicher Überprüfung bzw. Konsultation zu sehen. Evtl. übt dieser relativ kurze jeweils gesicherte Geltungszeitraum einen heilsamen Druck auf die Qualität der (Selbst-) Zertifizierung aus, und führen die Konsultationen zu Annäherungen EU/US gerade bei den Standards und den Verhaltensregeln (Art. 40 f. DS-GVO, s.a. Rz. 641 ff.). Da auch die Standardvertragsklauseln das Problem des ggf. zu geringen Schutzniveaus in USA nicht lösen, unterliegen sie der Gefahr, gleichermaßen wie Safe Harbor ungültig zu sein. Die Relation hoher Zahl der Erwägungsgründe (155) zu wenigen Artikeln (6) wirkt wenig überzeugend, die Annexe verlagern die Anwendung und Auslegung in wenig transparente Unterlagen.512 In Annex II (EU-US Privacy Shield Framework Principles issued by the U.S. Department of Commerce) sehen die Privacy Principles als wesentliche Prinzipien vor: – „Hinweis, dass sich das Unternehmen dem Privacy Shield angeschlossen hat, und Hinweis auf die Privacy Shield Liste des Department of Commerce, – welche personenbezogenen Daten erhoben oder verarbeitet werden, – die Verpflichtung alle personenbezogenen Daten nach den Principles zu behandeln, sofern diese im Vertrauen auf die Teilnahme an dem Abkommen verfügbar gemacht wurden – Angabe des Zwecks, für den die Daten erhoben oder verarbeitet werden – auf welche Weise das Unternehmen insbesondere für den Fall von Beschwerden kontaktiert werden kann – die Identität Dritter, denen die Daten ggfs. zur Verfügung gestellt werden und der Zweck, zu dem dies erfolgen soll – das Recht des EU Bürgers zum Zugang zu den von ihm übermittelten Daten
505 GUIDE TO THE EU-U.S. PRIVACY SHIELD, 2016 http://ec.europa.eu/justice/data-protection/docu ment/citizens-guide_en.pdf. 506 http://www.noerr.com/en/press-publications/News/eu-us-privacy-shield-the-%E2%80%9Cprivacyshield-list%E2%80%9D-begins-to-grow.aspx (besucht am 24.8.2016). 507 Zur Lit. s. etwa Weichert, ZD 2016, 209, der nach ausführlicher Darstellung feststellt, dass das Privacy Shield nicht grundrechtskonform ist und insofern eine unzulässige Privilegierung des transatlantischen Datenhandels darstellt. 508 S. Lejeune, CR-Online-Blog, Eintrag v. 14.4.2016 u. Lejeune, ITRB 2015, 257. Zum 1.8.2016 „the Department of Commerce began accepting Privacy Shield self-certification applications“: http:// www.adlawaccess.com/2016/08/articles/this-week-in-privacy-shield-developments/#page=1 (besucht am 8.8.2016). 509 https://www.delegedata.de/2016/05/bundesrat-gesetzesvorschlag-fuer-ein-neues-klagerecht-der-daten schutzbehoerden-gegen-privacy-shield/ (v. 11.5.2016 by Carlo Piltz). S.a. Rz. 483 f. 510 Zu „Safe Harbor“ s. wohl ablehnend Eul/Godefroid, RDV 1998, 185, 187, 188, zugleich mit Muster einer Vereinbarung für Auftragsverarbeitung; zu den Grundsätzen des „sicheren Hafens“, vorgelegt vom Handelsministerium der USA und der Entscheidung der Kommission hierzu mit „FAQ“, z.B. abrufbar unter „datenschutz-berlin.de“, s.a. Klug, RDV 2000, 212 m. Resolution des Europäischen Parlaments und w.N. Nielen/Thum, Auftragsdatenverarbeitung durch Unternehmen im Nicht-EU-Ausland, K&R 2006, 171; Räther/Seitz, MMR 2002, 425. 511 Fitting, Betriebsverfassungsgesetz, 28. Aufl., § 83 Rz. 30; Trittin/Fischer, NZA 2009, 343. 512 S. etwa Auflistung bei Lejeune, ITRB 2016, 201.
Schneider
107
A Rz. 419
Datenschutz und IT-Management
– die Mittel und Wahlmöglichkeiten um ggfs. die Nutzung der personenbezogenen Daten zu begrenzen – das unabhängige Verfahren zur Beilegung etwaiger Streitigkeiten, das zur Behandlung von Beschwerden vorgesehen ist – die Möglichkeit unter bestimmten Umständen das bindende Schiedsverfahren nach Annex I in Anspruch zu nehmen – das Erfordernis, personenbezogene Daten auf rechtmäßiges Ersuchen von Behörden diesen zu übermitteln – die Haftung des Unternehmens für den Fall einer Weitergabe der personenbezogenen Daten an Dritte.“513
419 Dass die Verbringung von Daten aus Deutschland bzw. der EU in die USA über Internet bzw. Teledienste praktisch nicht überwachbar ist, darf als gesichert angenommen werden. Insofern stellt sich sowohl für die besonders schutzbedürftigen Arbeitnehmerdaten als auch für die vielleicht weniger schutzbedürftigen Consumer-Daten im Moment faktisch kaum ein Hindernis auf, diese Daten in den USA oder weltweit weiter zu verarbeiten und ggf. auch wieder im Wege des Recycling zwecks Direktmarketing in Deutschland zu verwenden, obwohl – nach wie vor – deutsche Normen, insb. das BDSG, zur Anwendung kommen: Hatte sich etwa die Mutterfirma auf die Einhaltung der Grundsätze des „sicheren Hafens“ verpflichtet, beurteilte sich die Übermittlung dorthin nach deutschen Vorschriften.514 Das ist auch weiterhin zu beachten: Erste Voraussetzung für Datenübermittlung ist, dass insoweit die Zulässigkeit besteht, die zweite, dass die Übermittlung in das unsichere Drittland erfolgen darf, nunmehr für USA, wenn insoweit seitens des Empfängers der Beitritt zu Privacy Shield erfolgte und Bestand hat. 6. Besonderheiten 6.1 Arbeitnehmerdatenschutz, Kundendatenschutz 420 Der Kundendatenschutz wird weitgehend in TMG und TKG geregelt, s. Rz. 956 ff. Der Arbeitnehmerdatenschutz ist i.V.m. Rspr. des BAG und Betriebsvereinbarungen515 zu einer eigenen Materie geworden, die über § 32 BDSG weit hinausgeht. Auch dieser Bereich wird gesondert behandelt (Rz. 861 ff.), auch unter Berücksichtigung spezieller Techniken, etwa Videoüberwachung.516 Die Arbeitswelt und deren technische Ausgestaltung wie auch die organisatorischen Rahmenbedingungen ändern sich durch internetbasierte Dienste radikal, was auch zu neuen Formen bei Telearbeit (die es schon länger gibt) führt,517 insofern auch wieder zur Frage der Verantwortlichkeit i.S.d. Datenschutzes. Auch die Produktion im weitesten Sinne wird verstärkt durch die neuen Techniken erfasst, was zu großen Umgestaltungen in den Abläufen der Prozesse führt, entsprechend neue Kontrollen erfordert und Überwachungen generiert, diskutiert etwa unter Industrie 4.0.518 6.2 Werbung, verhaltensbedingte Werbung, Nutzer-Tracking 421 Vom Ansatz her hätte Werbung relativ wenig mit Datenschutz zu tun, sodass im gewissen Sinne auch die belästigende Werbung durch unverlangte Zusendung nicht im BDSG, sondern im UWG geregelt wurde. Dies betrifft auch die durchaus i.R.d. Datenschutzes häufige 513 Lejeune, ITRB 2016, 201. 514 S.a. FAQ 9; zum Transfer von (Mitarbeiter-)Daten in Drittländer, auch die USA, s. v.a. Simitis, CR 2000, 472; Klug, RDV 2000, 212; Gola/Schomerus, BDSG, 12. Aufl., § 4b Rz. 14. 515 S. etwa Kort, ZD 2016, 3 zu Betriebsrat und Arbeitnehmerdatenschutz. 516 S. Klein/Roos, ZD 2016, 65 zu evtl. kostspieligen Folgen für den Arbeitgeber, und dazu Rz. 861. 517 S. etwa Schwiering/Zurel, ZD 2016, 17 (20) zum „Homeoffice“. 518 S. etwa zum Arbeitnehmerdatenschutz bei Industrie 4.0 Hofmann, ZD 2016, 12 mit dem Schlagwort „Smart Factory“.
108
Schneider
Datenschutz Grundlagen
Rz. 424
A
behandelte Gefahr unzulässiger Beeinflussung, die etwa in § 4a Abs. 1 Satz 3 UWG definiert wird. Die unzumutbare Belästigung durch unverlangte Werbung wiederum ist in § 7 UWG geregelt.519 Davon nicht erfasst ist wohl ein Großteil dessen, was an elektronischen Möglichkeiten besteht, die Werbung auf den Benutzer zuzuschneiden. Das BDSG selbst gibt insofern dafür eine Erleichterung, als die listenmäßige Übermittlung nach § 28 BDSG privilegiert wird, s.a. Rz. 1046. D.h., dass die Gewinnung von Daten gerade erleichtert ist, wenn es um Werbung auf der Basis von einem relativ geringen Datenschutz geht. Andererseits ist im Bereich des sog. Nutzer-Tracking manches unklar, weil die Rechtslandschaft insofern auch relativ zersplittert ist. Teile daraus werden vom TMG umfasst, andere deshalb nicht, weil insofern kein Personenbezug vorliegt, wenn zwar bestimmte Benutzer-Reaktionen bzw. Aktionen ausgewertet werden können, ohne dass aber der Benutzer identifiziert wird. Eng mit dieser Fragestellung, ob also z.B. Datenschutzrecht bzw. das TMG einschlägig ist, ist die Frage, ob insoweit personenbezogene Daten vorliegen, letztlich bei Cookies und bei TMG. Inzwischen wird dies eher zu bejahen sein. Zur Pseudonymität s. Rz. 652. Eine Aufklärungspflicht könnte theoretisch i.R.d. E-Commerce bzw. des Fernabsatzes bestehen. Dies ist aber wohl dann nicht der Fall, wenn das Benutzer-Tracking nicht in die Funktionsweise des digitalen Inhalts eingebaut ist. Soweit allerdings schlicht Nutzerdaten entstehen, das TMG insofern einschlägig ist, ist wieder nach der Datenschutz-rechtlichen Zulässigkeit zu fragen, insb. i.R.d. TMG die Frage der Erforderlichkeit und weiteren Handhabung.
422
Eine Gewinnung von relativ zielgenauen Daten entsteht auch durch die technischen 423 Schutzmaßnahmen und deren Nutzung und insb. i.V.m. Software, Spielen, Zugangs-Mechanismen u.Ä., also durch Digital Rights Management.520 6.3 Cookies, ePrivacy-RL, WP 240 Mit Cookies verbindet sich eine juristisch unklare Situation insofern, als unklar ist, ob diese 424 nun entsprechend den EU-Vorgaben überhaupt in Deutschland geregelt sind. Die sog. Cookie-Richtlinie (RL 2009/136/EG v. 25.11.2009, umzusetzen bis 25.5.2011) stellte Regeln zur Verwendung von Cookies auf. Man nahm an, dass diese Methodik der Registrierung des Nutzerverhaltens bei Online-Diensten eher tendenziell abnehmend wäre. Andererseits hat die Art. 29-Gruppe eine Art empirischer Überprüfung veranlasst, deren Ergebnis wohl so zu verstehen ist, dass die Verbreitung ganz außerordentlich ist.521 Für Deutschland ist unklar, ob eine Umsetzung der Richtlinie überhaupt stattgefunden hat bzw. ob sie noch notwendig ist. Zwischenzeitlich entstand der Eindruck, es sei bereits die Umsetzung eigentlich erfolgt und infolgedessen nicht mehr notwendig. Dem hatten die deutschen Datenschutzbehörden in gewissem Sinne widersprochen, indem sie zur Umsetzung aufforderten.522 Die Besonderheit bei Cookies ist nicht, dass diese für sich gesehen einen Informationswert hätten. Auch kann die Auswertung des Benutzerverhaltens anonym erfolgen. Das Interessante ist die exakte personenbezogene Werbung, sodass der Einzelne den Eindruck hat, unmittelbar aufgrund seines konkreten Interessenprofils angesprochen zu sein, was aus der Rückbeziehung auf seine eigenen Recherche-Tätigkeiten resultiert. Tatsächlich stellt sich insofern auch die Frage, ob Cookies personenbezogene Daten sind und vom Datenschutz unmittelbar erfasst werden. In diesem Sinne stellt sich die gleiche Problematik wie bei der IP-Adresse, wobei in 519 Zur Neuregelung der aggressiven geschäftlichen Handlungen in § 4a UWG s. z.B. Scherer, GRUR 2016, 233. 520 Zu den Informationspflichten nach EGBGB Art. 246 a) s. Schirmbacher, in: Spindler/Schuster, Rz. 94 ff. 521 Veröffentlicht von der Art. 29-Gruppe, WP 229, http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2015/wp229_en.pdf, (besucht am 23.5.2016); dazu s.a. Rauer/Ettig, ZD 2015, 255 m. Nachw. in Fn. 2. 522 „Umlaufentschließung“ v. 5.2.2015; s. zum Streit auch Rauer/Ettig, ZD 2015, 255 (256).
Schneider
109
A Rz. 425
Datenschutz und IT-Management
Kombination moderner Techniken (v.a. Big Data) wohl davon auszugehen ist, dass die Personenbeziehbarkeit immer besteht. S. Rz. 111. 425 Streit gab es auch zur Frage, ob die Einwilligung in die Cookie-Verwendung auch im Optout-Verfahren zulässig ist.523 Dabei ist eigentlich unklar, ob und ggf. wie Deutschland umgesetzt hat.524 6.4 Video 426 Die Umsetzung der DS-RL durch das BDSG 2001 hat zwar einerseits die Maßgaben der Richtlinie nicht ausgeschöpft, andererseits aber eine Reihe in der Richtlinie nicht vorgesehener Neuerungen zusätzlich eingeführt. Dazu gehören – Zulässigkeit der (Video-)Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen nur im Rahmen näher definierter Erforderlichkeitsvoraussetzungen einschließlich der Regelung der weiteren Verarbeitung und Nutzung sowie der Benachrichtigung bei Individualisierung und der Löschung (§ 6b BDSG);525 weit überwiegend wird die Unzulässigkeit bzw. die fehlende Verwertbarkeit der Aufnahmen mit Dashcams angenommen.526 – mobile personenbezogene Speicher- und Verarbeitungsmedien, deren Betreiber den Betroffenen über Funktionsweise, Zuordnung, Rechte und evtl. Maßnahmen bei Verlust oder Zerstörung zu unterrichten hat, wobei die Ausübung der Rechte kostenlos zu ermöglichen ist; Datenverarbeitungsvorgänge auf dem Medium müssen für den Betroffenen eindeutig erkennbar sein (§ 6c BDSG 2001). 6.5 Ausspähen 427 Nur kurz sei auf die Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) hingewiesen, die speziell gegenüber dem Ausspähen (durch „Trojaner“), primär von staatlicher Seite, erwächst und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme umfasst.527 Rz. 177 begründet dessen Berechtigung mit der zunehmenden Verbreitung vernetzter informationstechnischer Systeme, die „für den Einzelnen neben neuen Möglichkeiten der Persönlichkeitsentfaltung auch neue Persönlichkeitsgefährdungen“ erzeugt. Was dann zu den Gefährdungen anhand schon des PC in Rz. 178 der E. ausgeführt wird, lässt auf weitere Gefährdungen „hochrechnen“, jedenfalls aber festhalten, dass auch der eigene PC zum privaten Lebensbereich gehört. „Dabei handelt es sich nicht nur um Daten, die der Nutzer des Rechners bewusst anlegt oder speichert. I.R.d. Datenverarbeitungsprozesses erzeugen informationstechnische Systeme zudem selbsttätig zahlreiche weitere Daten, die ebenso wie die vom Nutzer gespeicherten Daten im Hinblick auf sein Verhalten und seine Eigenschaften ausgewertet werden können. In der Folge können sich im Arbeitsspeicher und auf den Speichermedien solcher Systeme eine Vielzahl von Daten mit Bezug zu den persönlichen Verhältnissen, den sozialen Kontakten und den ausgeübten Tätigkeiten des Nutzers finden. Werden diese Daten von Dritten erhoben 523 Bejaht ausführlich begründet OLG Frankfurt v. 17.12.2015 – 6 U 30/15, CR 2016, 256. 524 Ettig/Rauer, ZD 2015, 255. 525 Zur Videoüberwachung BVerfG v. 23.2.2007 – 1 BvR 2368/06, NJW 2007, 2320: § 16 BayDSG genügt nicht als Grundlage einer Videobeobachtung eines öffentlich zugänglichen Kunstwerks. S.a. VG Osnabrück v. 1.6.2005 – 6 A 17/04. Fundstelle: BfDI.de. Zu Lehrermobbing durch Videos im Internet (str.) Beck, MMR 2008, 77. 526 S.z.B. LG Memmingen v. 14.1.2016 – 22 O 1983/13; s. aber auch AG München v. 30.11.2015 – 335 C 13895/15, DAR 2016, 275: Dash Cam-Aufnahme im Zivilprozess als Beweis verwertbar; ebenso OLG Stuttgart: Beschl. v. 4.5.2016 – 4 Ss 543/15 (AG Reutlingen: Urt. v. 27.5.2015 – 7 OWi 28 Js 7406/15) Aufnahmen können zur Verfolgung schwerwiegender Verkehrsordnungswidrigkeiten grds. verwertet werden. 527 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306.
110
Schneider
Datenschutz Grundlagen
Rz. 430
A
und ausgewertet, so kann dies weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen (vgl. zu den aus solchen Folgerungen entstehenden Persönlichkeitsgefährdungen BVerfGE 65, 1 [42] = NJW 1984, 419).“ Inzwischen gilt diese Möglichkeit des Aufschließens der Persönlichkeit über die Daten(spuren) v.a. für Mobile Devices. Unabhängig von der Frage, ob gegenüber Privaten wie Apple oder Google dieses Grundrecht greift, markiert es doch eine klare Grenze, bis zu der Privatheit besteht. 6.6 Wandel des Schutzbedarfs und des Schutzmodells Dem BDSG eigen ist der Antagonismus DV-Stelle/Betroffener. Dass der Bürger bzw. der ima- 428 ginierte Betroffene selbst DV-Stelle ist, wenn er sich mittels PC, TK bzw. Mobile device und Providerleistungen im Internet darstellt und äußert, ist im BDSG nicht berücksichtigt. Als punktuelle Ausnahme ist anzusehen, dass speziell Erhebung und Verarbeitung sowie Nutzung der Daten für ausschließlich persönliche oder familiäre Zwecke von der Anwendung des Gesetzes ausgenommen werden (§ 27 Abs. 1 Satz 2 BDSG, entspricht Art. 3 Abs. 2 DSRL).528 Dass der Einzelne am wirtschaftlichen, beruflichen, sozialen Leben überwiegend unter Verbreitung von Daten, auch seiner „eigenen“, teilnimmt, wird nicht berücksichtigt. Dass theoretisch die auch private Nutzung der geschäftlich initiierten Daten auf dem Vielzweck-Endgerät (und sei es nur ein Blackberry) den Zulässigkeitsvoraussetzungen unterliegt, weil es an der Ausschließlichkeit privater Nutzung fehlt, wird praktisch nicht beachtet. Die Phänomene bei Telematik (intelligentes Haus), Datenspuren,529 Allgegenwärtigkeit530 429 bzw. Ubiquitous Computing,531 Vollerfassung, RFID532 sind im BDSG und der DS-RL nur in kleinen Ansätzen berücksichtigt. Erst recht gilt dies für die von vielen intendierte Selbstentäußerung über diese Einrichtungen und Phänomene. Eher sollen die öffentlich leicht zugänglichen Daten geheim sein, aber die intimen werden offenbart, wenn auch nur sektoral. Soweit man die Schutzintensität bzw. den Schutzbedarf anhand der Sphären, wie sie im Per- 430 sönlichkeitsrecht Anwendung finden, praktisch bzw. empirisch aufzufinden versucht, stößt man im Bereich von Fernsehen und Internet (man wird „gegoogelt“, aber man stellt sich dafür aus) praktisch auf das Gegenteil, also die größtmögliche öffentliche Entblößung. Dass im TV die insoweit sicher Trend bildende Sendung „big brother“ hieß, symbolisiert bereits diese Umkehrung: was an prekärer Sichtbarkeit gegenüber dem Überwachungsapparat in „1984“ als Schreckgespenst einer totalitären Herrschaft geschildert wurde, wird zum begehrten Auftritt in einem Öffentlichkeits-Spektakel.533
528 S.a. Rz. 530 zur Ausnahme von der Anwendung des BDSG. 529 S. schon Köhntopp/Köhntopp, CR 2000, 248; zur Zukunft personalisierter Werbung im Internet, die auf Datenspuren basiert, s. Zeidler/Brüggemann, CR 2014, 248. 530 Versuch einer Transponierung von Ubiquitous Computing; dazu Ernst, Rechtliche Probleme mobiler Ad-hoc-Netze – Pervasive Computing und die Selbstbestimmung des Kunden, in: Taeger/Wiebe (Hrsg.), Mobilität, Telematik, Recht, 127, 130 Fn. 4 mit Hinweis auf Weiser, Scientific American 265 (1991), 94 ff. und Roßnagel/Müller, CR 2004, 625. 531 Dazu z.B. Roßnagel/Müller, CR 2004, 625; Mattern, in: Taeger/Wiebe (Hrsg.), Mobilität, Telematik, Recht, 1; TAUCIS, Technikfolgenabschätzung, Ubiquitäres Computing und informationelle Selbstbestimmung, Studie im Auftrag des Bundesministeriums für Bildung und Forschung vom unabhängigen Zentrum für Datenschutz Schl.-Holst. und Institut für Wirtschaftsinformatik der Humboldt-Universität zu Berlin, Stand 7/2006; UNESCO United Nations Educational, Scientific and Cultural Organization – Ethical Implications of Emerging Technologies. A Survey, von Rundle und Conley, Geneva Net Dialogue, Paris 2007. 532 Westerholt/Döring, Datenschutzrechtliche Aspekte der Radio Frequency Identification, CR 2004, 710. 533 Häufig nachgeahmte Sendung, wobei die Grenzen immer weiter und die Schamschwellen immer niedriger wurden. S.a. Dörr/Cole, K&R 2000, 369. Ein Tool zur PC- und Netzwerküberwachung nennt sich „Orvell“-Monitoring – eine weitere Facette bei der Umkehrung der Sichtweise.
Schneider
111
A Rz. 431
Datenschutz und IT-Management
431 Im Internet sind u.a. Blogs mit persönlichen Beziehungskrisen, Krankengeschichten, Urlaubserfahrungen etc. wie auch politische und religiöse Darstellungen der eigenen Anschauungen zu finden, mithin Darstellungen der Intimsphäre534 unter Verwendung „besonderer Arten von Daten“.535 Hier geht es also nicht etwa um Datenspuren, die man bei Nutzung des Internet mehr oder weniger unbewusst hinterlässt, sondern um ganz bewusste SelbstEntäußerungen an die Allgemeinheit. Die klassische Einstufung im Schutzmodell, die Intimsphäre, kehrt sich nach außen. Dass damit der Schutz der Zurückgezogenheit entfällt, ist unvermeidbar. Das kann aber nicht heißen, dass der Einzelne insoweit bzw. i.Ü. schutzlos wäre. Seine Selbststeuerung hat allerdings eine andere Gewichtung vorgenommen. 432 Der Ausgangskonflikt, den das BDSG lösen wollte, sah die öffentlichen und privaten Stellen mit ihrer zentralen DV dem Einzelnen gegenüberstehen. Die Funktion der DV ist mittlerweile weiterhin zentral für die Stellen, die Organisation der DV aber dezentral, vernetzt und integriert mit anderen Techniken. Inzwischen ist aber der Einzelne selbst wesentlich an der DV und den damit bewerkstelligten Tele-Diensten beteiligt, und zwar nicht nur am Arbeitsplatz, sondern auch als Nutzer/Kunde und Betreiber seiner häuslichen PC/Laptop/Tablet usw. Die Konvergenz mit Telekommunikation und deren Diensten ist bereits weit fortgeschritten. 433 Einige Stellen bieten ihren Kunden die Online-Möglichkeit, jederzeit das über den Kunden vorhandene Datenmaterial einzusehen. Beim Einzelnen mischen sich dienstliche und private Daten im Laptop, v.a. im Zshg. mit E-Mails. In gewissem Sinne hat sich also der Gegensatz DV-Stelle/Einzelner aufgelöst. Andererseits haben sich die Möglichkeiten des Einzelnen, Datenspuren zu hinterlassen, vervielfacht, während sich dessen Chancen, jeweils bewusst über die Hingabe der Daten zu entscheiden, drastisch verringert haben.536 Die Durchdringung sämtlicher Lebensbereiche (z.B. mit „smart housing“) steht kurz vor dem „Vollbild“ der Totalerfassung.537 434 Allmählich entsteht ein Problem bzw. wird ein solches immer konkreter, indem durch den Übergang von Print- zu Online-Archiven der natürliche Schutz durch „Vergessen“ bzw. Masse bei fehlender Erschließung entfällt. Umso wichtiger werden Löschungspflichten. Die datenschutzrechtlichen greifen insoweit nicht, als es sich um Presse-Artikel handelt. Die presserechtliche Löschungsfrist hängt von der „Breitenwirkung“ ab, die der archivierte Artikel erzielte.538
534 S.a. LG Berlin v. 25.10.2007 – 27 O 602/07, CR 2008, 402 (Ls.) mit entsprechendem Verlust der Privatsphäre bzw. deren Schutzes. 535 S. zum Spektrum Rz. 194. 536 Zu den Datenspuren und der Identifizierbarkeit s. z.B. Köhntopp/Köhntopp, CR 2000, 248; Hartmann, CI 2000, 113; zum Einsatz von GPS bei der Beweisgewinnung s. BVerfG v. 24.1.2001, ITRB 2001, 257; zu DNA-Identifizierung s. BVerfG v. 15.3.2001, NJW 2001, 2320 i.V.m. BVerfG v. 20.12.2000, NJW 2001, 882 und v. 14.12.2000, NJW 2001, 879; zur Datenspeicherung durch die Polizei s. VGH Mannheim v. 20.2.2001, NJW 2002, 161, s. aber zu Rasterfahndung BVerfG v. 4.4.2006 – 1 BvR 518/02, CR 2006, 534 (nur bei Gefahr für hochrangige Rechtsgüter), zur automatisierten KfzKennzeichenerfassung zwecks Abgleichs mit dem Fahndungsbestand: BVerfG v. 11.3.2008 – 1 BvR 2074/05 und 1254/07 (dazu Roßnagel, NJW 2008, 2547), und zur Vorratsdatenspeicherung BVerfG v. 11.3.2008 – 1 BvR 256/08. Zur „Nutzung personenbezogener Daten für Werbezwecke zwischen Einwilligung und Vertragserfüllung“ s. Schafft/Ruoff, CR 2006, 499. 537 Ernst, in: Taeger/Wiebe (Hrsg.), Mobilität, Telematik, Recht, 127. 538 S. OLG Frankfurt v. 22.5.2007 – 11 U 72/06, MMR 2008, 182 Löschungspflichten aus Onlinearchiven je nach Breitenwirkung (Unterlassungsanspruch eines schon seit mehreren Jahren wegen einer Straftat rechtskräftig Verurteilten gegen einen ihn identifizierenden Artikel); OLG Hamburg v. 7.7.2015 – 7 U 29/12, CR 2016, 86 zum „Recht auf Vergessenwerden“ nach EuGH – Google auch gegen Internetarchiv-Betreiber, s.a. Rz. 365 ff.
112
Schneider
Datenschutz Grundlagen
Rz. 438
A
6.7 Unternehmenskauf und -verkauf, Forderungskauf u.Ä. Die oben angedeutete fragliche Eigentumslage an personenbezogenen Daten spiegelt sich neuerdings verstärkt beim Unternehmenskauf bzw. –verkauf wieder. Viele Unternehmen betrachten die bei ihnen angefallenen Daten als ihr „Asset“ unabhängig von der Frage, ob ein besonderer Immaterialgüterschutz, etwa als Datenbank, dafür besteht. Das heißt, dass der Wert der Firma, wenn denn deren Anteile verkauft würden, u.a. auch danach beurteilt wird, dass sie diesen Vermögenswert „Daten“ besitzt. Evtl. wird aber statt dem Firmenanteil dieses Asset selbst, also der Datenbestand, verkauft. Ins Bewusstsein der datenschutzrechtlichen Diskussion sind diese Verkäufe durch Bekanntmachungen seitens der Bayer. Aufsichtsbehörde gelangt. Das Bayerische Landesamt für Datenschutzaufsicht hat dem Verkäufer und dem Käufer eines Unternehmens wegen eines Verstoßes gegen das Datenschutzrecht ein nennenswertes Bußgeld auferlegt.
435
Hintergrund war, dass der „Umgang mit den Kundendaten … nicht datenschutzkonform er- 436 folgte“.539 Konkret ging es in einem Fall um die datenschutzrechtlich unzulässige Übertragung von E-Mail-Adressen von Kunden eines Onlineshops im Zuge eines Asset-Deals, wobei Geldbußen in fünfstelliger Höhe festgesetzt worden waren. Dabei ist noch zu beachten, dass naturgemäß die E-Mail-Daten selbst dann, wenn es sich um die E-Mail-Kunden von juristischen Personen handeln sollte, die Namen der einzelnen Mitarbeiter mit enthalten und insofern dann personenbezogene Daten sein werden. Anders als die Übermittlung von Namen und Anschriften von Kunden i.S. postalischer Daten, die als sogenannte Listendaten privilegiert sind (§ 29 Abs. 3 Satz 2 BDSG) sind solche Mitarbeiterdaten bzw. Kundendaten keine solchen listenmäßig übermittelbaren Angaben und infolgedessen wäre es erforderlich, entweder die Einwilligung des Betroffenen einzuholen oder den Betroffenen auf sein Widerspruchsrecht vor Übermittlung hingewiesen zu haben – immer vorausgesetzt, dass der Betroffene nicht widerspricht. Entsprechende Probleme gibt es auch im Zshg. mit der Verwertung durch einen Insolvenzverwalter. Es wäre also keineswegs angebracht, dass Insolvenzverwalter ihrerseits die Datenbestände datenschutzwidrig weiterveräußern bzw. verwerten. Das Landesamt weist zudem noch darauf hin, dass gegenüber der Verwertung der E-Mail-Ad- 437 ressen und Telefonnummern ganz unabhängig davon, ob der Bestand legal erworben worden war, die Verwendung zu Werbezwecken sich zusätzlich noch nach UWG beurteilt. Nach § 7 Abs. 2 Nr. 2 u. 3 UWG darf der Erwerber diese Daten nicht etwa verwenden, wenn ihm keine ausdrückliche Werbeeinwilligung des Betroffenen vorliegt.540 6.8 Outsourcing 6.8.1 Call-Center, Letter Shops u.Ä. Call-Center können bei genügend klarer und genauer Beauftragung Auftragnehmer i.S.d. § 11 438 BDSG sein, sodass also die Vertragspartner dieses Privileg genießen. Ob allerdings in der Praxis die Weisungsgebundenheit und die erforderliche Abschottung der diversen Auftragsverhältnisse und der damit zusammenhängenden Datenbestände jeweils sichergestellt ist, ist im Einzelfall zu prüfen.541 V.a. bei Aufzeichnungen auf zentralen Einrichtungen dürfte kaum die Separierung gegeben sein.542 Aber auch das Erfordernis, dass der Auftragnehmer die Daten nur mechanisch erhebt und/oder verwendet, macht bei Call Centern Schwierigkeiten.543 539 S. Pressemitteilung des Landesamts für Datenschutzaufsicht Bay. v. 30.7.2015, „Kundendaten beim Unternehmensverkauf – ein Datenschutzproblem“ https://www.lda.bayern.de/media/pm2015_10.pdf (abgerufen am 24.5.2016); Conrad, ZD 2016, 1. 540 Zur Werbeansprache s.a. Rz. 1030 ff. 541 S.a. Kramer/Herrmann, CR 2003, 938 (939). 542 Zu Mithören und Aufzeichnung von Call-Center-Telefonaten s. Gola, RDV 2005, 105. 543 Zu diesem Erfordernis unter Ableitung aus der Zweckbestimmung des § 11 BDSG, „Gefahrengedanke“ als wichtigem Aspekt neben „Überwachbarkeit“, Kramer/Herrmann, CR 2003, 938 (939).
Schneider
113
A Rz. 439
Datenschutz und IT-Management
439 Eine Form des „Adresshandels“ ist auch die (zeitweise) Überlassung von Daten über Betroffene an Lettershops.544 Statt die personenbezogenen Daten an den Werbenden zu übermitteln, werden diese an den sog. Lettershop übermittelt, der als Auftragsdatenverarbeiter die Werbemaßnahme ausführt. Der Auftraggeber weist den Auftragsdatenverarbeiter anhand des bestimmten Satzes von Adressen die Versendung vorzunehmen. Evtl. sind die genutzten Adressdaten dem Werbenden in Detail nicht bekannt, er hat nur eine Auswahl nach bestimmten Kriterien aus einem fremden Bestand vorgenommen, etwa nach PLZ, Alter und Beruf, und „erhält erst dann Daten der Adressaten, wenn sich diese bei ihm freiwillig aufgrund erfolgreicher Werbung melden“.545 6.8.2 Konstruktion der AuftragsDV 440 Der AuftragsDV entspricht als Modell das frühere Service-RZ.546 Outsourcing geht u.U. weit darüber hinaus, ist unspezifisch insofern, als es nicht auf IT begrenzt ist.547 U.U. sitzt der Auftragnehmer im Nicht-EU-Ausland, evtl. „offshore“.548 441 Der Konstruktion der AuftragsDV, § 11 BDSG, liegt der Gedanke zugrunde, dass datenschutzrechtlich gesehen die technisch-organisatorische Ausführung der Datenverarbeitung einerseits und die Herrschaft hierüber andererseits nicht bei derselben Stelle liegen müssen, sondern auseinander fallen können. Eine Stelle kann Datenverarbeitungsvorgänge auf ein Rechenzentrum auslagern und per Vertrag die Pflichten der auftragnehmenden Stelle regeln. Zu den Anforderungen des § 11 Abs. 2 Satz 2 BDSG gehört es, dass der Auftrag schriftlich zu erteilen ist und die Datenverarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. 442 Der Auftraggeber bleibt verantwortliche Stelle i.S.d. Datenschutzrechts. Der Auftragnehmer ist bei Ansässigkeit innerhalb der EU nicht Dritter: Nach § 3 Abs. 8 Satz 2 BDSG ist Dritter jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind gemäß § 3 Abs. 8 Satz 3 BDSG nicht der Betroffene selbst und nicht Personen und Stellen, die im Inland, in einem anderen Mitgliedsstaat der EU (oder Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum) Daten im Auftrag erheben, verarbeiten oder nutzen. 443 Die Folge ist, dass etwa die Datenübertragungen bei Dialogverfahren zwischen Auftraggeber und Auftragnehmer oder die Versendung der erfassten Daten vom Auftraggeber an den Auftragnehmer und die Rückübertragung der verarbeiteten Daten keine Übermittlung im datenschutzrechtlichen Sinne (§ 3 Abs. 4 Nr. 3 BDSG) sind und deshalb keiner besonderen Zulässigkeit bedürfen. Voraussetzung ist aber, dass es bei der AuftragsDV bleibt. Das entscheidende Kriterium für die AuftragsDV ist, dass – neben der Erfüllung der Vorgaben von § 11 BDSG – die Verfügungsgewalt voll beim Auftraggeber verbleibt, wozu weitere Voraussetzung ist, dass dessen Daten nur für diesen verarbeitet (und genutzt) werden.549 444 Zusammenfassend lassen sich als Kriterien für AuftragsDV – im Gegensatz zur Funktionsübertragung – herausstellen550: – Der Auftraggeber bleibt bzw. ist Herr der Daten, die Entscheidungs- bzw. Weisungsbefugnis verbleibt beim Auftraggeber, dementsprechend auch die Verantwortlichkeit für die Zu-
544 Zum „Kauf“ von Adressen zur Einmalverwendung s. BGH v. 7.5.1986, CR 1986, 632; zu Lettershops Breinlinger, RDV 1997, 250; Gola/Schomerus, BDSG, 12. Aufl., § 28 Rz. 58, § 29 Rz. 36. 545 S. Eckhart, CR 2009, 337 (338). 546 S. zum Vertrag Jochen Schneider, in: Redeker, IT-Verträge, Kap. 7.1. 547 Zu IT-Outsourcing s. Bräutigam (Hrsg.), IT-Outsourcing, Berlin 2004. 548 S. z.B. Jan Schneider, CR 2005, 309 (Buchführung ausgelagert ins Nicht EU-Ausland); Widmer/Nair, CRi 2006, 12 (Outsourcing From Switzerland and the EU to India). 549 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 11 Rz. 9 f. 550 S.a. Kramer/Herrmann, CR 2003, 939 m.w.N.
114
Schneider
Datenschutz Grundlagen
Rz. 449
A
lässigkeit der DV. Der Auftragnehmer hat nur eine Hinweispflicht, wenn er Verstöße zu erkennen glaubt, § 11 Abs. 3 Satz 2 BDSG. – Der Auftragnehmer ist bezüglich der fraglichen Daten nur für den Auftraggeber tätig, der ihn allerdings anweisen kann, Dritte Zugriff nehmen zu lassen. – Entsprechend dem Prinzip, dass der Auftragnehmer die technische Realisierung als ausgelagerte Werkbank übernimmt, steht er auch für sein Sicherheitskonzept ein. Der Auftraggeber muss den Auftragnehmer gerade im Hinblick auf dieses aussuchen (§ 11 Abs. 2 Satz 1 BDSG) und die Einhaltung überwachen (§ 11 Abs. 2 Satz 4 BDSG). 6.8.3 Abgrenzung zur Funktionsübertragung Die Funktionsübertragung ist durch gegensätzliche Ausprägung der genannten Merkmale gekennzeichnet:
445
– Der Auftragnehmer wird Herr der Daten; er kann selbst über deren Verarbeitung bestimmen, da er selbständig die Aufgabe wahrnimmt, innerhalb derer die Daten verarbeitet werden.551 – Es wird ein Aufgabe übertragen und mit dieser die dafür erforderliche DV. – Der Auftragnehmer ist für die Zulässigkeit der DV verantwortlich. Datenverarbeitung im Auftrag ist anhand dieser Merkmale gegenüber der Funktionsübertragung abzugrenzen. Letztere ist keine Datenverarbeitung im Auftrag. Bei ihr wird nicht nur ein Teil eines Systems, das der Informationsfunktion dient, nämlich Teile der automatisierten Datenverarbeitung ausgelagert, sondern es wird zugleich die gesamte Informationsfunktion, der diese Datenverarbeitung dient, übertragen.552
446
Besondere Bedeutung gewinnt diese Abgrenzung im Zshg. mit dem sog. Outsourcing. Out- 447 sourcing hat keine klaren Konturen. Es handelt sich um einen weiten Sammelbegriff, weil sowohl die längst bekannte Struktur des Service-Rechenzentrumsvertrages zugrunde liegen kann, die als AuftragsDV qualifiziert wird, aber auch die Auslagerung einer Aufgabe zusammen mit der Informationsfunktion,553 etwa beim Business Process Outsourcing.554 In letzterem Falle würde keine AuftragsDV mehr vorliegen. Die die Funktion übernehmen- 448 de Stelle verfolgt als Geschäftszweck die Datenverarbeitung für fremde Zwecke. Die Zulässigkeit der Verarbeitung richtet sich dann nach den Regeln für die Zulässigkeit der Verarbeitung einmal bei der abgebenden Stelle und zum anderen dann bei der übernehmenden Stelle nach den §§ 28 ff. BDSG.555 Die AuftragsDV ist im Hinblick auf ihre Beherrschbarkeit und damit die geringe Gefähr- 449 dungserhöhung privilegiert.556 Unklare Vertragsverhältnisse gehen zulasten der Vertragsparteien. Man wird für die Erhaltung des Privilegs zugunsten von Auftragnehmer und Auftraggeber die klare Trennung von Aufgaben, Verantwortungen und Funktionszuordnungen bei der Beherrschung der Verarbeitung durch den Auftraggeber fordern müssen. Die Verantwortung für die eigentliche Aufgabenerfüllung und deren datenschutzrechtliche Zulässigkeit bleibt beim Auftraggeber. Die Datenverarbeitung wird teilweise ausgelagert. Die Daten551 S.a. Gola/Schomerus, BDSG, 12. Aufl., § 11 Rz. 9. 552 S. auch Wächter, CR 1991, 333; Müthlein, RDV 1992, 63; Sutschet, RDV 2004, 97 zum Begriff. 553 S.a. Rz. 312 ff. und M. Hirte, CR 1992, 193; Jobs/Horchler, RDV 1992, 105; Ingenfeld, CR 1993, 288 (I), 368 (II); Innenministerium BW, CR 1994, 316; Schindel, DuD 1995, 518; Bräutigam (Hrsg.), IT-Outsourcing, 2004. 554 S. dazu Söbbing, ITRB 2004, 44; Bräutigam (Hrsg.), IT-Outsourcing, 2004, 3/75 ff. 555 Zur AuftragsDV und Funktionsübertragung im Konzern Rz. 240. 556 Zu Gefahrengedanke und Überwachbarkeit als zentrale Merkmale der Beurteilung s. Kramer/Herrmann, CR 2003, 938 (939 f.).
Schneider
115
A Rz. 450
Datenschutz und IT-Management
sicherung ist Sache des Auftragnehmers. Der Auftraggeber muss bei der Auswahl hierauf besonders achten. Innerhalb des Auftragnehmers muss klar geregelt sein, wofür er zuständig ist und welches Pflichtenprogramm im Detail er gegenüber dem Auftraggeber als (Erfüllungsgehilfe) leistet und wie dies überwacht wird.557 450 Die Unterscheidung mag nicht immer klar und einfach möglich sein. Wenn aber mehrere, rechtlich verschiedene Stellen, etwa im Konzern, ihre Informationsfunktionen auslagern, zusammenlegen (z.B. in einer Datenbank) und durch ein Drittunternehmen wahrnehmen lassen, wird keine eindeutige Zuordnung der Daten mehr zum einzelnen Auftraggeber möglich sein, nicht zuletzt im Hinblick auf deren beabsichtigte Vielfachverwendbarkeit. In diesen Fällen liegt keine AuftragsDV, sondern Datenverarbeitung zweier verschiedener Stellen vor. Die Datenübertragung stellt sich als Datenübermittlung im datenschutzrechtlichen Sinne dar und bedarf der hierfür vorgeschriebenen Zulässigkeitsmerkmale (beim abgebenden Unternehmen, das Datenverarbeitung für eigene Zwecke betreibt, nach § 28 Abs. 1 und evtl. Abs. 2 BDSG, beim übernehmenden Unternehmen, also dem Dienstleister, der die Informationsfunktion übernimmt, nach § 29 BDSG). 451 Eine Abgrenzung in andere Richtung ist die gegenüber der bloßen Überlassung von Rechenzentrums-Kapazitäten. Dies soll nach der Meinung etwa von von Sponeck keine AuftragsDV sein.558 Diese Auffassung wird damit begründet, dass lediglich die Einsatzbereitschaft des Systems vom Rechenzentrum gewährleistet werde, während der Kunde die Daten nutze. Es werde also lediglich Rechnerzeit zur Verfügung gestellt. Unzweifelhaft ist, dass in diesem Rechnersystem, dessen Rechenzeit zur Verfügung gestellt wird, die Daten des Kunden zumindest vorübergehend, bei Datenbanken aber auch über längere Zeit mit fremder Software verarbeitet (auch im technischen Sinne) werden. Die genannten Autoren beziehen sich v.a. darauf, dass die Rechnerkapazität „gemietet“ werde. Um was für einen Vertragstyp es sich jeweils handelt, ist vom Vertragsgegenstand abhängig (s. U Rz. 60 ff.). 452 Der Gesetzgeber hat die Datenverarbeitung im Auftrag nicht an einen bestimmten Vertragstyp geknüpft. Der Begriff der Verarbeitung ist hier zumindest auch technisch gemeint, weil ansonsten der Auftraggeber ja überhaupt nicht in den Genuss seiner Daten käme, nämlich in dem Sinne, dass er die Auswertungen erhält und dann also nutzen könnte. Es handelt sich gerade nicht um die Auslagerung, wie oben beschrieben. Gerade, wenn die EDV-Anlage lediglich gemietet ist, kann der Auftragnehmer dieses Mietverhältnis kündigen. Es wäre dann völlig unklar, was mit den Daten des Mieters geschieht, solange diese, nicht zuletzt weil auch zu Sicherungszwecken, auch noch beim Vermieter liegen.559 Von Sponeck stellt etwa darauf ab, dass der Inhaber der Datenverarbeitungsanlage bei diesem Mietverhältnis „keinen Einfluss auf die Daten“ habe und deshalb alle diesbezüglichen Weisungen ins Leere gehen.560 Eine derartige Datenverarbeitung ist schwer vorstellbar, nicht zuletzt deshalb, weil die beim vermietenden Unternehmen ablaufenden Programme nach bestimmten Kriterien aufzurufen und zu organisieren sind, in Bibliotheken aufgenommen sind, durch JobKontrolle auch in ihrem Ablauf registriert werden usw. Über Monitore ist eine gewisse Kontrolle des ablaufenden Programms u.U. sogar notwendig. Eine völlig isolierte, völlig vom Vermieter losgelöste Datenverarbeitung ist also kaum vorstellbar. 453 Wie erwähnt, gewährt die AuftragsDV ein Privileg gegenüber der Datenübermittlung. Dieses Privileg noch dahingehend zu verstärken, dass man die Datenverarbeitung außer Haus geben könnte, ohne den Anforderungen von § 11 BDSG zu unterliegen, ist weder erforderlich noch sinnvoll. Allein schon das Argument, die Daten würden dem Personal des Rechenzentrums 557 Zu einer starken Verflechtung für den öffentlichen Bereich s. etwa LfD Schl.-Holst., CR 1991, 701. 558 Von Sponeck, CR 1992, 594 ff.; s.a. Gola/Schomerus, BDSG, 12. Aufl., § 11 Rz. 8 zur Miete fremder Anlagen. 559 Dies wäre eine typische Variante bei ASP. 560 Von Sponeck, CR 1992, 594 (596).
116
Schneider
Datenschutz Grundlagen
Rz. 459
A
„nicht bekannt gegeben“, erweist sich schon dann als falsch, wenn etwa Fehler gesucht werden müssten.561 6.8.4 Erhebung und Nutzung Die AuftragsDV beim Auftragnehmer erstreckt sich nicht nur auf die Verarbeitung, sondern 454 nun auch auf Erhebung und Nutzung. Die praktische Bedeutung ist allerdings noch unklar. Als „Herr der Daten“ wäre normalerweise der eigentliche Nutzer der Daten im datenschutzrechtlichen Sinne der Auftraggeber, nicht dagegen der Auftragnehmer. Nutzung der Daten wäre mit der Auslagerung der Informationsfunktion verbunden, nach bisheriger Vorstellung also keine AuftragsDV mehr.562 6.8.5 Zulässigkeit Ob die Datenverarbeitung, die der Auftragnehmer für den Auftraggeber durchführen soll, überhaupt zulässig ist – unabhängig vom Auftragsverhältnis –, lässt sich nur aus den für die auftraggebende Stelle geltenden Regelungen entnehmen. Dies gilt auch für Regelungen außerhalb des Datenschutzrechts.
455
So besagt z.B. § 30 AO, dass Auftragsvergabe nur an öffentliche Stellen ergehen darf. Auch 456 das Bayerische Krankenhausgesetz enthält eine Einschränkung.563 Die Regelung im Bayerischen Krankenhausgesetz etwa besagt, dass medizinische Daten von Krankenhauspatienten nur in einem Krankenhaus, nicht dagegen im Betrieb eines privaten Mikroverfilmers verfilmt werden dürfen.564 Auch für § 11 BDSG gilt die in § 1 Abs. 3 BDSG geregelte Subsidiarität, wonach andere Da- 457 tenschutzvorschriften vorrangig sind. Soweit Tele-, Medien- oder TK-Dienste hierfür in Anspruch genommen werden, gelten die entsprechenden Vorschriften einschließlich Datenschutzverordnungen wie z.B. TKÜV. Eine ausdrückliche Spezialregelung ist z.B. § 80 SGB X für Sozialdaten. Im Gesundheits- und Versicherungswesen kann, wo solche Spezialregeln fehlen oder nicht gelten, wegen der Kollision von § 11 BDSG mit § 203 StGB die Einwilligung der Betroffenen erforderlich werden.565 AuftragsDV kann begrifflich nur vorliegen, wenn es sich beim Auftragnehmer um eine andere Stelle als die beauftragende handelt (§ 3 Abs. 8 i.V.m. § 3 Abs. 7 BDSG). Befindet sich die auftragnehmende Stelle im Nicht-EU-Ausland, so gilt die Privilegierung nicht (§ 3 Abs. 8 BDSG). In diesem Falle beurteilt sich die Weitergabe der Daten an den Auftragnehmer als Übermittlung, gilt also die auftragnehmende Stelle als Dritter.566
458
6.8.6 Zurechnung der Mitarbeiter im Hinblick auf die Bestellung des Beauftragten Unklar ist, ob und inwieweit die Zahl der bei der auftragnehmenden Stelle beschäftigten 459 Personen als Kriterium für die Bestellung eines Datenschutzbeauftragten beim beauftragenden Unternehmen herangezogen werden sollen. Bei der nicht-automatisierten Datenverarbeitung käme es darauf an, ob i.d.R. (mindestens) 20 Personen „beschäftigt“ sind. Dies würde keine Anstellung voraussetzen. Allerdings kommt insoweit kaum AuftragsDV in Be-
561 A.M. von Sponeck, CR 1992, 594 (596). 562 Zu den Kriterien der Funktionsübertragung in Abgrenzung s.a. Wächter, Datenschutz im Unternehmen, S. 475 ff. 563 Bestätigt durch BVerfG v. 25.9.1990, CR 1991, 296. 564 BVerfG v. 25.9.1990 – 1 BvR 1555/87, CR 1991, 296; s. auch BayVerfGH v. 6.4.1989 – Vf. 2-VII-87, NJW 1989, 2939. 565 A.M., nicht erforderlich: Hoenike/Hülsdunk, MMR 2004, 788. 566 Im Einzelnen s. Rz. 226, 229, s. Rz. 405 ff. zur DS-RL.
Schneider
117
A Rz. 460
Datenschutz und IT-Management
tracht. Bei automatisierter DV liegt die Grenze, ab der ein Beauftragter zu bestellen ist, bei 9 Personen. 460 Wahrscheinlich ist es richtig, die Zahlen für die Grenze der Mitarbeiter jeweils gesondert zu ermitteln. Eine Zurechnung etwa der Auftragnehmer-Mitarbeiter zum Auftraggeber müsste ausdrücklich geregelt sein. Ausdrücklich besagt aber § 11 Abs. 4 Nr. 2 BDSG, dass für den Auftragnehmer im nicht-öffentlichen Bereich §§ 4f und 4g BDSG gilt. Diese spricht für separate Bestellung und Berechnung. Relevant wird die Überlegung bei der Frage, ab welcher Größenordnung der DV-Stelle ein hauptamtlicher Beauftragter zu bestellen ist. 461 Etwa wird auf die absolute Anzahl von Terminals abgestellt, die beim Auftraggeber stehen. Dann kommt es auf die Frage der Auslagerung auf ein Auftragsunternehmen nicht an.567 Wenn etwa gefordert wird, dass ab mehr als 500 Datensichtgeräten (Terminals) der Datenschutzbeauftragte ein Vollzeitbeschäftigter sein muss, spielt die Frage, wem die Mitarbeiter des auftragnehmenden Unternehmens zuzurechnen sind, schon keine Rolle mehr. Im Ergebnis könnte es sein, dass der Auftraggeber sogar einen hauptamtlichen Beauftragten zu bestellen hat, der Auftragnehmer keinen, wenn er nicht über 9 Mitarbeiter kommt. 462 Bei Warndiensten lagern die Nutzer die Informationsfunktion hinsichtlich der Registrierung, Beobachtung und Auswertung aus. So ist die SCHUFA nicht Datenverarbeitung im Auftrag. Vielmehr ist die Weitergabe der Kreditdaten der Bankkunden/Interessenten an die SCHUFA Übermittlung, während die SCHUFA nicht mehr Datenverarbeitung für eigene Zwecke, sondern geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung, § 29 BDSG, ausübt. Die Einwilligung der Betroffenen wird gegenüber der Bank abgegeben, erfasst aber die Übermittlung an die SCHUFA und deren Verarbeitung.568 6.8.7 Berufsgeheimnisse bei Outsourcing 463 § 203 StGB ist eine vorrangige Rechtsvorschrift, die die Bekanntgabe, auch an Vertragspartner, ohne Einwilligung unter Strafe stellt, weshalb solche Verträge wegen Verstoßes gegen ein gesetzliches Verbot nichtig sind.569 Ein Problem ist die etwaige Kollision der AuftragsDV mit einem Berufsgeheimnis. Nach § 1 Abs. 3 Satz 2 BDSG bleiben Berufsgeheimnisse unberührt. Die Geheimhaltungsvorschriften können einer AuftragsDV entgegenstehen, insb. § 203 StGB. Das Problem besteht darin, dass es nicht um die datenschutzrechtliche Differenzierung von „Weitergabe“ und „Übermittlung“ geht, sondern um „Offenbarung“. 464 Die Weitergabe personenbezogener Daten vom auftraggebenden an das auftragnehmende Unternehmen stellt zwar keine Übermittlung dar: Nach § 3 Abs. 4 Nr. 3 BDSG ist Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten. Solange AuftragsDV vorliegt, ist das auftragnehmende Unternehmen nicht Dritter. Im Innenverhältnis der Vertragspartner liegt nur Weitergabe vor. 567 Zur Größenordnung s. Bergmann/Möhrle/Herb, § 36 BDSG Rz. 109; Herb, DuD 1994, 310; s.a. Rz. 258 ff. 568 S.a. zur Klausel BGH v. 19.9.1985 – III ZR 213/83, CR 1985, 83 und Anm. Simitis, JZ 1986, 186; zur unzulässigen Meldung an die SCHUFA s. LG Karlsruhe v. 15.8.1997, RDV 198, 116: zur Beurteilung s. Kloepfer/Kutzschbach, MMR 1998, 50 und hiergegen Kamlah, MMR 1999, 395; unwirksame Klausel: OLG Düsseldorf v. 14.12.2006 – I-20 U 69/06, CR 2007, 534: aber auch bei Einwilligung muss der Datenübermittlung eine umfassende Interessenabwägung vorausgehen. S.a. Kamlah/Hoke, RDV 2007, 242 und Rz. 167 f. 569 BGH v. 10.7.1991 – VIII ZR 296/90, CR 1992, 21, ärztliches Honorar abgetreten; v. 11.12.1991 – VIII ZR 4/91, NJW 1992, 37 – Praxisverkauf II; v. 23.6.1993 – VIII ZR 226/92, CR 1994, 164, Abtretung ärztlicher Honorarforderung nach erfolgloser Abmahnung und v. 8.7.1993 – IX ZR 12/93, CR 1994, 206, Abtretung der Honorarforderung des Anwalts an einen Anwalt; ebenso v. 17.5.1995, NJW 1995, 2026 zum Verkauf der Honorarforderungen des RA; zur Ausnahme v. 10.8.1995, NJW 1995, 2915: zulässiger Verkauf, weil Erwerber früher Mitarbeiter war. Nichtigkeit auch bei SteuerberatungspraxisVerkauf: BGH v. 22.5.1996, NJW 1996, 2086; s.a. E Rz. 181 ff.
118
Schneider
Datenschutz Grundlagen
Rz. 470
A
Die Weitergabe der Daten an den Auftragnehmer zum Zwecke der Verarbeitung stellt zu- 465 gleich ein Offenbaren dar. Die mit der Auftragsübernahme und -durchführung zwangsläufig verbundene Offenbarung der personenbezogenen Daten ist aber auch bei Wahrung der Geheimhaltung ansonsten ohne Einwilligung des Betroffenen nicht zulässig.570 Dieses rechtswidrige Bekanntgeben bzw. Offenbaren ist ohne ausdrückliche Einwilligung 466 des Betroffenen oder gesetzliche Grundlage, wie z.B. § 80 Abs. 5 SGB X, strafbar, der zugrundeliegende Vertrag nach § 134 BGB nichtig.571 Somit besteht das Problem, dass bei Berufsgruppen, die einem besonderen Berufsgeheimnis unterliegen, aber auch bei Auslagerungen aus der öffentlichen Verwaltung, wo ein Amtsgeheimnis besteht, die AuftragsDV nach BDSG zulässig sein kann, jedoch über § 203 StGB und evtl. auch speziellere Vorschriften wie bei SGB, rechtswidrig und evtl. sogar strafbar. Es ist deshalb sinnvoll und wohl auch erforderlich, dass Stellen, die sich externer Auftragnehmer zur Erledigung ihrer Datenverarbeitung bedienen, die Einwilligung ihrer Klienten hierfür einholen.572 Dies gilt erst recht für Verträge, die die Auslagerung der gesamten DV- bzw. Informationsfunktion (Funktionsübertragung) zum Gegenstand haben, v.a. ASP und Arten des Cloud Computing wie BPaaS, s. U. 6.8.8 Schriftform Die Auftragsvergabe bedarf für ihre Zulässigkeit der Schriftform (§ 11 Abs. 2 Satz 2 BDSG). Schriftform kann verschiedene Funktionen haben. Bei § 11 BDSG geht es um die Nachweisfunktion,573 aber auch um die Überwachungsfunktion, wie z.B. in § 34 GWB a.F.574 Diese Funktion wird nicht zuletzt im Hinblick auf die Kontrolle durch die Aufsichtsbehörde relevant.575
467
Die Funktionen kombinieren sich, indem die gemäß § 11 Abs. 2 Satz 2 BDSG zu regelnden 468 Mindestinhalte des schriftlich abzufassenden Vertrages nachzuweisen sind, nämlich – Festlegung der Datenerhebung, -verarbeitung oder -nutzung, – technische und organisatorische Maßnahmen, – etwaige Unterauftragsverhältnisse. Daraus folgt für die Vertragsgestaltung, dass der Auftraggeber sich ausbedingen sollte, dass Änderungen bei den 3 genannten Punkten seiner vorherigen schriftlichen Zustimmung bedürfen.
469
Bei der Darstellung der technisch-organisatorischen Maßnahmen wird auf eine Art Pflichten- 470 heft, das als Anlage beigefügt und im Text durch eine entsprechende Formulierung einbezogen wird, hinsichtlich der Details zu verweisen sein. Dieses Pflichtenheft wird der Auftraggeber dem Auftragnehmer abverlangen, bevor er den Auftrag erteilt, um seiner Prüfungspflicht nachzukommen (§ 11 Abs. 2 letzter Satz BDSG) und die Auswahl unter Berücksichtigung der
570 S. die Rechtsprechungskette beginnend BGH v. 10.7.1991 – VIII ZR 296/90, CR 1992, 21 (Abtretung ärztlicher Honorarforderungen) über BGH v. 8.7.1993 – IX ZR 12/93, CR 1994, 206 bis BGH v. 17.5.1995, NJW 1995, 2026 unter Berücksichtigung der Bedeutung des informationellen Selbstbestimmungsrechts; BVerfGE 65, 1; s.a. Rz. 32 ff. 571 BGH v. 10.7.1991 – VIII ZR 296/90, CR 1992, 21; v. 11.12.1991– VIII ZR 4/91, CR 1992, 266; v. 25.3.1993 – IX ZR 192/92, CR 1994, 143; zum Schutz der Sozialdaten nach dem 2. SGB-Änderungsgesetz s. Figge, DB 1994, 1518; Klässer, RDV 1994, 117. 572 Analog BGH v. 10.7.1991 – VIII ZR 296/90, NJW 1991, 2955; s.a. (indirekt) OLG Düsseldorf v. 20.8.1996 – 20 U 139/95, CR 1997, 536 bei externer Archivierung für Krankenhäuser. 573 Gola/Schomerus, BDSG, 12. Aufl., § 11 Rz. 17. 574 Zu den Funktionen der Schriftform s. Heinrichs/Ellenberger, in: Palandt, § 125 BGB Rz. 1 ff.; s.a. Cordes, NJW 1993, 2473. 575 S.a. Müthlein, RDV 1992, 63 (71).
Schneider
119
A Rz. 471
Datenschutz und IT-Management
Eignung der von dem Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig vornehmen zu können (§ 11 Abs. 2 Satz 1 BDSG).576 471 Allerdings wird zwecks Vergleichbarkeit der Auftraggeber eine gewisse Klärung/Systematik vorschreiben. Dazu wird auch der Komplex der Fortschreibung und der Überwachbarkeit durch den eigenen betrieblichen Datenschutzbeauftragten des Auftraggebers gehören. Ein Defizit der Regelung in § 11 i.V.m. § 9 BDSG 1990 bestand darin, dass nur die Auswahl und somit Eignung des Auftragnehmers zum Zeitpunkt der Auftragsvergabe geregelt war, nicht hingegen die weitere Entwicklung. Nach § 11 Abs. 2 Satz 4 BDSG hat sich der Auftraggeber von der Einhaltung der technisch-organisatorischen Maßnahmen zu überzeugen, also auch, dass sie stets auf dem Stand sind, der für die jeweilige Entwicklung der Datenverarbeitung angemessen ist. 472 Die Anforderung, auch den Zweck der Verarbeitung anzugeben, ist in § 11 Abs. 2 Satz 1 BDSG nicht ausdrücklich aufgeführt. Nach § 11 Abs. 3 BDSG darf jedoch der Auftragnehmer die Daten nur i.R.d. Weisungen des Auftraggebers verarbeiten oder nutzen. Daraus folgt implizit, dass der Umfang des Auftrags, im Wesentlichen also dessen Zweck, festzuhalten ist. Die Schriftform muss sich vom Wortlaut her hierauf allerdings nicht beziehen. Nach § 11 Abs. 3 Satz 2 BDSG muss der Auftragnehmer jedoch den Auftraggeber unverzüglich darauf hinweisen („warnen“),577 wenn er der Ansicht ist, dass eine Weisung des Auftraggebers gegen das BDSG oder andere Vorschriften über den Datenschutz verstößt. Dieser Pflicht kann der Auftragnehmer letztlich nur korrekt nachgehen, wenn er den Zweck der Datenverarbeitung genau kennt. Dies spricht dafür, dass der Auftrag auch hinsichtlich des Umfangs schriftlich zu fixieren ist. 6.8.9 Auswahl des Auftragnehmers 473 Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig vom Auftraggeber auszuwählen (§ 11 Abs. 2 Satz 1 BDSG). Gemäß § 11 Abs. 1 Satz 2 BDSG sind die Rechte der Betroffenen aus § 6 und § 7 BDSG dem Auftraggeber gegenüber geltend zu machen, also auch das Auskunftsverlangen. § 11 BDSG soll die Rechte des Betroffenen nicht verkürzen. Der Auftraggeber bleibt Herr der Daten, also im Verhältnis zum Betroffenen datenschutzrechtlich verantwortlich, was § 11 Abs. 1 Satz 1 BDSG ausdrücklich klarstellt. 474 Dementsprechend wird der Auftraggeber gut daran tun, neben den Mindestregelungen auch zusätzliche vertragliche Regelungen und Verpflichtungen aufzunehmen, die die Wahrnehmung der Rechte des Betroffenen gegenüber dem Auftraggeber mit sich bringen, so z.B. die Auskunftsbereitschaft der Auftragnehmer im Innenverhältnis und deren Kosten. 475 Die Haftung des Auftraggebers für den Auftragnehmer wird die für einen Erfüllungsgehilfen sein, § 278 BGB. Die Entlastungsmöglichkeit wird dadurch eröffnet. Zu diesem Zweck ist zur Vermeidung des Organisationsverschuldens eine entsprechende Überwachung nicht nur zu vereinbaren, sondern tatsächlich (entsprechend § 11 Abs. 2 letzter Satz BDSG) auszuüben. Im Zshg. mit der Organisation des Auftragsverhältnisses muss der Auftraggeber als verantwortliche Stelle zwecks Entlastung gem. § 7 Satz 2 BDSG nachweisen, dass er die nach den Umständen des Falles erforderliche Sorgfalt beachtet hat (§ 7 Satz 2 BDSG).578
576 S.a. Müthlein, RDV 1992, 63 (71). 577 Zu den Pflichten des Auftragnehmers s. Wächter, Datenschutz im Unternehmen, Rz. 1164 ff. 578 Zur Haftung s. Rz. 384 ff.; allg. zur Haftung bei der Verarbeitung personenbezogener Daten s. Wind, RDV 1991, 16; zum Organisationsverschulden allg. (hier Spedition) s. BGH v. 16.11.1995, NJW 1996, 2305.
120
Schneider
Datenschutz Grundlagen
Rz. 477
A
6.8.10 Inhalte des Vertrages Besonderheiten der Auftragsvergabe nach § 11 BDSG an den Auftragnehmer und somit Ge- 476 genstand und Inhalt des Vertrages zwischen Auftraggeber und Auftragnehmer sind zusammenfassend579: – Schriftliche Erteilung des Auftrags nach § 11 Abs. 2 Satz 2 BDSG mit dem vorgegebenen Inhalt v.a. hinsichtlich „Datensicherung“ und Unterauftragsverhältnissen. – Festlegung der Datenerhebung, -verarbeitung und -nutzung. Dies schließt eine Beschreibung der Daten, des Satzaufbaus, der Verarbeitungsschritte und ggf. auch der Software (Weisungen des Auftraggebers, Überprüfbarkeit der Weisungen, § 11 Abs. 2 Satz 2 BDSG) ein. – Technische und organisatorische Maßnahmen (§ 11 Abs. 2 Satz 2 BDSG). – Etwaige Unterauftragsverhältnisse (§ 11 Abs. 2 Satz 2 BDSG) müssen ausdrücklich im Auftrag/Vertrag festgehalten sein, wobei der Auftraggeber sich i.d.R. ausbedingen wird, dass solche nur eingegangen werden dürfen, wenn er, der Auftraggeber, vorher nach entsprechender Prüfungsmöglichkeit schriftlich zugestimmt hat. – Regelung der Ausübung der Informationspflichten gegenüber dem Betroffenen, Regelung von Besonderheiten, insb. von Störungen. – Vertragsstrafenregelungen zur Absicherung (pragmatischer Vorschlag). – Inspektionsrechte des Auftraggebers, insb. seines Datenschutzbeauftragten. – Prüfungsmöglichkeiten, um sich von der Einhaltung der technisch-organisatorischen Maßnahmen „zu überzeugen“ (§ 11 Abs. 2 letzter Satz BDSG). – Beauftragter für den Datenschutz beim Auftragnehmer, auch namentlich und mit Telefonnummer benannt. – Datengeheimnis. – Verpflichtung für die Mitarbeiter und deren Kontrolle. – Beispielhafte Aufzählung von wichtigen Gründen für die Kündigung (aus pragmatischen Gründen). – Handhabung der Herausgabe der Daten mit jederzeit ausübbarem Recht des Auftraggebers, insb. bei Beendigung, mit Absicherung der Rückgabe aller Unterlagen, etwa unter Ausschluss einer Zurückbehaltung.580 7. Prozessuales 7.1 Beweislast Die Verletzung von Datenschutzvorschriften ist im Hinblick auf die Frage der Zulässigkeit 477 ein durch das Verbotsprinzip klar: Da generell jede Verarbeitung personenbezogener Daten verboten ist, muss sich der Verarbeiter auf eine Erlaubnis bzw. die Einwilligung stützen (können). Diesen für ihn günstigen Umstand muss jeweils der Datenverarbeiter beweisen. Dies wird auch zu den Bedingungen bei Privilegierungen gelten, auf die sich der Datenverarbeiter evtl. berufen wird, so etwa die Herkunft von Daten aus öffentlich zugänglichen Quellen oder die Eigenschaft als Auftragsverarbeiter (was ihn i.R.d. DS-GVO nicht mehr vor der direkten Inanspruchnahme schützt, s. Rz. 561, 629, 657).
579 Zu Textvorschlägen s. z.B. Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, 2014, Teil 2. 580 Zur Präzisierung des Auftrags s. a. Gola/Schomerus, BDSG, 12. Aufl., § 11 Rz. 17 f., Pflichten des Auftraggebers Rz. 20 ff., des Auftragnehmers Rz. 24 ff.; s.a. Wächter, CR 1991, 333; Müthlein, RDV 1992, 63.
Schneider
121
A Rz. 478
Datenschutz und IT-Management
478 Ein heikles Thema unter dem Gesichtspunkt des eigentlichen Ziels des Datenschutzes, also den Einzelnen in seiner Privatsphäre zu schützen ist, dass andererseits der Betroffene die Beweislast hat, ggf. die Verletzung seiner Rechte geltend machen möchte. So wird der Betroffene im Zweifel erst einmal darlegen müssen, dass er gegenüber der konkreten Stelle eine irgendwie geartete Auskunfts-Berechtigung hat. Erst recht wird er eine entsprechende Darlegung, zumindest Plausibilitäten erforderlich sein, wenn es darum geht, Berichtigung, Löschung oder Sperrung zu verlangen. Bei der Berichtigung etwa wird der Betroffene verpflichtet sein, den Nachweis zu führen, dass die Daten nicht richtig sind. Dies ergibt sich auch daraus, dass nach § 35 Abs. 4 BDSG z.B. die Sperrung für den Fall vorgesehen ist, dass sich weder die Richtigkeit noch die Unrichtigkeit von Daten feststellen lässt, wenn ihre Richtigkeit vom Betroffenen bestritten wurde. Dieses Ergebnis erscheint sehr fragwürdig vor dem Hintergrund, dass eigentlich die Beweislast, dass er richtige Daten verarbeitet, bei dem Verarbeiter liegen müsste, da ansonsten ja ohnehin die Verarbeitung verboten wäre. Es scheint aber wichtig zu sein diese Verteilung näher zu diskutieren, da sie dem Gesetz entsprechend geregelt ist. Allerdings werden sich durch die DS-GVO insofern noch etwas Änderungen ergeben, s. Rz. 590, 662 ff. (Haftung). 479 Bei dem evtl. geltend zu machenden Schaden bewegt sich der Betroffene in einer von der Gesetzeslage her eher günstigen Position. Nach § 7 BDSG hat der Betroffene Anspruch auf Ersatz des ihm entstehenden Schadens, wenn die verantwortliche Stelle eine nach dem BDSG oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung und der Nutzung der personenbezogenen Daten dieses Betroffenen vorgenommen und dadurch diesem einen Schaden zugefügt hat. Allerdings ist diese Schadenersatzpflicht nur auf den materiellen Schaden bezogen (§ 7 Satz 1 BDSG). Die explizit notwendige Erwähnung immateriellen Schadens, um diesen Anspruch zu erlangen, fehlt. Hinsichtlich der Beweislast ist relevant, dass die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat (§ 7 Satz 2 BDSG). Man würde, analog auch entsprechend nach BGB-Vorschriften annehmen, dass insoweit die Beweislast bei der verarbeitenden Stelle liegt. Tatsächlich ist der Eindruck wohl nicht ganz falsch, wenn man davon ausgeht, dass die Gerichte i.d.R. eine primäre Darlegungspflicht beim Betroffenen sehen. 480 Erst recht wird dies gelten, bzw. wird § 7 Satz 2 BDSG schon gar nicht mehr greifen, wenn es um den Ersatz immateriellen Schadens geht. In diesen Fällen ist der Betroffene auf § 823 Abs. 1 und 2 BGB verwiesen. Diese sind nicht ausgeschlossen.581 Es sei aber auch darauf hingewiesen, dass es bislang kaum Fälle gegeben hat, in denen überhaupt über die Frage des „Schmerzensgeldes“ im Zshg. mit Datenschutzverstößen jedenfalls literarisch bekannt gestritten wurde. Im Rahmen dieser wenigen Fälle, die bekannt wurden, wurde kaum jemals eine Erstattungspflicht angenommen. Zu den Ausnahmen werden gerechnet ein Fall, bei dem Schmerzensgeld für die Aufnahmen verlangt wurde, die über einen Betrunkenen angefertigt wurden, der keine Einwilligung mehr abgeben konnte.582 Im Arbeitsrecht wurde wohl etwas leichter eine entsprechende Entschädigung zugesprochen. Insoweit bekannt wurde v. a. ein Fall auch der Video-Überwachung mit Überwachungsanlage am Arbeitsplatz.583 Weitere Beispiele dazu bei Gola/Schomerus.584
581 S. a. Gola/Schomerus, BDSG, 12. Aufl., § 7 Rz. 18a. 582 OLG Frankfurt v. 21.1.1987 – 21U 164/86, NJW 1987, 1087, ohne dass dieser Fall datenschutzrechtlich unmittelbar relevant war. 583 LAG Hamm v. 30.10.2012 – 9 SA 158/12, ZD 2013, 355 und zwar in Höhe von 4.000,– Euro. 584 Gola/Schomerus, BDSG, 12. Aufl., § 7 Rz. 19.
122
Schneider
Datenschutz Grundlagen
Rz. 483
A
7.2 UWG, Verbandsklage 7.2.1 UWG, Marktverhaltensregel Über längere Zeit wurde es eher verneint, war dann strittig, ob und inwieweit einzelne Regeln 481 oder vielleicht das BDSG hinsichtlich des Bereichs für nicht öffentliche Adressaten auch eine Marktverhaltensregel darstellt und insofern dann mit Mitteln des UWG die Nichteinhaltung von den Konkurrenten verfolgt werden kann. Auch waren Bemühungen schon lange in der Diskussion, die Klagebefugnis für Aufsichtsbehörden und als Verbandklage einzuführen. Letzteres ist inzwischen erfolgt. S.a. Rz. 483 und Rz. 690. Im Laufe der letzten Jahre hat sich herauskristallisiert, dass zumindest naheliegend ist, dass 482 §§ 28 u. 29 BDSG im Hinblick auf den Markt einen entsprechenden Bezug haben, also als Marktverhaltensregeln anzusehen sind. Neuerdings hat dies auch z.B. das OLG Köln für § 13 TMG bejaht.585 Andere Meinung war etwa im Hinblick auf eine fehlende Belehrung im sozialen Netzwerk das KG.586 Die Gerichte, die also die Marktrelevanz bejahen, können sich i.Ü. auch, wie bereits zitiert auf die entsprechenden Ausführungen in Erw.grd. 38 DS-RL wie auch auf die Grundsätze der DS-RL in Art. 6 berufen, zukünftig entsprechend in der DS-GVO. Nach Art. 6 Abs. 1 lit. a DS-RL sind die personenbezogenen Daten nach Treu und Glauben und auf rechtmäßige Weise zu verarbeiten. Im Laufe mehrerer Auflagen hat sich insofern wohl auch die Meinung bei Köhler/Bornkamm etwas geöffnet. Inzwischen wird insoweit angenommen, dass zumindest einzelne Teile des BDSG bzw. bestimmte Vorschriften aus §§ 28, 29 BDSG Marktrelevanz besitzen.587 7.2.2 Verbandsklage Am 24.2.2016 ist das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von ver- 483 braucherschützenden Vorschriften des Datenschutzrechts“ in Kraft getreten.588 In gewissem Sinne ist dies die Folge des wohl sehr großen Desinteresses der Betroffenen an ihren Daten, zumindest die Folge einer Trägheit, wegen solcher Kleinigkeiten zu Anwalt und Gericht zu gehen. Nun wird der Betroffene im Rahmen seiner Eigenschaft als Verbraucher durch eine Klagebefugnis für Verbraucherverbände unterstützt.589 Dies könnte zu einer stärkeren Beachtung der Vorschriften des BDSG führen und auch über die Rspr. zur Klärung mancher offenen Frage führen. Das Unterlassungsklagengesetz regelt insoweit klarstellend590 in § 2 „Ansprüche bei verbraucherschutzgesetzwidrigen Praktiken“ und dazu in Abs. 2 Satz 1 „Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere ….11. die Vorschriften, welche die Zulässigkeit regeln a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.“
585 OLG Köln v. 11.3.2016 – 6 U 121/15, u. Hinw. a. OLG Hamburg v. 27.6.2013 – 3 U 26/12, wo der Charakter als Marktverhaltensregeln für § 13 TMG bejaht worden war. 586 KG v. 29.4.2011 – 5 W 88/11, GRUR-RR 2012, 19. 587 Köhler, in: Köhler/Bornkamm, § 4 Nr. 11 UWG a.F., UWG, 33. Aufl., § 4 Rz. 11, 34, so v. OLG Köln v. 11.3.2016 – 6 U 121/15, zitiert; nun 34. Aufl.: Köhler, in: Köhler/Bornkamm, UWG, 34. Aufl. 2016, § 3a Rz. 1.74. 588 Halfmeier, NJW 2016, 1126; s.a. zum Entwurf Elbrecht/Schröder, K&R 2015, 361. 589 Elbrecht/Schröder, K&R 2015, 361. 590 S. zu Problemen bei Beurteilung/Zuordnung einzelner Vorschriften des BDSG Köhler/Bornkamm, UWG, 34. Aufl. 2016, § 3a UWG, Rz. 1.74.
Schneider
123
A Rz. 484
Datenschutz und IT-Management
Satz 2 klammert die übliche Datenverarbeitung im Zshg. mit ausschließlich zur „Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Verbraucher“ aus. 484 Ungeachtet der Neuregelung des Datenschutzes in der DS-GVO wurde in das Datenschutzrecht ein Verbandsklagerecht eingebaut. Zugleich wurde damit die Frage praktisch entschieden, inwieweit die Verletzung von Datenschutznormen zugleich wettbewerbsrechtlich relevant sind und insofern Verbraucherschutzverbände aktivlegitimiert wären.591 485 Die Verbandsklagebefugnis besteht nach § 2 Abs. 2 Nr. 11 UKlaG (nur) bei Vorschriften, bei denen es um die Zulässigkeit der Erhebung oder Verarbeitung personenbezogener Daten eines Verbrauchers geht und zwar „wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeitsund Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.“ Aus der Gesetzesbegründung ergibt sich, dass es dem Gesetzgeber auch um den Handel mit Daten und Adressen i.V.m. der Bildung von Nutzungs- und Persönlichkeitsprofilen geht.592 Mit den Verbandsklagen können also nicht solche Verfehlungen datenschutzrechtlicher Art, die sich nicht auf die vorgenannten Regelungen beziehen, verfolgt werden. Das bedeutet, dass z.B. nicht verfolgbar wäre, wenn nicht die nötigen technisch-organisatorischen Maßnahmen realisiert sind, wenn etwa kein Beauftragter für den Datenschutz bestellt ist und insgesamt, wenn es sich nicht um Verbraucherdaten handelt. Diese sind v.a. solche Daten, die im Zshg. mit rechtsgeschäftlichem Handeln des Betroffenen stehen, also auch Anbahnung und Abwicklung des Rechtsgeschäfts. Gem. Begründung sollen dazu auch Daten aus dem Zshg. mit der Nutzung von Telemedien, auch Internetsuchmaschinen, E-Maildiensten oder sozialen Netzwerken gehören, was aber eher nicht zu den „Verbraucherdaten“ gehören dürfte. Dies wäre anders zu beurteilen, wenn die Daten schlicht als Gegenleistungen für die ansonsten unentgeltliche Inanspruchnahme von Diensten gesehen werden, weil sie ja dann den Bezahlvorgang darstellen würden, soweit sie erhoben, gespeichert und verarbeitet werden.593 486 Was mit „Cookies“ insoweit ist, ist unklar. Cookies haben zunächst noch nichts mit etwaiger Anbahnung eines Rechtsgeschäfts zu tun, dienen v.a. späterer gezielter Werbung, können aber auch mit der Abwicklung des Geschäfts, das später angewandt wird, i.V. gebracht werden. Insoweit scheint aber Unklarheit zu bestehen. 487 Die einzelne Vorschrift, deren Geltendmachung möglich wäre, muss nicht nur das BDSG sein, sondern können auch andere Datenschutzvorschriften sein. Dies dürfte auch auf die DS-RL derzeit und in Zukunft die DS-GVO zutreffen. 488 Der wohl kritischste Punkt ist die Frage, ob und wann es sich genau um kommerzielle Zwecke handelt. „Kommerziell“ ist eigentlich kein bisher üblicher Begriff in deutschen Regelungen, auch wenn er bereits in der E-Commerce-RL und insoweit in § 2 Abs. 5 TMG verwendet wurde. Ansonsten ist eher von „geschäftsmäßig“ oder, was nicht gleichbedeutend ist, von „gewerblich“ die Rede. Interessant könnte dies für Berufe werden, die eben gerade nicht als gewerblich angesehen werden, aber durchaus als kommerziell, so etwa Steuerberater und Rechtsanwälte, die insoweit dann betroffen wären. 7.3 Klagerecht Aufsichtsbehörden (de lege ferenda) 489 Speziell für Klagen gegen Angemessenheitsentscheidungen (und dabei auch gegenüber Privacy Shield) fordern die Länder Hamburg und Brandenburg über den Bundesrat ein Klagerecht 591 S. Spindler, ZD 2016, 114 (115). 592 Begr. RegE BT-Drs. 18/4631, S. 22 u. dazu Spindler, ZD 2016, 114 (116). 593 S.a. zu diesem Aspekt Spindler, ZD 2016, 114 (116).
124
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 492
A
für die Aufsichtsbehörden.594 Die Postulate sind u.a.595: Stärkung der Befugnisse der Aufsichtsbehörden, insb. Schaffung von Klagebefugnissen und effektiven Sanktionen auch gegenüber Behörden (Art. 58 und 83 Abs. 7 i.V.m. EG 150, vorletzter Satz), v.a. aber ein Klagerecht für Aufsichtsbehörden.596 Es liegt ein entsprechender Gesetzesvorschlag597 (BR-Drs. 171/1/16 v. 2.5.2016) zur Einfüh- 490 rung eines neuen „§ 38b BDSG – Verfahren zur Überprüfung von Rechtsakten nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG“ vor, der von dem Innenausschuss des Bundesrates erarbeitet und vom federführenden Rechtsausschuss angenommen wurde. Mit Beschluss v. 13.5.2016 hat der Bundesrat über diesen Antrag und den darin enthaltenen Gesetzesvorschlag beraten und in der Entschließung (BR-Drs.171/16) die Bundesreg. gebeten, einen entsprechenden Gesetzestext vorzulegen. Diese hat dies allerdings mit Stellungnahme vom 15.7.2016 (Drs. 171/16) mit Hinweis auf die Unabhängigkeit der Aufsichtsbehörden abgelehnt. Es geht um die Passage in der EuGH–E. zu Safe Harbor: „Gleichwohl ist allein der Gerichts- 491 hof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 RL 95/46/EG ergangenen Entscheidung der Kommission festzustellen“.598 Nach dem EuGH dürfen nationale Gerichte diesem nur ein Ersuchen um Vorabentscheidung über die Gültigkeit solcher Entscheidungen vorlegen. Zudem sind die nationalen Gerichte berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 RL 95/46 ergangenen Entscheidung der Kommission zu prüfen. Die Feststellung ihrer Ungültigkeit, ist jedoch nicht möglich.
II. Datenschutz-Grundverordnung (DS-GVO) 1. Einführung, Prinzipien 1.1 Neues Datenschutzrecht per 25.5.2018 Am 4.5.2016 wurde die Datenschutzgrundverordnung – DS-GVO – veröffentlicht.599 Sie tritt 492 am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft, Art. 99 DS-GVO, also am 25.5.2016. „Sie gilt ab dem 25. Mai 2018.“, – zwei Jahre nach dem Inkrafttreten dieser Verordnung, Art. 99 DS-GVO. Gem. Art. 94 DS-GVO wird die Richtlinie 95/46/EG entsprechend mit Wirkung vom 25.5.2018 aufgehoben. Die Verordnung ist „in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat“ (Art. 99 letzter Satz DS-GVO). Sie schützt die Grundrechte und Grundfreiheiten natürlicher Personen, „insbesondere deren Recht auf Schutz personenbezogner Daten“ (Art. 1 Abs. 2 DS-GVO). Das Hauptschutzgut sind demnach (personen-
594 https://www.delegedata.de/2016/05/bundesrat-gesetzesvorschlag-fuer-ein-neues-klagerecht-der-daten schutzbehoerden-gegen-privacy-shield/. 595 Entschließung der 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Schwerin, den 6./7.4.2016 https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungs sammlung/DSBundLaender/91DSK_EntschliessungDSStaerken.html;jsessionid=77B6AE893F9E4B5 B436AA1799AF937EB.1_cid329?mm=5217016 (abgerufen am 7.2.2017). 596 http://www.lda.brandenburg.de/sixcms/detail.php/750619 Entschließung zwischen der 91. und 92. Konferenz, 20.4.2016: Klagerecht für Datenschutzbehörden – EU-Kommissionentscheidungen müssen gerichtlich überprüfbar sein. Entschließung v. 20.4.2016. 597 http://dip21.bundestag.de/dip21/brd/2016/0171-1-16.pdf. 598 EuGH v. 6.10.2015 – C-362/14, Rz. 61 – Schrems. 599 ABl. v. 4.5.2016, L 119/1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
Schneider
125
Datenschutz-Grundverordnung (DS-GVO)
Rz. 492
A
für die Aufsichtsbehörden.594 Die Postulate sind u.a.595: Stärkung der Befugnisse der Aufsichtsbehörden, insb. Schaffung von Klagebefugnissen und effektiven Sanktionen auch gegenüber Behörden (Art. 58 und 83 Abs. 7 i.V.m. EG 150, vorletzter Satz), v.a. aber ein Klagerecht für Aufsichtsbehörden.596 Es liegt ein entsprechender Gesetzesvorschlag597 (BR-Drs. 171/1/16 v. 2.5.2016) zur Einfüh- 490 rung eines neuen „§ 38b BDSG – Verfahren zur Überprüfung von Rechtsakten nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG“ vor, der von dem Innenausschuss des Bundesrates erarbeitet und vom federführenden Rechtsausschuss angenommen wurde. Mit Beschluss v. 13.5.2016 hat der Bundesrat über diesen Antrag und den darin enthaltenen Gesetzesvorschlag beraten und in der Entschließung (BR-Drs.171/16) die Bundesreg. gebeten, einen entsprechenden Gesetzestext vorzulegen. Diese hat dies allerdings mit Stellungnahme vom 15.7.2016 (Drs. 171/16) mit Hinweis auf die Unabhängigkeit der Aufsichtsbehörden abgelehnt. Es geht um die Passage in der EuGH–E. zu Safe Harbor: „Gleichwohl ist allein der Gerichts- 491 hof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 RL 95/46/EG ergangenen Entscheidung der Kommission festzustellen“.598 Nach dem EuGH dürfen nationale Gerichte diesem nur ein Ersuchen um Vorabentscheidung über die Gültigkeit solcher Entscheidungen vorlegen. Zudem sind die nationalen Gerichte berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 RL 95/46 ergangenen Entscheidung der Kommission zu prüfen. Die Feststellung ihrer Ungültigkeit, ist jedoch nicht möglich.
II. Datenschutz-Grundverordnung (DS-GVO) 1. Einführung, Prinzipien 1.1 Neues Datenschutzrecht per 25.5.2018 Am 4.5.2016 wurde die Datenschutzgrundverordnung – DS-GVO – veröffentlicht.599 Sie tritt 492 am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft, Art. 99 DS-GVO, also am 25.5.2016. „Sie gilt ab dem 25. Mai 2018.“, – zwei Jahre nach dem Inkrafttreten dieser Verordnung, Art. 99 DS-GVO. Gem. Art. 94 DS-GVO wird die Richtlinie 95/46/EG entsprechend mit Wirkung vom 25.5.2018 aufgehoben. Die Verordnung ist „in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat“ (Art. 99 letzter Satz DS-GVO). Sie schützt die Grundrechte und Grundfreiheiten natürlicher Personen, „insbesondere deren Recht auf Schutz personenbezogner Daten“ (Art. 1 Abs. 2 DS-GVO). Das Hauptschutzgut sind demnach (personen-
594 https://www.delegedata.de/2016/05/bundesrat-gesetzesvorschlag-fuer-ein-neues-klagerecht-der-daten schutzbehoerden-gegen-privacy-shield/. 595 Entschließung der 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Schwerin, den 6./7.4.2016 https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungs sammlung/DSBundLaender/91DSK_EntschliessungDSStaerken.html;jsessionid=77B6AE893F9E4B5 B436AA1799AF937EB.1_cid329?mm=5217016 (abgerufen am 7.2.2017). 596 http://www.lda.brandenburg.de/sixcms/detail.php/750619 Entschließung zwischen der 91. und 92. Konferenz, 20.4.2016: Klagerecht für Datenschutzbehörden – EU-Kommissionentscheidungen müssen gerichtlich überprüfbar sein. Entschließung v. 20.4.2016. 597 http://dip21.bundestag.de/dip21/brd/2016/0171-1-16.pdf. 598 EuGH v. 6.10.2015 – C-362/14, Rz. 61 – Schrems. 599 ABl. v. 4.5.2016, L 119/1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
Schneider
125
A Rz. 493
Datenschutz und IT-Management
bezogene) Daten. Die Grundfreiheiten werden des Öfteren herangezogen, Privatsphäre oder ähnlich konkrete materiell-rechtliche Postionen dagegen nicht.600 493 Betroffen sind hunderte von Datenschutzregeln, voran BDSG. Die unmittelbare Wirkung ab 25.5.2018 (Art. 99 DS-GVO) erfordert zahlreiche Maßnahmen seitens des Gesetzgebers, aber auch seitens der Adressaten. Der Gesetzgeber hat zudem zahlreiche Möglichkeiten für spezielle Regelungen dank Öffnungsklauseln und Bereichsausnahmen601 (wie etwa Art. 88 DSGVO Datenverarbeitung im Beschäftigungskontext), wobei auch Kollektivvereinbarungen für spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten i.S.d. Datenschutzes ausreichen.602 494 Weniger beachtet wurde, dass auch zwei parallel erarbeitete Regelwerke in Kraft treten: – Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates603 und – Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität („PNR Directive“).604 495 Die DS-GVO war sehr umstritten. Mit einem groß angelegten Programm der Kommission wurden die Maßstäbe und Grundlagen früh dargelegt.605 Kurz nach Vorlage des offiziellen Entwurfs606 sprach Viviane Reding von 7 Grundbausteinen der eur. DS-GVO.607 Darunter waren neben der unmittelbaren Geltung etwa „One-Stop-Shop“ und KMU-Freundlichkeit.608 Davon ist außer kleinen Ansätzen wenig übrig geblieben. Postulate zu Verbesserungen verhallten weitgehend ungehört, etwa WP 199 der Art. 29_Gruppe.609 In den Grundlagen ist die DS-GVO mit der DS-RL identisch, ebenso mit Art. 8 GRCh, sodass Texte wie kopiert wirken und Tautologien bestehen.610 Gegenüber der Trilogfassung611 wurden noch kleinere Änderungen, v.a.
600 S.a. Rz. 64. Erw.grd. (4) allerdings erwähnt „Privat- und Familienleben“. Dagegen beziehen sich die DS-RL und die EK-RL (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ABl. L 201 vom 31.7.2002, S. 37) auch unmittelbar auf „Privatsphäre“. 601 Zum innerdeutschen Regelungsbedarf s. Kühling/Martini et al., Die DS-GVO und das nationale Recht, 2016, http://www.foev-speyer.de/files/de/downloads/Kuehling_Martini_et_al_Die_DSGVO_ und_das_nationale_Recht_2016.pdf (abgerufen am 9.8.2016). 602 „Offenbar“ ohne gesetzliche Grundlage, Spindler, DB 2016, 937 (938). 603 ABl v. 4.5.2016 L 119/89. 604 ABl v. 4.5.2016 L 119/132. 605 Mitteilung KOM(2010) 609 vom 4.11.2010 zum Gesamtkonzept für den Datenschutz in der Europäischen Union; dazu Entschließung des Europäischen Parlaments vom 6.7.2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union (2011/2025(INI). 606 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) [COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)] vom 25.1.2012; es gab schon im Nov. 2011 eine „geleakte“ Version. 607 Hustinx nennt 4 Hauptbereiche bzw. Ziele der „Stärkung des EU-Datenschutzregelwerks, ZD 2013, 301. U.a. würden die Rechte des Betroffenen gestärkt, das EU-Datenschutzrecht kohärenter. 608 Reding, ZD 2012, 197. 609 WP 199, Stellungnahme 08/2012 mit weiteren Beiträgen zur Diskussion der Datenschutzreform, angen. am 5.10.2012. 610 Der Berichterstatter stellt allerdings diese Grundlagen als neu vor: Albrecht, CR 2016, 88 (91), „nun“ sehe die DS-GVO einen Katalog von Grundsätzen vor. Diesen hatte schon die DS-RL. 611 Dok. 15321/15 v. 18.12.2015.
126
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 498
A
neue Zählweisen mit dem Standpunkt des Rates in erster Lesung612 vorgenommen. Deshalb passen manche Art.-Bezeichnungen aus der Lit. der Entstehungszeit von Ende 2011613 bis April 2016 nicht ganz. Insgesamt kommen auf die Unternehmen gewaltige Aufwendungen zu, nicht zuletzt organisatorische Änderungen und Absicherungen zur Erfüllung von gut 30 Informations- und ähnlichen Pflichten.614 Die Risiken bei Haftung und Bußgeldern sind enorm gestiegen, s. Rz. 657 ff. Die Maßgaben sind dennoch oft vage. Das ganz große Ziel, dessen Erreichung die Unternehmen trotz des Aufwands zu Befürwortern gemacht hätte, war die Einheitlichkeit der Regelung kombiniert mit One-Stop-Shop. Dieses Ziel wurde – allein schon über die Definition der „Hauptniederlassung“ (Art. 4 Nr. 16 lit. a) – verfehlt, s. Rz. 584 f. Die sehr interessanten Ansätze zu privacy by design und by default sind nicht verpflichtend ausgestaltet. 1.1.1 Überblick Neuerungen, was bleibt Die DS-GVO übernimmt vieles von der DS-RL, etwa Verbotsprinzip mit Grundprinzipien 496 und Zulässigkeitsregeln, Versuche zu Einheitlichkeit. Neues resultiert u.a. aus der Notwendigkeit, Entscheidungen des EuGH zu berücksichtigen, etwa zum Recht auf Vergessen und v.a. zu Safe Harbor. Besonders groß ist der Unterschied bei der Wirkung. Die DS-GVO wirkt unmittelbar, Art. 99 letzter Satz: Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.615 Es wird EU-seitig behauptet, die Errungenschaften der DS-GVO seien – u.a. – Einheitlichkeit 497 des Schutzes, also auch Rechtssicherheit für die Verantwortlichen: „Mit der DatenschutzGrundverordnung wird die Vision eines hohen einheitlichen Datenschutzniveaus für die gesamte Europäische Union Wirklichkeit. Dies ist ein großer Erfolg für das Europäische Parlament und ein starkes europäisches Ja zu starken Verbraucherrechten und mehr Wettbewerb im digitalen Zeitalter. Die Bürger können selbst entscheiden, welche persönlichen Daten sie freigeben wollen. Den Unternehmen gibt das neue Gesetz klare Vorgaben, weil in der ganzen EU dieselben Regeln gelten. Bei Verstößen müssen Unternehmen bis zu 4 % des Jahresweltumsatzes zahlen. Das neue Gesetz schafft Vertrauen, Rechtssicherheit und einen faireren Wettbewerb“, sagte der Berichterstatter Jan Philipp Albrecht (Grüne, DE).“616 Wichtigste Änderungen durch die neuen Vorschriften sind lt. PM des EP, jeweils mit Vermerk, wie das Statement zu würdigen ist:617 – Recht auf Vergessenwerden – hatte der EuGH bereits der DS-RL entnommen, s. Rz. 69 f. und 588. – Verarbeitung der Daten nur nach ausdrücklicher Einwilligung der betroffenen Person – ist falsch, Einwilligung war und ist eine von 2 Säulen, die andere und wichtigere ist die gesetzliche Grundlage, zur bisherigen Einwilligung s. Rz. 177 ff., zur Einwilligung nach DS-GVO s. Rz. 539 ff.; – Recht auf Datenübertragbarkeit (an einen anderen Dienstleister) – tatsächlich neu, s. Rz. 574.
612 V. 6.4.2016 – 5419/16. 613 Geleakter Entwurf z.B. über https://www.telemedicus.info/article/2134-Der-Entwurf-zur-Daten schutz-Verordnung-im-UEberblick.html. Führt zu Version 56 (29/11/2011) unter http://statewat ch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf (abgerufen am 24.5.2016). 614 S. Veil, ZD 2015, 147, Fn. 2 mit Liste, zu den Pflichten des Verantwortlichen Rz. 557 ff. 615 S.a. Hornung, ZD 2012, 99 (100); Albrecht, CR 2016, 88 (90) unter Hinweis auf Art. 288 AEUV. 616 Pressemitteilung des Parlaments v. 14.4.2016, http://www.europarl.europa.eu/pdfs/news/expert/info press/20160407IPR21776/20160407IPR21776_de.pdf. 617 http://www.europarl.europa.eu/pdfs/news/expert/infopress/20160407IPR21776/20160407IPR21776_de. pdf; Zu den „Benefits“ für die Wirtschaft s.a. http://ec.europa.eu/justice/data-protection/document/ factsheets_2016/data-protection-factsheet_01a_en.pdf.
Schneider
127
498
A Rz. 499
Datenschutz und IT-Management
– Recht der Betroffenen, bei Verletzung des Schutzes der eigenen Daten darüber informiert zu werden – gab es bereits in bestimmten Fällen, s. Rz. 342, nach DS-GVO Rz. 660; – Datenschutzbestimmungen müssen in klarer und verständlicher Sprache erläutert werden – galt allein schon aufgrund von AGB-Recht, und – Bei Verstößen wird härter durchgegriffen; im Fall eines Unternehmens werden Strafen von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt – das stimmt und ist evtl. die wichtigste Neuerung und einzige echte Verbesserung i.S. einer Effektuierung, s. Rz. 657 ff., auch wenn der Betroffene unmittelbar davon nichts (etwa i.S.v. Schadensersatz) hat, s. aber Rz. 662 ff. Ob wirklich härter „durchgegriffen“ wird, ist Sache der Behörden und völlig offen. Es wird auch wegen vieler für eine VO sehr schwammigen Formulierungen zumindest anfangs Schwierigkeiten geben, Verletzungen klar zu qualifizieren. – Von EU-Einheitlichkeit618 kann keine Rede sein, wird auch nicht mehr erwähnt, war aber ein Hauptziel. Der Kohärenzmechanismus (Art. 63 DS-GVO, s.a. Rz. 579) wird auf Jahre für erheblichen Aufwand sorgen, bis vielleicht einheitliche Linien erkennbar werden. 499 Gleich geblieben ist die Kategorisierung von bestimmten, besonders „sensiblen“ Daten, wobei diese beschränkt sind auf „rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit“ sowie „genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,619 Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung“ (Art. 9 Abs. 1 DS-GVO). Der Kreis der Daten ist also etwas erweitert. Die Systemwidrigkeit, dass nach dem Verbot erst besonders geschützte Daten noch eingeführt werden, ist also geblieben. 500 Die Rechte des Betroffenen sind stärker ausgearbeitet, und zwar sowohl bei Auskunft und Löschung, als auch bei Widerruf und v.a. Widerspruch, mittelbar auch über die Informationspflichten dazu seitens der Verantwortlichen, Rz. 571 ff., 588 ff. 501 Einige ausgewählte Definitionen: In Art. 4 DS-GVO werden eine Reihe von Begriffs-Bestimmungen vorgenommen. Darunter finden sich: In Art. 4 Nr. 1 DS-GVO „Personenbezogene Daten“: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Zum Personenbezug s. im Einzelnen Rz. 92, 524 f., 616. 502 Art. 4 Nr. 4 DS-GVO „Profiling“: „… jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insb. um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;“ 503 Schwach bzw. eine wesentliche Restriktion des neuen Schutzes ist, dass die Basis der automatisierten Verarbeitung bereits aus personenbezogenen Daten bestehen muss. D.h., dass Profiling nicht vorliegt, wenn – etwa mit Big Data Technologien – aus einzelnen nicht per618 Zum Postulat s. Entschließung des Europäischen Parlaments vom 6.7.2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union (2011/2025(INI), Punkt 9, zitiert nach Albrecht, CR 2016, 88 (90). S. aber zu mangelnder Einheitlichkeit z.B. Buchner, DuD 2016, 155 (160); Kraska, ZD 2/2016, VI; Gierschmann, ZD 2016, 51 f. 619 D.h., es handelt sich um eine eigene Kategorie Besonderer Daten, aber nur mit der entsprechenden Wirkung (Beschränkung) etwa wegen Einwilligung, wenn die Daten für den bestimmten Zweck der eindeutigen Identifizierung verarbeitet werden, ansonsten würden digitalisierte Fotos etwa immer sensible Daten sein.
128
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 508
A
sonenbeziehbaren Daten Kombinationen und daraus Schlüsse auf Individuen gezogen werden. Art. 4 Nr. 5 DS-GVO „Pseudonymisierung“ in Erw.grd. 26: Trotz Pseudonymisierung blei- 504 ben die Daten personenbezogen, „die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten“. Und: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“ Nur anonyme Daten sind nicht „personenbezogen“. Dass sie mittels Big Data solche werden können, ist unbeachtlich, so scheint es. Bei pseudonymen Daten kommen allerdings Erleichterungen in Betracht, etwa bei „Datenpannen“ und den Meldepflichten dazu gem. Art. 33 und 34 DS-GVO, wenn die Pseudonymisierung ein Risiko unwahrscheinlich macht. Nr. 6 „Dateisystem“ – eine fast anachronistisch anmutende Begrifflichkeit mit entsprechen- 505 der Definition: jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. Gewollt ist die Abgrenzung gegenüber Akten und Aktensammlungen sowie Deckblätter, s. Erw.grd. 15. Die „Bestimmten Kriterien“ waren Auslöser für viele Debatten zur Datei-Definition in BDSG a.F. Heißt das etwa, dass Big Data Anwendungen, die völlig offene Abfragen erlauben, kein Dateisystem sind (oder brauchen) und ausgenommen sind? Art. 4 Nr. 7 „Verantwortliche“: Es wird also nicht mehr von verantwortlicher Stelle o.Ä. die 506 Rede sein, sondern von „Verantwortlicher“, wobei davon dann noch der „Auftragsverarbeiter“ (Nr. 8) zu unterscheiden ist. Art. 4 Nr. 11 „Einwilligung“, war heiß umstritten, ist nun „Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden Personen einverstanden ist“.
507
Art. 4 Nr.13 Definiert „genetische Daten“, Art. 4 Nr. 14 „biometrische Daten“, Art. 4 Nr. 15 „Gesundheitsdaten“. Im Hinblick auf den Anwendungsbereich besonders interessant sind dann Art. 4 Nr. 16 „Haupt-Niederlassung“ und Art. 4 Nr. 18 „Unternehmen“ dabei auch Art. 4 Nr. 19 „Unternehmensgruppe“, s. im Einzelnen zum Adressaten Rz. 521, 527, 659 Art. 7 regelt noch im Einzelnen die Bedingungen für die Einwilligung und deren Widerruf, s.a. Rz. 539 ff. Übersicht über die Änderungen und Neuerungen mit Hinweisen, wo im Wesentlichen auf die alte Rechtslage zurückgegriffen werden kann: Art. 3 DS-GVO regelt den räumlichen Anwendungsbereich. Nach Abs. 1 findet die Verordnung Anwendung sowohl auf die Tätigkeit des Datenverarbeiters als Verantwortlicher, und Schneider
129
508
A Rz. 509
Datenschutz und IT-Management
sei es i.R.d. Tätigkeiten einer Niederlassung, oder des Auftragsverarbeiters, der in der Union tätig ist und zwar unabhängig davon, ob die Verarbeitung in der Union stattfindet. Somit kommen als Adressaten auch solche (Auftrags-)Verarbeiter in Betracht, die nur Services in der EU anbieten, ohne sie dort auszuführen oder dort Technologien, so etwa TrackingTechnologien und seien es nur Cookies einsetzen, was ihre Websites betrifft, und sich an Personen in der EU richten. Auch sind solche Firmen Adressaten, die jeweils Niederlassungen in der Union haben. 509 Nicht neu ist die Möglichkeit der Auftragsverarbeitung (Art. 28 DS-GVO). Neu ist dabei gegenüber der DS-RL neben dem Begriff allerdings die ausführliche Regelung, die auch die Vertragsgestaltung (Rz. 628 ff.) betrifft, und die direkte Verantwortlichkeit, unmittelbar als Verantwortlicher in Anspruch genommen zu werden, wenn der Auftragsdatenverarbeiter unter Verstoß gegen die DS-GVO die Zwecke und Mittel der Verarbeitung bestimmt. 510 Neu620 ist die explizite Regelung der sogenannten „Joint Controllership“ im Datenschutz, also Möglichkeiten und Folgen gemeinsamer Datennutzung gem. Art. 26. Um gemeinsam in dieser Weise verantwortlich zu sein, genügt es, wenn die zwei oder mehr Verantwortlichen gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen (Art. 26 Abs. 1 Satz 1 DSGVO). Weitere Einzelheiten legen die Vertragspartner in einer Vereinbarung in transparenter Form fest. Ihre Verarbeitung ist nicht privilegiert, außer, dass sie in dieser Weise gemeinsam verfahren können, dies also nicht verboten ist. Jedoch müssen die übrigen Voraussetzungen für die Zulässigkeit jeweils bei jedem Beteiligten gegeben sein. Insofern ergibt sich daraus auch kein „Konzernprivileg“ auf einem Umweg.621 Im Einzelnen s. Rz. 646. 511 Die Verantwortlichkeit spielt umso mehr eine Rolle, hier gemeinschaftlich, da als große Neuerung auch der Umfang der möglichen Haftung anzusehen ist, Art. 82 bzw. der Bußgelder, Art. 83 DS-GVO. 512 Hinsichtlich der neuen Technologien bzw. Gefährdungen enthält die DS-GVO keine besonderen Regelungen und ist weitgehend technologienneutral geprägt. An einigen Stellen ergeben sich Bezüge zur Technik. Die diversen insoweit relevanten Vorschriften ergeben aber insgesamt eine Neuerung hinsichtlich des Gesamtgewichts der technischen und organisatorischen Maßnahmen im weiteren Sinne, s.a. Rz. 565. Die AuftragsDV stellt etwa darauf ab, dass der Auftragnehmer „hinreichend Garantien“ für die geeigneten technischen und organisatorischen Maßnahmen bietet (Art. 28 Abs. 1). Die Sicherheit der Verarbeitung wird in Art. 32 geregelt, wonach der Stand der Technik zu berücksichtigen ist, aber auch u.a. die Schwere des Risikos für die Rechte und Freiheiten der Personen (Art. 32 Abs. 1). Insofern werden auch einzelne Maßgaben genannt, die (auch) technisch umzusetzen sind und auch Prüfungen nach sich ziehen. 513 Nach Art. 35 DS-GVO erfolgt die Datenschutz-Folgenabschätzung. Dieser greift bei näher genannten Kriterien, wie insb. bei Verwendung neuer Technologien. Man wird also davon ausgehen, dass sie zunächst nach Inkrafttreten der DS-GVO für neue Entwicklungen greifen wird. Wichtig ist in dem Zshg., dass eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge zu erfolgen hat im Hinblick auf die damit verbundenen Risiken. Dabei arbeitet er mit dem Datenschutzbeauftragten zusammen bzw. holt dessen Rat ein. Beim Datenschutzbeauftragten selbst stellt die DS-GVO wiederum als Pflicht-Kriterium darauf ab, ob ein beson620 Wolff/Brink/Spoerr, BeckOK Datenschutzrecht, 15. Edition, § 11 BDSG, Rz. 62 ff. weisen zu Recht (Rz. 63) darauf hin, dass trotz fehlender Regelung im deutschen Datenschutzrecht eine gemeinsame Verantwortlichkeit für die Verarbeitung von personenbezogenen Daten schon jetzt generell möglich und zulässig ist, da die DS-RL die Möglichkeit einer Joint Control in Art. 2 lit. d ausdrücklich erwähnt (Begriff des für die Verarbeitung Verantwortlichen „natürliche oder juristische Person (…), die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. 621 S.a. Wolff/Brink/Spoerr, BeckOK Datenschutzrecht, 15. Edition, § 11 BDSG, Rz. 64.
130 Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 517
A
deres Gefährdungspotential beim Verantwortlichen vorliegt, insb. also, ob dort hinsichtlich der Kerntätigkeit und zwar sowohl des Verantwortlichen als auch des Auftragsdatenverarbeiters besteht, die nach Art, Umfang und Zweck eine besondere Gefährdung darstellt, weil sie umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Eine Erleichterung stellt in dem Zshg. die Möglichkeit des „Konzernbeauftragten“ dar (Art. 37 Abs. 2 DS-GVO). Nach Art. 39 Abs. 1 lit. c DS-GVO erfolgt die Beratung seitens des Datenschutzbeauftragten auf Anfrage im Zshg. mit der Datenschutz-Folgenabschätzung und die Überwachung deren Durchführung. Noch wichtiger erscheint, dass er die Überwachung der Einhaltung der Verordnung, was näher ausgeführt wird, als Aufgabe übertragen erhält. Dies erscheint gewichtiger, als die bisherige Regelung (Art. 39 Abs. 1 lit. b DS-GVO). Die Benennung des Datenschutzbeauftragten selbst wird in Deutschland kein Problem dar- 514 stellen, weil man mit dem Institut vertraut ist, die Regelungen der DS-GVO andererseits einfacher sind als die des BDSG. Etwas Augenmerk wird auf die organisatorische Ausgestaltung zu legen sein, nachdem nochmals betont wird, dass einerseits der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden ist und zum anderen sicher zu stellen ist, dass der Datenschutzbeauftragte bei Erfüllung seiner Aufgaben keine Anweisung bezüglich der Ausübung dieser Aufgaben erhält. Der Beauftragte darf auch weder wegen der Erfüllung seiner Aufgaben abberufen noch benachteiligt werden (Art. 38 Abs. 3 DS-GVO). Das heißt aber mangels weiterer Regeln auch, dass es keinen Kündigungsschutz im eigentlichen Sinne u.ä. flankierende Maßnahmen gibt, die explizit zum Schutz des Beauftragten getroffen wären. Sehr klar geregelt ist andererseits, dass der Auftragsverarbeiter die gleichen Pflichten hat. Ansatzpunkte für die erwähnte technische Ausrichtung ergeben sich bei der Ausführung diverser Vorschriften, so insb. dem Recht auf Vergessen bzw. Löschungspflicht dazu, Rz. 548 f., was in technischer Hinsicht keine triviale Aufgabe ist, aber auch bei der Datenminimierung, Rz. 599, 616.
515
1.1.2 Abweichungsmöglichkeiten, Öffnungsklauseln Es lassen sich neben den echten Öffnungsklauseln und Bereichsausnahmen, die in stattlicher Zahl verblieben sind,622 auch „implizite“ Öffnungsklauseln identifizieren.623 Darunter werden Regelungen verstanden, die einen Sachverhalt nicht abschließend regeln oder die nur ungenügend und unvollständig sind und einer ergänzenden Konkretisierung bedürfen. Lt. Roßnagel kann die mitgliedstaatliche Regelung anwendbar bleiben, soweit „kein Widerspruch vorliegt, sondern nur eine Präzisierung unbestimmter Rechtsbegriffe, eine Konkretisierung ausfüllungsbedürftiger Vorgaben oder die Ergänzung von unvollständigen Regelungen oder die Schließung von Regelungslücken, …“624
516
In der ursprünglichen Fassung hatte die DS-GVO (Entwurf vom 25.1.2012) zahlreiche Öff- 517 nungsklauseln bzw. Bereichsausnahmen. Einige davon sind geblieben.625 Besonders bekannt bzw. relevant ist die Möglichkeit der Regelung des Beschäftigten-Datenschutzes.626 Die Abweichungsmöglichkeiten bzw. die Ausnahmen sind aber wesentlich zahlreicher. Zum Teil sind sie sogar regelrecht versteckt. Zum Beispiel besteht die Möglichkeit nach Art. 4 Nr. 7, dass das Recht der Mitgliedstaaten Zwecke und Mittel der Verarbeitung vorgibt und die De622 Buchner, DuD 2016, 155 (160). 623 Taeger, ZRP 2016, 72 (73) mit Verweis auf Roßnagel, Drs. 18 (24) 94, 6 Ausschuss Digitale Agenda https://www.bundestag.de/blob/409512/4afc3a566097171a7902374da77cc7ad/a-drs-18-24-94-data.pdf. 624 https://www.bundestag.de/blob/409512/4afc3a566097171a7902374da77cc7ad/a-drs-18-24-94-data.pdf. 625 S. Buchner, DuD 2016, 155 (160) zu 18 näher spezifizierten „wichtigsten“ Regelungsspielräumen; s.a. Kraska, ZD 2/2016, VI. 626 S. schon gem. dem alten Entwurf Gola, EuZW 2012, 332.
Schneider
131
A Rz. 518
Datenschutz und IT-Management
finition des „Verantwortlichen“ anders ausfällt. Die entsprechende Möglichkeit ergibt sich auch bei den gemeinsam für die Verarbeitung Verantwortlichen, Art. 26 Abs. 1 DS-GVO. Dort ist die Ausnahmemöglichkeit vorgesehen, „sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind“. Also ergeben sich auch insoweit weitere Einflussmöglichkeiten. 518 Art. 9 legt die Arten der besonderen Kategorien von personenbezogenen Daten fest. Gem. Art. 9 Abs. 4 können die Mitgliedstaaten zusätzliche Bedingungen, einschl. Beschränkungen einführen oder aufrechterhalten, soweit die Verarbeitung von „genetischen, biometrischen oder Gesundheitsdaten betroffen ist“. Das Recht des Betroffenen auf Vergessen bzw. Datenlöschung und das Verbot der automatisierten Einzelentscheidung (mit den Erlaubnissen dazu) kann national eingeschränkt werden. Zur Auftragsverarbeitung, Art. 28 DS-GVO, kann die Kommission u. a. (gem. Abs. 7 DS-GVO) im Einklang mit den Prüfverfahren gem. Art. 87 Abs. 2 DS-GVO Standardvertragsklauseln zur Regelung der in den Abs. 3 u. 4 genannten Fragen festlegen. 519 Beim Datenschutzbeauftragten, der unter bestimmten Voraussetzungen nach Art. 37 zu benennen ist, ist ausdrücklich in Abs. 4 vorgesehen, dass nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben sein kann, dass ein solcher zu bestellen ist, also verbindlich ist. Dies würde die genannten Kriterien aushebeln und könnte zu einer weiteren Uneinheitlichkeit innerhalb der EU führen. Die Liste der Abweichungen ist noch wesentlich größer.627 1.1.3 „Freier Datenverkehr“ 520 Eine bloße Absichtserklärung ist Art. 1 Abs. 3 DS-GVO, wonach der freie Verkehr personenbezogener Daten aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden darf. Natürlich wird, wenn man die DS-GVO ernst nimmt, der freie Verkehr personenbezogener Daten eingeschränkt. Die wirtschaftliche Betätigungsfreiheit als Gegengewicht zum Datenschutz ist in der DS-GVO kaum berücksichtigt. Ansätze sind manche der Ausnahmeregeln, die auf überwiegende Interessen des Verantwortlichen abstellen; s. Rz. 549, 596, 725. 1.2 Anwendungsbereich 1.2.1 Territorial 521 Art. 3 DS-GVO regelt den räumlichen Anwendungsbereich.628 Der EuGH hatte in 2014 und 2015 Entscheidungen getroffen, die den Anwendungsbereich der DS-RL sehr weit ausdehnten. „Niederlassung“ in DS-RL.629 Die Kritik ging u.a. dahin, dass der EuGH mit seiner Auslegung zwei Kriterien des Erw.grd. 19 der DS-RL vernachlässige: das der „festen Einrichtung“ im Unterschied zur effektiven Tätigkeit einer Person und das der Tätigkeit „mittels“ 627 Eine Aufstellung von 18 Öffnungen bzw. möglichen Abweichungen, Kraska, ZD 2/2016, V. (VI.); s.a. Gierschmann, ZD 2016, 51; Spindler, DB 2016, 937. 628 S.a. zum Vergleich von § 1 Abs. 5 BDSG mit Art. 3 DS-GVO-E Wieczorek, DuD 2013, 644; s.a. Rz. 59 und 581 ff. 629 EuGH v. 13.5.2014 – C-131/12 – Google Spain, Rz. 60: „… Art. 4 I Buchst. a RL 95/46/EG dahin auszulegen ist, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung … ausgeführt wird, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist“. EuGH v. 1.10.2015 – C-230/14 – Weltimmo (Anwendbarkeit nationalen Rechts auf ausländische Gesellschaft); zur weiteren Anwendbarkeit der E. s. Kartheuser/ Schmitt, ZD 2016, 155 (159).
132
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 525
A
einer festen Einrichtung.630 Dieses Problem sollte durch die DS-GVO gelöst werden. Dementsprechend631 weit ist Art. 3: Im Sinne des Marktortprinzips gilt die DS-GVO gemäß Abs. 1, wenn die Verarbeitung von personenbezogenen Daten i.R.d. Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, und darüber hinaus nach Abs. 2, wenn auch nur sich die betroffenen Personen in der Union befinden, deren Daten durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zshg. damit verarbeitet werden, und dies im Zshg. damit steht, „a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt“. Nach Art. 3 Abs. 1 gilt die DS-GVO für „die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet“.632 Näher zu prüfen ist deshalb der Begriff der Niederlassung, auch im Hinblick auf EuGH.633
522
Es gilt danach das Marktortprinzip634:
523
„Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist.“
Der Anwendungsbereich erstreckt sich damit auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind.635 1.2.2 Daten mit Personenbezug Auch der Anwendungsbereich der DS-GVO hinsichtlich der geschützten bzw. von der Rege- 524 lung erfassten Daten wird ausgedehnt. Die DS-GVO gilt zwar, wie auch das bislang in der EU geltende Datenschutzrecht, für den Umgang mit personenbezogenen Daten lebender natürlicher Personen, d.h. für Daten, die sich auf eine identifizierte oder identifizierbare Person, also auch Mitarbeiter juristischer Personen, beziehen,636 Art. 4 Abs. 1 DS-GVO. Neben Name, Adresse, Hobbies, Standortdaten, ID-Nummern werden in Erw.grd. 30 DS-GVO nunmehr auch ausdrücklich IP-Adressen oder Cookies als personenbezogene Daten bezeichnet, sodass hier eine Klärung der bislang uneinheitlich bewerteten Rechtslage erfolgt ist. Identifizierbar sind nach Erw.grd. 26 ff. zudem ausdrücklich auch Betroffene, deren Daten pseudonymisiert wurden. 1.2.3 Jede Art von Verarbeitung personenbezogener Daten Die DS-GVO beendet das Abstellen auf Phasen der Verarbeitung der personenbezogenen Da- 525 ten. Damit bestimmt allein das Merkmal, ob personenbezogene Daten vorliegen bzw. Gegenstand des Umgangs sind, ob die weiteren Vorschriften Anwendung finden: Verarbeitung
630 631 632 633 634 635 636
Kartheuser/Schmitt, ZD 2016, 155. Albrecht, CR 2016, 88 (90). Kartheuser/Schmitt, ZD 2016, 155. EuGH v. 13.5.2014 – C-131/12 – Google Spain, s.a Rz. 60 f., 588 f. Spindler, DB 2016, 937 (938); Kraska, ZD-Aktuell 2016, 04173. BfDI – Info 6, S. 15. Zum Datenbezug s. Brink/Eckhardt, ZD 2015, 205; Bergt, ZD 2015, 365 (zur Bestimmbarkeit).
Schneider
133
A Rz. 526
Datenschutz und IT-Management
wird definiert: jeden „mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ (Art. 4 Nr. 2 DS-GVO). 526 Damit sind die Phasen nur noch Beispiele für den Umgang mit Daten. Diese Definition ist zwar im Wesentlichen nur eine Umformulierung der Definition in der DS-RL. Allerdings galt diese nicht unmittelbar. Die deutsche Regelung konnte so, obwohl im Vergleich zu eng, bestehen bleiben. Dies ist nun nicht mehr möglich. 1.2.4 Öffentliche und nicht-öffentliche Verantwortliche, Adressat 527 Die DS-GVO adressiert nicht die verantwortliche Stelle, sondern den für die Verarbeitung Verantwortlichen, kurz der Verantwortliche. „Verantwortlicher“ ist nach Art. 4 „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Die DS-RL definiert entsprechend in Art. 2 d den „für die Verarbeitung Verantwortlichen“.637 Es wird erst neuerdings hinterfragt, ob insoweit relevante sachliche Unterschiede zwischen DS-RL und BDSG bzw. dann zwischen DS-GVO und BDSG bestehen.638 Allerdings gab es längst Hinweise hierauf, auch von der Art. 29-Gruppe.639 Relevant werden die Unterschiede etwa bei „joint controllership“. 1.2.5 Online- und Offline-Bereich 528 Die DS-GVO gilt für die „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“, (Art. 2 Abs. 1). Ein Dateisystem wird definiert als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkt geordnet geführt wird, Art. 4 Nr. 6 DS-GVO. Mithin ist der sachliche Anwendungsbereich sehr umfassend und betrifft weitgehend auch jede konventionelle Handhabung personenbezogener Daten. 529 Praktisch gibt es keine Unterscheidung der Art der Entstehung nach Gelegenheit und Art des Services, sodass auch Telemedien einbezogen sind, eigentlich auch TK-Daten. Unklar ist derzeit, wie die deutsche Umsetzungs- bzw. Begleit-Regelung aussehen wird.640 Das sog. Deutsche Ausführungsgesetz soll als „ABDSG“, Allgemeines Bundesdatenschutzgesetz, im Entwurf v. BMI vorgelegt werden, wozu Eckpunkte bekannt wurden.641 Danach wären TMG und TKG von diesem Gesetz nicht tangiert, sodass weitere Regelungen erforderlich bleiben. 1.2.6 Ausnahme persönlicher und familiärer Bereich 530 Art. 2 Abs. 2 DS-GVO nimmt einige spezielle Bereiche von der Anwendung der DS-GVO aus. Darunter findet sich das Privileg der „Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ durch eine natürliche Person. Das heißt, dass kein Bezug zur beruflichen 637 638 639 640
Art. 22 DS-GVO regelt die „Verantwortung des für die Verarbeitung Verantwortlichen“ näher. Monreal, ZD 2014, 611. WP 169, Stellungnahme 1/2010 v. 16.2.2010; Neumann, DuD 2011, 343. S. etwa Hinweise bei Roßnagel, Schriftliche Stellungnahme v. 19.2.2016 http://www.computerund recht.de/Stellungnahme_Rossnagel_zum_Ausschusses_Digitale_Agenda_v._19.2.2016.pdf. 641 http://hoganlovells-blog.de/2016/08/24/deutsches-ausfuehrungsgesetz-zur-eu-datenschutz-grundver ordnung-erste-eckdaten/ (25.8.2016).
134
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 533
A
oder wirtschaftlichen Tätigkeit bestehen soll (s.a. Erw.grd. 18). Dort werden als Beispiele für persönliche oder familiäre Tätigkeiten genannt („auch“), das „Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten“. Diese sog. Haushaltsausnahme642 gab es ähnlich schon in der DS-RL, sodass insoweit wohl auch die Rspr. hierzu weiterhin herangezogen werden kann.643 Bei der DS-RL galt nach Art. 3 Abs. 1 noch das Prinzip, dass die Privilegierung galt für „zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“.644 1.2.7 Bereichsausnahmen, insb. Arbeitnehmerdatenschutz, Öffnungsklauseln Zunächst gilt die DS-GVO auch für den Arbeitnehmerdatenschutz. Sie regelt sogar einen 531 kleinen, aber wichtigen Ausschnitt: Betriebsvereinbarungen sind ausdrücklich als Rechtsgrundlage erwähnt, wenn nicht anerkannt, Erw.grd. 155. Damit kann der Umgang mit Beschäftigtendaten auch künftig in Betriebsvereinbarungen geregelt werden. Art. 88 DS-GVO enthält eine Bereichsausnahme für die nationale Regelung des Beschäftigtendatenschutzes.645 Unklar sind evtl. Überschneidungen mit den Regelungen in der DS-GVO zu Profilen, automatisierten Einzelentscheidungen und Video-Aufnahmen ohne Bereichsausnahme. 1.3 Grundlage: DS-RL Aus Art. 6 und 7, den tragenden Vorschriften der DS-RL, wurden Art. 5 und 6 DS-GVO. Da- 532 mit ist auch klar, dass der Katalog nach Art. 6 DS-GVO zur Zulässigkeit abschließend ist,646 und die Interpretation anhand der bisherigen EuGH-Rspr. erfolgen muss.647 Die sklavische Übernahme der Kernvorschriften aus der Richtlinie in eine unmittelbar geltende Verordnung ist auch insofern erstaunlich, als dies den mangelnden Reformwillen und die Unfähigkeit zu einer zeitgemäßen Regelung deutlich demonstriert. Es verbleibt also auch bei dem Aufbau, dass zuerst die Grundsätze für die Verarbeitung personenbezogener Daten – Art. 5 – und dann das Verbot mit den Ausnahmen, Rechtmäßigkeit der Verarbeitung, Art. 6, geregelt werden. Eine Weile bestand die Hoffnung, die DS-GVO werde über den „risikobasierten Ansatz“ das rigide Verbotsprinzip aufweichen und Ausdifferenzierung würde gegenüber dem one-size-fits-all-Prinzip stärker an Bedeutung gewinnen.648 Diese Hoffnung wurde enttäuscht. Der Ansatz findet sich zwar (s. Rz. 571 ff.), es blieb aber beim Verbot mit Ausnahmen und deren Restriktionen wie Minimierung. 1.4 Verbot und Datenminimierung (Vermeidung), Accountability Bei wohlwollender Interpretation wird Art. 6, Rechtmäßigkeit der Verarbeitung, mit dem Ver- 533 botsprinzip zunächst, also vor Art. 5, geprüft. Danach ist die Verarbeitung nur rechtmäßig, wenn eine der dann folgenden Bedingungen erfüllt ist. Dies entspricht, auch hinsichtlich der folgenden Bedingungen, weitgehend Art. 7 DS-RL. Aus „nur rechtmäßig“ ergibt sich das Verbotsprinzip. Die weiteren Regelungen enthalten die möglichen Erlaubnisformen. Eine davon 642 S. Gola/Lepperhoff, ZD 2016, 9: Zur Reichweite des sog. Haushalts- und Familienprivilegs. 643 Dazu etwa EuGH v. 6.11.2003 – C-101/01, Rz. 47 – Lindqvist/Schweden zu „Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten§, und EuGH v. 11.12.2014 – C-212/13 zur privaten Videoüberwachung unter Miterfassung öffentlichen Raums (keine Privilegierung); 644 S. a. grundlegend EuGH v. 6.11.2003 – C-101/01, Verneinung der Ausnahme bei Aufnahme von Daten auf eine Internetseite mit Hinweisen auf verschiedene Personen entweder mit Namen oder auf andere Weise etwa durch Angabe der Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis und ihre Freizeitbeschäftigung erkennbar gemacht. 645 S. Spindler, DB 2016, 937 (938) und Rz. 692 ff. 646 Zu Art. 7 DS-RL s. EuGH v. 24.11.2011 – C-468/10, 469/10, CR 2012, 29, Rz. 58 (zu „Vollharmonisierung“ der DS-RL). 647 Z.B. und v.a. EuGH v. 6.10.2015 – C-362/14, CR 2015, 633 m. Anm. Härting – Safe Harbor, s. Zitat zu Rz. 62. 648 Veil, ZD 2015, 347.
Schneider
135
A Rz. 534
Datenschutz und IT-Management
ist die Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO. Eine Möglichkeit zu einer Generalklausel, die sehr weit ausgestaltet sein könnte (weil die Ausnahmen ansonsten nicht verfassungsgemäß sind) entfällt aufgrund der unmittelbaren Wirkung derDS-GVO. Für Deutschland ist dies unproblematisch, weil es insoweit keine Generalklausel gab. Die wesentlichen Vorschriften, §§ 28 und 29 BDSG sind zwar ausgesprochen intransparent, erweitern aber nicht etwa die Zulässigkeit auf allgemeine Grundsätze. Besonders allg. und insofern umfassend ist Art. 6 Abs. 1 Satz 1 lit. f DS-GVO, die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insb. dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Hierunter wird auch Videoüberwachung fallen,649 wobei noch die Gebote nach Art. 5 DS-GVO zu beachten sind, u.a. Zweckbindung und Datenminimierung. 534 Solche allgemeinen Grundsätze enthält andererseits Art. 5 DS-GVO. Deren Einhaltung genügt aber nicht für die Zulässigkeit. Die Grundsätze für die Verarbeitung personenbezogener Daten betreffen u.a. die Anforderung, dass die Gebote der Rechtsmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz zu erfüllen sind (a)). Im Rahmen dieser Grundsätze gilt auch die Zweckbindung (b)). Die Zweckbindung entsteht dadurch, dass einmal eindeutige und legitime Zwecke festzulegen sind, für die die Daten erhoben werden und sodann, dass die Daten nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen (Art. 5 (1) b)). Die Möglichkeiten der Verarbeitung werden aber noch weiter eingeschränkt, jedenfalls vom Wortlaut her durch die „Datenminimierung“. Dieses Gebot erfordert es, dass die Verarbeitung der Daten bzw. die personenbezogenen Daten selbst „dem Zweck angemessen und erheblich sein müssen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt.“ D.h., selbst dann, wenn die Verarbeitung für bestimmte Zwecke ansonsten erlaubt wäre, aber es sich nicht um das notwendige Maß handelt, wäre die Verarbeitung verboten. 535 Ebenfalls aus der Richtlinie stammt das Gebot, dass die Daten sachlich richtig und ebenfalls auf dem neuesten Stand sein müssen. Dieses Gebot der Richtigkeit, ansonsten Berichtigung oder Löschung zu erfolgen hat, ist sicher sehr wichtig, wurde allerdings in der Vergangenheit eher selten beachtet, spielt aber im Hinblick auf die Aktualitätsfrage und damit der Löschung noch eine besondere Rolle, s.a. Rz. 588 f. 536 Neu ist in gewissem Sinne die sog. „Speicherbegrenzung“, Art. 5 Abs. 1 lit. e DS-GVO.650 Die personenbezogenen Daten müssen demnach in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur solange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Dies würde sich eigentlich von selbst verstehen, weil die Daten zu löschen sind, wenn sie nicht mehr erforderlich sind. Ausdrücklich heißt es hier aber auch noch, dass personenbezogene Daten länger gespeichert werden dürfen, „soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen ausschließlich für im öffentlichen Interesse liegender Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden,“ sog. Archivprivileg. 537 Für die deutschen Verhältnisse vertraut kommt die Regelung zu Integrität und Vertraulichkeit vor, wonach die Daten in einer Weise zu verarbeiten sind, die „eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschl. Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und unbeabsichtigten Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Hierzu sind geeignete technische und organisatorische Maßnahmen zu ergreifen (Art. 5 Abs. 1 lit. f DS-GVO).
649 S. Härting, DS-GVO, Rz. 447. 650 S.a. Spindler, DB 2016, 937 (939).
136
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 541
A
Von der ursprünglich sehr hoch gehaltenen „Accountability“651 ist nicht viel übrig.652 Aller- 538 dings ist gem. Art. 5 (2), der Verantwortliche für die Einhaltung des vorzitierten Abs. 1 verantwortlich und hat den Nachweis dessen Einhaltung („Rechenschaftspflicht“) zu führen. Immerhin erhöht sich durch Art. 5 Abs. 2 und 24 DS-GVO die Rechenschaftspflicht (Accountability). „Unternehmen müssen u.a. durch die Vorlage geeigneter Dokumente etc. nachweisen, dass der Umgang mit den Daten im Einklang mit den in der DS-GVO dargestellten Grundsätzen erfolgt (s.a. Erw.grd. 85). Die Rechenschaftspflicht führt zu einer Beweislastumkehr zulasten der verantwortlichen Stelle, sodass bereits die fehlerhafte Dokumentation der Einhaltung des Datenschutzrechts zu wirtschaftlichen Folgen für Unternehmen führen kann.“653 1.5 Einwilligung, Widerruf (Art. 7 Abs. 3), Widerspruch (Art. 21 DS-GVO) 1.5.1 Einwilligung Die Einwilligung ist als Prinzip in der Theorie eine der tragenden Säulen für die Zulässigkeit 539 der Verarbeitung (Art. 6 (1) a)), wobei die Einwilligung für einen oder mehrere bestimmte Zwecke gegeben werden kann. Voraussetzung ist also, dass bei der Einwilligung der Zweck „bestimmt“ ist, auch wenn es mehrere sein können. Die Definition nach Art. 4 Nr. 11 greift diese Notwendigkeit spezifischer Einwilligung auf und fasst die Anforderungen zusammen, sodass sich als wesentliche Kriterien des weiteren ergeben „freiwillig“, „informierter Weise“ und „unmissverständlich abgegebene Willensbekundungen“654 und zwar „in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“. Die Kombination von unmissverständlich und eindeutig, unmissverständlich hinsichtlich der Willensbekundung und eindeutig hinsichtlich der bestätigenden Handlung, ermöglicht zwar immer noch auch konkludente Handlungen, wenn sie denn diesen Anforderungen entsprechen. Jedoch ist es wesentlich mehr als „stillschweigend“. Das Erfordernis der „Schriftform“ wird in Art. 7 Abs. 2 nicht generell aufgestellt, aber an die 540 Verwendung werden konkrete Anforderungen gestellt: wenn also Einwilligung durch eine schriftliche Erklärung vorliegt, „die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.“ D.h., dass vor der schriftlichen Erklärung das entsprechende Ersuchen den Anforderungen an Klarheit und Verständlichkeit sowie Zugänglichkeit genügen muss. Allerdings gilt das nur, wenn die schriftliche Einwilligung sich auf mehrere Sachverhalte bezieht.655 Es gibt zwar kein explizites Koppelungsverbot. Jedoch ist gem. Art. 7 Abs. 4 die „Freiwilligkeit“ an der Voraussetzung zu prüfen, ob „unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“. Die Rechtsfolge der Abhängigkeit sachfremder Datenlieferung ist zwar nicht so 651 Zum Galway- bzw. „Accountability-Projekt“ s. Hladjk/Kramer, https://www.huntonprivacyblog. com/wp-content/uploads/2011/11/Hladjk_DSB_9_2011.pdf, auch zu WP 168 (2009) und WP 173 (2010) der Art. 29 Gruppe. 652 Schon im Vorschlag der EU-Kommission v. 25.1.2012 ist stattdessen von „Responsibility“ die Rede, s. Härting, http://www.cr-online.de/blog/2013/03/25/eu-datenschutz-accountability-und-der-risikoo rientierte-ansatz/ (abgerufen am 24.5.2016). 653 http://www.luther-lawfirm.com/en/publications/newsletters/content/sondernewsletter-ipit-1-2016. html#i2046 Luther Sondernewsletter IP/IT 1/2016. 654 „Unambiguous“, aber nicht „explicit“, s.a. zur Debatte um die Einwilligung Krohm, ZD 2016, 386 sowie Rz. 543. 655 S.a. Spindler, DB 2016, 937 (939) und Härting, ITRB 2016, 36 (39) zu den Anforderungen.
Schneider
137
541
A Rz. 542
Datenschutz und IT-Management
klar geregelt wie Art. 7 Abs. 2 der Verstoß gegen Transparenz und Verständlichkeit. Dennoch erscheint klar: ist die Kopplung mit sachfremden Daten gegeben, ist die Einwilligung nicht freiwillig und deshalb unwirksam. 542 Art. 9 Abs. 1 wiederholt in gewissem Sinne nochmals das Verbotsprinzip bzw. erhärtet dieses durch eine spezifische Ausprägung für die Verarbeitung besonderer Kategorien personenbezogener Daten. Auch dies ist ein Indiz dafür, dass das allgemeine Verbotsprinzip unbrauchbar ist, weil eine Verstärkung eines Verbots kaum Sinn macht. Man wird die erneute Anbringung desselben so zu verstehen haben, dass die allgemeinen Grundsätze insoweit noch verschärft werden. Die Ausnahmen regelt Art. 9 Abs. 2 und dort ist auch eine spezifische Form der Einwilligung festgelegt. Die betroffene Person muss danach in die Verarbeitung für einen oder mehrere festgelegte Zwecke „ausdrücklich“ eingewilligt haben. Das bedeutet, dass das Erfordernis expliziter Einwilligung insoweit nur für die besonderen Arten personenbezogener Daten gilt. 543 Verständlich werden die verschiedenen Anforderungen bzw. Ausprägungen der Einwilligung vor dem Hintergrund verschiedener Erwägungsgründe, die sich damit befassen. Nach Erw.grd. 32 sollte die Einwilligung „durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ Ausdrücklich erwähnt wird in dem Zshg. die Form einer schriftlichen Erklärung, die aber auch elektronisch erfolgen kann, oder eine mündliche Erklärung. Ausdrücklich möglich ist aber auch eine elektronische Anwahl in folgender Weise: „Dies (die Einwilligung) könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.“ 544 Allerdings reicht Stillschweigen gegenüber bereits angekreuzten Kästchen oder Untätigkeit der betroffenen Person nicht als Einwilligung, so Erw.grd, 32 Satz 3. Mit den genannten Anforderungen an die Einwilligung würde sich eine Einwilligung unter Zwang nicht vereinbaren lassen. Art. 7 Abs. 4 regelt die Beurteilung, ob die Einwilligung ohne Zwang erteilt wurde. Danach „muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob u. a. die Erfüllung eines Vertrages, einschl. der Erbringung einer Dienstleistung, von der Einwilligung zur Verarbeitung von Daten abhängig gemacht wird, die für die Erfüllung des Vertrages nicht erforderlich ist“. Man wird annehmen können, dass bei vorliegendem Zwang die weitere Verarbeitung der Daten im Umfang dessen, was nicht erforderlich war, unzulässig ist, nicht aber der Vertrag, zu dem die Daten abgegeben und die Einwilligung in die Verarbeitung gegeben wurden. I.V.m. Erw.grd. 32 hinsichtlich der Freiwilligkeit, wenn keine Trennung möglich ist, bedeutet dies eine wesentliche Verschärfung der Anforderungen an die Einwilligung. Ergänzt wird dies in Erw.grd. 42 zur Nachweispflicht des Verantwortlichen: Es sollte nur dann davon ausgegangen werden, dass die betroffene Person „ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“ 545 Auf das Widerrufsrecht (s. Rz. 546) wird die betroffene Person „vor Abgabe der Einwilligung“ in Kenntnis gesetzt. „Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“ Der Verstoß hiergegen ist nicht explizit mit Sanktionen belegt. Man wird aber davon auszugehen haben, dass eine Einwilligung, die diesem Erfordernis nicht entspricht und insb. nicht die geeignete Widerrufsmöglichkeit bietet, ihrerseits wirkungslos ist.
138
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 550
A
1.5.2 Widerruf Nach Art. 7, Bedingungen für die Einwilligung, Abs. 3 hat die betroffene Person das Recht, „ihre Einwilligung jederzeit zu widerrufen“.656 Der Widerruf wirkt für die Zukunft, hat für die Rechtmäßigkeit der bislang erfolgten Verarbeitung keine Wirkung. Davon, dass der Widerruf nur für die Zukunft möglich ist, ist die betroffene Person „vor Abgabe der Einwilligung“ in Kenntnis zu setzen. Eine wichtige Maßgabe für die „Technik“ der Möglichkeit des Widerrufs ist, dass dieser „so einfach wie die Erteilung der Einwilligung sein“ muss (Art. 7 Abs. 3 Satz 4).
546
Diese Maßgabe wird noch in Art. 13, Informationspflicht bei Erhebung von personenbezoge- 547 nen Daten bei der betroffenen Person, spezifiziert. Nach dessen Abs. 1 sind spezifische Informationen bei der Erhebung mitzuteilen, s. Rz. 554. Sodann sind zusätzlich noch Informationen nach Abs. 2 zu erteilen und zwar „zum Zeitpunkt der Erhebung dieser Daten“, und zwar Informationen, „die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten“. Dazu gehört u.a. nach II. c) auch der Umstand, dass die Einwilligung jederzeit zu widerrufen ist und zwar „ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird“. Eine entsprechende Regelung enthält Art. 14 DS-GVO, Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden (dort Abs. 2 d). Im Hinblick auf das Recht auf Löschung (Art. 17 DS-GVO, Recht auf Vergessenwerden) be- 548 wirkt der Widerruf, dass auch die Möglichkeit eröffnet wird, dass die widerrufende Person vom Verantwortlichen verlangt, „dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden“. Der Verantwortliche ist dann verpflichtet, diese personenbezogenen Daten unverzüglich zu löschen. Das heißt, dass der Widerruf die gleiche Wirkung hat, als ob die Daten nicht mehr notwendig seien (das wäre Fall a) in Art. 17 Abs. 1 DS-GVO). 1.5.3 Widerspruch Art. 21 DS-GVO enthält eine Regelung zum Widerspruch des Betroffenen bezüglich der Verarbeitung ihn betreffender personenbezogener Daten, „die aufgrund von Art. 6 Abs. 1 e) oder f) erfolgt. In diesen beiden Fällen handelt es sich um einmal die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (e)), im anderen Fall geht es um die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten und die Erforderlichkeit hierfür. Diese Verarbeitung wäre nur zulässig, wenn die Abwägung ergab, dass nicht die Interessen oder Grundrechte oder Grundfreiheiten der betroffenen Personen überwiegen. Zusätzlich zu dieser Abwägung ansonsten dann zulässiger Verarbeitung hat der Betroffene noch das Recht, ausdrücklich zu widersprechen.
549
Nach Art. 21 Abs. 2 DS-GVO hat der Betroffene auch das Recht, einen entsprechenden Widerspruch jederzeit auszuüben, wenn die Daten verarbeitet werden, „um Direktwerbung zu betreiben“. Ausdrücklich stellt der 2. Halbs. dann klar, dass dies auch für das Profiling gilt, soweit es mit solcher Direktwerbung zusammenhängt. Die Wirkung des Widerspruchs besteht darin, dass der Verarbeiter die Daten nicht nur für Zwecke der Direktwerbung verarbeiten darf (Art. 21 Abs. 3 DS-GVO). Voraussetzung dafür, dass die Verarbeitung rechtmäßig ist, ist wiederum, dass nach Abs. 4 der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation auf das Recht des Widerspruchs nach den beiden ersten Absätzen hingewiesen wird. Dieser Hinweis muss in einer verständlichen und von anderen Informationen getrennten Form erfolgen (Art. 21 Abs. 4 DS-GVO). Zur Form des Widerspruchs besagt zudem Abs. 5, dass im Zshg. mit der Nutzung von Diensten der Informationsgesellschaft der Betroffene sein Widerspruchsrecht mittels automatisierter Verfahren ausüben kann, bei dem technische Spezifikationen verwendet werden.
550
656 S.a. Spindler, DB 2016, 937 (940).
Schneider
139
A Rz. 551
Datenschutz und IT-Management
551 Art. 6 DS-GVO regelt noch ein spezielles Widerspruchsrecht auch im Hinblick auf solche Daten die für wissenschaftliche oder historische Forschungszwecke oder zu statistischen Zwecken verarbeitet werden, wobei dieses Recht nur besteht, wenn die Verarbeitung nicht zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist (Art. 21 Abs. 6 a.E.). Die DS-RL enthielt bereits ähnliche Regeln zum Widerspruch. Art. 21 DS-GVO hat diese jedoch noch verschärft.657 Art. 21 Abs. 5 DS-GVO ist dahingehend zu verstehen, dass der Widerspruch auch automatisiert durch Browser-Voreinstellungen erfolgen kann, also als Do-not-Track-Signal.658 1.6 Zweckbindung, Zweckänderung 552 Die Zweckbindung ist im Prinzip eine der Grundlagen für eine rechtmäßige Verarbeitung, wird aber in der Wirkung weitgehend durch das Verbots- und Erforderlichkeitsprinzip überlagert, da es in dessen Folge primär um Zulässigkeiten geht. Die Möglichkeiten zu einer Zweckänderung sind nach deutschem Recht durchaus gegeben, wenn auch sehr aufwendig und umständlich formuliert, § 28 BDSG, s. Rz. 149 ff. Die Möglichkeiten der Zweckänderung waren in der Diskussion der verschiedenen Entwürfe stets stark umkämpft. Das Ergebnis ist nun mit Art. 6 Abs. 4 an eine Kompatibilitätsprüfung geknüpft.659 Dies lässt sich dem Wortlaut nicht so unmittelbar entnehmen, weil bei der Zweckänderung der Verantwortliche angehalten wird, bestimmte, beispielhaft aufgeführte Prüfungsfragen zu beantworten, „um sich zu vergewissern, ob die Verarbeitung für einen anderen Zweck, mit dem Zweck, zu dem die Daten ursprünglich erhoben wurden, vereinbar ist“. Zu diesen Kriterien bzw. Prüfungsfragen gehören: (a) Jede Verbindung zwischen den Zwecken, für die die Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung. (b) Der Zshg., in dem die personenbezogenen Daten erhoben wurden, also der Kontext, insb. hinsichtlich des Verhältnisses zwischen den betroffenen Personen und den für die Verarbeitung Verantwortlichen. (c) Die Art der personenbezogenen Daten, wobei insb. noch die besonderen Kategorien personenbezogener Daten gem. Art. 9 angesprochen sind. 1.7 Automatische Entscheidung, Profiling, sehr vages Schutzgut „Rechte und Freiheiten“ 553 Die Definition des Profiling erfolgt in Art. 4 Abs. 4 DS-GVO, s. Rz. 502. Profiling ist ein Thema, das in der DS-GVO im Kontext der automatisierten Einzelentscheidung behandelt wird.660 In den Erwägungsgründen taucht das Profiling sehr häufig auf, so u. a. in Erw.grd. 60, wonach die betroffene Person darauf hinzuweisen ist, dass Profiling stattfindet und welche Folgen dies hat. Darüber hinaus sollte gem. Erw.grd. 70 jederzeit der Widerspruch gegenüber dem Profiling eingelegt werden können. Erw.grd. 71 stellt den Kontext her, wonach das Profiling den Verfahren zur automatischen Ablehnung eines Online-Kreditantrags oder OnlineEinstellungsverfahrens ohne jedes menschliche Eingreifen ähnlich ist. Es zählt Profiling zu einer derartigen Verarbeitung im Kontext der Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person. Zu dieser Bewertung wird insb. gerechnet die Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Grundlagen, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel. Diese Fall-Situationen werden bei der Beurteilung des Profiling zu berücksichtigen 657 S.a. Spindler, DB 2016, 937 (945). 658 S. Spindler, DB 2016, 937 (945). 659 S. zum Kompatibilitätstest Spindler, DB 2016, 937 (943); Gierschmann, ZD 2016, 51 (54 f.); Richter, DuD 2015, 735 zur Zweckbindung im Ratsentwurf der DS-GVO; dazu auch Katko, MMR 2014, 360 (363). 660 S. z.B. Spindler, DB 2016, 937 (944).
140
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 558
A
sein. Ebenfalls noch nach Art. 71 ist aber eine solche Verarbeitung einschl. Profiling mit einer darauf beruhenden Entscheidungsfindung im Prinzip zulässig, also erlaubt, weshalb das angedeutete Widerspruchsrecht661 von besonderer Bedeutung ist, weil das Profiling ansonsten nicht begrenzt erscheint. In diesem Zshg. wäre aber speziell noch Arbeitsrecht zu berücksichtigen, wonach ggf. besondere Regelungen gelten, auch im Hinblick auf AGG, s. Rz. 517 zur Bereichsausnahme Arbeitsrecht. Im Zshg. mit den Informationspflichten bei Erhebung von personenbezogenen Daten bei der 554 betroffenen Person, Art. 13, wird zu dem ausdrücklichen Abs. 2 ein Katalog zusätzlicher Informationspflichten geschaffen, wovon f) das Bestehen einer automatisierten Entscheidungsfindung einschl. Profiling gem. Art. 22 Abs. 1 u. 4 betrifft. Art. 22 regelt wiederum die automatisierten Entscheidungen im Einzelfall einschl. Profiling. Zwar ist wie angedeutet das Profiling zulässig. Jedoch besagt Art. 22 Abs. 1, dass die betroffene Person das Recht hat, „nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“.662 Ob man daraus schließen kann oder sogar muss, dass die erste Alternative meint „rechtlich negative oder belastende, nicht nur günstige Wirkung“, ist unklar. Die 2. Alternative scheint auf negative Wirkung beschränkt und bezieht sich mit „ähnlicher Weise“ auf die 1. Alt. Art. 22 Abs. 2 DS-GVO enthält weitgehende Ausnahmen, sodass es eine Reihe von nicht nur generell zulässigen Verfahren gibt, sondern auch solchen, denen gegenüber die betroffene Person nicht den Anspruch hat, dadurch nicht beeinträchtigt zu werden. Der Hauptfall dürfte der nach Art. 22 Abs. 2 a sein, wonach Abs. 1 nicht gilt, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Das bedeutet, dass gerade in dem typischen Fall, dass nämlich ein Vertrag wie etwa ein Darlehensvertrag abgeschlossen werden soll und die Bonitätsprüfung automatisch über die Kreditvergabe entscheiden könnte – s. aber Rz. 101, 197 – kein Widerspruch seitens des Betroffenen erlaubt wäre.
555
Profiling ist aber auch einer der Risiko-Aspekte, der eine Datenschutz-Folgenabschätzung 556 erforderlich macht, Art. 35 Abs. 3 a DS-GVO, dazu Rz. 570, wonach diese Folgenabschätzung insb. in dem Fall erforderlich ist, dass „systematisch umfassende Bewertung persönlicher Aspekte natürlicher Personen“ erfolgt, „die sich auf automatisierte Verarbeitung einschl. Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen“. Es ist also nicht erforderlich, dass die Einzel-Entscheidung bereits automatisiert erfolgt. Auch im Hinblick auf interne Datenschutzvorschriften (Art. 47), die die zuständige Aufsichtsbehörde nach dem Koheränzverfahren genehmigt, ist das Profiling ein eigener Aspekt (Abs. 2 e). 1.8 Pflichten des Verarbeiters Die Pflichten des Verarbeiters nach der DS-GVO sind vielfältig und in ihrer Auflistung allein schon ein großes Programm für den Verantwortlichen. Diesem obliegt, daraus ein für seine Verhältnisse zugeschnittenes Konzept zu entwickeln, mittels dessen er im Rahmen seiner Datenschutz-Organisation diesen Pflichten nachkommen kann. Veil listet z.B. 30 solche Pflichten auf.663
557
Die Vielzahl der Verpflichtungen hängt u. a. mit den Differenzierungen hinsichtlich unterschiedlicher Datenarten in der DS-GVO zusammen, was z.B. sich darin ausdrückt, dass Spe-
558
661 S. Spindler, DB 2016, 937 (945). 662 Zum Abgleich mit § 6b BDSG und § 28b BDSG Scoring s. Taeger, ZRP 2016, 72. 663 Veil, ZD 2015, 347, Fn. 2.
Schneider
141
A Rz. 559
Datenschutz und IT-Management
zialregelungen für die Behandlung von Daten von Kindern bestehen (Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft).664 Schon bei der Rechtmäßigkeit der Verarbeitung, Art. 6, ist auf die Belange von Kindern insofern Rücksicht zu nehmen, als nach f) die Verarbeitung der personenbezogenen Daten zulässig ist, wenn es um die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten geht und für die Daten erforderlich sind. Das Gegengewicht bildet die notwendige Abwägung, nämlich „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen, insb. dann, wenn es sich bei der betroffenen Person um ein Kind handelt“. Das bedeutet, dass bei der Verarbeitung auch an zahlreichen Stellen Differenzierungen danach vorzunehmen sind, ob es sich bei der fraglichen Person um einen Erwachsenen oder ein Kind handelt, was sich naturgemäß im Laufe der Zeit ändert. 559 Die besonderen Kategorien personenbezogener Daten sind allg. in Art. 9 geregelt und implizieren in einer ganzen Reihe von weiteren Stellen besondere Vorkehrungen bzw. Berücksichtigung. Diese werden aber noch spezifiziert bzw. weiter differenziert, indem noch spezifische Besonderheiten gelten, wenn es sich um „genetische Daten“ handelt, Art. 4 Nr. 13, „biometrische Daten“, Art. 4 Nr. 14 und „Gesundheitsdaten“, Art. 4 Nr. 15. 560 Eine besondere Kategorie insgesamt und teilweise sehr speziell geregelt sind die Informationspflichten gegenüber der betroffenen Person, etwa Art. 13 bei Erhebung der Daten und speziell Art. 14, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Um die Rechte der betroffenen Person überhaupt wahren zu können bzw. damit diese ihre Rechte ausüben kann, sind praktisch spiegelbildliche Pflichten des Verantwortlichen gegeben, für die wiederum auch die Voraussetzungen seitens des Verantwortlichen zu schaffen sind. Dies betrifft insb. die Auskunftspflicht gegenüber dem Auskunftsrecht der betroffenen Person (Art. 15) sowie das Recht auf Berichtigung, Art. 16 und – was technisch ggf. besonders anspruchsvoll sein kann – Art. 17 das Recht auf Löschung, s.a. Rz. 548, 588 f. Nach Art. 18 gibt es zudem das Recht auf Einschränkung der Verarbeitung, dass die betroffene Person geltend machen kann, wenn bestimmte Voraussetzungen gegeben sind, darunter die Richtigkeit der personenbezogenen Daten bestritten wird (1) a)). Ebenfalls technisch anspruchsvoll kann die Ausübung des Rechts auf Datenübertragbarkeit sein, Art. 20. Schließlich können sich in der Folge der Ausübung des Widerspruchsrechts, Art. 21, ebenfalls Maßnahmen als veranlasst ergeben, die technischer Vorkehrungen bedürfen bzw. die auch im Vorhinein schon berücksichtigt sein müssen, damit sie später tatsächlich auch vorgenommen werden können. 561 Ebenfalls spezielle Pflichten ergeben sich im Zshg. mit Profiling, in der DS-GVO kombiniert mit der automatisierten Entscheidung. Nach Art. 22 wird die Möglichkeit des Profiling bzw. der automatisierten Entscheidung an bestimmte Voraussetzungen geknüpft. Zu den Pflichten gehört außerdem ganz generell die Verantwortung des Verantwortlichen im Zshg. mit Art. 24, ggf. auch i.R.v. Art. 26 als gemeinsam Verantwortliche und i.V.m. der Auftragsverarbeitung, Art. 28, wozu wiederum ggf. gemeinsame Haftung nach Art. 82 zu berücksichtigen ist. 562 Die DS-GVO adressiert indirekt die Hersteller von IT-Produkten, indem sie nach Art. 25 den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Gewicht verleihen will. Die Anwendung allein dieses Art. dürfte ein ganzes Pflichtenprogramm auslösen, weil insoweit unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände, der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere der mit der Ver-
664 Gem. Erw.grd. 38 verdienen Kinder bei ihren personenbezogenen Daten besonderen Schutz, da sie sich der betreffenden Risiken, Folgen und Garantien ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.
142
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 567
A
arbeitung verbundenen Risiken die entsprechenden Design-Entscheidungen zu treffen sind und damit auch die Auswahl-Entscheidung ggf. für Produkte. Diese Liste der Pflichten ließe sich weiter fortsetzen. Wohl besonders gravierend ist neben 563 der Sicherheit der Verarbeitung, Art. 32, die Skandalisierungspflicht nach Art. 33 und 34 DSGVO. Nach Art. 33 DS-GVO haben Meldungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen und zwar binnen einer Frist von 72 Stunden („möglichst“), wenn nicht, dann mit Begründung für die Verzögerung (1) Satz 2. Die Mindest-Informationen hierzu sind in Art. 33 (3) näher beschrieben. Art. 33 Abs. 5 verpflichtet den Verantwortlichen, Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zshg. mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten zu dokumentieren. Dies umfasst auch die Auswirkungen und die ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Nach Art. 34 ist auch die betroffene Person zu benachrichtigen. Dies gilt dann, wenn die Verletzung des Schutzes personenbezogener Daten „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ der natürlichen Person zur Folge hat. Diese sind dann unverzüglich von der Verletzung zu benachrichtigen, s.a. Rz. 660. Ebenfalls gravierende und auch sehr aufwendige Pflicht ist die Datenschutz-Folgenabschät- 564 zung, Art. 35 DS-GVO, s. Rz. 571 ff., 683, inklusive der dabei zu erfolgenden vorherigen Konsultation, Art. 36 DS-GVO. Auch die Benennung eines Datenschutzbeauftragten nach Art. 37 gehört zu den Pflichten des Verantwortlichen, dazu Rz. 602 ff. 1.9 Technisch organisatorische Maßnahmen, „TOM“ Trotz der Technologie-Neutralität sind in der DS-GVO an einer ganzen Reihe von Regelun- 565 gen auch technische Maßgaben eingebaut. Aus zahlreichen Erw.grd. etwa Nr. 78, 83 und Vorschriften ergeben sich Aufgaben für die technische Gestaltung bzw. die Planung und Integration. Dies betrifft etwa das Recht auf Löschung, Art. 17, evtl. in besonderem Maße das Recht auf Datenübertragbarkeit, Art. 20, die datenschutzgerechte Technikgestaltung und die datenschutzfreundlichen Voreinstellungen gem. Art. 25 und in besonderem Maße den Auftragsverarbeiter und das Verhältnis zu dem Verantwortlichen und Auftragsverarbeitern, Art. 28. Dies hängt v.a. damit zusammen, dass der Auftragsverarbeiter hinreichend Garantien bieten muss, damit er überhaupt ausgewählt werden kann, dass er nämlich geeignete technische und organisatorische Maßnahmen so durchführen kann, dass der Datenschutz – kurz gesagt – gewährleistet ist (Art. 28 Abs. 1). Auch aus den weiteren Absätzen ergeben sich noch Maßgaben für die technische Ausgestaltung. Für die „Datensicherheit“, die sog. technisch-organisatorischen Maßnahmen,665 sind un- 566 mittelbar von Bedeutung die Art. 32, Sicherheit der Verarbeitung, und Art. 35, DatenschutzFolgenabschätzung. Mit diesen beiden Vorschriften hängt eine Reihe weiterer Artikel zusammen und bezieht sich auf diese, so etwa auch die Verhaltensregeln nach Art. 40, dort (2) h)). Die TOM sind in jedem Fall zu ergreifen, schon wegen Art. 25 DS-GVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) und 32 DSGVO, allerdings im entsprechenden Rahmen der Abwägung von Kosten und Risiken. Art. 23 Abs. 1 DS-GVO stellt für die Datenschutz-Folgenabschätzung darauf ab, ob ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, was anhand von Regelbeispielen vermittelt wird, s. Rz. 570. Für eine Reihe von Pflichten seitens des Verantwortlichen und des Auftragsverarbeiters sind weitere technische Maßnahmen erforderlich bzw. technische Vorgaben zu berücksichtigen, damit diese Pflichten erfüllt werden können. Möglicherweise wird insoweit Art. 83 „All665 Dazu auch Erw.grd. 80.
Schneider
143
567
A Rz. 568
Datenschutz und IT-Management
gemeine Bedingungen für die Verhängung von Geldbußen“ zu einer zentralen Vorschrift. Nach deren Abs. 4 sind solche Geldbußen auch in dem Falle vorgesehen, dass Verstöße gegen die Vorschriften des Art. 32 u. des Art. 35 vorliegen. D.h., dass eine Geldbuße von bis zu 10 Mio. Euro als oberer Rahmen möglich ist oder im Falle eines Unternehmens von bis zu 2 % des gesamt weltweiten erzielten Jahresumsatzes. 568 Bei der Beurteilung der erforderlichen Maßnahmen ist zu berücksichtigen, dass eine § 9 Satz 2 BDSG explizit entsprechende Regelung bei Art. 32 DS-GVO fehlt. Eine entsprechende Norm findet sich allerdings bei Art. 24 Verantwortung.666 Art. 24 Abs. 2 DS-GVO – „Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen“ – stellt allerdings nicht unmittelbar eine Korrelation Schutzzweck/Gefährdungen/Erforderlichkeit und Angemessenheit her. Dies ergibt sich etwas mühsam erst aus Art. 32 Abs.1 über das „angemessene Schutzniveau“, wozu wiederum auch die Ergebnisse der Datenschutz-Folgenabschätzung Maßgaben zeitigen werden, s.a. Rz. 570. Es gilt also auf Umwegen, dass Maßnahmen erforderlich sind, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angemessenen Schutzniveau i.V. mit den „Verarbeitungstätigkeiten“ (Art. 24 Abs. 1DS-GVO) steht. 569 Nach Art. 32 DS-GVO ist auf verschiedene Aspekte abzustellen, die nahezu sämtlich mit der Schutzsphäre der Person bzw. der Sicherheit zu tun haben, nicht dagegen mit der Leistungsfähigkeit des Verantwortlichen. Dazu ist die Verknüpfung mit Art. 24 DS-GVO erforderlich. Nach Art. 32 DS-GVO ist u. a. der Stand der Technik zu berücksichtigen, des Weiteren die Implementierungskosten, wobei keine Maßgabe hinsichtlich der „Verhältnismäßigkeit“ erfolgt. Angedeutet wird dies durch den dritten Aspekt, nämlich die Art, den Umfang, die Umstände und den Zweck der Verarbeitung, also vom Verantwortlichen selbst gestalteten Bereich seines IT-Systems bzw. seiner IT-Infrastruktur. Damit werden indirekt auch die weiteren Aspekte, um deren Berücksichtigung es auch in Art. 32 DS-GVO geht, nämlich die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos, wesentlich beeinflusst. Einzig geht es um Kategorien zur Beurteilung, die der Verantwortliche selbst in der Hand hat. Es wäre deshalb denkbar, dass man die an zweiter Stelle bereits genannten „Implementierungskosten“ (vom Unterhalt ist nicht die Rede) ähnlich verstehen darf wie die in § 9 Satz 2 BDSG. Die Brücke dazwischen bildet in gewissem Sinne Art. 17 (1) Abs. 2 DS-RL, wonach die Maßnahmen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten müssen, „das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist“. Auch hier ist nicht von der Verhältnismäßigkeit unmittelbar die Rede. Interessanterweise sind die bei der Durchführung entstehenden Kosten erfasst, also auch die der Unterhaltung, nicht nur die Implementierung. 570 Richtig aufwendig erscheint zusätzlich die Datenschutz-Folgenabschätzung, Art. 35 DSGVO. Sie erfolgt in gewissem Sinne in Stufen. Zunächst muss der Verantwortliche schon prüfen, ob er in die Kategorie derjenigen fällt, die die Datenschutz-Folgenabschätzung vorzunehmen haben.667 Dann wird der ggf. diese durchführen, um bei negativem Ergebnis die 666 (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. 667 Art. 35 Abs. 3 DS-GVO enthält nur Regelbeispiele (Härting, DS-GVO, Rz. 36): „… insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Ver-
144
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 571
A
Konsultation zu absolvieren. Evtl. wird die Abschätzung nach Abhilfemaßnahmen erneut durchzuführen sein. Sodann ist fallweise, zumindest bei Änderungen,668 die Einhaltung der Ergebnisse (wohl auch der Konsultation) zu prüfen. Dies ergibt sich aus Art. 35 Abs. 11 DSGVO, wonach der Verantwortliche „erforderlichenfalls“ eine Überprüfung durchführt, „um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird“. Der Verantwortliche muss also mehrfach eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durchführen. Dabei stellt er zunächst vorab fest, ob die Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheit natürlicher Personen zur Folge hat. Über die Konsultation gem. Art. 36 und die Berücksichtigung deren Ergebnisse kommt es evtl. zu erheblichem Zeitaufwand vor der Inbetriebnahme. Unklar ist, was bei evtl. Feststellungen mangelnder Konformität nach Änderungen gilt – wäre dann der Betrieb der fraglichen Systeme auszusetzen? 2. Neue Instrumente/Institutionen, Rechte des Betroffenen 2.1 Risikobasierter Ansatz, Datenschutz-Folgenabschätzung Risikobasierter Ansatz als tragendes Prinzip wäre eine Alternative zum Verbotsprinzip und 571 würde bedeuten, ab einer näher festzulegenden Schwelle, höhere Anforderungen an die Zulässigkeit und flankierende Maßnahmen zu stellen. Dies hätte es etwa erlaubt, die Grundversorgung mit Daten im Alltagsgeschäft nicht unter das Verbot zu nehmen und dieses erst bei Zweckänderungen oder besonderen Arten der Verarbeitung (Profiling) oder bei Übermittlungen greifen zu lassen.669 Es gilt stattdessen aber primär das Verbotsprinzip als Grundsatz, wozu der risikobasierte Ansatz nur bedingt passt:670 selbst bei Zulässigkeit der Verarbeitung, Art. 6, gelten zusätzliche Anforderungen bei bestimmbar höheren Risiken. Dazu werden dem Verantwortlichen Pflichten zur Prüfung auferlegt, so die Datenschutz-Folgenabschätzung, Art. 35 DS-GVO.671 Dogmatisch ist diese Kombination zweier gegensätzlicher Prinzipien verfehlt: Das Verbot ist ein starker Eingriff in die wirtschaftliche Betätigungsfreiheit, die Ausnahmen sind mit starken Restriktionen belegt, v.a. Datenvermeidung, Erforderlichkeit, Zweckbindung, Löschung. Was übrig bleibt, unterliegt ggf. zusätzlich dem risikobasierten Ansatz.672 Risiken werden z.B in Erw.grd. 83 angesprochen: „… Risiken berücksichtigt werden, wie etwa Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insb. wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.“ Die vagen673 Voraussetzungen und immer noch sehr vagen Pflichten zur Durchführung der Maßnahmen zur Datenschutz-Folgenabschätzung sind im Hinblick auf das Bestimmtheitsgebot (das auch wegen der Bußgelddrohung in Art. 83 Abs. 2 d DS-GVO zu beachten ist) völlig unzureichend. Dies gilt erst recht als Leistungsbeschreibung für das anstehende Projekt datenschutzkonformer Gestaltung der Geschäftsprozesse zwecks Durchführung der Datenschutz-Folgenabschätzung.
668 669 670 671 672 673
arbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche“; c) würde etwa Videoüberwachung einschließen. Art. 35 Abs. 11 2. Halbs. DS-GVO: dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. S. zu diesem Ansatz den Alternativentwurf Härting/Schneider, CRi 2013, Supplement 1, und Schneider/Härting, CR 2014, 306 zu „Navigationsempfehlungen“. Positiver noch Veil, DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip, ZD 2015, 347. Spindler, DB 2016, 937 (942), als Teil des Managementsystems. S. Veil, ZD 2015, 347; Härting, DS-GVO, Rz. 129 (133); S.a. von dem Bussche, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 35 DS-GVO, Rz. 17.
Schneider
145
A Rz. 572
Datenschutz und IT-Management
572 Ergänzend zu Art. 35 DS-GVO gibt auch Erw.grd. 75 näheren Aufschluss über relevante Risiken, die die vagen Bestimmungen in Art. 35 konkretisieren. Die Risiken und Faktoren, die gemäß Art. 35 Abs. 1 DS-GVO im Hinblick auf die Risiko-Ermittlung zu berücksichtigen sind, eröffnen ein sehr großes, spannungsreiches Feld: „Form der Verarbeitung“ ist eine jede Erscheinungsform erfassende Formulierung, die durch „insbesondere bei Verwendung neuer Technologien“ beispielhaft etwas konkretisert, aber nicht beschränkt wird. Die möglichen, relevanten Ursachen für ein (hohes) Risiko werden genannt „Art“, „Umfang“, „Umstände“ und „Zwecke“ der Verarbeitung – allgemeiner geht es kaum. Es genügt, dass solche Ursachen „voraussichtlich ein hohes Risiko674 für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, um die Pflicht zur Abschätzung vorab – vor Inbetriebnahme – auszulösen. Dazu führt der Verantwortliche eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch, wobei „für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken … eine einzige Abschätzung vorgenommen werden“ kann. Aus der Formulierung „Untersuchung“ kann geschlossen werden, dass es nicht genügt, „Überlegungen“ anzustellen, Schätzungen im Wortsinne dürften nicht reichen. Es wird eine systematische Untersuchung,675 ausgerichtet auf den Einzelfall und dessen Gefahrkonstellationen mit Bewertung und Handlungsempfehlung, verlangt. Diese Gefahrkonstellationen sind beispielhaft bzw. als Minimum in Art. 35 Abs. 3 DS-GVO aufgeführt.676 573 Den besonderen Risiken bei „sensiblen Daten“ wird durch das zweite Verbot mit Ausnahmen (Art. 9 DS-GVO)677 Rechnung getragen, wobei u.a. nach Abs. 2a besondere Anforderungen an die Einwilligung gestellt werden („ausdrücklich“), sodass die übliche Art der Einwilligung unwirksam wäre.678 Dies wird auch ins Arbeitsrecht abstrahlen (müssen), nachdem i.R.d. Arbeitnehmerdaten nahezu unausweichlich auch „sensible Daten“ erforderlich sind.679 Erw.grd. 75 DS-GVO bezieht sich ausdrücklich auf die personenbezogenen Daten, „aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten“ und macht diese indirekt auch zu wesentlichen Gegenständen, die bei der Datenschutz-Folgenabschätzung im Fokus stehen sollen. Art. 35 Abs. 7 DS-GVO beschreibt das Minimum an Inhalt der Datenschutz-Folgenabschätzung, woraus sich mittelbar 4 Ebenen bzw. Schritte ergeben, die dann je nach Ergebnis zur vorherigen Kosultation (Art. 36 DS-GVO) führen: – systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung (a)), – eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (b)) – eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Abs. 1 (c) und – die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener 674 Aus Erw.grd. 76 Satz 2 DS-GVO ergibt sich, das die Analyse und Bewertung auf objektiven Maßstäben beruhen und die Ebenen „Risiko“ und in Abgrenzung dazu „hohes Risiko“ umfassen und dann differenzieren soll (muss). 675 Auch mit Blick auf Erw.grd. 76 Satz 1 DS-GVO: Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. 676 S. Zitat des Abs. zu Rz. 570; weitere Kriterien für die Notwendigkeit bzw. weitere Risiko-Aspekte eröffnet Erw.grd. 75. 677 Das vorgelagerte, erste Verbot ist in Art. 6 DS-GVO enthalten, s. Rz. 533. 678 Zu „sensiblen Daten“ und zur Einwilligung s. Spindler, DB 2016, 937 (943 f.). 679 S.a. Spindler, DB 2016, 937 (943 f.); s.a. Rz. 692 ff.
146
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 576
A
Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird (d)). Ist die „Bewältigung“ nicht ausreichend i.S.d. Art. 36 Abs. 1 DS-GVO („Maßnahmen zur Eindämmung des Risikos“) möglich, wird die Konsultation erforderlich. Dass insoweit erheblicher Aufwand bzw. auch Verzug durch die Arbeiten vor der Nutzungsmöglichkeit einer Anwendung entsteht, ist klar. Allerdings war im Verfahren diese Vorschaltung auch der Konsultation umstritten, also die Problematik klar.680 2.2 Datenportabilität, Art. 20 DS-GVO Nach Art. 20 hat die betroffene Person das Recht auf „Datenübertragbarkeit“, Portability. In dem Zshg. sind ausnahmsweise relativ techniknahe Ausführungen, wie dies geschehen soll, in der DS-GVO zu finden: Nach Abs. 1 hat der Verantwortliche die personenbezogenen Daten, die die betroffene Person ihm bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu übergeben. Die betroffene Person hat das Recht, diese Daten zu erhalten und darüber hinaus das Recht, sie einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln: Bedingung ist aber, dass die Verarbeitung auf einer Einwilligung gem. Art. 6 oder einem Vertrag beruht (Voraussetzung a)) und die Verarbeitung mit Hilfe automatisierter Verfahren erfolgt (Voraussetzung b)). Bei Verarbeitung auf Basis einer gesetzlichen Vorschrift gilt also die Pflicht nicht.
574
Ganz ähnlich wie dies bei Secondary Outsourcing oft gewünscht wird, kann die betroffene 575 Person auch verlangen, dass die Übermittlung ihrer personenbezogenen Daten von einem Verantwortlichen direkt zum neuen Provider als Verantwortlichen erfolgt, allerdings nur „soweit dies technisch machbar ist“ (Art. 20 Abs. 2). Nach Art. 20 Abs. 3 lässt die Ausübung dieses Rechts auf Datenübertragbarkeit Art. 17 (Recht auf Löschung) unberührt. Allerdings gilt das nicht für Verarbeitung i.R.d. Wahrnehmung einer öffentlichen Aufgabe und der Erforderlichkeit hierfür oder in Ausübung öffentlicher Gewalt (Art. 20 Abs. 3 Satz 2). Man wird sicher diskutierten können, was ein „gängiges Format“ ist, da weder von Aktualität noch Marktgängigkeit o. ä. die Rede ist. Der Kreis der Daten, die auf diese Weise herausverlangt werden kann, ist u.U. sehr eingeschränkt, da möglicherweise der Kreis der Daten, die aufgrund der Erforderlichkeit im Rahmen eines Vertragsverhältnisses verarbeitet werden, wesentlich größer ist. Der Verantwortliche darf danach unterscheiden, ob die Daten zu dem Bereich gehören, zu 576 dem die Daten mit Einwilligung oder zwecks eines Vertrags bereitgestellt worden waren (Art. 20 Abs. 1a) und verarbeitet werden konnten. Evtl. kann es auch zumindest stimmungsmäßig Probleme geben. Denkbar wäre etwa, so Spindler,681 dass die Vorschrift auf Bewertungsportale, Kundenrezension u.Ä. angewandt wird. Bei positiven Bewertungen könnte die betroffene Person ein Interesse haben, diese Angaben mitzunehmen bzw. einem anderen Verantwortlichen zu geben. Evtl. betrifft dies auch die Darstellung von Mitarbeitern, was heutzutage i.R.d. Image-Gewinnung üblich ist. Die Herausnahme im Zshg. mit größeren Datenbanken kann insb. dann ein erhebliches Problem sein, wenn die Daten zum Betroffenen nicht als kompletter Datensatz vorliegen und schon gar nicht etwa zugeordnet nach den Daten, die der Einwilligung unterlagen. Bei den angedeuteten Outsourcing-Verträgen wird häufig noch eine Regel aufgenommen, wonach der „alte“ Provider verpflichtet wird, bei dem Übermit680 S. Ratsdokument 6607/1/13 v. 1.3.2013, S. 3: „… so hinterfragen einige Mitgliedstaaten die Verpflichtung zur vorherigen Zurateziehung der Aufsichtsbehörde in Fällen, in denen die Datenschutz-Folgenabschätzung ergibt, dass die geplanten Verarbeitungsvorgänge tatsächlich große konkrete Risiken bergen können. Mit der Verarbeitung könnte dann während der vorgeschlagenen Konsultationsfrist nicht begonnen werden.“ 681 Spindler, DB 2016, 937 (945).
Schneider
147
A Rz. 577
Datenschutz und IT-Management
teln an den neuen Auftragnehmer zu unterstützen. Eine selbstverständliche und dazu kostenlose Unterstützungspflicht wird man nicht ohne weiteres annehmen können. Dennoch ist die Frage, wie weit diese Portabilität insofern geht bzw. ob sie nicht ansonsten leerläuft. Vom Wortlaut her kommt es nicht auf den Aufwand, sondern darauf an, ob die Übermittlung „technisch machbar“ ist (Abs. 2). Diese Einschränkung besteht nicht bei Art. 20 Abs. 1 bei Herausgabe an den Betroffenen selbst. 577 Es wäre denkbar, dass Konflikte mit dem Datenbankschutz bzw. Rechte Dritter an den Daten als Datenbank (s. I.) bestehen. Ein noch größerer Konflikt könnte bei dem entsprechenden Verlangen gegenüber dem Arbeitgeber entstehen (s. Rz. 725 ff.). Andererseits werden trotzdem zahlreiche Datenbestände bei einem ursprünglichen Provider i.R.v. Backups verbleiben, wozu die Berechtigung zweifelhaft ist. Angesichts dieser Konflikte erscheint ein Vergleich mit der Rufnummernportierung unangebracht. 578 Die Voraussetzung nach Art. 20 Abs. 1 a ist, dass die Verarbeitung auf einer Einwilligung gem. Art. 6 oder Art. 9 oder auf einem Vertrag gem. Art. 6 Abs. 1 b beruht. Dementsprechend fordert Erw.grd. 68 auch, dass dieses Recht gelten soll, wenn die betroffene Person die bezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Demnach erfolgt in den nicht erwähnten Fällen, die ebenfalls in Art. 6 DS-GVO stehen, die aber keine Einwilligung oder einen Vertrag betreffen, keine Herausgabe. Nach Art. 6 Abs. 1 c DS-GVO ist dies die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, nach Art. 6 Abs. 1 d DS-GVO die Verarbeitung für lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person, nach Art. 6 Abs. 1 e DS-GVO die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse und Art. 6 Abs. 1 f DS-GVO die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen. 2.3 Europäischer Datenschutzausschuss, Art. 64 ff. DS-GVO, Aufsicht 579 Angestrebt wird, dass es nur eine zuständige Aufsichtsbehörde für das Unternehmen/den Verantwortlichen gibt.682 Insofern geht es primär um die Ermittlung der jeweils zuständigen, sog. federführenden Aufsichtsbehörde gem. Art. 56 DS-GVO. Diese orientiert sich am Ort der Hauptniederlassung oder der Niederlassung des Verantwortlichen oder des Auftragsdatenverarbeiters, der sich nach Art. 60 beurteilt, wie die federführende Aufsichtsbehörde ermittelt wird, s. Rz. 688. Wenn mehrere Aufsichtsbehörden „betroffen“, also als zuständig berufen sind, sollen unterschiedliche Auffassungen möglichst vermieden werden. Dazu dient der sog. Kohärenzmechanismus, dessen Verfahren in Art. 63 und folgenden Art. geregelt ist. Im Ergebnis läuft dies u.U. auf einen Beschluss des „Europäischen Datenschutzausschusses“ hinaus, Art. 65, Streitbeilegung durch den Ausschuss. Die Entscheidung erfolgt dabei im Rahmen einer Mehrheit von 2/3 der Mitglieder des Ausschusses, Art. 65 Abs. 2, wonach der Beschluss innerhalb eines Monats nach der Befassung mit dieser Mehrheit des Ausschusses angenommen wird. Die Frist kann wegen der Komplexität der Angelegenheit um einen weiteren Monat verlängert werden (Art. 65 Abs. 2 Satz 2). Damit wäre im Prinzip zwei Verfahren zur Erlangung einheitlicher Ergebnisse bzw. insgesamt eine „einheitliche Linie“ gegeben. Zu dem Problem der Ermittlung der „Hauptniederlassung“ und zu den sonstigen Unsicherheiten in diesem Zshg. s.a. Rz. 583 f. 580 Besondere Relevanz bekommen die möglichst einheitlichen Regelungen auch insoweit, als letzten Endes Milliarden-Bußgelder nach der DS-GVO drohen können (nicht zuletzt im Hinblick auf einen evtl. Konzernumsatz, wenn der gesamte Konzern einbezogen wird).683 Die Gesamt-Problematik wird insofern auch ein Compliance-Thema,684 wie nämlich sich ein 682 S. Spindler, DB 2016, 937 (946); Nguyen, ZD 2015, 265; s.a. Rz. 581 ff. 683 S. etwa Faust/Spittka/Wybitul, ZD 2016, 120 u. Rz. 657. 684 Zur DS-GVO als Compliance-Thema s. Wybitul, ZD 2016, 105; zu IT-Compliance Rz. 1542 ff.
148
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 584
A
Unternehmen so aufstellt, dass die Frage, welche Aufsichtsbehörde zuständig ist, möglichst klar geregelt ist. Forum-Shopping im eigentlichen Sinne wird so zwar nicht mehr möglich. Andererseits wird es aber interessant sein, möglichst schnell zu verbindlichen Aussagen in Zweifelsfragen zu gelangen bzw. die dafür einheitliche Linie zu kennen.685 2.4 One-Stop-Shop zentrale Behördenzuständigkeit (Art. 56 DS-GVO), Das eigentliche Ziel, eine (1) zuständige Aufsichtsbehörde für den Betroffenen und für den 581 Verantwortlichen, wurde nicht erreicht. Die Datenschutzaufsicht wird neu geordnet und soll möglichst trotz der Unterschiede in den Mitgliedsstaaten über einen sehr aufwendigen und „komplexen Koordinationsmechanismus“686 für letztliche Einheitlichkeit sorgen.687 „Völlige“ Unabhängigkeit der Aufsichtsbehörde, Art. 52 Abs. 1 DS-GVO, ist ein altes Postulat.688 Es wird einzeln zu realisieren sein. Was praktisch von der Unabhängigkeit bleibt, wenn die Mechanismen der Abstimmungen und Koordination der Art. 60 ff. zwecks Kohärenz und Zusammenarbeit ausgeübt werden, erscheint fraglich.
582
Das Prinzip wäre Einheitlichkeit, Art. 51 Abs. 2 DS-GVO und dazu One-Stop-Shop,689 ggf. 583 bei mehreren zuständigen Aufsichtsbehörden, wie dies in Deutschland häufig der Fall sein wird, wäre gemäß Art. 51 Abs. 3 das Kohärenzverfahren nach Art. 63 einzuhalten. Tatsächlich ist von One-Stop-Shop nicht viel übrig: Art. 56 regelt die Zuständigkeit der federführenden Aufsichtsbehörde690: Nach Abs. 1 ist unbeschadet des Art. 55 die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Art. 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung. Nach Abs. 2 aber ist abweichend von Abs. 1 jede Aufsichtsbehörde „dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.“ (3) In den in Abs. 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Art. 60 befasst oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat oder nicht. „Hauptniederlassung“ (Erw.grd. 36) „Die Hauptniederlassung des Verantwortlichen in der Union sollte der Ort seiner Hauptverwaltung in der Union sein, es sei denn, dass Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer an-
685 Zu den strafrechtlichen Aspekten und der Zusammenarbeit auf diesem Sektor s.a. noch Loof/Schefold, Kooperation bei Ermittlungsverfahren gegen Unternehmen in den USA. Datentransfer zwischen Skylla u. Charybdis, ZD 2016, 107. 686 So Spindler, DB 2016, 937 (946); s.a. Nguyen, ZD 2015, 265 mit Vorschlägen zum Entwurf. 687 Anders zum „Konsistenzmechanismus Albrecht, CR 2016, 88 (96). 688 Verfahren gegen Deutschland nach der DS-RL, EuGH v. 9.3.2010 – Rs. C-518/07, NJW 2010, 1265: „Der Ausdruck ‚in völliger Unabhängigkeit‘ in Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 … ist dahin auszulegen, dass die für den Schutz personenbezogener Daten zuständigen Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen.“, ebenso Verfahren gegen Österreich, EuGH v. 16.10.2012 – C-614/10, ZD 2012 563; s.a. Roßnagel, ZD 2015, 106. 689 S. Will, ZD 2015, 345 (346) zu Rückwirkungen des One-Stop-Shop-Prinzips auf innerstaatliche Zuständigkeitsregelungen. 690 S. z.B. Spindler, DB 2016, 937 (946); zur Entstehungsgeschichte, DS-GVO-E EP, Nguyen, ZD 2015, 265 (266).
Schneider
149
584
A Rz. 585
Datenschutz und IT-Management
deren Niederlassung des Verantwortlichen in der Union getroffen werden; in …“. Die Definition in Art. 4 Nr. 16. „Hauptniederlassung“ lautet: „a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;“
585 Damit ist das sog. One-Stop-Shop-Prinzip – eine der Hauptgründe für die Neuregelung – hinfällig, der Vorteil, dass klar ist, wer innerhalb der EU als Verantwortlicher gilt, ist zunichtegemacht worden. Art. 4 Nr. 16 b): Im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat bezeichnet „Hauptniederlassung“ „den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten i.R.d. Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt“. 586 Es gibt für jede Aufsichtsbehörde die Möglichkeit der Vor-Ort-Prüfung, Art. 58 Befugnisse: „(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten, … b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,“ und dazu e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten, und f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. „Ohne Vorankündigung“ (Art. 53 Abs. 2 Satz 1DS-GVO-E EP) ist entfallen. 587 Art. 62 DS-GVO regelt „Gemeinsame Maßnahmen der Aufsichtsbehörden“, dabei Abs. 2 mit einem Mechanismus, der zur Beteiligung aller Aufsichtsbehörden führen kann, für Fälle bei Niederlassungen in mehreren Mitgliedstaaten oder den Fall, dass „die Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben“. Die nach Art. 56 Abs. 1 oder 4 DS-GVO zuständige Aufsichtsbehörde lädt zur Teilnahme ein (Art. 62 Abs. 2 DS-GVO). 2.5 „Recht auf Vergessenwerden“ und Löschung, Art. 17 DS-GVO 588 Während des Diskussionsprozesses zur DS-GVO postulierte der EuGH in der bekannten E. zu Google Spain das sog. Recht auf Vergessenwerden, das im Anschluss daran große Beachtung und Diskussion erfuhr,691 sodass es schließlich auch in die Entwurfsfassung kam und nun Art. 17 DS-GVO ausmacht. Danach hat die betroffene Person ein „Recht auf Löschung“, das beinhaltet, vom Verantwortlichen zu verlangen, „dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden“, woraufhin der Verantwortliche verpflichtet ist, personenbezogene Daten unverzüglich zu löschen, sofern einer der dann genannten Gründe zutrifft: a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.“ Dieses Kriterium überrascht insofern, als in diesem Falle dann ohnehin eine Löschung zu erfolgen hätte und nicht etwa ein Verlangen zusätzlich erforderlich sein sollte.
691 EuGH v. 13.5.2014 – C-131/12 – Google Spain. S. z.B. Spindler, DB 2016, 937 (944 f.); s. zum Anwendungsbereich v.a. Holznagel/Hartmann, MMR 2016, 228; zum technischen Aspekt Kieselmann/Kopal/Wacker, DuD 2015, 31.
150
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 590
A
b) Die betroffene Person widerruft ihre Einwilligung, s.a. Rz. 546. Allerdings ist noch weiter erforderlich, dass es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Auch in diesem Falle wäre eigentlich die Löschung ohnehin erforderlich, jedenfalls in der Kombination von Verbotsprinzip, Zweckbindung und Erforderlichkeit. c) Die betroffene Person legt gem. Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gem. Art. 21 Abs. 2 Widerspruch gegen die Verarbeitung ein. d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gem. Art. 8 Abs. 1 erhoben. Abs. 2 regelt den Fall, dass der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat. Ist er zur Löschung verpflichtet, so hat er, salopp gesagt, dafür zu sorgen, dass andere für die Datenverarbeitung Verantwortliche ihrerseits der Löschung nachkommen. Dies ist allerdings einmal an die Voraussetzungen geknüpft, „unter Berücksichtigung der verfügbaren Technologie“ und sodann „Berücksichtigung der Implementierungskosten“. Zudem hat der Verantwortliche „nur“ angemessene Maßnahmen zu ergreifen, auch technischer Art, um diese Information vorzunehmen, „dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikation dieser personenbezogenen Daten verlangt hat“. Art. 17 Abs. 2 DS-GVO regelt sowohl die Beanspruchung des ursprünglich Verantwortlichen 589 als auch dessen Pflichten gegenüber dritten Verantwortlichen und regelt dazu die Ausnahmen, wovon die Wichtigste ist, dass es sich um die Ausübung des Rechts auf freie Meinungsäußerung oder Informationen (Art. 17 (3) a)) handelt. Ob damit die in der E. des EuGH mit enthaltenen Vorgaben für einen Löschungsanspruch richtig umgesetzt sind, wäre zu bezweifeln.692 Die Auflistung der Literaturnachweise zu diesem Urteil in juris zeigt schon, welche umfassende Bedeutung diesem Urteil beigemessen wurde. Dies lag natürlich v. a. auch daran, dass überhaupt Google Spain als Verarbeiter angesehen wurde. Aber es ging auch bereits um die Frage, inwieweit ein Löschungsanspruch besteht, wenn es sich um einen Artikel handelt, der in einer Art Archiv einen korrekten Sachverhalt, der allerdings überholt ist, von damals wiedergibt. Nach Art. 12 b und Art. 14 Abs. 1 a DS-RL besteht zu den Rechten des Betroffenen u.a. auch das Recht auf Löschung oder Sperrung. Das Plus an Rechten i.R.d. DS-GVO besteht darin, dass der Verantwortliche auch Dritte über das Löschungsverlangen informieren muss. Die Rechtsunsicherheit, wann evtl. die Rechte der Öffentlichkeit auf Information oder der Medien entgegenstehen bzw. wie die Abwägung genau zu erfolgen hat, wird noch i.R.v. Verfahrensregeln näher auszuführen sein. Dazu legt Art. 70 Abs. 1 d) DS-GVO die Grundlage. Danach gehört zu den Aufgaben des Ausschusses die Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren für die Löschung gem. Art. 17 Abs. 2 von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten. (Der Ausschuss ist näher in Abschnitt 3, Art. 68 DS-GVO, Europäischer Datenschutzausschuss, im Zshg. mit der Unabhängigkeit nach Art. 69 DS-GVO geregelt.) 2.6 Auskunftsanspruch Der Auskunftsanspruch gemäß Art. 15 DS-GVO ist vor dem Hintergrund des Verfahrens vor 590 dem EuGH zu Facebook Irland zu sehen. Dann erschließt sich, dass dieser Anspruch präzi-
692 EuGH v. 13.5.2014 – C-131/12, ZD 2014, 350.
Schneider
151
A Rz. 591
Datenschutz und IT-Management
ser und schärfer693 ausgefallen ist, als ursprünglich vorgesehen: Art. 15 Abs. 1 enthält eine Reihe interessanter Einzelheiten, wie etwa die, dass sich die Auskunft auf eine Bestätigung bezieht. Dazu hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogene Daten und auf bestimmte Informationen: Unter anderem wird genannt in d) „falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer“. Es wurde bereits darauf hingewiesen, dass neue Unklarheit entsteht, inwieweit auf die „subjektive“ Unmöglichkeit abgestellt werden kann und darf.694 Es wurde empfohlen, den Begriff der „Unmöglichkeit“ abzumildern, was aber nicht erfolgte.695 591 Bei den Auskunftsrechten wurde – anders als bei Informationspflichten – keine Ausnahme für Berufsgeheimnisträger vorgesehen. Für Anwälte bedeutet das: Ein potentieller Prozessgegner hätte demnach gegenüber dem Rechtsanwalt als Verantwortlichem einen Auskunftsanspruch, ob und zu welchem Zweck Daten über ihn verarbeitet werden. Die DS-GVO nimmt in Art. 14 Abs. 5 d die Berufsgeheimnisträger von den Informationspflichten nach Abs. 1 – 4 aus und erlaubt in Art. 90 den Mitgliedstaaten, die Untersuchungsbefugnisse der Aufsichtsbehörden für Berufsgeheimnisträger gesondert zu regeln.696 592 Vor dem Hintergrund der BGH-E. zu Scoring ist von besonderem Interesse, dass nach Art. 15 Abs. 1h die Auskunft auch umfasst das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierten Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Dies ist insb. für die Auskunftserteilung seitens der SCHUFA von Bedeutung. Eine entsprechende Pflicht hatte der BGH in mit Begründung nach dem Wortlaut und dem Zweck der Regelung im BDSG abgelehnt.697 Spindler hat bereits darauf hingewiesen, dass zwar nach Abs. 4 die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden dürfen, es jedoch hierbei nur um das Recht auf Erhalt einer Kopie gemäß Abs. 1 b geht. Eine entsprechende Restriktion fehlt also gegenüber Scoring und dessen Formel. Demnach ist der Geheimhaltungswunsch der Auskunftei bzw. SCHUFA nicht relevant, was denDS-GVO-Text betrifft. Wie interessant und wichtig allerdings die Kenntnis der Logik im Einzelfall sein kann, zeigt der Fall des OLG München, bei dem die berufstätige Gattin schlechter geratet worden war als der Ehemann.698 593 Als Antwort stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (Art. 15 Abs. 3 Satz 1). Für weitere Kopien kann ein Entgelt auf der Grundlage der Verwaltungskosten verlangt werden. Gegenüber elektronisch gestellten Anträgen hat die Antwort bzw. Auskunft diesem Medium zu entsprechen, sodass die Informationen an Online Beantragende in einem gängigen elektronischen Format
693 694 695 696
Spindler, DB 2016, 937 (944). Bräutigam/Schmidt-Wudy, CR 2015, 56 (60 f.) zu Art. 15 des Entwurfs. Bräutigam/Schmidt-Wudy, CR 2015, 56 (61). Die mit Art. 15 Abs. 2c DS-VO-E (PARL-E.) vorgesehene Möglichkeit, keine Auskunftspflicht in bestimmten Fällen gegenüber Geheimnisträgern, wurde nicht in die endgültige Fassung übernommen, zu Entwurf Bräutigam/Schmidt-Wudy, CR 2015, 56 (63). Der DAV fordert in seiner Stellungnahme Nr.: 39/2016 (file:///C:/Users/schneiderjo/Downloads/DAV-SN_39-16.pdf, besucht 4.8.2016), eine Ausdünnung des deutschen Datenschutzrechts zugunsten von drei Punkten vorzunehmen, um den Schutz des anwaltlichen Berufsgeheimnisses zu sichern. Er bezieht sich auf Art. 90 i.V.m. Art. 58 DSGVO und fordert für die Anwaltschaft in Deutschland „aus systematischen Gründen“ eine Ausnahme und spezielle Regelungen hinsichtlich Zulässigkeit und Beauskunftung. 697 BGH v. 28.1.2014 – VI ZR 156/13, CR 2014, 364 (SCHUFA-Scoring-Algorithmus). 698 OLG München v. 12.3.2014 – 15 U 2395/13, ZD 2014, 570 wobei die Bonitätsauskunft als „Meinungsäußerung“ qualifiziert wurde.
152
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 598
A
zur Verfügung zu stellen sind, sofern dieser nichts anderes angibt, Art. 15 Abs. 3 Satz 3. Evtl. wird so vermutete Missbrauchsmöglichkeit eingedämmt, weil offensichtlich die Auskunft über die gleiche Version der Daten beim 2. Mal entgeltpflichtig sein darf. Das Problem könnte sein, dass der Betroffene gerade wissen will, ob sich etwas an seinen Daten geändert hat. Ob es sich nur um „Verwaltungskosten“ handeln darf, ähnlich wie bei IFG (s. Rz. 68 ff.), ist noch unklar. 2.7 Einschränkung der Verarbeitung Im Kontext von „Berichtigung und Löschung“ (Kap. III, Rechte der betroffenen Person, Abschn. 3) geht Art. 18 DS-GVO nach dem Recht auf Berichtigung (Art. 16 DS-GVO) und dem Recht auf Vergessenwerden (Art. 17 DS-GVO) auf Beschränkungen bzw. Einschränkungen der Verarbeitungsmöglichkeiten des Verantwortlichen als Anspruch der betroffenen Person ein. Danach hat diese das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der dann näher genannten Voraussetzungen erfüllt ist.
594
Eine Variante ist, dass die Richtigkeit der personenbezogenen Daten von der betroffenen Per- 595 son bestritten wird. In diesem Falle des Art. 18 Abs. 1 (a) DS-GVO gilt dieses Recht dann für die Dauer, „die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen“. Wie dies geschieht, ob nach etwa einer angemessenen Frist dann das Bestreiten durchgreift u.Ä., ist nicht näher geregelt. Eine andere Möglichkeit besteht dann, wenn die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt, Art. 18 Abs. 1 (b) DS-GVO, wobei sie stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt. Dies wäre sozusagen der spiegelbildliche Fall, bei dem die Art der Darstellung durch die Daten für den Betroffenen günstig erscheint. Die dritte Variante ist, dass der Verantwortliche die personenbezogenen Daten für die Zwe- 596 cke der Verarbeitung nicht länger benötigt, jedoch die betroffene Person sie „zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt“. Diese Variante Art. 18 Abs. 1 (c) DS-GVO gilt also für die Zwecke der Vermeidung von Beweisnot aufseiten der betroffenen Person. Die letzte Alternative betrifft den Fall, dass die betroffene Person Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 eingelegt hat und zwar geht die Beschränkung dann solange „noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen“, Art. 18 Abs. 1 (d) DS-GVO. Es handelt sich also in gewissem Sinne um vorläufige Maßnahmen, deren Dauer allerdings schlecht überschaubar ist. Im Fall der Beschränkung durch den Betroffenen gem. einer der vorgenannten Varianten dür- 597 fen die personenbezogenen Daten dieser Person – von der Speicherung abgesehen – „nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedsstaates verarbeitet werden“. Einzelheiten, wie die betroffene Person die Einschränkungen erlangt, sind nicht geregelt. Aus Abs. 3 ließe sich jedoch entnehmen, dass dies in gewissem Sinne eine zunächst Verwaltungs- und dann gerichtliche Maßnahme erfordert. Nach Abs. 3 ist nämlich die betroffene Person, „die eine Einschränkung der Verarbeitung gem. Abs. 1 erwirkt hat“, vom Verantwortlichen zu unterrichten, bevor die Einschränkung aufgehoben wird. Ein förmliches Verfahren, etwa wiederum Widerspruch gegen die Aufhebung der Einschränkung o.ä. ist allerdings nicht vorgesehen. Eine Art Nebeneffekt der Beschränkung ergibt sich noch über Art. 19. Dieser regelt die Mitteilungspflichten des Verantwortlichen im Zshg. mit der Berichtigung der Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung. Wenn also die betroffene Person Ansprüche im Bereich der Berichtigung oder Löschung geltend gemacht hat oder die Schneider
153
598
A Rz. 599
Datenschutz und IT-Management
Einschränkung der Verarbeitung, so teilt der Verantwortliche dies „allen Empfängern, denen personenbezogene Daten offengelegt wurden“ mit. Dies betrifft Berichtigung oder Löschung oder Einschränkung. Dies gilt wiederum nicht, wenn es sich als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden ist. Wenn die betroffene Person es verlangt, unterrichtet der Verantwortliche die betroffene Person „über diese Empfänger“. Insofern gehört diese gewisse Publizität also zu den Rechten auf Berichtigung, Löschung und Beschränkung, aber auch die entsprechende Unterrichtung über diese Publizität. 2.8 Privacy by Design, Privacy bei Default, Datenschutz-Folgenabschätzung 599 Art. 25 DS-GVO regelt den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Der Verantwortliche hat Maßnahmen zu ergreifen und zwar „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“. Sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung trifft der Verantwortliche diese Maßnahmen und zwar als „geeignete technische und organisatorische Maßnahmen“ – wie z.B. Pseudonymisierung –, „die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. Dies gilt also unter Berücksichtigung heterogener und komplexer Fakoren, wie erwähnt, – Stand der Technik, – Implementierungskosten und – Art, Umfang, Umstände und Zwecke der Verarbeitung sowie – unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen. Neben und i.V.m. den Prüfungen der Aufsichtsbehörde und drohenden Bußgeldern könnte die Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO zu einem wesentlichen Instrument werden, die erforderlichen technischen und organisatorischen Maßnahmen pro-aktiv zu ergreifen, da die Datenschutzfolgenabschätzung vor Inbetriebnahme zu erfolgen hat, s.a. Rz. 570, 571 ff., und evtl. mehrerere Schritte erfordert, u.a. die vorherige Konsultation (Art. 36 DS-GVO) und daraus resultierende Maßnahmen. 600 Art. 4 Abs. 5 DS-GVO definiert „Pseudonymisierung“ als die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. 601 Weiter trifft den Verantwortlichen die Pflicht zu geeigneten Voreinstellungen und weiteren spezifischen Gestaltungen seiner Anwendung in Abhängigkeit von dem Risikopotenzial: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“
154
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 605
A
3. Neue Regeln und Aufgaben, so v.a. für Datenschutzbeauftragten, Aufsichtsbehörde 3.1 Betrieblicher Beauftragter Auf den ersten Blick erweckt die Regelung zum Datenschutzbeauftragten (Art. 37 ff.) den Eindruck, dass ein Vergleich zwischen DS-GVO und BDSG zu dem Ergebnis führt, „dass Aufgaben und Rechtsstellung des betrieblichen und behördlichen Datenschutzbeauftragten weitgehend übereinstimmen“.699 Tatsächlich ergeben sich aber i.V.m. der Datenschutz-Folgenabschätzung (Art. 35) und der Sicherheit der Verarbeitung (Art. 32) und v.a. bei Auftragsverarbeitung in der Praxis erhebliche Unterschiede.700 Die Benennung scheint leichter, einfacher, die Aufgaben umfangreicher und schwerwiegender.
602
Nach Art. 37 DS-GVO ist die Benennung701 eines Datenschutzbeauftragten Pflicht (der Ver- 603 antwortliche und der Auftragsverarbeiter benennen auf jeden Fall), wenn ein Unternehmen,702 die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (b)) oder diese Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 besteht (c))“. Die Verordnung geht also davon aus, dass dann eine gehobene Kontrolle erforderlich ist, die zunächst im eigenen Hause bewerkstelligt wird, wenn eine Überwachung der betroffenen Personen stattfindet bzw. erforderlich ist oder aber besondere Kategorien von Daten verarbeitet, also sensible Daten verarbeitet werden. Gem. Art. 4 steht es den Mitgliedstaaten praktisch frei, eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, hier genannt „Datenschutzbeauftragter“ vorzusehen. Inhaltlich besagt die Verordnung nicht, welche Voraussetzungen der Datenschutzbeauftragte 604 mitbringen muss. Es ist auch wichtig, dass dies dem Unternehmen je nach Ausprägung seiner Datenverarbeitung überlassen wird. Jedenfalls ist nach Art. 37 Abs. 5 der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insb. des Fachwissens zu benennen, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben. Art. 39 regelt also die einzelnen Aufgaben des Datenschutzbeauftragten. Nach Art. 38 Abs. 1 DSGVO ist aber zunächst der Verantwortliche auch insofern in der 605 Pflicht, als er – wie auch ein Auftragsverarbeiter – den Datenschutzbeauftragten nicht nur ordnungsgemäß, sondern auch frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden hat. Das bedeutet, dass die Geschäftsführung verpflichtet ist, den Datenschutzbeauftragten auch in die Lage zu versetzen, die Datenschutzproblematik im Unternehmen überhaupt zu kennen, also den zugrundeliegenden Sachverhalt, und zu erfahren, worum es bei der Geschäftstätigkeit im Hinblick auf personenbezogene Daten überhaupt geht. Damit ist der Datenschutzbeauftragte des Problems enthoben, seinerseits erst nachzufragen. „Einbindung“ heißt auch, dass der entsprechende Schriftverkehr, etwa im Zshg. Beschaffung, Personalien u.Ä. zuzuleiten ist, aber auch, dass in den verschiedenen Gremien, in denen über Projekte beraten wird u.Ä. eine frühzeitige Beteiligung zu wahren ist.
699 S.a. Jaspers/Reif, RDV 2016, 61. 700 S. Kahlert/Licht, ITRB 2016, 178; Härting, DS-GVO, Rz. 7 ff. 701 Kahlert/Licht, ITRB 2016, 178 (179 f.) legen die gegenüber der DS-RL unterschiedliche Terminologie dar. 702 Öffentliche Stellen müssen in jedem Fall einen Datenschutzbeauftragten bestellen, Art. 37 Abs. 1a DS-GVO.
Schneider
155
A Rz. 606
Datenschutz und IT-Management
606 In die gleiche Richtung geht auch Art. 38 Abs. 2 insofern, als danach der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen muss. Dies geschieht, indem dem Beauftragten die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen und auch der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung gestellt werden. Letzteres, die Erhaltung seines Fachwissens, bedeutet u.a. auch, dass der Datenschutzbeauftragte sich auf Kosten des Unternehmens fortbilden kann, was er in anderem Zshg. auch muss. 607 Die Unabhängigkeit des Datenschutzbeauftragten wird nicht so explizit genannt, wie dies etwa bei der Aufsichtsbehörde der Fall ist. Jedoch besagt Art. 38 Abs. 3, dass der Verantwortliche (wie auch der Auftragsverarbeiter) sicherstellen, „dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält“. Satz 2 enthält ein Benachteiligungsverbot, sodass also der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen werden kann. Nach Satz 3 berichtet der Datenschutzbeauftragte unmittelbar der höchsten Managementebene. Insofern sind also kleinere Unterschiede gegenüber der bisherigen deutschen Regelung erkennbar, die man zusammenfassend etwa dahingehend charakterisieren kann, dass einerseits die Position hinsichtlich der Benachteiligung etwas schwächer, andererseits die Position hinsichtlich der Einbindung, der Zurverfügungstellung von Ressourcen und auch die Zuordnung zur obersten Managementebene „besser“ geregelt ist. 608 Es ist nicht erforderlich, dass der Datenschutzbeauftragte seine Aufgaben und Pflichten im Hauptamt wahrnimmt. Er kann nach Abs. 6 andere Aufgaben und Pflichten wahrnehmen. Allerdings ist vonseiten des Verantwortlichen sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. D.h. also, dass ähnlich wie bei der jetzigen Regelung darauf zu achten ist, dass nicht der Datenschutzbeauftragte letzten Endes sich selbst kontrollieren muss, weil er eine der Aufgaben ansonsten wahrzunehmen hat, die wiederum datenschutzrelevant sind, so etwa der Leiter der Personalabteilung, der IT-Chef u.Ä. 609 Von den Aufgaben des Datenschutzbeauftragten, Art. 39 DS-GVO,703 ist besonders hervorzuheben, dass nach Abs. 1 a eine Unterrichtung und Beratung des Verantwortlichen durch den Beauftragten erfolgt, nach Abs. 1 b die „Überwachung der Einhaltung dieser Verordnung …“. Dagegen ist die Regelung in § 4g BDSG schwächer, wonach der Beauftragte nur auf die Einhaltung des BDSG bzw. des Datenschutzes“ hinwirkt. Die Überwachungsfunktion ist in der DS-GVO wesentlich grundlegender und umfassender ausgestaltet. Gemäß § 4g Abs. 1 Satz 3 Nr. 1 BDSG betrifft sie die „ordnungsgemäße Anwendung der Datenverarbeitungsprogramme“. Demgegenüber verlangt Art. 39 DS-GVO neben der Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten auch die Überwachung der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen – bis auf die Schulung eine deutliche Steigerung der Pflichten und Aufgaben des Datenschutzbeauftragten. Die Aufgabe der Beratung und auch die der Zusammenarbeit mit der Aufsichtsbehörde kommen noch hinzu, Art. 39 Abs. 1 c und d DS-GVO, ebenso die Kontaktfunktion gegenüber Betroffenen (über Art. 13 Abs. 1 b DS-GVO, wonach die Informationspflicht des Verantwortlichen u.a. auch besteht „gegebenenfalls“ bezüglich „der Kontaktdaten des Datenschutzbeauftragten“. 610 Der Datenschutzbeauftragte kann für mehrere Verantwortliche tätig sein. Wie vorzitiert muss sich der Datenschutzbeauftragte aber sehr detailliert mit Plänen, Organisationsstrukturen und v.a. Strategien, also tendenziell Betriebs- und Geschäftsgeheimnissen befassen.
703 S.a. Jaspers/Reif, RDV 2016, 61 ff.
156
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 615
A
Man wird dabei stets die Unabhängigkeit und v.a. auch die Vermeidung von Interessenkollisionen zu beachten haben (Art. 38 Abs. 6 Satz 2 DS-GVO). Dies ist u.U. bei Tätigkeit im Konzern einhaltbar,704 bei Joint Controllership evtl. auch, nicht aber im Auftragsverhältnis. 3.2 Dokumentationspflichten Vom deutschen Datenschutzrecht bekannt sind nach §§ 4d u. 4e BDSG die Meldepflicht 611 und deren Inhalt. Nach § 4g Abs. 2 BDSG ist dem Beauftragten für den Datenschutz eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben zur Verfügung zu stellen. Dies wird aber als eine der Hauptaufgaben des Datenschutzbeauftragten gesehen.705 Demgegenüber enthält auch Art. 30 DS-GVO eine entsprechende Auflistung wie die Angaben, die zur Meldepflicht bzw. insofern zum Verfahrensverzeichnis gehören, die § 4e BDSG auflistet. Jedoch sind die in Art. 30 DS-GVO genannten, zu tätigenden Angaben noch umfangreicher. Ungewöhnlich bzw. überraschend sind sie nicht. Die Führung des Verzeichnisses von Verarbeitungstätigkeiten ist obligatorisch. Dies gilt al- 612 lerdings nicht, wenn das Unternehmen oder die Einrichtung weniger als 250 Mitarbeiter beschäftigt. Hiervon gibt es aber wiederum Ausnahmen, nämlich sofern die von den Mitarbeitern vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Person birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung besonderer Datenkategorien gem. Art. 9 Abs. 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten i.S.d. Art. 10 einschließt“. D.h. also insb., dass bei dauerhafter, regelmäßiger Verarbeitung diese Ausnahmeregelung nicht gilt. Im Ergebnis heißt das, dass Unternehmen mit weniger als 250 Beschäftigten nur für bestimmte Verfahren ein entsprechendes Verzeichnis anzulegen haben und zwar dann, wenn eben das genannte erhebliche Risiko besteht, dieses Verfahren nicht nur gelegentlich angewandt wird oder die besonderen Arten von Daten dabei verarbeitet werden. Man wird annehmen können, dass die üblichen, in Unternehmen der entsprechenden Art 613 und Größe stets anzutreffenden Funktionen nicht solche Ausnahmen gelegentlicher Verarbeitung darstellen können. Ebenso ist anzunehmen, dass nahezu unausweichlich besondere Arten von Daten mitverarbeitet werden, sobald es um Personal geht, likes oder Kondition der Kunden (wozu biometrische und Gesundheitsdaten gebraucht werden), wenn es um Apps, wearables, CRM o.Ä. geht oder Verfahren wie Profiling (immer risikobehaftet, s.a. zu Datenschutz-Folgenabschätzung Rz. 513, 570) eingesetzt werden. Die große Besonderheit bei dem Verfahren ist also weniger der Inhalt, andererseits aber auch nicht nur die Erstreckung hinsichtlich der Größe, sondern v. a., dass verantwortlich hierfür der Verantwortliche selbst ist bzw. dessen Vertreter, also praktisch die Geschäftsleitung bei juristischen Personen. Gleichrangig mit dem Verantwortlichen ist auch der Auftragsverarbeiter zur entsprechenden Führung eines Verzeichnisses verpflichtet (Art. 30 Abs. 2), wobei hier noch besondere Angaben aufgeführt sind, die obligatorisch vorzunehmen sind.
614
Zur Funktion des Verzeichnisses kann man annehmen, dass es weniger oder jedenfalls nicht 615 nur um Informationen ggf. zu den Betroffenen geht, sondern im Wesentlichen um Nachweise gegenüber der Aufsichtsbehörde (Art. 30 Abs. 4 DS-GVO), wonach nämlich das Verzeichnis der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen ist. Härting schließt daraus, dass es im Wesentlichen um die historische Komponente der Datenverarbeitung, um Nachweise geht, und empfiehlt insofern dem Verantwortlichen bzw. dem Auftragsverarbeiter, die Führung des Verzeichnisses in einem umfassenden Dokumentationssystem vorzunehmen
704 S.a. Gierschmann, ZD 2016, 51 (52). 705 S. z.B. Plath/von dem Bussche, BDSG, 2. Aufl. 2016, § 4g Rz. 20.
Schneider
157
A Rz. 616
Datenschutz und IT-Management
und alle Änderungen und Ergänzungen sowie die Neuanlegung und Schließen von Verzeichnissen lückenlos mit Verwendung von Zeitstempeln zu dokumentieren.706 4. Besondere Formen der Verarbeitung 4.1 Big Data vs. Datenminimierung, Kompatibilität, Löschung (Speicherzeitbefristung) 616 Grds. besteht ein kardinaler Konflikt zwischen Big Data und dessen Förderung durch die Kommission einerseits i.R.d. Single Market und dem Gebot des Datenschutzes durch Technikgestaltung und dabei der Einrichtung datenschutzfreundlicher Voreinstellungen sowie Datenminimierung und Pseudonymisierung, Art. 25 Abs. 1 und 2 DS-GVO. Am 19.11.2015 hat der Europäische Datenschutzbeauftragte (EDSB) Giovanni Buttarelli die Stellungnahme „Meeting the challenges of big data – A call for transparency, user control, data protection by design and accountability“ veröffentlicht.707 Es lässt sich aber nicht entnehmen, dass insoweit noch Restriktionen Eingang in die DS-GVO gefunden hätten. 617 Am 8.3.2016 veröffentlichte die European Union Agency for Network and Information Security (ENISA) eine Studie zu Big Data Security und gibt darin Empfehlungen zu Sicherheit/Sicherung von Big Data-Systemen bei potenziellen Angriffs- und Bedrohungsszenarien und Good Practice Guidelines.708 Zuvor hatte ENISA bereits eine Studie zu Privacy by design in big data vorgestellt.709 618 Einige Prinzipien, die überbordende Datensammlung und -auswertung verhindern könnten, sind also in der DS-GVO angelegt, aber nicht so ausgestattet, dass dadurch die wirklichen Gefahren der Transparenz des Einzelnen und dessen (heimlicher) Ausspähung gebannt wären, wie sie sich etwa über Big Data Anwendungen ergeben können.710 Big Data Projekte erfordern längere und aufwendige Entwicklung. Falls sie unzulässige Verarbeitungen ergeben, werden die Sanktionen i.R.d. DS-GVO erheblich sein können, s.a. zu Art. 83 DS-GVO Rz. 657 ff. Insofern „rentiert“ sich, auch mit Blick auf die Datenschutz-Folgenabschätzung (und deren Aufwand, Rz. 570) die Untersuchung, ob die Anwendung dem Datenschutz unterliegt (oder nur anonym verarbeitet wird) und sodann ob ggf. besondere Risiken bzw. Einschränkungen, etwa wegen besonderer Datenkategorien bestehen.711 Naheliegend ist, dass bei gemeinsamen Big Data Projekten auch „Gemeinsame Verantwortlichkeit“ i.S.v. Art. 26 entsteht bzw. besteht, was über die Berechnungen der Sanktion im Konzern zu einer starken Ausdehnung des Risikos hinsichtlich der Basis für die Berechnung führt: bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, Art. 83 Abs. 4 etwa bezüglich Nichteinhaltung des Art. 26, oder auch 4 % gem. Art. 83 Abs. 5. in den dort genannten Fällen.712
706 S. CR-Online-Blog v. 1.5.2016, http://www.cr-online.de/blog/2016/05/01/dsgvo-was-wird-aus-den-ver fahrensverzeichnissen/ (abgerufen am 24.5.2016). 707 S. https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/ Opinions/2015/15-11-19_Big_Data_EN.pdf, Opinion 7/2015; s.a. zu Big Data, Accountability und Einwilligung Katko/Babaei-Beigi, MMR 2014, 360. 708 https://www.enisa.europa.eu/publications/big-data-security; file:///C:/Users/schneiderjo/Downloads/ Good%20Practices%20and%20Recommendations%20on%20the%20Security%20and%20Resilience %20of%20Big%20Data%20Services%20(1).pdf. 709 Privacy by design in big data. An overview of privacy enhancing technologies in the era of big data analytics, FINAL 1.0 PUBLIC DECEMBER 2015, Download über https://www.enisa.europa.eu/publi cations/big-data-protection (abgerufen am 25.8.2016). 710 S. Roßnagel, ZD 2013, 562, zu der Denkfolge „Big Data – Small Privacy?“ 711 Werkmeister/Brandt, CR 2016, 233. 712 Mögliche Verletzungen: „a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49“.
158
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 624
A
Die Datenminimierung bleibt in der DS-GVO ein wichtiger Aspekt. Erw.grd. 78 empfiehlt, 619 um die Einhaltung dieser Verordnung nachweisen zu können, dass der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen sollte, die insb. den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird …“. Art. 5c listet als einen der Grundsätze für die Verarbeitung auf, dass die personenbezogenen Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ sollen („Datenminimierung“). Art. 25 fordert dazu auf, diese Grundsätze „wie etwa die Datenminimierung“ umzusetzen. Eine weitere Maßgabe könnte die Zweckbindung sein. Grundlage bzw. Ausgangspunkt ist 620 Art. 5 Abs. 1 b. Gemäß diesem „Grundsatz“ müssen personenbezogene Daten „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“. Nach Art. 6 aber, der die Zulässigkeit regelt, legt Abs. 4 dem Verantwortlichen lediglich eine Art Kompatibilitätsprüfung713 nahe (er „berücksichtigt“ die Reihe der dann aufgelisteten Aspekte). Einer der Aspekte betrifft die Art der Daten, v.a. ob es sich um besondere Kategorien von Daten handelt (c)). Praktisch handelt es sich um eine Programmvorschrift, die kaum justiziabel sein dürfte. Das hängt auch mit der Entstehungsgeschichte zusammen. Ursprünglich sollte eine wesentlich klarere Grenze bei Zweckänderung gezogen werden, deren Überschreitung nur bei bestimmten Voraussetzungen zulässig gewesen wäre.714 Die dritte relevante Maßgabe könnte die Löschungsfrist bzw. das Recht auf Vergessen sein. Art. 5 sieht in Abs. 1 e die erwähnte (Rz. 536) Speicherbegrenzung vor.
621
Keine der Maßgaben schützt direkt vor Big Data-basierten Auswertungen. Indirekt können sich Wirkungen entfalten, da die Prinzipien Eingang in die Datenschutz-Folgenabschätzung, Art. 35 DS-GVO, finden, wobei in Art. 35 Abs. 3 b ausdrücklich die umfangreiche Verarbeitung besonderer Kategorien von Daten als Beispiel-Kriterium („insbesondere“) genannt sind, um die Abschätzung erforderlich zu machen.
622
Weiter wird eine Rolle bei der Irrelevanz dieser Prinzipien bei Big Data spielen, dass nach 623 landläufiger Auffassung das Ausgangsdatenmaterial nicht personenbezogen bzw. die entsprechende Person (noch) nicht „identifizierbar“ ist. Dass diese Identifizierbarkeit („Bestimmbarkeit“) jederzeit über die Analyse- und Auswertungswerkzeuge hergestellt bzw. herstellbar ist, wird weniger berücksichtigt.715 4.2 Besondere Arten von Daten – Implikationen für verschiedene Regelungen Art. 9 DS-GVO enthält wie auch schon die DS-RL Regelungen zu „Verarbeitung besonderer 624 Kategorien personenbezogener Daten“ mit einem zweiten Verbot mit Ausnahmen. Art. 4 DSGVO definiert zusätzlich noch in Nr. 14 „genetische Daten“, „biometrische Daten“ und „Gesundheitsdaten“. Schon die Regelungen der DS-RL und die Umsetzung im BDSG erweckten den Eindruck, also ob die spezielle Handhabung von Besonderen Arten/Kategorien von Daten (s. Rz. 121) in der Praxis ohne weiteres möglich sei. Tatsächlich entstehen solche Daten evtl. erst über eine Auswertung für sich gesehen noch anders zu beurteilender Daten. Ist die Angabe von 100 Kilo Gewicht ein Gesundheitsdatum? Dazu müsste sich das Datum auf die körper713 S.a. zum „Kompatibilitätstest“ Spindler, DB 2016, 937 (943). 714 Kompatibilitätskriterien, s.a. Rz. 552. Andererseits war der Ministerrat für eine praktische Freigabe der Zweckänderung, „Allgemeine Ausrichtung“ vom 15.6.2015 (Dok. (9565/15)), s.a. Synopse des BayLDA zum Vergleich der Formulierungen, https://www.lda.bayern.de/media/ds_gvo_trilogergeb nis_de.pdf (abgerufen am 7.8.2016). 715 S. Brisch/Pieper, CR 2015, 724, zu Big Data-Analyseverfahren und Anonymisierung (auch zu BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109), s.a. Rz. 111.
Schneider
159
A Rz. 625
Datenschutz und IT-Management
liche „Gesundheit“ beziehen (Art. 4 Abs. 1 Nr. 15 DS-GVO), also nicht nur auf einen physikalischen Wert. Dieser stellt auch noch kein „biometrisches Datum“ dar (Art. 5 Abs. 1 Nr. 14 DS-GVO). Bei Körpergröße 1.50 oder 2.15 kann mit Berücksichtigung von Tabellen ein Vergleichswert entstehen, der „Gesundheitsdatum“ wäre. Diese Relation bzw. der Ausweis in einem Index ist ohne Personenbezug. Das verhält sich wie bei der Score-Formel, die für sich allein abstrakt bleibt, keinen Personenbezug hat, gleichwohl diesen jederzeit im Kontext, also bei jeder Verwendung, aufweist. 625 Jedenfalls lassen sich viele Datenbereiche denken, die erst durch Hinzunahme von Skalen, Indizes, Faktoren oder überhaupt Algorithmen „Gesundheitsdaten“ werden. Nun sehen aber Erw.grd. 53, 54 besondere Regelungen für diese Datenkategorien vor, die Art. 9 DS-GVO mit dem speziellen Verbot,716 ebenso mit speziellen Ausnahmen (Abs. 2 mit u.a. Einwilligung, Erforderlichkeit)), realisiert. Vor dem Hintergrund einiger Entwicklungen in der Anwendung mobiler Systeme, von Apps und neuartigen Devices erscheint diese Trennung illusorisch. „Die wachsende Bedeutung von Wearables belegen Untersuchungen des BITKOM. Derzeit nutzten 31 % der Bürger ab 14 Jahren sog. Fitnesstracker zur Aufzeichnung von Gesundheitswerten: 18 % nutzen Fitnessarmbänder, 13 % Smartphones mit Fitness-Apps und 6 % Smartwatches. Die häufigsten gemessenen Werte sind Körpertemperatur (99 %), Körpergewicht (75 %), Anzahl der gegangenen Schritte (62 %) sowie die zurückgelegte Strecke (57 %). Das größte Potenzial von Wearables liege künftig in der Prävention von Krankheiten und in der medizinischen Versorgung von Patienten. So würden 75 % aller Befragten im Krankheitsfall ihre mit einem Fitnesstracker gemessenen Vitalwerte an ihren Arzt übermitteln. Unter chronisch Kranken sind es sogar 93 %.“717
Wearables sind nur ein Teil bzw. bezeichnen nur einen Ausschnitt des Bereichs von Selbstüberwachung, der auch mit „QS“, Quantified Self bezeichnet wird.718 626 U.a. fordern die Datenschutzbehörden:719 „Die Grundsätze der Datenvermeidung und Datensparsamkeit sind zu beachten. Insb. Hersteller von Wearables und Gesundheits-Apps sind aufgerufen, datenschutzfreundliche Technologien und Voreinstellungen einzusetzen (Privacy by Design and Default). Hierzu gehören Möglichkeiten zur anonymen bzw. pseudonymen Datenverarbeitung. Soweit eine Weitergabe von Gesundheits- und Verhaltensdaten an Dritte nicht wegen einer medizinischen Behandlung geboten ist, sollten Betroffene sie technisch unterbinden können (lediglich lokale Speicherung).“ Dies wäre dann allerdings auch auf eine Reihe ähnlicher Entwicklungen entsprechend anzuwenden, etwa aus dem Bereich Versicherungen mit Boni, Rabatten o.ä., wenn sich der Versicherte selbst überwacht bzw überwachen lässt.720 627 Diese Anforderungen ließen sich zwar bei wohlwollender Interpretation und gesamtwertender Betrachtung der DS-GVO entnehmen. Entsprechende verbindliche Vorgaben, deren Nichteinhaltung geahndet werden könnte, sind nicht ersichtlich. Allenfalls über die Datenschutz-Folgenabschätzung und die Verhaltensregeln könnten entsprechende Maßgaben Geltung erlangen. Anderes ergibt sich, wenn man die angedeutete Auswertung mittels Indices,
716 Es handelt sich um eine Art Verbot von Ausnahmen zum generellen Verbot wiederum mit Ausnahmen (Art. 6 DS-GVO). Wie das dogmatisch zu würdigen ist, wird hier nicht weiter untersucht. Jedenfalls mindert diese Verdoppelung des Verbots die gewünschte Wirkung. 717 Bitkom: https://www.bitkom.org/Presse/Presseinformation/Gemeinsame-Presseinfo-von-Bitkom-undBMJV-Fast-ein-Drittel-nutzt-Fitness-Tracker.html release 9.2.2016 (abgerufen am 14.5.2016). 718 S. Petrlic, DuD 2016, 94, auch mit einer Tabelle der (beliebtesten) Top 10 „QS“-Dienste, davon nur 4 mit explizitem Bezug zu Fitness. 719 Entschließung der 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Schwerin, den 6./7.4.2016: Wearables und Gesundheits-Apps – Sensible Gesundheitsdaten effektiv schützen! https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBund Laender/91DSK_EntschliessungWearables.html?nn=5217016. (abgerufen am 25.8.2016). 720 S.a. Hinweise bei Petrlic, DuD 2016, 94 (97).
160
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 630
A
Algorithmen usw. als „Profiling“ und v.a. als „automatisierte Einzelentscheidung“ (s. dazu Rz. 553 ff.) qualifizieren kann. 4.3 Auftrags(daten)verarbeitung, Besonderheiten Gegenüber der bisherigen Lage ändert sich im Großen – außer der praktischen Gleichstellung 628 der Partner und somit Verantwortung des Auftragsverarbeiters i.V.m. Wegfall der Privilegierung – nicht sehr viel.721 Hingegen gibt es im Detail eine regelrechte Fülle neuer Regeln, die v.a. Pflichten des Auftragsverarbeiters betreffen. Die Definition des Auftragsverarbeiters ist sehr einfach: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“, Art. 4 Nr. 8 DS-GVO. Im Vergleich mit Art. 11 BDSG fällt auf, dass dieses einerseits keine Definition des Auftragsdatenverarbeiters bietet, andererseits § 11 wesentliche Vorgaben enthält, die ein Auftragsverhältnis aufweisen muss, v.a. Weisungsgebundenheit des Auftragnehmers (s. Rz. 226 ff.), weshalb dieser auch nicht „verantwortliche Stelle“ ist. Solche Vorgaben gibt es in der DS-GVO auch für das Auftragsverhältnis. Sie sind aber nicht konstitutiv für eine Privilegierung, da es eine solche nicht gibt. Allerdings besteht die Pflicht, detaillierte vertragliche Regelungen zu treffen. Der Wegfall des Privilegs heißt in der Folge, dass die Zulässigkeit der Verarbeitung je Beteiligten zu prüfen ist. Das Verbotsprinzip greift auch für den Auftragsverarbeiter.722 Bei der Konzeption des BDSG ist der Auftragnehmer nicht „Dritter“, wird hinsichtlich Zulässigkeit der Verarbeitung nicht gesondert beurteilt. Dies ändert sich durch die DS-GVO nicht. Der Auftragsverarbeiter bleibt, was Übermittlungsvorgänge i.R.d. Weisungen betrifft, interne Stelle, wird nicht als Dritter gesehen. Das gilt nicht, wenn der Auftragsverarbeiter den Rahmen der Weisungen verletzt.723
629
Die DS-GVO ändert das Verhältnis der Vertragspartner zueinander ansonsten ziemlich radi- 630 kal: das Auftragsverhältnis besteht einfach ohne konstitutiven Vertrag, ist nicht privilegiert und zeitigt die Folge, dass auch der Auftragsverarbeiter „Verantwortlicher“ ist. Er wird in vielen Regelungen zugleich und gleichrangig mit dem Verantwortlichen genannt. Dabei entfallen als Bedingung (aber nicht als Pflicht bzw. Recht, s. Rz. 632) die Weisungshoheit des Auftraggebers und insofern die Weisungsgebundenheit des Auftragsverarbeiters. Damit wird die Institution „Funktionsübertragung“ obsolet, die Abgrenzung dieser gegenüber entfällt als Problem. Das heißt nicht, dass die Parteien nicht im Vertrag Einzelheiten der Ausführung regeln, die auch die Weisungsrechte betreffen. Die Selbständigkeit des Auftragsverarbeiters zeigt sich auch bei der Frage der unmittelbaren Anwendbarkeit der DS-GVO auf den Auftragsverarbeiter. Die Risiken für Auftragsverarbeiter erhöhen sich dadurch, dass er nun weitgehend selbständig Adressat der Regelungen und v.a. auch Pflichten gemäß DS-GVO ist, etwa Führen des Verzeichnisses aller Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Abs. 2 DS-GVO und die Ergreifung technisch-organisatorischer Maßnahmen (Art. 32 Abs. 1 DS-GVO). Entsprechendes gilt auch für Aufsicht.
721 S. Koós/Englisch, ZD 2014, 276, zur Gegenüberstellung der damals aktuellen Rechtslage und LIBEEntwurf; s.a. Petri, ZD 2015, 395; s. aber Müthlein, RDV 2016, 74, zu zahlreichen Neuerungen im Detail, v.a. aus Auftragsverarbeiter-Sicht. 722 Dies folgt aus der Gleichstellung der beiden Vertragspartner; zu deren Vertragsverhältnis und beiderseitigen Verantwortlichkeit s. Härting, ITRB 2016, 36. 723 Art. 28 Abs. 10 DS-GVO: Unbeschadet der Art. 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.
Schneider
161
A Rz. 631
Datenschutz und IT-Management
631 Hinsichtlich der Vertragsgestaltung enthält Art. 28 DS-GVO eine Reihe von Maßgaben, die letztlich nicht weit von § 11 BDSG, s. dazu Rz. 226 ff., liegen, aber umfassender und zugleich allgemeiner sind. – Gemäß Art. 28 Abs. 1 DS-GVO darf die Auftragsverarbeitung nur mit Auftragsverarbeitern erfolgen, die hinreichend Garantien724 dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Dies impliziert, dass eine Berücksichtigung bei der Datenschutz-Folgenabschätzung (Art. 35) seitens des Auftraggebers zu erfolgen hat, aus der sich Kriterien ergeben, die auch den Auftragsverarbeiter betreffen, die also bei der Auswahl zu berücksichtigen sind.725 – Subunternehmer dürfen nach Abs. 2 Satz 1 nicht „ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch genommen werden“; bei allgemeiner schriftlicher Genehmigung „informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben“ (Satz 2). Dies ermöglicht Cloud Computing726 im Verbund mehrerer Auftragsdatenverarbeiter und legt zugleich die Voraussetzungen fest. Dazu werden gem. Abs. 4 in der Kette dem weiteren Auftragsverarbeiter dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Abs. 3 festgelegt sind. Erneut sind hinreichende Garantien erforderlich, „dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.“ – Die Auftragsverarbeitung bedarf einer „Grundlage“ (Abs. 3), die in einem Vertrag oder einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten besteht. Schriftform ist gem. Abs. 9 nicht erforderlich, elektronische Form genügt. Diese Regelung muß den Auftragsverarbeiter in Bezug auf den Verantwortlichen binden und eine Reihe von Maßgaben enthalten bzw. beachten. Zunächst sind festzulegen: – Gegenstand und Dauer der Verarbeitung, – Art und Zweck der Verarbeitung, – die Art der personenbezogenen Daten, – die Kategorien betroffener Personen und – die Pflichten und Rechte des Verantwortlichen. 632 Art. 28 Abs. 3 enthält eine Liste z.T. knapp formulierter, aber umfangreicher Maßnahmen und Maßgaben, die „insbesondere“ dem Auftragsverarbeiter aufzuerlegen sind, darunter die „Weisungsgebundenheit“, wonach dieser
724 Die Version EU-Parlament hatte noch vorgesehen: „Die hinreichenden Garantien gemäß Absatz 1 können durch die Einhaltung von Verhaltenskodizes oder Zertifizierungsverfahren gemäß Artikel 38 oder 39 dieser Verordnung nachgewiesen werden.“ 725 S.a. Müthlein, RDV 2016, 74 (75) zur Trilogfassung; die Einbeziehung der Auftragsverarbeitung ergibt sich nun über Art. 36 Abs. 3, wonach bei der Vorherigen Konsultation auch die Auftragsverarbeiter zu den mitzuteilenden Informationen gehören und gem. c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien aufzuführen sind. 726 S.a. Spindler, DB 2016, 937 (943).
162
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 636
A
a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c) alle gemäß Art. 32 DS-GVO erforderlichen Maßnahmen ergreift, also die Sicherheit der Verarbeitung gewährleistet. Für die Vertragsgestaltung bietet Art. 28 Abs. 6 DS-GVO eine Art de-facto-Standardisierung über Standardvertragsklauseln. Gem. Abs. 7 kann die Kommission im Einklang mit dem Prüfverfahren gemäß Art. 87 Abs. 2 Standardvertragsklauseln zur Regelung der in den Abs. 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. Gem. Art. 28 Abs. 8 kann eine Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren gemäß Art. 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. Sehr viele flankierende Pflichten treffen (auch) i.Ü. den Auftragsverarbeiter:
633
– Verzeichnisse von Verarbeitungstätigkeiten führen beide, der Verantwortliche und der Auftragsverarbeiter, dieser gem. Art. 30 Abs. 2 DS-GVO, beide legen es jeweils der Aufsichtsbehörde vor, Abs. 4. – Die Pflicht zur Bestellung eines Vertreters gem. Art. 27 Abs. 1 DS-GVO gilt auch für den Auftragsverarbeiter. – Gem. Art. 31 DS-GVO haben beide die Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde, ebenso die Pflicht zur Bestellung eines Datenschutzbeauftragten unter den dortigen Voraussetzungen, Art. 37. – Die technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DS-GVO sind als Pflicht für Verantwortlichen und Auftragsverarbeiter gleichermaßen ausgeprägt. Für den Konzern ergeben sich insofern Neuerungen, als die Maßgaben der Auftragsverarbei- 634 tung auch für die Bereiche gelten, die bisher „Funktionsübertragung“ darstellten. Zudem werden häufig die Bedingungen der gemeinsamen Verantwortlichkeit gem. Art. 26 vorliegen, s. Rz. 646. Eine Herausforderung wird die klare Einordnung von Big Data-Anwendungen darstellen, da insoweit Auftragsverarbeitung (Art. 28 DS-GVO) und Gemeinsame Verantworlichkeit (Art. 26 DS-GVO) vorliegen dürften. Wie insoweit Weisungsgebundenheit und gemeinsame Verantwortung kompatibel vereinbart werden können, erscheint unklar. 5. Datenaustausch mit Nicht-EU-Ausland 5.1 DS-GVO Vor dem Hintergrund der Diskussion um das ungültige Safe Harbor Abkommen und die 635 Nachfolgeregelung (s. Rz. 417 f.) spielt naturgemäß die Übermittlung in Drittländer bzw. der Datenaustausch mit Verantwortlichen in Drittländern aufgrund der wirtschaftlichen Bedeutung für den Handel eine große Rolle. In Kap. V. „Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen“ regelt Art. 44. Allgemeine Grundsätze der Datenübermittlung, im Grunde (wieder) mit der Adäquanz des Schutzniveaus im Empfängerland als zusätzlicher (die Übermittlung muss auch dem Grunde nach in der EU zulässig sein) Zulässigkeitsvoraussetzung. Art. 45 regelt die Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses 636 und dazu die Grundlagen für die Adäquanzentscheidung der Kommission. Dazu sollen die Schneider
163
A Rz. 637
Datenschutz und IT-Management
Erw.grd. 114 ff. Kriterien vorgeben.727 Die in Art. 45 aufgeführten Kriterien für die Prüfung sind auch von der EuGH-E zu Safe Harbor geprägt, u.a. Rechtsstaatlichkeit, Achtung der Menschenwürde und Grundfreiheiten, unabhängige Aufsichtsbehörde(n), sodass insoweit auf die Art. 7 und 8 GRCh und die EMRK zwecks Interpretation und einschlägiger Entscheidungen als Maßstab zurückgegriffen werden kann.728 5.2 USA nach Safe Harbor, Privacy Shield 637 Speziell für den Austausch mit USA soll nun als Safe Harbor-Nachfolger der „Privacy Shield“ fungieren. Seit 12.7.2016 ist das Abkommen zum Datenaustausch der EU mit den USA, genannt „EU-US Privacy Shield“ (Angemessenheitsentscheidung gemäß Art. 25 (6) EU-DSRL (RL 95/46/EG), in Kraft.729 Der genaue Inhalt steht damit nach längerer Phase der Mutmaßungen fest,730 die Registrierungen erfolgen seit 1.8.2016. Es ist ein Spagat, mit dem zwei unterschiedliche Konzepte kompatibel zu machen sind, soweit möglich. Sehr knapp geht es um Verbot und Daten in Europa, um Freiheit der Person und der Information in den USA. Die Schnittstelle wäre „Privacy“.731 Dem scheint Art. 8 GRCh entgegenzustehen, der nun mal die Daten schützt.732 Tatsächlich wäre Art. 7 GRCh mindestens auch, wenn insoweit nicht noch stärker zu berücksichtigen, wenn es um das Schutzgut als solches geht, nämlich Privatleben (s.a. Rz. 41 ff., 77 ff.). 638 Welche Anforderungen an den Datentransfer in die USA nach dem neuen Abkommen „Privacy Shield“ zu stellen sind, ist im Detail noch unklar. Ein Problem dürfte u.a. sein, dass das geplante Privacy Shield-Regelwerk wie Safe Harbor auf einem System der Selbstzertifizierung aufbaut, bei dem sich US-Unternehmen zur Befolgung zentraler Datenschutzgrundsätze verpflichten.733 Am 29.2.2016 legte die Kommission einen Satz Dokumente vor, bestehend aus dem Entwurf einer Angemessenheitsentscheidung gem. Art. 25 Abs. 6 RL 95/46/EG (DS-RL) und sieben Anlagen. Vom „US-Handelsministerium formulierte Grundsätze bilden die Anlage II zum Entwurf der Angemessenheitsentscheidung. Weitere Anlagen enthalten Erläuterungen von US-Ministerien und weiterer US-Behörden betreffend die Aufsicht über die Privacy Shield-zertifizierten Unternehmen sowie Darstellungen zu Rechtsgrundlagen und Praxis des Zugangs von US-Nachrichtendiensten und Strafverfolgungsbehörden zu personenbezogenen Daten einschließlich hierauf bezogener Aufsichts- und Kontrollmechanismen. Anlage III enthält Angaben zur Installierung einer sog. Ombudsperson beim US-Außenministerium (State Department), an die Personen aus der EU Beschwerden richten können, die einen Zugang von US-Nachrichtendiensten zu ihren aus der EU übermittelten personenbezogenen Daten zum Gegenstand haben.“734 639 Als Eckpunkte der neuen Regelungen wurden genannt:735 – „Unternehmen in den USA, die sich gemäß ‚Privacy Shield‘ zertifizieren lassen, müssen sich strengen Pflichten unterwerfen, wie personenbezogene Daten verarbeitet und Persönlichkeitsrechte garantiert werden. – Das US-Handelsministerium wird überwachen und sicherstellen, dass nach ‚Privacy Shield‘ zertifizierte Unternehmen ihre Datenschutzverpflichtungen veröffentlichen und die US Federal Trade Commission wird diese durchsetzen.
727 728 729 730 731 732 733 734 735
164
Spindler, DB 2016, 837 (945). S.a. bzgl. Einfluss von EuGH zu Safe Harbor Schmitz/von Dall‘Armi, ZD 2016, 217 (221 und 223). S. zum Weg zu dem neuen Abkommen Lejeune, ITRB 2016, 201. S. Lejeune, ITRB 2016, 201; kritisch Börding, CR 2016, 431. S.a. Stentzel, PING 2015, 185; Schneider, ZD 2015, 245. S. nur den Berichterstatter Albrecht, CR 2016, 88 ff., der von „Umsetzung“ spricht. S. Filip, ZD-Aktuell 2016, 05108. Filip, ZD-Aktuell 2016, 05108. Rajko Herrmann, Feb. 2016, blog Eintrag http://www.vangard.de/en/node/998 (abgerufen am 25.8.2016).
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 641
A
– Nach ‚Privacy Shield‘ zertifizierte Unternehmen müssen sich zudem zur Einhaltung der Vorgaben europäischer Datenschutzbehörden verpflichten. – Zertifizierte Unternehmen müssen versuchen, Beanstandungen von EU-Bürgern in Bezug auf die Verarbeitung ihrer personenbezogenen Daten innerhalb einer bestimmten Frist abzuhelfen. Nicht abgeholfene Beschwerden können EU-Bürger den zuständigen Datenschutzbehörden vorlegen, die wiederum das US-Handelsministerium und die US Federal Trade Commission einschalten können. Zudem können EU-Bürger ein für sie kostenfreies Schiedsverfahren einleiten. – Es wird strenge Vorgaben für den Zugriff auf personenbezogene Daten durch US-Nachrichtendienste und Vollzugsbehörden in Form klarer Begrenzungen sowie Sicherheits- und Überwachungsmechanismen geben. Diese Mechanismen werden einer jährlichen Überprüfung unterzogen. Für die Behandlung von Beschwerden von EU-Bürgern in Bezug auf Verletzungen der Persönlichkeitsrechte durch US-Nachrichtendienste und Vollzugsbehörden wird ein Ombudsmann eingerichtet.“736
Die Artikel-29-Gruppe hat zum „EU-US Privacy Shield“ am 13.4.2016 (WP 238) detailliert Stellung genommen,737 und zwar mit der konstruktiven Kritik:738
640
„The main issues raised by the Article 29 Working Party are: – lack of clarity: the Privacy Shield comprises various sets of documents making them difficult to review which are also not consistent; – lack of data protection principles: certain aspects of EU data privacy law are not reflected in the Privacy Shield, including principles relating to purpose limitation and data retention; – complexity of the redress mechanisms: while additional resources will be made available to individuals to exercise their rights, the Working Party is concerned that the mechanism may prove too complex; – lack of representations: the representations of the US Office of the Director of National Intelligence are not sufficiently precise to exclude massive and indiscriminate collection of personal data from the EU; and – lack of independence: the Working Party is concerned that the new Ombudsperson set up to review US intelligence activities relating to personal data from the EU is not sufficiently independent and not vested with adequate powers to exercise its duty.“
Ungeachtet dessen wird die Regelung in der nun verabschiedeten Fassung zu begrüßen sein, weil sie doch ein Stück Rechtssicherheit mit sich bringt (zu den wesentlichen Prinzipien s. Rz. 418). Hinzu kommt die Wahlmöglichkeit, die den EU-Bürgern als „opt-out“ einzuräumen ist, wenn deren Daten an Dritte weitergegeben werden oder „für einen Zweck genutzt werden sollen, der sich nicht nur unwesentlich von dem Zweck unterscheidet, für den die Daten ursprünglich erhoben worden waren (‚purpose that is materially different from the purpose for which it was originally collected …‘)“.739 Für sensible/sensitive Daten muss eine „opt-in“-Möglichkeit unter den gleichen Voraussetzungen gewährt werden, wobei jegliche Zweckänderung ausreicht.740 5.3 Standardklauseln, BCR, Verhaltensregeln Auch weiterhin werden Standardvertragsklauseln bzw. nun auch Datenschutzklauseln als Basis für die Übermittlung sorgen können. Gem. Art. 57 j gehört zu den Aufgabe der Aufsichtsbehörde, Standardvertragsklauseln i.S.d. Art. 28 Abs. 8 und Art. 46 Abs. 2 lit. d fest736 Rajko Herrmann, Feb. 2016, blog Eintrag http://www.vangard.de/en/node/998 (abgerufen am 17.5.2016) mit kleinen Weglassungen und Hervorhebungen. 737 S. dazu ausführlich und kritisch Lejeune, CR-Online-Blog http://www.cr-online.de/blog/2016/04/14/ zur-zukunft-des-internationalen-datenaustauschs-im-schnittfeld-von-sicherheits-und-datenschutzrecht/ (abgerufen am 14.5.2016); zu dieser Stellungn. s. Filip, ZD-Aktuell 2016, 05108. 738 http://blogs.orrick.com/trustanchor/2016/04/13/eu-us-privacy-shield-may-not-be-up-after-all/. 739 Lejeune, ITRB 2016, 201 (204). 740 Lejeune, ITRB 2016, 201 (204).
Schneider
165
641
A Rz. 642
Datenschutz und IT-Management
zulegen. Nach Art. 28 Abs. 7 kann die Kommission „im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen“. 642 Wenn kein Angemessenheitsbeschluss vorliegt, darf ein Verantwortlicher oder Auftragsverarbeiter nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien741 vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, Art. 46 Abs.1 DS-GVO. Nach dessen Abs. 2 können solche Garantien – u.a. – ohne Genehmigung der Aufsichtsbehörde sein: – verbindliche interne Datenschutzvorschriften gemäß Art. 47, also BCR, (Art. 46 Abs. 2 b)); – von der Aufsichtsbehörde angenommene Standarddatenschutzklauseln, (Art. 46 Abs. 2 d)). Mit Genehmigung der Aufsichtsbehörde können die geeigneten Garantien gemäß Abs. 1 „auch insbesondere bestehen“ (u.a.) in „Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden“, Art. 46 Abs. 3 a). Es ist neu, dass die Aufsichtsbehörde diese Genehmigung erteilt. 643 Neu gefasst sind die Regeln zu der Variante Verbindlicher interner Datenschutzvorschriften, Art. 47 BCR. Diese müssen von der Aufsichtsbehörde (trotz der Formulierung in Art. 46 Abs. 1 wie zitiert) genehmigt werden, wozu das Kohärenzverfahren (Art. 63) einzuhalten ist. Art. 47 Abs. 2 regelt den Inhalt. Gem. Abs. 1 c) müssen diese Anforderungen des Abs. 2 erfüllt werden, damit eine Genehmigung erfolgen kann. 644 Mit Einwilligung der betroffenen Person ist (nach wie vor) die Übermittlung auch ohne zusätzliche Absicherung (ausreichendes Datenschutzniveau wird dem Drittland bescheinigt, Standardklauseln sind genehmigt, genehmigte BCR sind die Grundlage) gem. Art. 29 Abs. 1 a) oder auf deren „Antrag“, Abs. 1 b), zulässig. 645 Die DS-GVO stärkt die Möglichkeiten, Verhaltensregeln entlastend einzusetzen. Als Beispiel nach bisherigem Recht, das durch die DS-GVO, Art. 40, gestärkt werden wird, kann die Selbstverpflichtung gelten, der sich die Versicherungswirtschaft unterzogen hat.742 S. Rz. 201, 412. 6. Joint Controllership 646 Art. 26 DS-GVO bringt für den Datenschutz743 eine insofern neue Konfiguration,744 als zumindest erstmals eine explizite745 Datenschutzregelung mit konkreten Verpflichtungen zu sog. Joint Controllership746, „Gemeinsam für die Verarbeitung Verantwortliche“, erfolgt. Es handelt sich nicht um eine Privilegierung, etwa wie bei AuftragsDV nach § 11 BDSG. Evtl.
741 Schmitz/von Dall‘Armi, ZD 2016, (222), weisen darauf hin, dass „geeignet“ i.S. der DS-GVO evtl. etwas anders zu verstehen ist, als in der DS-RL, da die DS-GVO von „appropriate safeguards“ spricht, die DS-RL von „adequate safeguards“. 742 Schwartmann/Weiß, RDV 2016, 68 Ko-Regulierung vor einer neuen Blüte – Verhaltensregelungen und Zertifizierungsverfahren nach der DS-GVO. 743 Gemeinsame Verarbeitung gibt es schon länger in der öff. Verwaltung bzw. bei der DS-RL (Art. 2d). 744 Im BDSG wird in § 6 Abs. 2 unterstellt, dass es gemeinsame Speicherberechtigungen, sog. Verbunddateien, gibt. Art. 10 regelt (gemeinsam) automatische Abrufverfahren. Die DS-RL enthält bereits in der Definition des „für die Verarbeitung Veranwortlichen“ die Möglichkeit „gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener daten“ zu entscheiden. Explizite Regelungen enthalten z.B. LDSG NW und Hess. 745 S. Wolff/Brink/Spoerr, Beck OK Datenschutzrecht, 15. Edition, § 11 BDSG, Rz. 62 ff., 63 zur DS-RL, s. Rz. 510 mit Zitat zu Art. 2 d DS-RL, die ausdrücklich diese Möglichkeit bereits im Rahmen der Definitionen enthält. 746 S. Dovas, Joint Controllership – Möglichkeiten oder Risiken der Datennutzung?, ZD 2016, 512.
166
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 650
A
ergeben sich aber für Konzerne mit gemeinsamer IT-Infrastruktur und für manche Logistikbzw. Vertriebssysteme (auch evtl. Affiliate-Systeme bzw. –Programme)747 klarere Regelungen und Verantwortlichkeiten bis hin zu Vorgaben für den Vertrag. Viele der inzwischen üblichen Gestaltungen in der IT werden die Tatbestandsmerkmale für die Gemeinsame Verantwortlichkeit erfüllen. Durch die gemeinsame Festlegung wird die gemeinsame Verantwortlichkeit erzeugt. Die Abgrenzung gegenüber Auftragsverarbeitung scheint nicht klar. Umso wichtiger erscheint die vertragliche Regelung zwischen den Beteiligten, die darin auch das Auftreten nach außen, v.a. gegenüber den Betroffenen (und der Aufsicht), näher bestimmen. Relevanz hat Art. 26 DS-GVO v.a. für den Konzern und dort wiederum für die Personaldatenverarbeitung (s. Rz. 243 ff.). Die Partner der Joint Controllership legen gem. Art. 26 Abs. 1 Satz 2 und Abs. 2 zwar auch 647 intern Näheres zur Verteilung der Pflichten u.Ä. fest. Jedoch bleibt jeder für sich gegenüber der betroffenen Person Adressat für deren Rechtewahrnehmung: die betroffene Person kann ihre Rechte i.R.d. DS-GVO bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen (Art. 26 Abs. 3). Druck auf die Partner, ihren Vertrag sorgfältig zu gestalten, kommt auf Umwegen von der Haftungsregelung und über die Datenschutz-Folgenabschätzung, ggf. in Kombination beider: Nach Art. 83 Abs. 4 lit. a besteht bei Verletzung der Pflichten (u.a.) gem. jeweils Art. 26 und 35 (Datenschutz-Folgenabschätzung) sowie Art. 36 das Risiko des Bußgeldes bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Es kann angenommen werden, dass gemeinsame Infrastrukturen größere Risiken bergen, insofern auch Art. 35 (Datenschutz-Folgenabschätzung) und Art. 36 DS-GVO (vorherige Konsultation) besonders zu beachten sind. Gem. Art. 26 Abs. 1 Satz 2 legen die beiden (oder mehrere) „Verantwortliche in der Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“
648
Für die betroffene Person soll klar sein, dass eine gemeinsame Festlegung erfolgt ist, aber auch 649 wie diese funktioniert. Nach Art. 26. Abs. 2 muss die „Vereinbarung gemäß Absatz 1 … die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.“ Bei der Abfassung ihrer Vereinbarung werden die Partner sinnvollerweise diese Maßgabe besonders berücksichtigen. Nach Satz 3 wird nämlich das „Wesentliche der Vereinbarung“ der betroffenen Person zur Verfügung gestellt. „Joint Control“ erzeugt eine gemeinsame Verantwortlichkeit im datenschutzrechtlichen Sinne. Diese gemeinsame Verantwortlichkeit wird – in Erweiterung gegenüber der nur kurzen Erwähnung in der DS-RL, Art 2 d)) durch die DS-GVO für den EU-Datenschutz explizit geregelt. Bislang gab es entsprechende Ansätze in Landesdatenschutz-G (z.B. Verbunddateien in § 4a DSG NW, § 15 HDSG)748 für öffentliche Verwaltung und im EGovG (s. § 11 EGovG „Gemeinsame Verfahren).
747 S.z.B. Hoeren, in: Hoeren/Sieber/Holznagel, 42. EL 2015, Teil 18.2 Rz. 106 zur zivilrechtlichen Haftung. 748 S. dazu und zu „Verbunddateien“ Gola/Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, Rz. 6.
Schneider
167
650
A Rz. 651
Datenschutz und IT-Management
7. TOM/Sicherheit, „Mechanik“ 651 Die DS-GVO bewirkt evtl. eine stärkere Integration der IT-Sicherheit749 in die juristische Beurteilung des Datenschutzes, ungeachtet des Umstands, dass eine materiell-rechtliche Vorgabe, etwa die Privatsphäre abzubilden, fehlt.750 Eine solche Integration ist jedenfalls geboten, da praktisch die zulässige Handhabung der Daten nicht getrennt von deren Sicherheit gesehen werden kann. Dem trägt die DS-GVO – teilweise sehr abstrakt – Rechnung. Die Regelung der technischen und organisatorischen Maßnahmen wird in Rz. 565 ff. näher behandelt. Hier soll kurz versucht werden, auf einige Querverbindungen hinzuweisen, v.a. solche Regeln der DS-GVO die (auch) eine Umsetzung in technische und organisatorische Maßnahmen erfordern bzw. nahe legen. Ausgangspunkt ist Art. 24, wonach der für die Verarbeitung Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“ Wesentliche Erkenntnisse für die nötigen Maßnahmen werden sich aus der Datenschutz-Folgenabschätzung ergeben, Art. 35, die auch zum Managementsystem, das dem Verarbeiter obliegt, gehört.751 652 Die Pflicht zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Art. 25, spricht mehrfach die Umsetzung durch TOM an; so trifft der Verantwortliche gem. Abs. 1 sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete TOM wie z.B. Pseudonymisierung, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen. Abs. 2 verpflichtet zur Sicherstellung, „dass durch Voreinstellung grds. nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Nach Art. 30 gehören die TOM „wenn möglich“ zu den in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmenden Angaben (Abs. 1g) für den Verantwortlichen, Abs. 2 d) für den Auftragsverarbeiter). 653 Konkret geht es unmittelbar um die Sicherheit der Verarbeitung durch TOM, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“, in Art. 32. gem. Abs. 1 u.a. „… b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; …“. Der Vorteil bzw. der Bedarf solcher Maßnahmen erschließt sich u.a. über die Regelung zur Skandalisierung, die gem. Art. 34 Abs. 3 in der Form der Benachrichtigung der betroffenen Person gemäß Abs. 1 nicht erforderlich ist, wenn u.a. „a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung“. Für die Frage der Bemessung des Bußgeldes können die TOM ähnlich entlastende, wirtschaftlich sehr relevante Funktion haben: Nach Art. 83 Abs. 2 lit. d DS-GVO ist u.a. zu berücksichtigen der Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Art. 25 und 32 getroffenen technischen und organisatorischen Maßnahmen.
749 Zum IT-SiG und die Schnittstelle zum BDSG (über TMG) s. Spindler, CR 2016, 297. 750 Zum Problem s. Schneider, ZD 2011, 6; zur Schnittstelle zwischen rechtlicher Steuerung und technischer Entwicklung s. Richter, DuD 2016, 89. 751 Spindler, DB 2016, 937 (942).
168
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 658
A
Bei der Auftragsverarbeitung werden in Art. 18. Abs. 1 und 4 DS-GVO (dort für das Verhältnis zum Sub-Unternehmer) als zentral die Garantien gefordert, dass geeignete technische und organisatorische Maßnahmen „so durchgeführt werden, …“, was deren vorherige Entwicklung und Realisierung voraussetzt.
654
Weitere Zentralnorm auch für die Sicherheit könnte Art. 35 werden, da i.R.d. Datenschutz- 655 Folgenabschätzung gem. Abs. 7 zum Mindestinhalt gehören: die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“ Das heißt auch, wie an manchen anderen Stellen, dass die Dokumentation der TOM zum Zwecke des Nachweises eine wichtige Rolle spielt. Betont sei, dass die DS-GVO die Aktualisierungspflicht mehrfach anspricht, v.a. bei der Verantwortung gem. Art. 24, wie bei Rz. 568 zitiert.
656
8. Haftungsrahmen/Bußgelder, Skandalisierungs-/Meldepflichten 8.1 Bußgelder Art. 83 enthält „Allgemeine Bedingungen für die Verhängung von Geldbußen“, in Abs. 3 und 4 auch die Obergrenzen.752 Gem. Abs. 2 Satz 1 werden die Geldbußen „je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt“. Satz 2 präzisiert die Vorgaben für die bei der Einzelfallprüfung gebührend zu berücksichtigenden Umstände, auch zur Entlastung, durch eine lange Reihe von möglichen näheren Umständen, etwa
657
a) „Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; … c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; …“
Nach Abs. 4 beträgt der Rahmen für Verstöße gegen die dann aufgelisteten Verletzungstat- 658 bestände bei Geldbußen bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Zu den Tatbeständen gehören „a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43“. Noch weitreichender fällt der Rahmen nach Art. 83 Abs. 5 aus: „Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: …“. Zu den Tatbeständen gehört u.a. a) „die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
752 S. zu Veränderungen gegenüber dem BDSG Ashkar, DuD 2015, 796; zur Bußgeldbewehrtheit von Datenpannen s. Krischker, DuD 2015, 813.
Schneider
169
A Rz. 659
Datenschutz und IT-Management
c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; …“.
659 Die Gefahr ist also relativ hoch, bei Verletzung der grundsätzlichen Regeln hohe Bußen zahlen zu müssen. Dabei wird zudem der Unternehmensbegriff753 auf Basis von EuGH-E. weit gefasst bzw. verstanden werden.754 Ob die Interpretation so weit gefasst werden wird, ist noch nicht klar, aber wahrscheinlich, weil auch Erw.grd. 150 nur von „Unternehmen“ spricht.755 Dazu gehört auch bei wirtschaftlicher Einheit die Tochterfirma.756 Andererseits gibt es Ansätze, dass die DS-GVO zwischen Unternehmen und Unternehmensgruppe differenziert.757 8.2 „Datenpannen“ 660 Art. 33 u. 34 DS-GVO sehen die Meldung von Verletzungen758 des Schutzes personenbezogener Daten vor und zwar einmal an die Aufsichtsbehörde (Art. 33) und zum anderen an dem Betroffenen selbst, Art. 34 („Benachrichtigung“). Diese Meldung von Verletzungen des Schutzes ist v. a. vor dem Hintergrund auch des weiten Rahmens der Geldbußen bzw. der möglichen Geldbußen zu sehen. Die Verletzung von Pflichten seitens des Verantwortlichen und des Auftragsverarbeiters gem. u.a. Art. 33 u. 34 ist mit der Geldbuße nach Art. 83 Abs. 4 bewehrt, die vom Rahmen her einen Betrag von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes erreichen kann, s. Rz. 658. 661 Infolgedessen wird die Einhaltung dieser Vorschriften durchaus auch vor dem Hintergrund technisch-organisatorischer Maßnahmen genau zu prüfen sein. Dabei spielt auch noch eine Rolle, dass die Benachrichtigung insb. des Betroffenen entfallen kann bzw. nicht erforderlich ist, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden (Art. 34 Abs. 3 a) mit weiteren beispielhaften Maßgaben). Ebenfalls kann die Benachrichtigung entfallen, wenn der Verantwortliche durch nachfolgende Maßnahmen, also erst dann ergriffene Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person gem. Abs. 1 aller Wahrscheinlichkeit nach nicht mehr besteht. Insofern können durch das Ergreifen weiterer geeigneter Maßnahmen solche Benachrichtigungspflichten eingedämmt werden bzw. sogar entfallen, auch dann, wenn erst nachträglich ergriffen.759 Dies regelt i.Ü Abs. 2 i.V.m. Art. 33, dass die Benachrichtigung der betroffenen Person in „klarer und einfacher Sprache“ zu erfolgen hat und dabei mindestens die in Art. 33 genannten Informationen zu enthalten hat. Zu berücksichtigen ist bei diesen Benachrichtigungs-Pflichten mit Meldepflichten, dass es dem Verantwortlichen wahrscheinlich nicht leicht fallen wird, nach einer solchen Meldung evtl. Schadenersatzansprüchen zu begegnen, soweit diese sich bereits aus den insoweit gemeldeten Informationen ergeben.760
753 S.a. Wybitul, ZD 2016, 105. 754 Faust/Spittka/Wybitul, ZD 2016, 120 (120 f.), m.w.N., u.a. mit Verweisen auf EuGH, Slg. 1991, I-2010 Rz. 21 – Höfner und Elser; EuGH, Slg. (Fn. 8) und zur wirtschaftlichen Einheit EuGH, Slg; 1984, 2999 Rz. 11 – Hydrotherm; EuGH, Slg. 2011, I-0001 Rz. 35 – General Qu’ımica m.w.N. (Fn. 12); 2006, I-6319 Rz. 25 – FENIN m.w.N. auch zum Konzernumsatz. 755 S. Spindler, DB 2016, 937 (946). 756 Spindler, DB 2016, 937 (946) m.Verw. u.a auf EuGH v. 10.9.2009 – C-97/08 P. 757 Spindler, DB 2016, 937 (947) zu BCR als entspr. Beispiel. 758 Kaumanns/Böhm, K&R 2015, 18. 759 Zu den Datenpannen i.V.m. dem Bußgeld s. Kriscker, DuD 2015, 813, zur Meldepflicht s. a. Spindler, DB 2016, 937 (941) u. zu dem Datenpannen als neue Meldepflicht s. Marschall, DuD 2015, 183. 760 Zur Haftung s.a. Rz. 384 ff. und sogleich.
170
Schneider
Datenschutz-Grundverordnung (DS-GVO)
A
Rz. 666
8.3 Schadensersatz Art. 82 DS-GVO regelt „Haftung und das Recht auf Schadensersatz“. Ausdrücklich gilt der Anspruch gem. Abs. 1 sowohl für materiellen als auch für immateriellen Schaden, wenn wegen eines Verstoßes gegen diese Verordnung ein Schaden entstanden ist. Nach Abs. 2 haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, „der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.“
662
Art. 82 Abs. 3 regelt ähnlich wie bisher die DS-RL,761 dass sich der Verantwortliche entlasten kann, er also von der Haftung befreit wird, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.
663
Nach Art. 82 Abs. 4 DS-GVO ist die Haftung mehrerer an derselben Verarbeitung Beteiligter 664 gesamtschuldnerisch, gleich ob Verantwortliche oder Auftragsverarbeiter, was speziell für Joint Controllership (s. Rz. 646 ff.) Art. 26 DS-GVO noch etwas spezieller regelt: Nach Art. 26 Abs. 3 kann „die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen“, ungeachtet deren Vereinbarung miteinander, die sie gem. Abs.1 treffen. Ob insoweit etwa zwecks internem Ausgleich die Regeln des Art. 82 gelten, wenn einer der Beteiligten nicht für den Schaden verantwortlich ist, erscheint unklar. Der Eintritt immateriellen Schadens ist auch in Erw.grd. 83 a.E. angesprochen. Bei der Be- 665 wertung der Datensicherheitsrisiken sollen etwa berücksichtigt werden, egal ob unbeabsichtigt oder unrechtmäßig: Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insb. wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte. Ob dies in Deutschland als explizite Regelung eines Anspruchs auf Ersatz immateriellen Schadens auch ohne Verschulden oder bei nur leichter Fahrlässigkeit bzw. bei nicht „schwerer“ Verletzung des Persönlichkeitsrechts bzw. der Datenschutzvorschriften reicht, darf bezweifelt werden. Andererseits besteht bei Art. 82 Abs. 1 DS-GVO insoweit keine Öffnungsklausel oder Bereichsausnahme, sodass Erw.grd. 83 nahelegt, dass jedenfalls die bisherige Rspr., nur in Fällen schwerer Verletzung des Persönlichkeitsrechts Ersatz immateriellen Schadens zu gewähren,762 nicht mehr haltbar sein wird. Dies gilt auch für den Auftragnehmer, der gem. Art. 82 Abs. 1 wie der Verantwortliche haftet, allerdings nach Abs. 2 nur i.R.v. Verletzungen seiner speziellen Pflichten, Rz. 662. 9. Profile, Scoring, Tracking, Nutzerbasierte Online-Anwendung, Location Based Services Es ist seit langem im datenschutzrechtlichen Bereich eine klare Erkenntnis, dass mit zunehmender Internet-Nutzung bzw. zunehmender IT-Verbreitung auch die Datenspuren des Einzelnen erheblich, wenn nicht exponentiell zunehmen. Datenspuren sind als Bestands- und Nutzerdaten763 bzw. Verbindungsdaten im Bereich von Telemedien und Telekommunikation in Deutschland spezialgesetzlich im TMG bzw. TKG geregelt.764 Die Zwangsläufigkeit 761 Art. 23 Abs. 2 DS-RL. 762 S. Rz. 384 ff. und z.B. BeckOK Datenschutzrecht, Wolff/Brink/Quaas, 16. Edition, Stand: 1.5.2016 § 7 BDSG, Rz. 6 ff. und 55. 763 S. etwa Dieterich, ZD 2015, 199 zu Canvas Fingerprinting für Nutzerprofilerstellung. Zu den Nutzerspuren s.a. Erw.grd. 30 der DS-GVO. 764 Diese Differenzierungen spiegeln sich in der DS-GVO nicht wieder. Für den Bereich TM gehen sie verloren, wenn nicht „klarstellende“ Begleitgesetze erfolgen (und überhaupt wirksam sein können) s.a. Rz. 1248 ff.
Schneider
171
666
A Rz. 667
Datenschutz und IT-Management
des Anfalls dieser Daten ist die eine Seite, dass gleichzeitig auch Datenspuren angelegt werden, die nicht zur Erfüllung der Dienste erforderlich sind, die andere. Zu einem erheblichen Teil tragen i.Ü. die Nutzer noch zur Befüllung der Systeme, insb. im Bereich von Social Media bei, indem sie also digitalen Content beifügen, der auf sie selbst bezogen ist, seien es Fotos, Tagebücher o.Ä. Die individuelle Zuordnung, dass es sich dabei also um personenbeziehbare Daten handelt, bereitet i.d.R. keine Schwierigkeiten. Eher ist es umgekehrt, dass der Gesetzgeber versucht, den Nutzer in einer Position zu halten, wo er pseudonym bzw. sogar anonym die Dienste nutzen kann – was weitgehend vergeblich ist, während der Nutzer selbst sich bemüht, weitgehend bekannt zu werden. Dies gilt nicht generell, aber für einen erheblichen Teil der Nutzer. 667 Das Zusammenwachsen der verschiedenen Kommunikationssysteme und Dienste führt noch dazu, dass neben den Nutzerspuren auch sämtliche Bewegungen und Handhabungen (Lesen, Schreiben) die Spuren in Echtzeit generiert und insoweit den jederzeitigen Aufenthalt des Einzelnen und dessen Befindlichkeit zu jedem Zeitpunkt wiedergeben, ohne dass es größerer Vorkehrungen, also explizit der Wearables bedarf. Allerdings verstärken diese den Trend noch. Die Gefahr ist, dass auch die leicht modernisierte DS-GVO diesem Anwachsen der anfallenden Daten bzw. Datenbereiche wirkungslos gegenübersteht. Dabei ist es die Kommission selbst, die durch die Regelungen, über die die Daten zur Vergütung für Dienste werden, dafür sorgt, dass der Ausschluss der Identifizierung nicht funktionieren kann. Infolgedessen werden sich solche Regeln als wirkungsvoll erweisen, die nicht auf die Verarbeitung bzw. die Handhabung der Daten als solche abstellen, weil sich dies überhaupt nicht vermeiden lässt, vielmehr den impact zum Gegenstand haben und zum Ziel. Eine der typischen Regeln dieser Art ist etwa die belästigende Werbung, aber auch das Verbot der automatischen Einzel-Entscheidung, wenn sie nicht nur von Vorteil ist oder auch das Scoring. 668 Derzeit ist wohl eines der wichtigsten Phänomene, anhand dessen sich die Problematik der Gesamt-Beaufschlagung des Einzelnen und auch das Spannungsverhältnis, das sozusagen auf den Daten liegt, zeigen lässt, dass „vernetzte Automobile“,765 aber auch unified communications,766 sämtlich kombiniert auch mit Ortungssystemen767 und Spezialitäten bei der Nutzererkennung bis hin zum sog. Fingerprinting.768 Im Hinblick auf Big Data ist weiter nochmals darauf hinzuweisen, dass die Erhebung sehr vieler solcher Daten sogar anonym geschehen könnte, ihre Zusammenführung bzw. ihre übergreifende Auswertung durch Metadaten und Meta-Analysetechniken aber trotzdem personenbeziehbaren Aufschluss ermöglicht. Die Frage ist aber, wann dieser Datenschutz dann einsetzt bzw. wie dies kontrolliert werden könnte. Ohne eine Rechtsinstitution, die die Privatsphäre bzw. den Persönlichkeitsbereich sozusagen nachbildet in dem Sinne, dass ein „Eindringen“ bzw. auch eine Verletzung auch dann feststellbar ist, wenn der Betroffene die Daten selbst, sogar rechtmäßig abgegeben hat, wird man auf Dauer nicht auskommen. Das Fehlen entsprechender Regelungen (nur in Ansätzen zu Scoring und Tracking, s. Rz. 590 ff., 666) sowie völliges Fehlen bei der Frage der Beaufschlagung macht wahrscheinlich die Reform der Reform alsbald notwendig; zur Strukturierung der entsprechenden Diskussion könnte etwa auf die Matrix von Lewinsky hingewiesen werden, die dieser an das Ende seiner Darstellung gesetzt hat, eben gerade um die Debatte, die jetzt wohl nun auch weiterhin ansteht, vielleicht sogar noch intensiver geführt werden muss, zu strukturieren. 669 Es würde aber vielleicht auch gerade in Deutschland besonders Sinn ergeben, sich auf die bereits vorhandenen Institutionen, die allerdings durch die Art. 7 u. 8 GRCh verdrängt werden, zurückzubesinnen. Dabei hat bisher das sog. IT-Grundrecht, Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, ein Schatten765 766 767 768
172
Hornung/Goeble, CR 2015, 265 (zu „Data Ownership“). Lutz/Weigl, CR 2014, 85. Sieling/Philipp, ITRB 2013, 255. Dieterich, ZD 2015, 199.
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 674
A
dasein geführt. Es könnte sich aber erweisen, dass statt der Schwierigkeiten, einen aktiven Nutzer hinsichtlich seiner Privatsphäre zu schützen, in die er willentlich eindringen lässt, die Grenzen seines IT-Systems als Schutzzone aufzubauen. 10. Rahmen, Zertifikate, Richtlinien intern, Standards Selbst Art. 25 DS-GVO ist bußgeldbewehrt (Art. 83 Abs. 4 a DS-GVO). Das hält zwar strafrechtlich nicht, weil es sich bei Art. 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ um eine viel zu schwammige Regelung handelt. Dennoch kann v.a. über Abs. 3 ein Anreiz erfolgen, Art. 25 mehr Gewicht zu geben: „Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“ (s. zu Art. 25 DS-GVO Rz. 599 ff.). Somit „lohnt“ es sich, entsprechende Verfahren einzusetzen, um den Nachweis der Erfüllung der Anforderungen (leichter) zu führen.
670
Kap. IV, Abschn. 5 DS-GVO betrifft Verhaltensregeln und Zertifizierung. Art. 40 enthält 671 allgemeine Ausführungen zu Verhaltensregeln in dem Sinne, dass die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission die Ausarbeitung von Verhaltensregeln fördern sollen und zwar solchen, „die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinst-Unternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen soll“ (Abs. 1). Abs. 2 enthält einen Katalog von Themen, die durch solche Verhaltensregeln konkretisiert bzw., wie Abs. 2 dies nennt, „präzisiert“ würden. Darunter sind – faire und transparente Verarbeitung (a)) – Pseudonymisierung personenbezogener Daten (d)) – Maßnahmen und Verfahren gem. den Art. 24 u. 25 und die Maßnahmen für die Sicherheit der Verarbeitung gem. Art. 32 (h)). Hierzu erfolgen umfangreiche weitere Regeln, welche Maßgaben für evtl. Verhaltensregeln 672 gelten. Z.B. besagt Art. 40 Abs. 4, dass die Verhaltensregeln gem. Abs. 2, aus denen Auszüge der Themen genannt wurden, Verfahren vorsehen müssen, „die es der in Art. 41 Abs. 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen – unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Art. 55 oder 56 zuständig ist.“ Die Entwürfe zu Verhaltensregeln sind ggf. vorzulegen und zwar der Aufsichtsbehörde, die nach Art. 55 zuständig ist (Abs. 5). Art. 41 regelt die Überwachung der genehmigten Verhaltensregeln, die unbeschadet der Befugnisse der Aufsichtsbehörde auch von einer Stelle ausgeführt werden kann, die über das geeignete Sachwissen hinsichtlich des Gegenstands verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde. Diese Aufgabe kann also delegiert werden bzw. Fachstellen überlassen werden. Art. 42 regelt die Zertifizierung relativ umfangreich i.V.m. Art. 43, Zertifizierungsstellen. Auf diese Vorschriften, die ebenfalls sehr umfangreich sind, bezieht sich auch die Vorschrift des Art. 25, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung. Nach Art. 25 Abs. 3 kann ein nach Art. 42 genehmigtes Zertifizierungsverfahren als Faktor herangezogen werden, um die Erfüllung der in den Abs. 1 u. 2 des vorliegenden Art. genannten Anforderungen nachzuweisen.
673
Eine entsprechende Lösung für Art. 32, Sicherheit der Verarbeitung, ist in dessen Abs. 3 enthalten, sodass also auch insoweit ggf. auf „Standards“, wenn es denn zu einer entsprechenden Genehmigung gekommen ist, zurückgegriffen werden kann. Eine entsprechende Rege-
674
Schneider
173
A Rz. 675
Datenschutz und IT-Management
lung fehlt bei der Datenschutz-Folgenabschätzung. Dort ist allerdings in Art. 35 Abs. 8 vorgesehen, dass die Einhaltung genehmigter Verfahrensregeln nach Art. 40 durch die zuständigen Verantwortlichen und die zuständigen Auftragsverarbeiter bei der Beurteilung der Auswirkung der von diesem durchgeführten Verarbeitungsvorgänge, insb. für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen ist. Demnach kann sich also die Einhaltung von nach Art. 40 DS-GVO anerkannten Verhaltensregeln günstig („positiv“) für den Verantwortlichen auswirken.769 675 Die DS-GVO betont zumindest vom Volumen bzw. vom Umfang der entsprechenden Regelungen, Art. 40 ff., die Möglichkeiten „regulierter Selbstregulierung“ intensiver als die DSRL.770 Dass die Verhaltensregeln eine gewisse entlastende Funktion i.R.d. evtl. Darlegungspflichten zugunsten des Verantwortlichen haben können, ist vermutbar.771 So richtig klar wird dies allerdings nicht. Inwieweit es sich dabei dann auch um die Verwaltung evtl. in den Vorschriften handelt, ist erst recht nicht klar. Es ist deshalb auch nicht näher zu prognostizieren, ob konkrete, für den Verantwortlichen günstige Rechtswirkungen von der Durchführung bzw. der Einhaltung wirklich ausgehen – wobei Entlastungsmöglichkeiten im Bereich der Haftung denkbar wären. Zur Haftung bzw. Entlastung s. Rz. 657, zu BDSG s. Rz. 475. Jedenfalls dann, wenn es um den Nachweis geht, dass sozusagen allgemeingültige Regeln eingehalten worden sind, wird ein entsprechendes Reglement für den Verantwortlichen günstig sein (und natürlich dessen Einhaltung).772 Ob evtl. auch eine Verwendung gegen die Aufsichtsbehörde möglich ist, weil entsprechende Bindungswirkung besteht, erscheint möglich, aber fraglich.773 676 Zertifizierungen sind also nach Art. 42 ausdrücklich vorgesehen,774 allerdings nur im Wesentlichen als eine Absichtserklärung, wonach entsprechende Zertifizierungen zu fördern sind. Insofern ist auch Art. 42 noch interessant, wonach die Zertifizierung freiwillig sein muss und über ein transparentes Verfahren zugänglich ist. Gegen die angedeutete Bindungswirkung bei den Regelungen nach Art. 40 trotz deren erwähnten „allgemeinen Gültigkeit“ nach Art. 40 Abs. 1 d. spricht, dass gem. Art. 42 Abs. 4 die Zertifizierung ggf. nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung mindert und zudem auch nicht die Aufgabenbefugnisse der Aufsichtsbehörden berührt. Dies bedeutet wohl, dass insofern doch keine Selbstbindung eintritt, weil ansonsten die Befugnisse berührt wären. 677 Besondere Schwierigkeiten könnte konkret ein kleinerer oder mittlerer Verantwortlicher mit der Erlangung entsprechender Zertifizierung für sich selbst bekommen, soweit es um die Nutzung externer Systeme, insb. also auch beim Cloud Computing geht. Hierzu weist allerdings Spindler darauf hin, dass gem. Erw.grd. 81 gerade das Cloud Computing Berücksichtigung dort gefunden hat. Nach Erw.grd. 81 nämlich kann die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen und dies gilt auch für die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter. 678 Art. 43 regelt die Zertifizierungsstellen. Zertifizierungsstellen können ihrerseits wiederum von der zuständigen Aufsichtsbehörde nach Art. 43 Abs. 1 a) oder von der nationalen Akkre-
769 Spindler, DB 2016, 937 (942). 770 Spindler, DB 2016, 937 (942). 771 S. a. Schwartmann/Weiß, RDV 2016, 68 zur „Ko-Regulierung“ (Verhaltensregelungen und Zertifizierungsverfahren nach der DS-GVO). 772 Zum eventuellen Quasistandard („heimlicher Industriestandard“) ISO 27001/27018 s. Kraska, ZD 2016, 153, s.a. Rz. 1449. 773 Spindler geht davon aus, dass entsprechende Bindungswirkung entfaltet wird, DB 2016, 937 (943). 774 Spindler, DB 2016, 937 (942 f.).
174
Schneider
Datenschutz-Grundverordnung (DS-GVO)
Rz. 683
A
ditierungsstelle akkreditiert werden. Art. 43 Abs. 2 nennt die Voraussetzungen, wann eine Akkreditierung einer Zertifizierungsstelle erfolgen darf. 11. Aufsicht, Umsetzung Die DS-GVO ist in gewissem Sinne, was die Kontrolle betrifft, doppelt intensiver als die DS- 679 RL: Zum einen stärkt sie, zumindest aus deutscher Perspektive gesehen, die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Zwar handelt es sich formal nicht um eine Verpflichtung, die generell gelten würde. Art. 37 wirkt so, als ob die Bestellung weitgehend freigestellt wäre. Art. 37 Abs. 4 DS-GVO erlaubt über diese Öffnungsklausel, etwa eine Regelung wie in Deutschland einzuführen, wonach der Datenschutzbeauftragte ohne zusätzliche Voraussetzungen generell zu bestellen wäre, vielleicht mit Ausnahmen für ganz geringen Aktivitätsumfang. Die DS-GVO verlangt aber andererseits, dass die Bestellung zwingend ist, wenn die Kerntätigkeit entsprechend zu besonderer Kontrolle Anlass gibt. Dies ist gem. der Regelung der DS-GVO der Fall, wenn die Kerntätigkeit in einer umfangreichen systematischen und regelmäßigen Beobachtung von Personen sowie wenn diese in der Verarbeitung besonders sensibler Daten besteht. Es wird sich empfehlen, diese Fragestellung seitens des Unternehmens v.a. auch unter dem 680 Gesichtspunkt der Datenschutz-Folgenabschätzung vorzunehmen mit der Perspektive, dass der Datenschutzbeauftragte genau bei der Datenschutz-Folgeabschätzung erst möglicherweise die Aspekte zutage bringt, die eigentlich zu seiner Bestellung geführt hätten, nämlich besondere Risiko-Potentiale. Insofern scheint eine relativ große Nähe hinsichtlich der Frage der Beobachtung von Personen als Risiko i.S.d. Art. 37 und auch der Verarbeitung besonders sensibler Daten gegeben zu sein. Des Weiteren dürfte es wohl in den meisten Fällen so sein, dass irgendeine Art von besonderen Daten, nicht zuletzt Gesundheitsdaten angesprochen sind und infolgedessen dann die Bestellung ohnehin obligatorisch wäre. Die Bestellung selbst wird in der DS-GVO Ernennung genannt und erfolgt unter wesentlich 681 erleichterten Bedingungen, ist also formfrei. Im Hinblick auf die Zusammenarbeit mit der Aufsichtsbehörde und dazu die Meldung der Kontaktdaten (gem. Art. 36 Abs. 3 d DS-GVO bei der vorherigen Konsultation und Veröffentlichung gem. Art. 37 Abs. 7 DS-GVO seitens des Verantwortlichen und des Auftragsverarbeiters) wird es sich empfehlen, die Ernennung ebenso wie die Umstände dieser Offenbarungen zu dokumentieren. Die weitere Kontrollfunktionen deutet schon Art. 31 an. Danach sind der Verantwortliche und der Auftragsverarbeiter, ggf. auch deren Vertreter verpflichtet, auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten. Es ist davon auszugehen, dass diese Funktionen ähnlich wie auch die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30) sinnvollerweise i.R.d. Koordinierung mit dem Beauftragten erfolgt, ebenso wie die Meldung von Verletzungen nach Art. 33. Insofern ist für die Aufsichtsbehörde nach Art. 33 Abs. 5 eine Dokumentation zu erstellen – s.a. Rz. 563, was den „Skandal“ und dessen Abwicklung betrifft. Auch hier wird es sinnvoll sein, auf die Expertise des Beauftragten aufzubauen bzw. diesen mitkoordinieren zu lassen.
682
Im Zshg. mit der Datenschutz-Folgenabschätzung, Art. 35 wird ebenfalls die Frage der Ex- 683 pertise des Beauftragten gefragt sein. Hier ist eine intensive Kooperation mit der Aufsichtsbehörde vorgesehen, nachdem diese die Liste der Verarbeitungsvorgänge erstellt, die durchzuführen ist und die Aufsichtsbehörden das Kohärenzverfahren gem. Art. 63 anwenden, sodass eine erhebliche Abstimmung zu erfolgen hat. Des Weiteren erfordert Art. 36 die vorherige Konsultation. Zwar ist auch hier der Verantwortliche und nicht der Beauftragte der Adressat. Jedoch wird auch hier davon auszugehen sein, dass der Beauftragte diese Konsultation unterstützt bzw. vorbereitet.
Schneider
175
A Rz. 684
Datenschutz und IT-Management
684 Zu den expliziten Aufgaben des Beauftragten gehört ohnehin, dass er „auf Anfrage“ berät und zwar im Zshg. mit der Datenschutzen-Folgenabschätzung und Überwachung ihrer Durchführung gem. Art. 35 (Art. 39 Abs. 1c). Hier wäre es also Sache des Verantwortlichen, den Beauftragten jeweils hinzuzuziehen. Bei der Aufgabe nach Art. 39 Abs. 1d) ist der Beauftragte mit der Aufgabe betraut, mit der Aufsichtsbehörde zusammenzuarbeiten und er ist nach e) die Anlaufstelle für die Aufsichtsbehörde. Danach sind also die bereits angedeuteten weiteren Funktionen hinsichtlich der Koordinierung ansatzweise i.R.d. Aufgaben auch begründet. 685 Als eine weitere Schicht im Zshg. mit den Kontrollen können sich die Verhaltensregeln, Zertifizierungen und die verschiedenen Listen herausstellen. Diese entstehen jeweils in Kooperation bzw. stammen von der Aufsichtsbehörde. Die Aufsichtsbehörde selbst ist ihrerseits „gestuft“. Die originäre Aufsichtsbehörde ist in Art. 51 geregelt. Danach haben die Mitgliedstaaten vorzusehen, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind. 686 Für diese Aufsichtsbehörde gilt nach Art. 52 die völlige Unabhängigkeit. Damit gelten die Maßgaben, die auch schon die DS-RL hatte, auch für die Aufsichtsbehörde weiterhin. Wie die Aufsichtsbehörde zu besetzen ist, stellt Art. 53 weitgehend frei. D.h., dass außer der Vorgabe, dass es sich um ein transparentes Verfahren handeln muss, jedes Mitglied der Aufsichtsbehörde von den verschiedenen staatlichen Institutionen wird benannt werden können, nämlich von Parlament, von der Regierung, vom Staatsoberhaupt oder einer anderen unabhängigen Stelle. Art. 54 regelt die Errichtung der Aufsichtsbehörde. 687 Dabei erscheint v. a. interessant, dass die Amtszeit eines Mitglieds der Aufsichtsbehörde mindestens vier Jahre beträgt (Art. 54 Abs. 1 lit. d DS-GVO). Derzeit sind die Bestellungszeiträume z.B. 6 Jahre für den Landesbeauftragten in Bayern (Art. 29 BayDSG), 5 Jahre für den Präs. des Bayer. Landesamts für Datenschutz (Art. 35 BayDSG). 688 Art. 55 regelt die Zuständigkeiten, Art. 56 die Zuständigkeit der federführenden Aufsichtsbehörde. Damit ist schon angedeutet, dass es auch nach der DS-GVO verschiedene Aufsichtsbehörden geben kann, die für einen Verantwortlichen oder Auftragsverarbeiter zuständig sind. Die Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden regelt Art. 60. Art. 62 gibt die Möglichkeit, dass Aufsichtsbehörden gemeinsame Maßnahmen ergreifen und wie das Verfahren dazu abläuft. Eine Art Dach dazu bildet das Kohärenzverfahren, bei dem zur einheitlichen Anwendung der Verordnung in der gesamten Union die Aufsichtsbehörde i.R.d. näher beschriebenen Kohärenzverfahrens u.a. und ggf. auch mit der Kommission zusammenarbeitet (Art. 63 DS-GVO). Als Instrumente sind in diesem Zshg. vorgesehen: – Art. 64, Stellungnahme des Ausschusses – Art. 65, Streitbeilegung durch den Ausschuss – Art. 66, Dringlichkeitsverfahren – Art. 67, Informationsaustausch aufgrund von Durchführungsrechtsakten der Kommission. – Art. 68 regelt den europäischen Datenschutzausschuss, der als „Ausschuss“ bezeichnet wird. Auch für diesen gelten die Maßgaben der Unabhängigkeit. Die Aufgaben sind in Art. 70 näher geregelt. 12. UWG (Marktverhaltensregel), Verbandsklagerecht 12.1 UWG 689 Zum BDSG war lange strittig bzw. offen, inwieweit es sich bei den §§ 27 ff. um Marktverhaltensregeln handelt, s.a. Rz. 481 f. Im Laufe der Zeit wurde die Marktrelevanz des BDSG 176
Schneider
Arbeitnehmerdatenschutz
Rz. 693
A
hinsichtlich §§ 28 f. BDSG eher bejaht.775 V.a. das Erheben von Daten zu kommerziellen Zwecken wie beim Adressenhandel wie die Nutzung oder Übermittlung von Daten zu Werbezwecken wird als marktrelevant gesehen.776 Die DS-GVO hat keine speziell Verbraucherschützenden Normen. Einzelne Vorschriften zielen auf Fairness (Art. 5) o.Ä. Art. 80 Abs. 2 sieht das Verbandsklagerecht vor, Art. 80 Abs. 1 ermöglicht die Individualvertretung durch Verbände, s.a. sogleich Rz. 690. Dadurch wird aber aus der DS-GVO noch keine marktrelevante Norm. D.h., dass insoweit der Streit wieder zu führen sein wird. Zumindest hinsichtlich der Einhaltung der Einwilligungs-Voraussetzungen wird man auf die Argumente bei OLG Frankfurt und OLG Köln zurückgreifen können.777 12.2 Verbandsklage Art. 80 Abs. 2 DS-GVO ermöglicht den Mitgliedstaaten die Einrichtung der Verbandskla- 690 gebefugnis.778 Dieses Recht ist allerdings darauf beschränkt, „bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“ Nach Abs. 1 besteht Einzelklage- bzw. Vertretungsbefugnis, wenn die betroffene Person eine 691 der genannten Arten von Einrichtungen beauftragt (Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist). Schadensersatz kann die Institution nur im einzelnen Auftrag eines Betroffenen geltend machen. Dagegen ist auch die Geltendmachung von Auskunfts- und Löschungsansprüchen per Verbandsklage möglich.779
III. Arbeitnehmerdatenschutz 1. Schnittstelle von Datenschutz-, Arbeits- und Betriebsverfassungsrecht Die Datenschutzregelungen v.a. in BDSG und DS-RL sind weitgehend obsolet, sobald die DS-GVO unmittelbar Wirkung entfaltet, also ab 25.5.2018, s.a. Rz. 492 ff. Für den Beschäftigtendatenschutz sieht Art. 88 DS-GVO eine sog. Öffnungsklausel für mitgliedstaatliche Regelungen vor.780
692
Informations- und telekommunikationstechnische (ITK-)Einrichtungen am Arbeitsplatz sind 693 z.B. Festnetz- und Mobiltelefon, Bildschirmarbeitsplätze (Hardware, Betriebssysteme, Applikationen), Internet- und E-Mail-Systeme, „Blackberry“-Datenverkehr, Videoüberwachung,781 Workflow-Systeme,782 Kundenzufriedenheitsumfrage-Tools, elektronische Zugangskontrollund Zeiterfassungssysteme. Im Regelfall stehen diese Einrichtungen nicht nebeneinander, sondern bilden vielfältige Vernetzungsmöglichkeiten in der betrieblichen Infrastruktur. Aus
775 Tendenziell restriktiv immer noch Köhler, in: Köhler/Bornkamm, UWG, 34. Aufl. 2016, § 3a Rz. 1.74. 776 Demnach also v.a. § 28 Abs. 3 BDSG i.V.m. §§ 4 I, 4a I BDSG (Verbraucherschutz), Köhler, in: Köhler/ Bornkamm, UWG, 34. Aufl. 2016, § 3a Rz. 1.74. 777 OLG Frankfurt v. 17.12.2015 – 6 U 30/15 –, CR 2016, 256, und OLG Köln v. 11.3.2016 – 6 U 121/15, Rz. 30 ff., 35, juris, mit Argumentation auf Basis der DS-RL pro Marktrelevanz, s.a. Rz. 481 f. 778 Spindler, DB 2016, 937 (947); zur bisherigen Situation mit UKlaG, § 2, s. Rz. 481 ff. 779 Spindler, DB 2016, 937, (947), anders als nach UklaG, dazu Spindler, ZD 2016, 114 (116). 780 Rz. 696, 951 ff.; s.a. Spindler, DB 2016, 937 (938); Wybitul/Pötters, RDV 2016, 10 (14), Gola/Pötters/ Thüsing, RDV 2016, 57; s. schon zum Entwurf Fladung/Wybitul, BB 2012, 509. 781 Speziell zur Videoüberwachung am Arbeitsplatz s. Rz. 861 ff. 782 Zu Workflow-Systemen im Call-Center s. Rz. 903 ff.
Conrad
177
Arbeitnehmerdatenschutz
Rz. 693
A
hinsichtlich §§ 28 f. BDSG eher bejaht.775 V.a. das Erheben von Daten zu kommerziellen Zwecken wie beim Adressenhandel wie die Nutzung oder Übermittlung von Daten zu Werbezwecken wird als marktrelevant gesehen.776 Die DS-GVO hat keine speziell Verbraucherschützenden Normen. Einzelne Vorschriften zielen auf Fairness (Art. 5) o.Ä. Art. 80 Abs. 2 sieht das Verbandsklagerecht vor, Art. 80 Abs. 1 ermöglicht die Individualvertretung durch Verbände, s.a. sogleich Rz. 690. Dadurch wird aber aus der DS-GVO noch keine marktrelevante Norm. D.h., dass insoweit der Streit wieder zu führen sein wird. Zumindest hinsichtlich der Einhaltung der Einwilligungs-Voraussetzungen wird man auf die Argumente bei OLG Frankfurt und OLG Köln zurückgreifen können.777 12.2 Verbandsklage Art. 80 Abs. 2 DS-GVO ermöglicht den Mitgliedstaaten die Einrichtung der Verbandskla- 690 gebefugnis.778 Dieses Recht ist allerdings darauf beschränkt, „bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“ Nach Abs. 1 besteht Einzelklage- bzw. Vertretungsbefugnis, wenn die betroffene Person eine 691 der genannten Arten von Einrichtungen beauftragt (Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist). Schadensersatz kann die Institution nur im einzelnen Auftrag eines Betroffenen geltend machen. Dagegen ist auch die Geltendmachung von Auskunfts- und Löschungsansprüchen per Verbandsklage möglich.779
III. Arbeitnehmerdatenschutz 1. Schnittstelle von Datenschutz-, Arbeits- und Betriebsverfassungsrecht Die Datenschutzregelungen v.a. in BDSG und DS-RL sind weitgehend obsolet, sobald die DS-GVO unmittelbar Wirkung entfaltet, also ab 25.5.2018, s.a. Rz. 492 ff. Für den Beschäftigtendatenschutz sieht Art. 88 DS-GVO eine sog. Öffnungsklausel für mitgliedstaatliche Regelungen vor.780
692
Informations- und telekommunikationstechnische (ITK-)Einrichtungen am Arbeitsplatz sind 693 z.B. Festnetz- und Mobiltelefon, Bildschirmarbeitsplätze (Hardware, Betriebssysteme, Applikationen), Internet- und E-Mail-Systeme, „Blackberry“-Datenverkehr, Videoüberwachung,781 Workflow-Systeme,782 Kundenzufriedenheitsumfrage-Tools, elektronische Zugangskontrollund Zeiterfassungssysteme. Im Regelfall stehen diese Einrichtungen nicht nebeneinander, sondern bilden vielfältige Vernetzungsmöglichkeiten in der betrieblichen Infrastruktur. Aus
775 Tendenziell restriktiv immer noch Köhler, in: Köhler/Bornkamm, UWG, 34. Aufl. 2016, § 3a Rz. 1.74. 776 Demnach also v.a. § 28 Abs. 3 BDSG i.V.m. §§ 4 I, 4a I BDSG (Verbraucherschutz), Köhler, in: Köhler/ Bornkamm, UWG, 34. Aufl. 2016, § 3a Rz. 1.74. 777 OLG Frankfurt v. 17.12.2015 – 6 U 30/15 –, CR 2016, 256, und OLG Köln v. 11.3.2016 – 6 U 121/15, Rz. 30 ff., 35, juris, mit Argumentation auf Basis der DS-RL pro Marktrelevanz, s.a. Rz. 481 f. 778 Spindler, DB 2016, 937 (947); zur bisherigen Situation mit UKlaG, § 2, s. Rz. 481 ff. 779 Spindler, DB 2016, 937, (947), anders als nach UklaG, dazu Spindler, ZD 2016, 114 (116). 780 Rz. 696, 951 ff.; s.a. Spindler, DB 2016, 937 (938); Wybitul/Pötters, RDV 2016, 10 (14), Gola/Pötters/ Thüsing, RDV 2016, 57; s. schon zum Entwurf Fladung/Wybitul, BB 2012, 509. 781 Speziell zur Videoüberwachung am Arbeitsplatz s. Rz. 861 ff. 782 Zu Workflow-Systemen im Call-Center s. Rz. 903 ff.
Conrad
177
A Rz. 694
Datenschutz und IT-Management
Sicht des Unternehmens sind ITK-Anlagen unverzichtbar etwa für eine effiziente und wirtschaftliche interne und externe Kommunikation, Verwaltung und Produktion. Das Datenschutz-, Arbeits- und Betriebsverfassungsrecht halten für die technisch-organisatorische Aufoder Umrüstung des Unternehmens verschiedene Anforderungen inhaltlicher und verfahrenstechnischer Art bereit. Dies gilt auch dann, wenn der Arbeitgeber mit der technischen Auf- oder Umrüstung keine (Erweiterung der) Überwachung von Mitarbeitern und/oder Performance-Kontrollen bezweckt. 694 Nicht zuletzt im Zuge von Unternehmenszusammenschlüssen oder anderen betrieblichen Umstrukturierungen ist auch die betriebliche ITK-Infrastruktur von organisatorischen und technischen Änderungen betroffen. Spätestens, wenn aufgrund von Personalabbau arbeitsund betriebsverfassungsrechtliche Konflikte drohen, können Lücken in der datenschutz-, arbeits- oder betriebsverfassungsrechtlichen Compliance von ITK-Systemen die Verhandlungsposition der Arbeitnehmerseite erheblich stärken. Denn einerseits wird der Betrieb und die Nutzung von ITK-Einrichtungen im Unternehmen durch Individualarbeitsrecht, BetrVG,783 Datenschutzrecht und auch Verfassungsrecht konkretisiert und ggf. beschränkt. Zudem können Compliance-Verstöße in diesem Zshg. Schadensersatz, Geldbußen und sogar Strafen auslösen.784 695 Für Anstellungsverhältnisse mit leitenden Angestellten785 und – im rechtlichen Sinne selbständigen – freien Mitarbeitern gelten einige der folgenden persönlichkeits- und datenschutzrechtlichen Ausführungen entsprechend. Allerdings können im Einzelfall Besonderheiten zu beachten sein, die sich aus der unterschiedlich gelagerten Schutzbedürftigkeit und der Interessenlage ergeben. Darauf wird im Folgenden nicht eingegangen. 696 Die Sonderregelungen der Europäischen Datenschutzrichtlinie 95/46/EG für den Umgang mit besonderen Kategorien personenbezogener Daten durch die verantwortliche Stelle „auf dem Gebiet des Arbeitsrechts“ (Art. 8 Abs. 2 lit. b RL 95/46/EG) wurden nur rudimentär ins BDSG übernommen.786 I.R.d. BDSG-Novellen 2009 wurde § 32 BDSG eingeführt, der viel kritisiert wurde und nur als erste vorläufige Regelung gedacht war. Bestrebungen im Jahr 2010, durch Einführung neuer Vorschriften §§ 32a-32m BDSG-E den Arbeitnehmerdatenschutz umfassend im BDSG zu regeln, sind jedoch gescheitert.787 Ob diese Entwürfe im Zshg. mit der anstehenden Änderung des BDSG, die im Hinblick auf die EU-Datenschutzgrundverordnung erfolgen muss, eine Rolle spielen werden, ist zweifelhaft. Die Grundverordnung, die ab 2018 wesentliche Teile des allgemeinen deutschen Datenschutzrechts ablösen wird, sieht für den Beschäftigtendatenschutz eine Öffnungsklausel vor.788 Der Zeitplan für die Änderung des BDSG, mit dem das BMI konfrontiert ist, ist so knapp, dass der Regierungsentwurf vom 23.11.2016 (BDSG-E) im Hinblick auf den Beschäftigtendatenschutz an § 32 BDSG festgehalten hat, um nicht die heftige Diskussion aus 2010 wiederzubeleben. Allerdings verlangt Art. 88 Abs. 2 DS-GVO von der mitgliedstaatlichen Regelung „angemessene und besondere Maßnahmen (…), insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgrup783 Dazu s.u. Rz. 758 ff. 784 Zu beachten sind v.a. §§ 7, 43, 44 BDSG bei unzulässiger Datenübermittlung im Konzern oder §§ 88 TKG, 202a, 206 StGB, z.B. wenn der Arbeitgeber bei erlaubter Privatnutzung des betrieblichen E-Mail-Systems seine Provider-Stellung für unzulässige Mitarbeiterkontrollen missbraucht (teilw. strittig, s. Schuster, CR 2014, 21). 785 Zum Begriff des leitenden Angestellten s. BAG v. 5.5.2010 – 7 ABR 97/08, NZA 2010, 955; zum Verhältnis von Arbeitsverhältnis zu Geschäftsführerdienstvertrag s. BAG v. 25.10.2007 – 6 AZR 1045/06, NJW 2003, 1018. 786 Zu besonderen Arten personenbezogener Daten im Arbeitsverhältnis s. Rz. 737 ff. 787 S.a. http://rsw.beck.de/cms/?toc=ZD.ARC.201108&docid=322029; Hanloser, in: Forgó/Helfrich/ Schneider, IV. 1. Rz. 5 ff.; zur Änderung des BDSG aufgrund der EU-Datenschutzgrundverordnung s. Rz. 492 ff. 788 Einzelheiten Rz. 531.
178
Conrad
Arbeitnehmerdatenschutz
Rz. 699
A
pe (…)“. In § 24 Abs. 1 Satz 2 BDSG-E, der im Wesentlichen die Regelung aus § 32 BDSG de lege lata übernimmt, lässt sich mit Blick auf die „zu dokumentierenden tatsächlichen Anhaltspunkten [für einen] Verdacht“ eine besondere Maßnahme im Hinblick auf die Transparenz finden. Das gilt aber nur für den Zweck der Aufdeckung von Straftaten, was nicht der Normalfall der Verarbeitung von Beschäftigtendaten ist. Die Normalfälle sind in § 24 Abs. 1 Satz 1 BDSG-E (entsprechend § 32 Abs. 1 Satz 1 BDSG de lege lata) geregelt, wo solche angemessenen und besonderen Maßnahmen fehlen. Die Rspr. des BAG789 zu den Ausprägungen des allgemeinen Persönlichkeitsschutzes im Arbeitsverhältnis, sei es aus § 823 Abs. 1 BGB oder – i.R.d. mittelbaren Drittwirkung – aus Art. 2 Abs. 1, Art. 1 Abs. 1 GG, ist wohl immer noch umfangreicher als die BAG-Rspr. zu den formalen Datenschutzvorschriften. Dies gilt etwa für das Recht am gesprochenen Wort, das vom Schutzbereich des Art. 2 Abs. 1 GG erfasst ist. Der Sprecher – auch z.B. der Mitarbeiter im Callcenter (dazu s. Rz. 903 ff.) – soll vor heimlichen Tonaufnahmen geschützt sein, damit er selbst entscheiden kann, ob sein gesprochenes Wort nur den Gesprächsteilnehmern zugänglich ist oder auch anderen. Die Verletzung der Vertraulichkeit des gesprochenen Wortes ist in § 201 StGB unter Strafe gestellt.
697
Vor Einführung von § 32 BDSG genoss das handschriftlich geschriebene dienstliche Wort des 698 Arbeitnehmers, das nicht dateimäßig erfasst wurde, einen geringeren Schutz als das gesprochene.790 Denn nach § 1 Abs. 2 Nr. 3 BDSG gelten die Datenschutzvorschriften im nicht-öffentlichen Bereich, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen oder in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden. Zu „nicht automatisierten Dateien“791 gehören z.B. handschriftliche Notizen regelmäßig nicht. Seit 2009 ist jedoch der Anwendungsbereich des Datenschutzrechts bei Beschäftigtendaten erweitert (s. § 32 Abs. 2 BDSG). Gemäß Art 2 Abs. 1 DS-GVO ist der sachliche Anwendungsbereich der DS-GVO auf „die ganz oder teilweise automatisierte Verarbeitung sowie […] die nicht-automatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“, beschränkt. Die DS-GVO verwendet also den neuen Begriff des Dateisystems. § 32 Abs. 2 BDSG (und entsprechend § 24 Abs. 2 BDSG-E des Referentenentwurfs vom 23.11.2016) ist nicht mit Art. 2 Abs. 1 DS-GVO synchronisiert. Die Konkretisierungsmöglichkeit für den nationalen Gesetzgeber, die Art. 88 DS-GVO vorsieht, erlaubt nicht, durch neue Begriffe Unklarheiten über den Anwendungsbereich der DSGVO herbeizuführen.792 Neben dem allgemeinen Persönlichkeitsrecht sind Einzelfacetten des Persönlichkeitsrechts, die am Arbeitsplatz eine bedeutende Rolle spielen, spezialgesetzlich geregelt. Das gilt besonders für das Recht am eigenen Bild,793 s. §§ 22, 23 i.V.m. § 33 KunstUrhG. Diese Vorschriften sind zu beachten, wenn das Unternehmen z.B. Porträt- oder Gruppenfotos von Mitarbeitern im Intranet, Internetauftritt oder Firmenblog einstellen will oder Videoüberwachung (dazu s. Rz. 861 ff.) am Arbeitsplatz durchgeführt wird. § 201a StGB schützt strafrechtlich gegen die Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen. Dies verbietet etwa Videoaufzeichnung in Umkleideräumen oder Toiletten des Unternehmens.794
789 Statt vieler BAG v. 30.8.1995 – 1 ABR 4/95 zu Mithören von Telefongesprächen zu Ausbildungszwecken RDV 1996, 30. 790 Allerdings waren in einem gewissen Umfang verschlossene Schriftstücke durch das Briefgeheimnis gegen unbefugte Kenntnisnahme geschützt, § 202 StGB. Das gilt jedoch nicht für Faxe oder E-Mails. Bei E-Mails können § 202a StGB oder § 206 StGB Anwendung finden. 791 S. Rz. 109, 111. 792 DAV-Stellungnahme Nr. 82/2016 vom Dezember 2016. 793 S. etwa BGH v. 12.12.1995 – VI ZR 223/94, NJW 1996, 985 ff. – Caroline von Monaco III; Heldrich, in: Heldrich/Schlechtriem/Schmidt (Hrsg.), FS Helmut Heinrichs, 1998, S. 319 ff.; Gola, RDV 2004, 215 ff. 794 Gola, RDV 2004, 115; Gola, Datenschutz am Arbeitsplatz, 5. Aufl. 2014 Rz. 149.
Conrad
179
699
A Rz. 700
Datenschutz und IT-Management
700 Im Zshg. mit den – teilweise umstrittenen795 – Provider-Eigenschaften des Arbeitgebers v.a. bei erlaubter Privatnutzung von Telefon und E-Mail am Arbeitsplatz ist auch § 90 TKG von Bedeutung, der Sendeanlagen der Telekommunikation verbietet, die aufgrund spezieller Umstände geeignet sind, das nicht öffentlich gesprochene Wort eines anderen unbemerkt abzuhören oder das Bild eines anderen unbemerkt aufzunehmen.796 701 Zum Problem der Beobachtung und des Auslesens der Nutzerdaten am Arbeitsplatz erging eine spektakuläre E. des EMGR, die sich auf den Messenger-Account des Arbeitnehmers, also einen begrenzten Fokus, bezog. Sehr relevant sind die Ausführungen des EGMR zu variablen Bedingungen und Erwartungen an Privatheit am Arbeitsplatz: „Zentral ist hierbei die Frage der ‚realistischen Erwartung der Privatheit‘, die Arbeitnehmer an ihrem Arbeitsplatz haben dürfen. Eine solche dürfen sie haben, wenn der Arbeitgeber es ausdrücklich erlaubt hat, einen Computer oder ein Telefon für private Zwecke zu nutzen (Halford v. UK – (20605/92) [1997]), oder wenn die Benutzung zumindest toleriert wird (Copland v. UK – Application no. 62617/00).“797 2. Personalaktenrecht 702 Das Personalaktenrecht im öffentlichen Bereich ist teilweise kodifiziert,798 im nicht-öffentlichen Bereich gibt es eine entsprechende Kodifizierung nicht. § 83 BetrVG kennt den Begriff der Personalakte, der allerdings gesetzlich nicht definiert ist, sondern sich am Schutzzweck der jeweiligen gesetzlichen oder tariflichen Bestimmungen orientiert.799 Unerheblich ist für den Begriff der Personalakte, ob sie in Haupt- und Nebenakten aufgeteilt ist, an verschiedenen Stellen im Betrieb oder in Personal-Informationssystemen geführt wird. I.R.d. PersonalInformationssysteme hat sich der Begriff der elektronischen Personalakte eingebürgert. Für den Begriff der Personalakte ist es „unerheblich […], ob sie […] in elektronischer Form […] im Betrieb geführt wird.“800 Grds. steht es dem Arbeitgeber frei, Urkunden/Vorgänge in die Personalakten aufzunehmen, sofern sie die persönlichen und dienstlichen Verhältnisse eines Arbeitnehmers betreffen und in einem inneren Zshg. mit dem Arbeitsverhältnis stehen.801 Der Arbeitgeber ist aber nicht befugt, „Geheimakten“ über seiner Mitarbeiter zu führen. 703 Der Arbeitgeber hat – analog zu den beamtenrechtlichen Regelungen – Personalakten sorgfältig zu verwahren und die darin enthaltenen Informationen vertraulich zu behandeln. Das gilt insb. für Gesundheitsdaten,802 die nicht offen in der Personalakte, sondern z.B. in einem verschlossenen Umschlag oder gesondert verwahrt werden müssen.803 Grds. muss der Arbeitgeber Personalakten vor dem Zugriff und der Einsichtnahme Dritter schützen. Ob je795 Schuster, CR 2014, 21 ff., Einzelheiten Rz. 883 f.; Schuster, CR 2016, 173 ff.; Kühling/Schall, CR 2015, 641 und VG Köln zu „Google Mail“, CR 2016, 173; Conrad/Hausen, in: Auer-Reinsdorff/Conrad, § 37 Rz. 201 ff. m.w.N. u.a. VG Karlsruhe v. 27.5.2013 – 2 K 3249/12, CR 2013, 428. 796 Zur Providereigenschaft des Arbeitgebers s. Rz. 883 ff., 899. 797 Jakob/Stoica: EGMR: Barbulescu gegen Rumänien – Arbeitnehmerüberwachung auf dem Prüfstand, ZD-Aktuell 2016, 05057 zu EGMR v. 12.1.2016 – 61496/08, CRi 2016, 56 – Barbulescu/Romania. 798 S. für den öffentlichen Bereich u.a. §§ 106-115 des Bundesbeamtengesetzes (BBG) und § 50 Beamtenstatusgesetz. Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, 6. Aufl. 2013, Rz. 352 ff. zu §§ 106, 114 BBG. 799 S. zum Personalaktenbegriff Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 83 Rz. 2; ein Teil des arbeitsrechtlichen Schrifttums fasst den Personalaktenbegriff des § 83 BetrVG enger als im öffentlichen Dienst. 800 Linck, in: Schaub, Arbeitsrechts-Handbuch, 16. Aufl. 2015, § 148 Rz. 1, S. 1692; Gola, RDV 2008, 135; Conrad, ITRB 2005, 164. 801 BAG v. 9.2.1977 – 5 AZR 2/76, NJW 1978, 124; v. 7.5.1980 – 4 AZR 214/78, ArbuR 1981, 124. 802 BAG v. 15.7.1987 – 5 AZR 215/86, NJW 1988, 791, zur sicheren Aufbewahrung von Gesundheitsdaten in der Personalakte, BAG v. 12.9.2006 – 9 AZR 271/06, NJW 2007, 794. m. Anm. Grobys. Zu Überwachungstechniken im Kontext eines digitalen Personalaktensystems s. Geis, RDV 2008, 64 ff. 803 Etwa Unterlagen eines Betriebsarztes, insb. Befundbogen.
180
Conrad
Arbeitnehmerdatenschutz
Rz. 705
A
doch ein verbundenes Unternehmen überhaupt „Dritter“ ist, kann von dem individuellen Beschäftigungsverhältnis abhängen, ggf. auch von der Matrix-Struktur des Konzerns.804 Bei internationalen Konzernen ist auch Art. 8 Abs. 1 Satz 2 Rom I Verordnung (VO (EG) Nr. 593/2008) (bzw. für bis zum 17.12.2009 abgeschlossene Arbeitsverträge Art. 30 EGBGB) zu beachten, der bei Arbeitsverhältnissen und Arbeitsverträgen vorsieht, dass eine Rechtswahl der Parteien nicht dazu führen darf, dass dem Arbeitnehmer der Schutz durch zwingende arbeitsrechtliche Bestimmungen entzogen wird.805 Im äußersten Fall verbietet nicht nur das Datenschutzrecht, sondern auch das (jeweils anwendbare) Arbeitsrecht eine konzern- oder gruppeninterne Verbringung von Personalakten, zumindest ohne ausdrückliche Rechtsgrundlage. Da Betriebsvereinbarungen als datenschutzrechtliche Erlaubnis (§ 4 Abs. 1 BDSG) generell in Betracht kommen,806 haben Unternehmen mit Betriebsrat einen gewissen Vorteil. An wirksame Einwilligung der betroffenen Arbeitnehmer werden hohe Hürden gestellt; v.a die Freiwilligkeit – die ein konstitutives Merkmal ist – ist häufig fraglich.807 Von großer praktischer Bedeutung und Gegenstand von Gerichtsentscheidungen ist die Ein- 704 sicht in die Personalakte. Bei bestehendem Arbeitsverhältnis hat der Arbeitnehmer nach § 83 Abs. 1 Satz 1 BetrVG einen Anspruch auf Personalakteneinsicht. Dieser Anspruch würde an sich mit der Betriebszugehörigkeit enden. Jedoch können sich Ausnahmen aus nachwirkenden Fürsorgepflichten des Arbeitgebers bzw. Fürsorgeansprüchen des Arbeitnehmers ergeben.808 Daher besteht auch nach Beendigung des Arbeitsverhältnisses gemäß § 241 Abs. 2 BGB i. V. m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG ein Anspruch auf Einsicht in die vom ehemaligen Arbeitgeber weiter aufbewahrte Personalakte.809 Für das nachvertragliche Einsichtsrecht bedarf es keines besonderen berechtigten Interesses des ausgeschiedenen Arbeitnehmers. Der arbeitsrechtliche Einsichtsanspruch (im Arbeitsverhältnis und nachvertraglich) steht nur dem Arbeitnehmer höchstpersönlich zu und nicht etwa einem vom Arbeitnehmer beauftragten Dritten (z.B. Rechtsanwalt).810 Der Arbeitnehmer kann jedoch gemäß § 83 Abs. 1 Satz 2 BetrVG bei der Einsichtnahme ein Mitglied des Betriebsrats hinzuziehen, wobei hinzuziehen nicht bevollmächtigen bedeutet. Das arbeitsrechtliche Einsichtsrecht erstreckt sich nur auf die Personalakte; der datenschutzrechtliche Auskunftsanspruch des Beschäftigten nach § 34 BDSG811 dagegen nicht. Letzterer ist grds. zeitlich unbegrenzt und bedarf keines besonderen Fürsorgeverhältnisses. Ansonsten hätte der Betroffene keine Möglichkeit zu überprüfen, ob Daten über ihn rechtzeitig gelöscht bzw. gesperrt worden sind.812 Bei Daten, die geschäftsmäßig zum Zwecke der Übermittlung gespeichert werden, kann der Betroffene gemäß § 34 Abs. 1 BDSG Auskunft über Herkunft und Empfänger nur verlangen, sofern nicht das Interesse an der Wahrung des 804 Entscheidend ist etwa, ob und inwieweit bei Eingehung des Beschäftigungsvertrages dem einzelnen Mitarbeiter klar war, dass der Arbeitgeber eine Tochtergesellschaft eines größeren Konzerns ist und dass der Mitarbeiter zugleich im Kontext dieses Konzerns tätig wird, also Leistungen für ein anderes Konzernmitglied erbringt. I.d.R. ist ohne besondere Vereinbarungen und ohne entsprechende „Konzernklauseln“ im Arbeitsvertrag dem Beschäftigten kein solcher Auslandsbezug klar. Zu MatrixStrukturen s. Rz. 931 ff. 805 Strenge arbeitsrechtliche Vorschriften gelten z.B. in Österreich und Frankreich. 806 Kort, ZD 2016, 3 (5). 807 Dazu s. Rz. 810 ff.; S. aber VG Saarlouis v. 29.1.2016 – 1 K 1122/14, RDV 2016, 101 (102): „Bestehen Zweifel an der Freiwilligkeit der Einwilligung bzw. des Genügens der Hinweispflicht können diese durch die Einvernahme der Betroffenen geklärt werden.“ 808 BAG v. 16.11.2010 – 9 AZR 573/09, NZA 2011, 453 zum Anspruch auf Einsicht in Personalakte nach beendetem Arbeitsverhältnis (unter Aufgabe der alten BAG-Rspr.: BAG v. 11.5.1994 – 5 AZR 660/93, RDV 1994, 249). 809 BAG v. 16.11.2010 – 9 AZR 573/09, NZA 2011, 453; LAG Schl.-Holst. v. 17.4.2014 – 5 Sa 385/13, NZA-RR 2014, 465. 810 LAG Schl.-Holst. v. 17.4.2014 – 5 Sa 385/13, NZA-RR 2014, 465. 811 Rz. 349 ff. 812 Zum Verhältnis der Rechte des Betriebsrats im Verhältnis zu denen des Datenschutzbeauftragten s. Rz. 772 ff.
Conrad
181
705
A Rz. 706
Datenschutz und IT-Management
Geschäftsgeheimnisses überwiegt. Für den Arbeitnehmer gilt diese Einschränkung nach § 83 BetrVG nicht, wenn er von seinem Arbeitgeber Auskunft über die zu seiner Person gespeicherten Daten verlangt und dabei auch nach Herkunft und Empfänger fragt. Im Ergebnis stehen der Auskunftsanspruch nach § 34 BDSG und das Akteneinsichtsrecht nach § 83 BetrVG als selbständige Ansprüche nebeneinander und ergänzen sich. 706 Grds. hätte der Betroffene z.B. bei Abschluss seines Arbeitsvertrages mit dem Arbeitgeber einen Anspruch auf Benachrichtigung, wenn dann anschließend die Daten über ihn, die er im Fragebogen bzw. im Arbeitsvertrag angegeben hat, gespeichert werden. Praktisch besteht ein solcher Anspruch jedoch nicht, da nach § 33 Abs. 2 Nr. 1 BDSG anzunehmen ist, dass in diesem Falle der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat. Nicht erforderlich ist es, dass der Betroffene eine förmliche Nachricht auf andere Weise erhalten hat. Empfehlenswert erscheint es jedoch, dass z.B. auf dem Fragebogen bzw. auf dem Vertrag steht, dass die Daten, die hier eingetragen sind, anschließend gespeichert werden. Andererseits wird es nicht genügen, dass der Betroffene nur das Bewusstsein haben könnte bzw. den Verdacht, dass Daten über ihn gespeichert werden.813 707 Man argumentiert generell so, dass die Familienangehörigen, die wissen, dass eine Bewerbung läuft und dann auch Erfolg hat, damit rechnen müssen, dass ihre Daten mitgespeichert werden müssen. Soweit diese Daten allerdings über das bloße Vorhandensein oder die gehaltsund steuerrelevanten Daten hinausgehen (Ortszuschlag ja/nein), wird man von einer Benachrichtigungspflicht auszugehen haben. 708 Im Arbeitsverhältnis gewinnen Löschung und Sperrung ihre Bedeutung im Zshg. mit den ohnehin schon von der Rspr. entwickelten Löschungspflichten auch für nicht in Dateien stattfindende Vorgänge, so ggf. für die Abmahnung.814 3. Abgrenzung von § 32 BDSG zu anderen Vorschriften 709 Während das Arbeitsrecht häufig nach den Phasen des Arbeitsverhältnisses (etwa Bewerbungsphase, Dauer des Arbeitsverhältnisses, Phase nach Beendigung des Arbeitsverhältnisses) differenziert, sind datenschutzrechtliche Zulässigkeitstatbestände für jede Phase des Datenumgangs i.S.v. § 3 BDSG (Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen oder Nutzen), für jeden Nutzungszweck und – bei Datenweitergabe – für jede verantwortliche Stelle gesondert zu prüfen und müssen jeweils erlaubt sein. § 32 Abs. 1 Satz 1 BDSG stellt hinsichtlich der Zweckbestimmung auf die Phasen des Beschäftigungsverhältnisses (Begründung, Durchführung, Beendigung) ab. 710 Nach § 1 Abs. 3 Satz 1 BDSG greift das BDSG nicht, soweit andere datenschutzrechtliche Regelungen bestehen. Werden Arbeitnehmerdaten etwa im Zshg. mit der Nutzung von Telefon oder E-Mail und Internet erhoben, ist an speziellere Datenschutzregelungen, etwa im TKG, zu denken. Das TMG kann relevant sein, wenn der Arbeitgeber z.B. ein Webshop-Betreiber ist und der Arbeitnehmer diesen Webshop während der Dienstzeit privat nutzt. Zumindest soweit ITK-Systeme ausschließlich dienstlich genutzt werden, verbleibt es bei der Anwendbarkeit des BDSG.815 711 Im Hinblick auf die Personalakte wird der Persönlichkeitsschutz des Mitarbeiters individualrechtlich auch durch das Vertrags- und Deliktsrecht, v.a. aber durch das Arbeitsrecht gesichert. 813 Zum Fragebogen Rz. 837 ff. 814 S.a. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 35 Rz. 13 m.w.N.; zur evtl. tariflichen (BAT) Ausschlussfrist für den Anspruch auf Entfernung s. BAG v. 14.12.1994 – 5 AZR 137/94, RDV 1995, 78. 815 Zur Abgrenzung zwischen dienstlicher und erlaubter privater Nutzung s.a. Rz. 877 ff. Zur Reichweite des Fernmeldegeheimnisses s. Rz. 883 f., 1592, zu den Providerpflichten des Arbeitgebers im Einzelnen s. Rz. 883 f.; 899.
182
Conrad
Arbeitnehmerdatenschutz
Rz. 713
A
4. Regelung zum Beschäftigtendatenschutz im BDSG Als Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung von Daten, welche i.R.v. 712 Verträgen und Anbahnungsverhältnissen, die zu einem „Beschäftigungsverhältnis“ führen, benötigt werden, tritt seit 1.9.2009 an die Stelle des § 28 Abs. 1 Satz 1 Nr. 1 BDSG der Zulässigkeitstatbestand des § 32 Abs. 1 Satz 1 BDSG.816 Dieser erfasst alle in einem abhängigen Beschäftigungsverhältnis stehenden Personen gemäß § 3 Abs. 11 BDSG. Die nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG maßgebende Zweckbestimmung wird für das Beschäftigungsverhältnis dahingehend konkretisiert, dass Beschäftigtendaten erhoben, verarbeitet oder genutzt werden dürfen, wenn dies i.R.d. verschiedenen Phasen eines Beschäftigungsverhältnisses, d.h. seiner Begründung, Durchführung oder Beendigung erforderlich ist. Welche Daten vom Arbeitgeber insoweit benötigt werden, bestimmt sich auch nach Einführung des § 32 BDSG anhand der vom Bundesarbeitsgericht entwickelten Kriterien. Auch wenn § 32 Abs. 1 Satz 1 BDSG nach seinem Wortlaut keine Abwägung vorsieht, ist im Ergebnis unter Beachtung des Verhältnismäßigkeitsprinzips das objektive Informationsinteresse des (potentiellen) Arbeitgebers mit dem Anspruch des Beschäftigten auf Persönlichkeitsrechtsschutz abzuwägen (s. auch § 75 Abs. 2 BetrVG). Das LAG Köln hat dazu im Zshg. mit dem Einsichtsrecht des Betriebsrats in Gleitzeitlisten ausgeführt817: „§ 32 BDSG soll lediglich eine vorläufige und der Klarstellung dienende Regelung zum Arbeitnehmerdatenschutz treffen, ohne damit die von der Rspr. entwickelten Grundsätze zum Datenschutz in Beschäftigungsverhältnissen weiter auszudehnen. Daraus folgt, dass erforderlich gemäß § 32 BDSG jeweils der Datenumfang ist, den Bundesarbeitsgericht und Bundesverfassungsgericht bereits in der Vergangenheit als zulässig erachtet haben. Erforderlichkeit ist jedenfalls dann zu bejahen, wenn ein Verzicht auf die Datenverarbeitung nicht sinnvoll oder unzumutbar wäre und keine weniger eingriffsintensiven Mittel zur Verfügung stehen, die in gleicher Weise zur Zweckerreichung geeignet sind.“
§ 32 Abs. 1 BDSG ist auf Beschäftigtendaten anwendbar, auch soweit personenbezogene Da- 713 ten nicht mittels EDV verarbeitet, genutzt oder dafür erhoben werden und auch unabhängig vom Datei-Begriff. Der Beschäftigtendatenschutz ist somit in seinem Anwendungsbereich (§ 32 Abs. 2 BDSG) unabhängig davon, ob Personalakten (in Papierform) oder sonstige personenbezogene Beschäftigtendaten vorliegen.818 Beispiele für für Beschäftigtendaten sind etwa Mitarbeiterübersichten bzw. Organigramme in Excel, aber auch Telefonnotizen über Telefonate mit Mitarbeitern oder Beurteilungsüberlegungen des Vorgesetzten für einen Zeugnisentwurf auf einem Notizblock. Die zunehmende Digitalisierung für dazu, dass der Kreis der Beschäftigtendaten, die nicht elektronisch vorliegen, klein ist und immer kleiner wird.819 Auch Notizen (Post-it) werden heutzutage elekronisch erstellt. Gleichzeitig gibt es im Unternehmen kaum IT-Systeme und wenige (elektronische) Dokumente, in denen nicht zumindest Mitarbeiterkennungen (Personalnummern) und/oder Mitarbeiternamen verarbeitet werden oder gespeichert sind. Man wird aber wegen des Schutzziels des Datenschutzrechts und abgeleitet aus dem Kerngedanken des Volkszählungsurteils wohl eine gewissen 816 S. dazu etwa: von Steinau-Steinrück/Mosch, NJW-Spezial 2009, 450, Deutsch/Diller, DB 2009, 1462, Gola/Jaspers, RDV 2010, 212; zur Lückenhaftigkeit s. etwa Kort, MMR 2011, 294; zum Verbesserungsbedarf Thüsing, NZA 2011, 16. 817 LAG Köln v. 28.6.2011 – 12 TaBV 1/11, ZD 2011, 183 (Ls. 1), Hervorhebungen durch die Verfasserin. 818 Vor Einführung von § 32 BDSG war unklar, ob auch Personalakten oder -aktensammlungen dem Begriff der „nicht automatisierten Datei“ (§ 3 Abs. 2 Satz 2 BDSG) unterfallen können. Erforderlich ist ein gleichartiger Aufbau, der einen leichten Zugriff auf die Daten ermöglicht, sowie eine Zugänglichkeit und Auswertbarkeit nach bestimmten Merkmalen. Dazu zählen wohl Gehaltslisten (in Papierform), vgl. Berliner Datenschutzbeauftragter, Materialien zum Datenschutz Nr. 30, S. 7. Was als Merkmal anzusehen ist, lässt sich nicht allg., sondern nur anhand Aufbau und Zweckbestimmung der Akte/Aktensammlung festlegen. Die noch im BDSG 90 vorhandene Ausnahmeregelung für Akten/Aktensammlungen ist entfallen. Personalakten, die nach bestimmten Stichworten strukturiert sind, dürften daher wohl unter § 3 Abs. 2 Satz 2 BDSG fallen. 819 Zur Speicherung von Arbeitnehmerdaten in der Cloud Böhm/Wybitul, ArbRAktuell 2015, 539.
Conrad
183
A Rz. 714
Datenschutz und IT-Management
Materialisierung der Daten fordern müssen. Auf das (rein) mündlich gesprochene Wort (ein Mitarbeiter beschwert sich beim Vorgesetzten über einen anderen Mitarbeiter) ist § 32 BDSG nicht anwendbar. Werden allerdings Daten zur späteren automatisierten Verarbeitung zielgerichtet beschafft, ist gleichgültig, ob die Daten mündlich, schriftlich oder in sonstiger Weise erhoben werden. Das BDSG ist dann gem. § 3 Abs. 3 BDSG bereits auf den Beschaffungsvorgang anwendbar.820 714 Im Ergebnis ist nach h.M.821 § 32 Abs. 1 Satz 1 BDSG keine abschließende Regelung,822 sodass Beschäftigtendaten auch für außerhalb des Beschäftigungsverhältnisses liegende Zwecke im überwiegenden Eigen- oder Drittinteresse (vgl. § 28 Abs. 1 Satz 1 Nr. 2 und 3, Abs. 2 Nr. 1 und 2 BDSG) bzw. auf Basis einer wirksamen Einwilligung oder auch aufgrund bereichsspezifischer Regelungen verwendet werden können.823 715 Nach § 9 BDSG (nebst Anlage) muss der Arbeitgeber organisatorische und technische Vorkehrungen gegen eine unzulässige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten treffen. Diese Vorschrift bezieht sich zwar nicht ausdrücklich auf Beschäftigungsverhältnisse, legt dem Arbeitgeber jedoch Datensicherheitspflichten auf, die konkret in Abhängigkeit vom Schutzgut erforderlich sind, also dem hohen Rang824 der Mitarbeiterdaten entsprechend ausgestaltet sind.825 716 Eine ausdrückliche Regelung für die Erhebung, Verarbeitung und Nutzung von „personenbezogenen Daten für frühere, bestehende oder zukünftige dienst- und arbeitsrechtliche Rechtsverhältnisse“ enthält – für den öffentlichen Bereich – § 12 Abs. 4 BDSG, der auf § 28 Abs. 2 Nr. 2 und die §§ 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis 20 BDSG verweist. 717 Eine gerade im Hinblick auf Mitarbeiterdaten relevante Vorschrift ist § 31 BDSG (entsprechend § 14 Abs. 4 BDSG für den öffentlichen Bereich). Danach dürfen „personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, […] nur für diese Zwecke verwendet werden“. Die Relevanz dieser Vorschrift für den Beschäftigtendatenschutz zeigt sich etwa dann, wenn Backup-Systeme, Sicherungskopien, evtl. auch Logfiles, die ausschließlich aus Datenschutz- und Datensicherheitsgründen gespeichert wurden, im Nachhinein z.B. für einen Kündigungsschutzprozess ausgewertet werden sollen. 718 Ist der Anwendungsbereich des BDSG eröffnet, so gilt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt auch unternehmensintern für den Umgang mit Arbeitnehmerdaten. Gemäß § 4 Abs. 1 BDSG kann sich eine Erlaubnis nur aus dem BDSG, aus einer „anderen Rechtsvorschrift“ oder aus einer Einwilligung des Betroffenen ergeben. § 1 Abs. 3 BDSG regelt die Subsidiarität des BDSG gegenüber spezielleren Bundesgesetzen, die sich mit Datenschutz befassen. „Andere Rechtsvorschrift“ i.S.v. § 4 Abs. 1 Fall 3 BDSG bezieht sich daher auf Rechtsvorschriften des Bundesrechts. Zu diesen Rechtsvorschriften gehören auch Tarif820 M.w.N. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 3 Rz. 24. Zu Beschaffung als Erhebung nach § 3 s. Plath/Schreiber, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2016, § 3 BDSG Rz. 30; Gola/Schomerus, BDSG, 12. Aufl. 2015, § 3 Rz. 24. 821 Statt vieler: Gola/Jaspers, RDV 2009, 212 ff. S.a. Gesetzesbegründung BT-Drs. 16/13657, wonach die einschlägigen allgemeinen bereichsspezifischen Zulässigkeitsregelungen nicht verdrängt werden. 822 S. zum Verhältnis von § 32 BDSG zu besonderen Arten personenbezogener Daten Rz. 737 ff. 823 Einzelheiten s. Rz. 732 ff. 824 Der sich indirekt aus Sonderregelungen (nicht zuletzt in § 32 BDSG) ergibt; s.a. Rz. 737 ff. sowie im Personalaktenrecht Rz. 702 ff., 711. 825 Auch im Hinblick auf die Erhebung, Verarbeitung (einschließlich Übermittlung) und Nutzung personenbezogener Mitarbeiterdaten unterliegen Unternehmen der Privatwirtschaft nach § 38 BDSG der Überwachung durch die zuständige Datenschutzaufsichtsbehörde, s.a. Rz. 313 ff. §§ 43, 44 BDSG, die für bestimmte Datenschutzverstöße Bußgelder (bis zu 250 000 Euro) und sogar Strafen vorsehen, gelten auch bei Missbrauch von Mitarbeiterdaten.
184
Conrad
Arbeitnehmerdatenschutz
Rz. 723
A
verträge und Betriebsvereinbarungen, soweit sie Regelungen zur Datenverarbeitung bzw. zum Datenschutz beinhalten.826 Der EuGH (v. 19.10.2016 – C-582/14) hat in seinem Urteil über den Personenbezug dynamischer IP-Adressen und die Europarechtskonformität von § 15 Abs. 1 TMG das Verbotsprinzip stark relativiert. Nationale Verbotsnormen, die keine Abwägung zulassen, sind nicht im Einklang mit Art. 7 lit. f RL 95/46 EG. Im Ergebnis müssen somit die Abwägungsgeneralklauseln § 28 Abs. 1 Satz 1 Nr. 2 und Abs. 2 Nr. 2a BDSG auch in allen Fällen der Verarbeitung von Beschäftigtendaten berücksichtigt werden. Ausgenommen sind besondere Arten personenbezogener Daten, weil für diesen Art. 8 RL 95/46 EG ein strengeres Verbotsregime vorsieht. 5. Normalfälle der § 32 Abs. 1 Satz 1 BDSG für Bewerber und Arbeitnehmer Der Normalfall im Betrieb ist die Erhebung, Speicherung und Nutzung der Daten des Arbeitnehmers zu Lohn- oder Gehaltsabrechnung, Abführung von Steuern und Sozialabgaben, Errechnung von Zuschlägen, Überweisung der Arbeitgeberanteile zu Pflichtversicherungen, Jahresabrechnung.827 Einzelne Facetten, insb. datenschutzrelevante Restriktionen, wurden v.a. von der arbeitsrechtlichen Rspr. entwickelt, so v.a. zum Fragerecht bzw. Fragebogen und zur Beobachtung (etwa per Video) und Kontrolle von Telefonaten und E-Mails.828
719
5.1 Zweckbestimmung des Beschäftigungsverhältnisses Für die Verarbeitung der Arbeitnehmerdaten i.R.d. Beschäftigungsverhältnisses, also i.R.d. 720 Vertragshandhabung selbst, ist von § 32 Abs. 1 Satz 1 BDSG als Rechtsgrundlage auszugehen. Soweit der Arbeitsvertrag keine ausdrücklichen Regelungen zur konkreten Datenverwendung enthält, muss durch Auslegung ermittelt werden, ob die Art und der Umfang der Datenverwendung von den arbeitsvertraglichen Haupt- und Nebenpflichten gedeckt ist. Ergänzungsvereinbarungen zum Arbeitsvertrag können in gewissem Umfang die Zweckbestimmung des Arbeitsverhältnisses auch im Hinblick auf elektronische Datenverarbeitung erweitern, zumindest aber konkretisieren.829 Dabei sind jedoch die Maßgaben zu beachten, die die Rspr. an die Freiwilligkeit solcher Vereinbarungen und insb. an die Aufklärung der betroffenen Mitarbeiter stellt. In Betracht kommt beispielsweise eine Datenverwendung, die dazu dient, eine Gefährdung des Vertragszwecks durch eine Nebenpflichtverletzung zu verhindern. Eine solche Zweckbestimmung kann grds. nur zugunsten des Arbeitgebers des betroffenen Mitarbeiters wirken und nicht regelmäßig auch eine Datenübermittlung in verbundene Unternehmen (etwa zur Konzernmutter) rechtfertigen.830
721
Das datenschutzrechtliche Erforderlichkeitsprinzip verlangt, dass die Art und der Umfang 722 der personenbezogenen Daten, die erhoben, verarbeitet und genutzt werden, zum jeweiligen bestimmten Zweck (hier also zur Durchführung des Vertragsverhältnisses mit dem Betroffenen) erforderlich sind. Dies ist bei einem Profilabgleich „Krankenläufe“831 nicht erfüllt.
723
826 BAG v. 27.5.1986 – 1 ABR 48/84, NJW 1987, 674 (677); zu Betriebsvereinbarungen als Erlaubnistatbestände s. Rz. 759, 781 ff. 827 Insoweit bestehen teilweise spezialgesetzliche Erlaubnisvorschriften, vgl. Rz. 733 f. 828 Zu Fragebogen s. Rz. 837 ff.; zu E-Mails s. Rz. 877 ff. 829 Gola/Wronka, RDV 2007, 59 ff. zu datenschutzrechtlichen Auswirkungen einseitig erklärter oder vertraglich gezogener Verarbeitungs- und Verwertungsgrenzen. 830 Zu Datenübermittlungen im Konzern s. Rz. 924 ff. 831 S. hierzu BAG v. 11.3.1986 – 1 ABR 12/84, CR 1986, 392; Matthes, RDV 1988, 63.
Conrad
185
A Rz. 724
Datenschutz und IT-Management
724 Auch gehören zu den problematischen Datenverarbeitungsvorgängen die Speicherung und Nutzung von Daten für Planungszwecke, die nicht unmittelbar mit dem bestehenden Vertragsverhältnis zu tun haben und deshalb nicht hierfür erforderlich sind. Hinzu kommt die Einrichtung multifunktionaler Systeme, die nicht nur, aber auch, Mitarbeiterbezug haben: Mitarbeiterüberwachung, -beobachtung und -kontrollen finden mittels der IT-immanenten Möglichkeiten inzwischen in Formen statt, die oft kaum als solche Instrumente zu erkennen sind. Während SAP-HR klar der Personaldatenverarbeitung zugeordnet ist, sind Vertriebswerkzeuge zunächst nicht Mitarbeiter-orientiert, spiegeln aber zugleich neben der Vertriebssituation bzw. den Ergebnissen auch das Mitarbeiterverhalten.832 5.2 Überwiegendes berechtigtes Interesse des Unternehmens 725 Neben den in § 32 Abs. 1 Satz 1 BDSG genannten drei Zweckbestimmungen bestehen noch andere im Zshg. mit dem Beschäftigungsverhältnis stehende Bedürfnisse nach Erhebung, Nutzung und Verarbeitung von Beschäftigtendaten. Auch schon vor Inkrafttreten des § 32 BDSG war lange Zeit streitig, ob gerade im Hinblick auf Beschäftigtendaten § 28 Abs. 1 Satz 1 Nr. 2 BDSG neben § 28 Abs. 1 Satz 1 Nr. 1 BDSG zur Anwendung kommt. Welche Rechtsgrundlage soll zur Anwendung kommen, wenn Daten über einen Beschäftigten am Arbeitsplatz erhoben, verarbeitet oder genutzt werden, aber dies nicht der Begründung, Durchführung und Beendigung dienen soll. Beispiele dafür sind Datenübermittlungen im Zshg. mit einem Unternehmenskauf, Fälle der Verarbeitung von Arbeitnehmerdaten im Zshg. mit der Produktion oder im Zshg. mit dem Erwerb von Aktien oder Daten i.R.d. Erfüllung allgemeiner Compliance-Vorgaben (z. B. Sarbanes-Oxley-Act, Corporate Governance Codex). Auch Daten von Arbeitnehmern, die für Not- und Unfälle erhoben werden, etwa private Mobiltelefonnummern von Angehörigen, werden nicht zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erhoben. Ist für solche Fälle der Zweck „Durchführung des Beschäftigungsverhältnisses“ weit auszulegen oder ist ein Rückgriff auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG erlaubt, sodass man eine Interessenabwägung mit berechtigten Interessen des Beschäftigten durchführen darf?833 Einige Stimmen der Lit. waren der Auffassung, diese beiden Ansichten würden den Schutzpflichten des § 75 Abs. 2 BetrVG zuwiderlaufen. 726 Nach dem Wortlaut der Gesetzesbegründung werden die übrigen einschlägigen allgemeinen bereichsspezifischen Zulässigkeitsregelungen nicht verdrängt.834 Weiter heißt es in der Gesetzesbegründung sehr vage, dass § 28 BDSG nur bei anderen, d. h., nicht für Zwecke des Beschäftigungsverhältnisses erhobenen oder verarbeiteten und genutzten Daten zum Zuge kommen könne. Einige Autoren835 legen daher § 32 BDSG so aus, dass § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf „beschäftigungsfremde Zwecke“ Anwendung finden darf, wobei jedoch dunkel bleibt, welche Fälle das sind und ob etwa der Test eines IT-Systems im Rahmen eines IT-Projekts836 dazu zählt. Andererseits wird die Eingrenzung auf beschäftigungsfremde Zwecke bei den als beispielhaft aufgezählten weiter geltenden Normen nicht vorgenommen. Genannt werden als Beispiele § 28 Abs. 1 Satz 1 Nr. 2 BDSG und die Datenübermittlungsbefugnisse zur Wahrung berechtigter Interessen eines Dritten nach § 28 Abs. 2 Nr. 1 BDSG sowie die Vorschrift des § 28 Abs. 6 bis 8 BDSG für die Verarbeitung von besonderen Arten von Beschäftigtendaten. Gerade die Verarbeitung von besonderen Arten von Beschäftigtendaten – so etwa die Konfession i.R.d. Gehaltsabrechnung – ist jedoch kein Fall einer beschäftigungsfremden Verwendung. Im Gegenteil: § 28 Abs. 6 BDSG begrenzt unmittelbar den Zulässig-
832 833 834 835 836
186
S. Rz. 758 ff. zum kollektivrechtlichen Schutz. S. v. a. Seifert in: Simitis, BDSG, 8. Aufl. § 32 Rz. 17. S. BT-Drs. 16/13657. Ausführlich zum Meinungsstand: Gola/Jaspers RDV 2009, 212 mit weiteren Nachweisen. Zu Datenschutzanforderungen bei Tests mit personenbezogenen Daten i.R.v. IT-Projekten Conrad/ Witzel, in: Auer-Reinsdorff/Conrad, § 18 Rz. 243 ff.
Conrad
Arbeitnehmerdatenschutz
Rz. 729
A
keitsrahmen des § 32 Abs. 1 BDSG. § 28 Abs. 2 Nr. 2 BDSG kann Datenübermittlungen betreffen, die im Zshg. mit dem Beschäftigungsverhältnis stehen.837 Im Detail ist aber unklar, inwieweit ein über die Zweckbestimmung des Arbeitsverhältnisses und ggf. über den Geltungsbereich einer Betriebsvereinbarung hinausgehender Umgang mit Arbeitnehmerdaten nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig sein kann. Dazu müsste das einführende Unternehmen ein berechtigtes Interesse vorweisen können, wobei schutzwürdige Interessen des Arbeitnehmers nicht überwiegen dürfen. Der Arbeitgeber darf die verschiedenen Alternativen der Zulässigkeit, die § 28 Abs. 1 BDSG 727 bietet, auch im Zshg. mit § 32 BDSG nicht beliebig auswählen und nicht kumulieren.838 Gerade bei § 32 Abs. 1 Satz 1 BDSG gilt der Vorrang der Zweckbestimmung bei vertraglichem Verhältnis. Liegt also ein Vertragsverhältnis vor, ist primär § 32 Abs. 1 Satz 1 BDSG einschlägig.839 Ein Rückgriff auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG ist nur möglich, wenn die Zweckänderung/Zweckentfremdung mit dem ursprünglichen Erhebungszweck kompatibel ist.840 V.a. durch die Diskussion im Zshg. mit präventiven Compliance-Maßnahmen,841 etwa be- 728 treffend Whistleblowing haben insb. die Artikel-29-Gruppe und der Düsseldorfer Kreis ein berechtigtes Interesse des Arbeitgebers an einer Datenübermittlung bejaht, die nicht von der Zweckbestimmung der Arbeitsverhältnisse gedeckt ist, wenn bestimmte Voraussetzungen vorliegen.842 Zukünftig soll nach Erw.grd. 50 Satz 9 DS-GVO eine Übermittlung von personenbezogenen Daten vom berechtigten Interesse des Verantwortlichen i.S.v. Art. 6 Abs. 1 lit. f DS-GVO gedeckt sein, wenn ein Hinweis auf eine Straftat oder Bedrohung der öffentlichen Sicherheit besteht.843 Der Arbeitgeber hat demnach eine Befugnis, wenn auch keine Pflicht zur Übermittlung personenbezogener Daten in diesen Fällen, solange nicht nach Erw.grd. 50 Satz 10 DS-GVO eine Geheimhaltungspflicht entgegensteht.844 Das gilt sowohl für die Übermittlung an staatliche Stellen wie auch für interne Übermittlungen zu Compliance Zwecken.845 Staatliche Stellen sind aber zur Erhebung von Daten nicht ermächtigt, da dafür eine eigene Rechtsgrundlage erforderlich wäre.846 5.3 Öffentlich zugängliche Daten des Beschäftigten, Social Media Relativ ungeschützt sind öffentlich zugängliche Daten. Die Zugänglichmachung durch den Arbeitgeber kann durch die dienstlichen Belange (Tätigkeit im Vertrieb, bei der Beschwerdestelle) u.Ä. gedeckt sein, wenn der entsprechende Internetauftritt bereits bei Einstellung besteht. Bei neu einzurichtenden Websites wird dies fraglich sein und eher die explizite Einwilligung der Mitarbeiter erfordern.847 Durch die Einstellung der Daten auf der Website des Unternehmens bzw. der Behörde sind die Daten insoweit öffentlich zugänglich. Ein Dritter 837 Gola/Jaspers, RDV 2009, 212 nennen als Beispiel für eine Information im Drittinteresse, dass der Arbeitgeber im Rahmen polizeilicher Ermittlungen (§ 161 StPO) einen zuständigen Beamten über die Anwesenheit eines Mitarbeiters informieren kann, ohne dass dazu eine Pflicht besteht. 838 Simitis in: Simitis, BDSG, 8. Aufl. 2014, § 28 Rz. 53 f., wohl überwiegende Meinung im Schrifttum auch im Zshg. mit § 32 BDSG, aber streitig. 839 Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 28 Rz. 54 f. 840 Einzelheiten s. Rz. 144 ff., 868. 841 S. Rz. 1542 ff. 842 Zu Whistleblowing s.a. Rz. 730, 1397, 1400 f., 1544. Zum arbeitsrechtlichen Schutz von Whistleblowern de lege lata und de lege ferenda Eufinger, NJ 2016, 458. 843 Zur DS-GVO s. Rz. 492 ff. 844 Härting, Datenschutz-Grundverordnung, 2016, Rz. 451 ff. 845 Plath, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2016, Art. 6 DS-GVO Rz. 22. 846 Härting, Datenschutz-Grundverordnung, 2016, Rz. 450 mit Verweis auf BVerfG v. 24.1.2012 – 1 BvR 1299/05, CR 2012, 245 m. Anm. Schnabel – Bestandsdatenauskunft); s.a. http://www.cr-online.de/ blog/2016/05/09/dsgvo-welche-regelungen-gibt-es-fuer-das-whistleblowing/ abgerufen am 22.8.2016. 847 BVerwG v. 12.3.2008 – 2 B 131.07, BeckRS 2008, 33735.
Conrad
187
729
A Rz. 730
Datenschutz und IT-Management
kann sie relativ „frei“ gemäß § 28 Abs. 1 Satz 1 Nr. 3 BDSG verarbeiten und nutzen. Bekannt wurde dieser Aspekt u.a. durch die Lehrerbewertungen, die einen Teil der Daten aus der Schul-Website nahmen.848 Ist damit im Grundsatz „Googeln“ und Social Scoring bei Bewerberdaten zulässig? § 32 Abs. 1 Satz 1 BDSG verlangt, dass die Datenerhebung, -verarbeitung und –nutzung für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich sein muss.849 Liegt die Erforderlichkeit vor? Das ist zweifelhaft. Der Gesetzesentwurf zur Regelung des Beschäftigtendatenschutzes aus 2010850 hatte vorgesehen, dass hinsichtlich der Art des sozialen Netzwerks zu differenzieren ist. Dient es der beruflichen Darstellung, darf der Arbeitgeber ausnahmsweise ohne Einwilligung des Bewerbers die Daten auswerten. Diese Differenzierung löste Kontroversen aus, denn regelmäßig dienen selbst Netzwerke wie Xing nicht nur der beruflichen Darstellung. Da der Gesetzesentwurf aufgrund von Widerständen aufgegeben wurde, bleibt es bei der Grundsatzfrage des Verhältnisses von § 32 Abs. 1 Satz 1 BDSG zu § 28 Abs. 1 Satz 1 Nr. 3 BDSG. Die Schwierigkeit ist einerseits, dass auch für Beschäftigtendaten der Grundsatz der Direkterhebung (§ 4 Abs. 2 Satz 1 BDSG) gilt,851 der durch den Rückgriff auf allgemein zugängliche Daten teilweise unberücksichtigt bleibt. Zudem stellt die Abwägung in § 28 Abs. 1 Satz 1 Nr. 3 BDSG relativ geringe Hürden auf („es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt“), wohingegen das Erforderlichkeitserfordernis in § 32 Abs. 1 Satz 1 BDSG strenge Maßstäbe setzt. Gleichwohl geht die h.M. davon aus, dass – wie erwähnt852 – § 32 BDSG keinen abschließenden Charakter hat und dass speziell § 28 Abs. 1 Satz 1 Nr. 3 BDSG vorliegt, wenn sich der Arbeitgeber Informationen aus Netzwerken wie Xing oder LinkedIn beschafft.853 Soweit sich aber der Arbeitnehmer (z.B. in Facebook) privat darstellt, soll das berechtigte Interesse des Bewerbers am Ausschluss der Datenauswertung für das Bewerbungsverfahren „offensichtlich überwiegen“.854 730 Ein Problem, dass die Arbeitsgerichte855 häufig beschäftigt, sind negative Äußerungen von Mitarbeitern in sozialen Netzen, im Firmenblog oder im eigenen Blog.856 Im bestehenden Arbeitsverhältnis hat der Arbeitnehmer relativ weitgehende Loyalitätspflichten, grds. auch was negative Äußerungen betrifft.857 Allerdings können sich auch Arbeitnehmer in Grenzen 848 LG Köln v. 11.7.2007 – 28 O 263/07, MMR 2007 729 – spickmich.de, bestätigt durch OLG Köln v. 27.11.2007 – 15 U 142/07, CR 2008, 112, sowie LG Köln v. 30.1.2008 – 28 O 319/07, ZUM-RR 2008, 205; zweifelhaft, da Recht auf informationelle Selbstbestimmung vorrangig: Regierung von Mittelfranken, heise 102335 v. 23.1.2008. Kritisch unter Aspekten der Störerhaftung und der Rspr. des BGH hierzu Kreutzer, MMR 2007, 732; s.a. BGH v. 19.4.2007 – I ZR 35/04, MMR 2007, 518 m. Anm. Spindler, MMR 2007, 512, und Rz. 1301 ff. zu Bewertungen bei Online-Auktionen u.Ä. 849 Zum Fragerecht des Arbeitgebers gegenüber dem Bewerber, insb. nach besonderen Arten personenbezogener Daten, s. Rz. 738, 837 ff. 850 BT-Drs. 17/4230 v. 15.12.2010. 851 Unmittelbarkeitsgrundsatz s., Wolff/Brink/Riesenhuber, BeckOK Datenschutzrecht, 16. Edition, Stand: 1.5.2016, § 32 Rz. 80 ff., 85. 852 S. Rz. 714. 853 Forst, NZA 2010, 427. 854 Stamer/Kuhnke, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2016, § 32 BDSG Rz. 27 m.w.N. auch zum Fragerecht, Background Checks und Fragen an den früheren Arbeitgeber. 855 ArbG Mannheim v. 19.2.2016 – 6 Ca 190/15, NZA-RR 2016, 254; LAG Hamm v. 10.10.2012 – 3 Sa 644/12; ArbG Bochum v. 9.2.2012 – 3 Ca 1203/11; ArbG Dessau-Roßlau v. 21.3.2012 – 1 Ca 148/11; ArbG Hagen v. 16.5.2012 – 3 Ca 2597/11; nicht im zu Social Media ergangen, aber interessant wegen des Spannungsfelds der Kunstfreiheit (Art. 5 Abs. 3 GG) und Beleidigungen: LAG Hamm v. 15.7.2012 – 13 Sa 436/11. 856 S. zu Blogs Rz. 1315 ff. Zu Social Communities s. Schröder, in: Forgó/Helfrich/Schneider, S. 607 ff. 857 Für ehemalige Mitarbeiter gilt das regelmäßig nicht. Nachvertragliche Geheimhaltungs- oder Wettbewerbsvereinbarungen helfen kaum weiter, zumal sie (AGB-rechtlich) ohnehin selten wirksam sind. Für erstere wäre Betriebs- oder Geschäftsgeheimnis erforderlich (strenge Anforderungen!), letztere ist häufig ohne Karenzentschädigung unwirksam. Wettbewerbsrechtlich Abmahnung und Beseitigungs-/Unterlassungsanspruch sowie Schadensersatz sind denkbar (§ 4 Nr. 7 UWG „Kennzeichen, Waren, Dienstleistungen, Tätigkeiten oder persönlichen oder geschäftlichen Verhältnisse eines Mit-
188
Conrad
Arbeitnehmerdatenschutz
Rz. 731
A
auf Meinungsfreiheit (Art. 5 Abs. 1 GG) und Kunstfreiheit (Art. 5 Abs. 3 GG)858 berufen, wobei Meinungsäußerungen von unwahren Tatsachenbehauptungen und Formalbeleidigungen abzugrenzen sind. I.d.R. können (und müssen) Arbeitnehmer bei unbefugten ruf- oder kreditschädigenden Äußerungen abgemahnt werden. Eine fristlose Kündigung ohne Abmahnung haben die Gerichte jedoch nur in den seltensten Fällen für gerechtfertigt gehalten.859 Speziell bei Facebook-Postings differenziert die Rspr. teilweise danach, ob die negative bzw. beleidigende Äußerung in einem vertraulichen Rahmen („unter Freunden“) erfolgt ist. Danach kann es einen Unterschied machen, ob die Äußerung im Chat, indirekt durch Klicken des „I Like“-Button, zugänglich nur für nicht-betriebsangehörige Facebook-„Freunden“ oder zugänglich auch für Betriebsangehörige und Kunden des Arbeitgebers („wie auch einer Unternehmenspinnwand“) erfolgt ist. Sog. „Whistleblowing“ über betriebliche Missstände kann – u.U. auch in Sozialen Netzen – zulässig sein, wenn der Arbeitnehmer zunächst, nachweislich erfolglos, interne Abhilfe gesucht hat oder solche interne Abhilfe von vorherein aussichtslos erscheint.860 Gelegentlich gibt es jedoch auch Probleme mit der offiziellen Darstellung der Mitarbeiter 731 im Internetauftritt des Arbeitgebers. Häufig taucht das Problem auf, wessen Interessen überwiegen, wenn eine längere Zeit per Print geübte Praxis elektronisiert wird, etwa Vorlesungsverzeichnisse, Behördentelefon- und Dienststellenverzeichnisse. Zumindest die Namensnennung wird regelmäßig im überwiegenden Interesse des Arbeitgebers liegen, die Abwägung also zu Ungunsten des Arbeitnehmers ausfallen. Dies gilt v.a. für solche Mitarbeiter, die Außenkontakt haben.861 Das LAG Düsseldorf862 hatte zu entscheiden, ob die Unternehmens-Facebook-Seite des Arbeitgebers der Mitbestimmung des Betriebsrats unterliegt. Auf dieser Facebook-Seite konnten Nutzer (auch negative) Kommentare hinterlassen.863 Der Betriebsrat forderte von der Arbeitgeberin das Betreiben der Seite zu unterlassen, bis er seine Mitbestimmung gem. § 87 Abs. 1 Nr.1 bzw. § 6 BetrVG ausgeübt hat. Die erste Instanz864 hatte der Klage des Betriebsrats stattgegeben. Nach LAG gibt sich jedoch keinen Unterlassungsanspruch aus § 87 Abs. 1 Nr. 6 BetrVG. „Technische Einrichtung“ setzt voraus, dass die Einrichtung selbst und automatisch die Daten über bestimmte Vorgänge verarbeitet.865 Durch das Betreiben der Facebook-Seite wird keine Überwachung unmittelbar durch die technische Einrichtung selbst bewirkt. Negative Kommentare über Arbeitnehmer der Arbeitgeberin lösen ebenfalls keine Überwachung aus, auch wenn die Arbeitgeberin gezielt nach Einträgen suchen könnte. Die Kommentare seien vielmehr vergleichbar mit Beschwerdebriefen oder Beschwerde-E-Mails und Facebook damit eine Art Briefkasten oder jedenfalls Kommunikationsmittel.
858 859 860 861 862 863
864 865
bewerbers herabsetzt oder verunglimpft“; § 824 BGB „Kreditgefährdung“), wenn der Ex-Mitarbeiter Wettbewerber ist. Ggf. muss sich der neue Arbeitgeber Äußerungen des Ex-Mitarbeiters zurechnen lassen. Der Plattformbetreiber des sozialen Netzwerks kann grds. haften, wenn er unwahre Tatsachenbehauptungen verbreitet. Er ist aber nicht verpflichtet, jede Bewertung zu prüfen, die er einstellt. Wenn Plattformbetreiber Kenntnis von einer rechtsverletzenden Äußerung erhält, muss er sie grds. löschen. LAG Hamm v. 15.7.2012 – 13 Sa 436/11. Zu Social Media als Kündigungsgrund Dzida, ArbRB 2016, 240. LAG Köln v. 2.2.2012 – 6 Sa 304/11: Strafanzeige des Arbeitnehmers wegen angeblich betriebsuntauglicher Linienbusse des Arbeitgebers. Restriktiv zum Whistleblowing durch den Betriebsrat im Zshg. mit Arbeitszeitschutzvorschriften: BAG v. 3.6.2003 – 1 ABR 19/02, RDV 2003, 193. S. für Oberbibliotheksrat BVerwG v. 12.3.2008 – 2 B 131.07, BeckRS 2008, 33735. LAG Düsseldorf v. 12.1.2015 – 9 TaBV 51/14, NZA-RR 2015, 355. Nebeling/Klumpp, DB 2015, 746; Greif, NZA 2015, 1106; Einzelheiten zur Nutzung sozialer Netze durch Arbeitnehmer und Social Media-Richtlinien am Arbeitsplatz: Bierekoven, ITRB 2011, 110; Braun, NJ 2013, 104; Determann, BB 2013, 187; Diercks, K&R 2014, 1; Ernst, NJW 2011, 1712; Keber, RDV 2014, 190. ArbG Düsseldorf v. 27.6.2014 – 14 BV 104/13. BAG v. 10.12.2013 – 1 ABR 43/12, NZA 2014, 439; v. 8.11.1994 – 1 ABR 20/94, NZA 1995, 313.
Conrad
189
A Rz. 732
Datenschutz und IT-Management
5.4 Erlaubnis oder Anordnung durch „andere Rechtsvorschrift“ i.S.v. § 4 Abs. 1 BDSG 732 Nicht auf Anhieb klar ist, welche „anderen Rechtsvorschriften“ in § 4 Abs. 1 BDSG gemeint sind. Die vorrangige andere Rechtsvorschrift i.S.v. § 1 Abs. 3 BDSG muss eine solche des Bundes sein. Es ist aber allgemeine Meinung, dass zu den anderen Rechtsvorschriften i.S.v. § 4 Abs. 1 BDSG auch Tarifverträge und Betriebsvereinbarungen gehören.866 Hier greift also die Restriktion, dass es sich um eine Vorschrift des Bundes handeln müsste, nicht. 733 Aufgrund gesetzlicher Grundlagen werden zahlreiche Arbeitnehmerdaten erhoben und übermittelt, wie etwa zur Abführung von Steuern und Sozialabgaben, Errechnung von Zuschlägen, Überweisung der Arbeitgeberanteile zu Pflichtversicherungen u.Ä. Bestimmte Arbeitnehmerdaten werden zum Zwecke behördlicher Überwachung des Arbeitgebers erhoben und übermittelt, so etwa im Verhältnis zur AOK, zum Gewerbeaufsichtsamt u.Ä. Soweit ersichtlich, ist diese Datenverarbeitung relativ unproblematisch. Das Gleiche gilt für Übermittlungen im Rahmen gesetzlicher Auflagen.867 734 Andere Vorschriften zur Datenübermittlung an Behörden dienen der Kontrolle von Arbeitnehmern. Dies betrifft v.a. das Eintritt-/Austrittdatum und Gehaltsbescheinigungen, etwa bei unterhaltspflichtigen Arbeitnehmern gem. § 6 Abs. 2 UhVorschG (Übermittlung an das Landratsamt/Amt für Jugend und Familie) oder bei Arbeitnehmern, die Sozialleistungen (z.B. Arbeitslosengeld, Arbeitslosenhilfe bzw. Leistungen zur Eingliederung in die Arbeit, zur Sicherung des Lebensunterhalts) aufgrund von § 57 SGB II (Übermittlung an die Bundesagentur für Arbeit bzw. an sog. Jobcenter) erhalten (haben). Solche Datenübermittlungen an bestimmte Behörden gemäß entsprechenden Vorschriften bzw. Auflagen sind, wie erwähnt, datenschutzrechtlich unproblematisch. 735 Weniger eindeutig zu beurteilen können im Einzelfall Bitten oder Anordnungen der Polizei oder der Staatsanwaltschaft i.R.v. Ermittlungsmaßnahmen sein. Hier ist wohl zu differenzieren zwischen im Raum stehenden Ordnungswidrigkeiten und Straftaten des betroffenen Arbeitnehmers einerseits und von Dritten andererseits. § 28 Abs 2 Nr. 2 a und b BDSG erlauben eine Datenübermittlung zur Wahrung berechtigter Interessen eines Dritten oder zur Gefahrenabwehr, wenn „kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat“. Anders als in § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt es nicht darauf an, dass berechtigte Interessen des Betroffenen überwiegen. Der Arbeitgeber wird regelmäßig das Problem haben, dass er bei Verweigerung der Datenübermittlung Durchsuchungsmaßnahmen im Unternehmen riskiert. 736 Unstreitig dürfte sein, dass § 4 Abs. 1 Fall 2 BDSG nicht für ausländische Rechtsvorschriften bzw. Anordnungen von ausländischen Behörden gilt. Allerdings kann insoweit ein berechtigtes Arbeitgeberinteresse i.S.v. § 28 Abs. 1 Satz 1 Nr. 2 BDSG vorliegen. Dies gilt etwa für Datenübermittlungen auf Grundlage des Sarbanes-Oxley-Act bzw. entsprechende Anordnungen der US-Börsenaufsicht SEC,868 etwa im Rahmen einer Whistleblowing-Hotline.
866 S. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4 Rz. 10. Einzelheiten zu Betriebsvereinbarungen Rz. 759, 778 ff. 867 Zu den Übermittlungsregelungen und -erlaubnissen sowie -verpflichtungen s.a. Simitis, CR 1991, 161 (171) m. Hinweis auf Hentschel/Goldenbohm/Laicher, Auskunfts-, Bescheinigungs- und Meldevorschriften im Personalwesen, 3. Aufl. 1988. 868 Zu Whistleblowing s. Rz. 505; v. Zimmermann, RDV 2006, 242; Behrendt/Kaufmann, CR 2006, 642; Schmidl, DuD 2006, 414; Altenburg, Bucerius Law Journal 2008, 3.
190
Conrad
Arbeitnehmerdatenschutz
Rz. 740
A
5.5 Besondere Arten von personenbezogenen Beschäftigtendaten § 3 Abs. 9 BDSG definiert „Besondere Arten personenbezogener Daten“869. Gola/Jaspers870 737 betonen, dass eine Lesart des § 32 BDSG i.S. einer abschließenden lex specialis für den Beschäftigtendatenschutz das Schutzniveau des Beschäftigtendatenschutzes absenken würde. Denn würde man eine Anwendbarkeit des § 28 BDSG in Gänze ablehnen, so wäre auch § 28 Abs. 6–9 BDSG nicht anwendbar. Diese Absätze regeln sehr restriktiv – wesentlich restriktiver als § 32 Abs. 1 Satz 2 BDSG – den Umgang mit besonderen Arten von personenbezogenen Daten. Solche werden im Arbeitsverhältnis etwa im Zshg. mit der Gehaltsabrechnung (Angabe zur Konfession) oder im Zshg. mit den Sonderregelungen für Schwerbehinderte u. Ä. erhoben, verarbeitet und genutzt. Ziel des Gesetzgebers war es jedoch, die bis 2009 von der Rspr. erarbeiteten Grundsätze zu kodifizieren und nicht den Arbeitnehmerschutz abzusenken. Ein anderes Verständnis des Konkurrenzverhältnisses wäre bezüglich § 28 Abs. 6 BDSG auch im Hinblick auf Art. 8 Abs. 1 RL 95/46/EG nicht europarechtskonform, da die nationalen Gesetzgeber durch diesen verpflichtet werden, die in § 3 Abs. 9 BDSG geregelten sensitiven Daten besonders zu schützen. Folglich muss § 28 Abs. 6–9 BDSG weiterhin als lex specialis i.R.v. Vertragsverhältnissen und speziell in Beschäftigungsverhältnissen greifen können. Das führt zur weiteren Geltung von § 28 BDSG auch hinsichtlich Abs. 1 und bezüglich der Beschäftigtendaten trotz des § 32 BDSG. § 28 Abs. 6 ff. BDSG schränken die Zulässigkeit des Erhebens, Verarbeitens oder Nutzens 738 dieser besonderen Arten erheblich ein, wenn keine Einwilligung vorliegt. Die Einwilligung muss sich gem. § 4a Abs. 3 BDSG ausdrücklich auf die besonderen Arten von Daten beziehen.871 Dies ist beim Fragerecht, also auch der Ausgestaltung der Bewerbungsfragebögen, zu berücksichtigen.872 Zum Fragerecht des Arbeitgebers gegenüber dem Bewerber gab es schon vor Einführung von § 32 BDSG eine lange Rechtsprechungstradition und diverse Stellungnahmen von Datenschutzaufsichtsbehörden, die seit 2009 im Wesentlichen unverändert fortgeführt werden.873 Im Grundsatz gilt, dass der Arbeitgeber nicht verpflichtet ist, Bewerberdaten pseudonymisiert zu erheben, zu verarbeiten und zu nutzen. Neben den Kontaktdaten muss sich der Arbeitgeber jedoch auf auf die Daten beschränken, die erforderlich sind, um die Eignung des Bewerbers festzustellen.874 Zur Feststellung der Eignung können – je nach Art des Berufs – auch ärztliche Untersuchungen oder psychologische Tests (etwa im Rahmen eines Assessment Center) erforderlich sein. Wegen der besonderen Art personenbezogener Daten, die dabei erhoben werden, wird insoweit regelmäßig eine Einwilligung nötig sein.875 Besondere Arten von personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG, die im Arbeitsverhältnis regelmäßig eine Rolle spielen, sind z.B. die Konfessionszugehörigkeit (aus kirchensteuerlichen Gründen), die Schwerbehinderteneigenschaft, Krankheitsbescheinigungen wegen Abwesenheiten des Arbeitnehmers, ggf. Gewerkschaftszugehörigkeit.
739
Für den Umgang mit solchen Daten sieht Art. 8 Abs. 2 lit. b RL 95/46/EG eine ausdrückliche Erlaubnis vor, wenn und soweit dieser Umgang erforderlich ist, „um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rech-
740
869 Zum Gesundheitsdatenschutz unter der DS-GVO: Buchner/Schwichtenberg, GuP 2016, 218. 870 RDV 2009, 212 ff. 871 Zum Erfordernis dieser Regelung aufgrund Art. EG-Datenschutz-RL s. Simitis, in: Simitis u.a., BDSG, 8. Aufl. 2014, § 4a Rz. 86. 872 Zum Fragerecht bei Bewerbungen und dessen Einschränkungen s. Weichert, RDV 2007, 189, 192 und Rz. 554. 873 Aufsichtsbehörden zum Fragerecht: 30. Tätigkeitbericht LfD BW 2010-2011, S. 141 f; 3. TB Aufsicht im nicht-öffentlichen Bereich Sachs. 2005-06, S. 39 f; Fragerecht bei Leiharbeitern: 20. TB LfD NRW 2009-10, S. 73 f; Einzelfälle: 2. TB Aufsicht nicht-öffentlicher Bereich BW 2001-2003, S. 34 f. 874 Thüsing, NZA 2011, 16. BAG v. 15.11.2012 – 6 AZR 339/11, NZA 2013, 429 zur Frage an den Bewerber nach erledigtem Ermittlungsverfahren. 875 Haase/Heermann/Rottwinkel, DuD 2011, 83.
Conrad
191
A Rz. 741
Datenschutz und IT-Management
nung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist“. 741 Gesundheitsdaten gehören zu den sensiblen, besonders schutzwürdigen Daten.876 Die Umsetzung der EG-Richtlinie trägt diesem von der Rspr. entwickelten Rang Rechnung.877 Gesundheitsdaten spielen im Betrieb beim Arbeitnehmer-Datenschutz eine wichtige, spezielle Rolle. Diese beginnt bereits mit der Bewerbung.878 742 Oft enthalten die sog. Life-Style-Daten, etwa aus Umfragen, auch Gesundheitsdaten, ohne dass dies erkannt würde.879 Besonders problematisch wird das, wenn die Daten Dritte, etwa den Partner betreffen. 743 Die Spezialregelung für Arbeitnehmerdaten in Art. 8 Abs. 2 lit. b RL 95/46/EG ist nicht ins BDSG übernommen worden mit der Folge, dass auch im Arbeitsverhältnis auf die allgemeine Regelung für besondere Arten von personenbezogenen Daten, insb. in § 28 Abs. 6 BDSG, zurückzugreifen ist. Interessant in diesem Zshg. ist v.a. § 28 Abs. 6 Nr. 3 BDSG, der eine Erlaubnis vorsieht, „wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt“. 744 Nicht ganz klar ist, was mit „rechtlichen Ansprüchen“ konkret im Arbeitsverhältnis gemeint ist, ob etwa nur gesetzliche oder auch vertragliche Ansprüche einbezogen sind oder ob der Arbeitgeber Anspruchsberechtigter sein muss mit der Folge, dass eine Verarbeitung und Nutzung von besonderen Arten von Arbeitnehmerdaten zur Klärung oder Abwehr von Ansprüchen Dritter ausgeschlossen wäre. Da Art. 8 Abs. 2 lit. b RL 95/46/EG von „Rechten und Pflichten (der verantwortlichen Stelle) auf dem Gebiet des Arbeitsrechts“ spricht, dürfte § 28 Abs. 6 Nr. 3 BDSG im Hinblick auf Arbeitnehmerdaten europarechtskonform dahingehend auszulegen sein, dass zwar auch die Klärung und Abwehr von Ansprüchen – etwa des Arbeitnehmers gegen den Arbeitgeber – erlaubt ist, soweit sich dies „auf dem Gebiet des Arbeitsrechts“ bewegt. 745 Im Regelfall sind die oben beispielhaft genannten besonderen Arten von Arbeitnehmerdaten in bereits begründeten Arbeitsverhältnissen erforderlich, damit der Arbeitgeber seine arbeitsvertraglichen Ansprüche geltend machen und diesbezügliche steuerliche Pflichten erfüllen kann. Fraglich ist dies jedoch in der Bewerbungsphase, wenn es um die potentielle Entstehung künftiger Ansprüche des Arbeitgebers geht. Streitig ist, ob etwa das BDSG die Befugnisse des Arbeitgebers zu Befragungen und Informationsbeschaffungen bei Bewerbungen erweitern kann. Gola/Schomerus880 gehen wohl mit der überwiegenden Ansicht davon aus, dass § 28 Abs. 6 Nr. 3 BDSG auch der Vorbereitung von Ansprüchen etwa in der Anbahnungsphase von Arbeitsverhältnissen dient.
876 Zum Interessenkonflikt Arbeitnehmer/Arbeitgeber Weichert, RDV 2007, 189. Zu Gesundheitsdaten in der Personalakte s. Rz. 703. 877 S. zur Ausnahme, evtl. Pflicht zur Offenbarung von Gesundheitsdaten gegenüber Amtsarzt und außerordentliches Kündigungsrecht des Arbeitgebers s. BAG v. 6.11.1997, RDV 1998, 214; zur Übermittlung von Arbeitnehmerdaten ins Ausland s. Däubler, CR 1999, 49. Zur Mitbestimmung bei Mitarbeiterbefragungen i.R.d. Gesundheitsschutzes s. Hess. LAG v. 29.8.2002 – 5 TaBV Ga 91/02, RDV 2004, 130. 878 S. Gesundheitsdaten von Bewerbern und Beschäftigten Weichert, RDV 2007, 189; dazu Rz. 741 f., 830. Zur Pflicht der Angabe von Gesundheitsdaten beim betrieblichen Eingliederungsmanagement s. Wetzling/Habel, NZA 2007, 1129. S.a. BAG v. 7.2.2012 – 1 ABR 46/10, NZA 2012, 744. 879 Zur Haushaltsumfrage wegen Formen der Einwilligung s. OLG Frankfurt v. 13.12.2000 – 13 U 204/98, CR 2001, 294 (wirksam trotz fehlender Schriftform). 880 S. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rz. 76; Thüsing/Lambrich, BB 2002, 1145; modifizierend Franzen, RDV 2003, 1.
192
Conrad
Arbeitnehmerdatenschutz
Rz. 749
A
6. Regelungsinhalt des § 32 Abs. 1 Satz 2 BDSG, interne Ermittlungen und präventive Kontrollen § 32 Abs. 1 Satz 2 BDSG trifft spezielle Aussagen zur Aufdeckung im Zshg. mit dem Beschäf- 746 tigungsverhältnis begangener Straftaten (z. B. Diebstahl oder Korruption). Grundvoraussetzung ist das Vorliegen eines konkreten Verdachts, wobei der Arbeitgeber entsprechende Anhaltspunkte zu dokumentieren hat. Der Verwendung der Daten dürfen ferner keine überwiegenden schutzwürdigen Interessen des Beschäftigten entgegenstehen. Insb. dürfen Art und Ausmaß der Erhebung, Verarbeitung und Nutzung der Daten im Hinblick auf den Anlass nicht unverhältnismäßig sein. Unklar ist, ob nur i.R.d. § 32 Abs. 1 Satz 2 BDSG eine Verhältnismäßigkeitsprüfung stattfindet (so der Wortlaut) oder auch bei § 32 Abs. 1 Satz 1 BDSG. Begründet wird die Verhältnismäßigkeitsprüfung i.R.d. § 32 Abs. 1 Satz 1 BDSG mit Verweis auf die ältere Lit., weil teilweise auch bei § 28 Abs. 1 BDSG vertreten wird, die Abwägung des § 28 Abs. 1 Satz 1 Nr. 2 BDSG sei auch in Nr. 1 hineinzulesen.881 Im Beschäftigungsverhältnis können Maßnahmen, die der (präventiven, anlassunabhängi- 747 gen) Abwehr von Pflichtverletzungen dienen (z. B. Zeiterfassung, offene Videoüberwachung, Taschenkontrolle, Kontrolle rechtmäßiger Internetnutzung etc.) erforderlich sein. Werden verdachtsunabhängige Kontrollmaßnahmen durchgeführt, etwa präventives MitarbeiterScreening oder Kontodatenabgleiche zur Prävention (Verhinderung) von Straftaten, ist streitig, ob § 32 Abs. 1 Satz 2 BDSG oder § 32 Abs. 1 Satz 1 BDSG Anwendung findet und – wenn beides nicht – ob auf § 28 Abs. 1 Satz 1 Nr. 2 und § 28 Abs. 2 Nr. 2 a BDSG zurückgegriffen werden darf. Unklar ist u. a., welche Vorschrift(en) des BDSG anzuwenden ist bzw. sind, wenn eine Arbeitgeberkontrolle repressiven und zugleich präventiven Zwecken dienen soll. Nach wohl h.M. vor dem 1.9.2009 waren dem Arbeitgeber in Risikobereichen präventive Stichprobenkontrollen auf Basis von § 28 Abs. 1 Satz 1 Nr. 1 BDSG erlaubt.882 Nach Gola/ Schomerus883 sollen bestimmte Kontrollen „stichprobenartig oder bei Verdacht auf Durchführung verbotener Insidergeschäfte“ weiterhin zulässig sein. Dagegen vertrat der Berliner Datenschutzbeauftragte884 schon vor Inkrafttreten des § 32 BDSG: „Private Mitarbeiterkonten darf die Innenrevision nur überprüfen, wenn sie als normale Kundenkonten für die Revision von Bedeutung sind. … Lediglich bei konkreten Verdachtsmomenten im Einzelfall können Kontrollmaßnahmen gerechtfertigt sein, bevor die Bank als Arbeitgeber die Strafverfolgungsbehörden einschaltet, um das betrügerische Verhalten eines Mitarbeiters zu unterbinden.“ Nach einer Mindermeinung bezieht sich die Zweckbestimmung des Vertragsverhältnisses i.S.v. § 28 Abs. 1 Satz 1 Nr. 1 BDSG nur auf Hauptleistungspflichten und nicht auf vertragliche Schutzpflichten.885
748
Ob und wie weit sich diese Mindermeinung auch auf § 32 Abs. 1 Satz 1 BDSG übertragen 749 lässt, ist fraglich. Seit der Einführung des § 32 BDSG zum 1.9.2009 wird heftig gestritten, auf welcher Rechtsgrundlage präventive Kontrollen – und wenn ja, in welchem Umfang – noch zulässig sind. Manche Autoren886 vertreten eine weite Auslegung der Erforderlichkeit in § 32 Abs. 1 Satz 1 BDSG anhand des unternehmerischen Konzepts des Arbeitgebers. Die Erforderlichkeit der Datenerhebung, -verarbeitung und -nutzung in Beschäftigungsverhältnis orientiere sich an dem Geschäftszweck der verantwortlichen Stelle. Die derzeit wohl überwiegende Meinung vertritt eine enge Auslegung der Erforderlichkeit, sieht aber § 32 BDSG als nicht abschließend an. Ein Rückgriff auf § 28 Abs. 1 Satz 1 Nr. 2 und Abs. 3 Nr. 1 BDSG müsse ggf. zulässig sein. Petri887 legt § 32 BDSG so aus, dass ohne konkrete Verdachtsmomente ge881 882 883 884 885 886 887
So wohl Gola/Jaspers, RDV 2009, 212 ff. BAG v. 22.10.1986 – 5 AZR 660/85, AP BDSG, § 23 Nr. Rz. 2. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 32 Rz. 58. Jahresbericht 1995, S. 192. Bisges, MMR 2009, Heft 4, XX. Mindermeinung: Deutsch/Diller, DB 2009, 1463. Tagungsband 13. IRIS 2010, S. 309.
Conrad
193
A Rz. 750
Datenschutz und IT-Management
gen den Betroffenen nur ein massenhafter maschineller, weitgehend anonymer Abgleich zulässig sein soll. Zöll888 differenzierte zwischen „beschäftigungsfremden“ Zwecken und nichtbeschäftigungsfremden Zwecken. Für „beschäftigungsfremde“ Zwecke werde § 28 Abs. 1 BDSG bei Beschäftigtendaten nicht verdrängt. 750 Zu beachten ist jedoch, dass die amtliche Überschrift für den gesamten § 32 BDSG lautet: „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“. Zumindest die Aufdeckung von Straftaten (§ 32 Abs. 1 Satz 2 BDSG) scheint also aus Sicht des Gesetzgebers kein beschäftigungsfremder Zweck zu sein. Es ist fraglich, ob für präventive Maßnahmen etwas anderes gelten kann. Im Ergebnis wäre dann wohl die richtige Rechtsgrundlage für präventive Maßnahmen des Arbeitgebers § 32 Abs. 1 Satz 1 BDSG, mit der Unklarheit, ob eine Verhältnismäßigkeitsprüfung durchzuführen ist und – wenn ja – wie sich diese zum Erforderlichkeitsprinzip verhält. Erhebt, verarbeitet oder nutzt ein Dritter (z. B. die Konzernmutter) Beschäftigtendaten zu Kontrollzwecken, gilt § 32 BDSG nur ausnahmsweise. 751 Die Datenschutzaufsichtsbehörden tendieren wohl eher dazu, bei präventiven Überwachungsmaßnahmen § 28 Abs. 1 Satz 1 Nr. 2 bzw. Abs. 2 Nr. 2a BDSG anzuwenden und nicht § 32 Abs. 1 Satz 1 BDSG. Die Rspr. ist uneinheitlich. Im Zshg. mit EU-Terrorlisten-Abgleichen889 hat sich der Düsseldorfer Kreis890 mit präventiven Kontrollen im Bereich des Außenwirtschaftsrechts aueinandergesetzt. Gemäß Art. 2 Abs. 1 lit. b VO (EG) Nr. 2580/2001 sowie Art. 2 Abs. 2 und 3 VO (EG) Nr. 881/2002 ist es verboten, den im Anhang zu diesen Verordnungen gelisteten Personen direkt oder indirekt Gelder oder andere wirtschaftliche Ressourcen zur Verfügung zu stellen. Die Verordnungen verlangen nach ihrem Wortlaut keinen Listenabgleich, weshalb eine Verpflichtung zum Listenabgleich gemäß einer Spezialvorschrift außerhalb des BDSG insoweit nicht besteht. Der Düsseldorfer Kreis891 geht davon aus, dass die EU-Antiterror-Verordnungen keine Rechtsgrundlage zu systematischem, anlassunabhängigem Datenabgleich sind, die Verordnungen postulieren nur eine allgemeine Handlungspflicht. 752 Allerdings verlangen die Zollämter gemäß einer untergesetzlichen Norm, nämlich Art. 14k Abs. 1 lit. f Zollkodex-Durchführungsverordnung (ZKDVO), von exportierenden Unternehmen, die zur Erleichterung von Zollformalitäten ein sogenanntes Authorised Economic Operator (AEO)-Zertifikat beantragen: „der Antragsteller [Arbeitgeber] unterzieht, soweit gesetzlich zulässig, künftig in Sicherheitsbereichen tätige Bedienstete einer Sicherheitsüberprüfung und nimmt regelmäßige Hintergrundüberprüfungen vor“. Das AEO-Zertifikat ist anerkannt durch die US Customs-Trade Partnership Against Terrorism (C-TPAT) und umgekehrt,892 d.h. deutsche Unternehmen, die das AEO-Zertifikat haben, genießen erleichterte Zollbedingungen auch in den USA und umgekehrt. Die Gruppe der Referenten für Außenbeziehungen (RELEX) des Rats der EU hat ein Dokument893 mit „restriktiven Maßnahmen“ zur Einhaltung der EU-Antiterrorverordnungen veröffentlicht, auf das z.B. das deutsche Bundesamt für Wirtschaft und Ausfuhrkontrolle in einem Merkblatt verweist und deren Nutzung das Bundesamt empfiehlt.894 Daneben gibt es kommerzielle Screening-Tools mit etlichen ausländischen (v.a. US-) Terrorlisten, z.B. Denied Persons List (DLP), Entity List u. Unverified List des US Department of Commerce, Specially Designated National and Block888 Zöll, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 32 Rz. 6. 889 Dazu auch Behling, NZA 2015, 1359; Byers/Fetsch, NZA 2015, 1354; Gleich, DB 2013 1967; Kirsch, ZD 2012, 519. 890 Düsseldorfer Kreis v. 22./23.11.2011. S.a. Düsseldorfer Kreis v. 23./24.4.2009. 891 Düsseldorfer Kreis v. 22./23.11.2011. 892 EU-Pressemitteilung v. 4.5.2012. 893 http://register.consilium.europa.eu/doc/srv?l=DE&f=ST%208666%202008%20REV%201. 894 Bundesamt für Wirtschaft und Ausfuhrkontrolle, Merkblatt Länderunabhängige Embargomaßnahmen zur Terrorismusbekämpfung, S. 10 http://www.ausfuhrkontrolle.info/ausfuhrkontrolle/de/ar beitshilfen/merkblaetter/merkblatt_ebt.pdf.
194
Conrad
Arbeitnehmerdatenschutz
Rz. 754
A
ed Persons List (SDN-List) des Office of Foreign Assets Control (OFAC), List of Statutorily Debarred Parties (Department List des Directorate of Defence Trade Controls DDTC). Anders als die Zollämter setzt das deutsche Luftfahrtbundesamt für den mit AEO vergleichbaren Status „bekannter Versender“ keinen Listen-Abgleich voraus. Der Düsseldorfer Kreis895 und auch das FG Düsseldorfen896 halten anlasslose Screenings nur bei Vorliegen einer speziellen Rechtsgrundlage für zulässig (die es nicht gibt). Weder § 32 Abs. 1 Satz 1 BDSG noch § 28 Abs. 1 Satz 1 Nr. 2 BDSG seien erfüllt. Datenabgleiche durch Arbeitgeber seien nicht erforderlich, da Lohnzahlung nur unbar ausgezahlt werden und Kreditinstitute nach § 25c Kreditwesengesetz (KWG) ohnehin Abgleiche mit den Terrorlisten vornehmen. Nach Ansicht des FG Düsseldorf ist auch zweifelhaft, ob Einwilligungen der Betroffenen in Betracht kommen.897 Entgegen dem hat der BFH898 – mit sehr fragwürdiger Begründung – § 32 Abs. 1 Satz 1 BDSG 753 als Rechtsgrundlage bejaht. Nach Ansicht des BFH ist selbst dann, „falls man die mit dem Wortlaut der gesetzlichen Vorschrift nicht zu begründende Ansicht des FG teilte, die Daten müssten ‚unmittelbar‘ für Zwecke des Beschäftigungsverhältnisses genutzt werden“ – was aber wohl der überwiegenden Ansicht bei Aufsichtsbehörden und Lit. entspricht – sei eine „Überprüfung des Personals und Nutzung entsprechender Daten für die Entscheidung über die Begründung eines solchen Beschäftigungsverhältnisses bzw. für dessen Durchführung unmittelbar erforderlich.“ Die „seitens der Revision vertretene Ansicht, bei Listenabgleich würden personenbezogene Daten der Beschäftigten ‚außerhalb des Beschäftigungsverhältnisses verwendet‘, ist nicht nachvollziehbar. […] Hinweise der Revision auf BVerfG zur automatischen Kennzeichenerfassung, Rasterfahndung oder Vorratsdatenspeicherung und insoweit erforderlichen gesetzlichen Eingriffsgrundlagen liegen neben der Sache“. Das verwundert, denn in den zitierten Entscheidungen des BVerfG geht es ebenfalls und anlassunabhängige Screenings und gerade im Arbeitsverhältnis wird die mittelbare Drittwirkung der Grundrechte von den Arbeitsgerichten betont. Angesichts der Bußgelddrohung des § 43 BDSG und etwaigen Untersagungsverfügungen von Datenschutzaufsichtsbehörden, ist das Risiko für den Arbeitgeber, unzulässige Screenings durchzuführen, nicht gering. Gleichzeitig benötigen exportierende Unternehmen das AEO-Zertifikat, weil sie anderenfalls mit so vielen Zollformalitäten konfrontiert sind, dass ein sinnvoller Export erheblich erschwert würde. Es mutet fast zynisch an, wenn der BFH feststellt: „Falls diese Bedingungen der Klägerin nicht akzeptabel oder erfüllbar erscheinen, steht es ihr frei, auf das Zertifikat zu verzichten.“ 7. Verhältnis von AGG und BDSG Gerade im Bewerbungsverfahren ist neben § 32 Abs. 1 Satz 1 BDSG auch die Geltung des AGG zu beachten. Datenschutz und AGG dienen beide dem Schutz der Persönlichkeit, stehen aber in einem Spannungsverhältnis.899 In § 1 AGG sind ähnliche Gruppen von Daten geschützt wie in Art. 3 Abs. 9 BDSG. Während jedoch im AGG zusätzlich Geschlecht und Alter genannt sind, fehlt dort (anders als im BSDG) politische Meinung und Gewerkschaftszugehörigkeit. § 8 Abs. 1 AGG verbietet eine Ungleichbehandlung wegen eines in § 1 AGG genannten Grundes, es sei denn, dieser Grund stellt „wegen der auszuübenden Tätigkeit oder den Bedingungen ihrer Ausübung eine wesentliche und entscheidende berufliche An-
895 896 897 898 899
Düsseldorfer Kreis v. 22./23.11.2011. FG Düsseldorf v. 1.6.2011 – 4 K 3063/10 Z, ZD 2012, 297 m.Anm. Stauf. Einzelheiten zu Beschäftigteneinwilligungen s. Rz. 810 ff. BFH v. 19.6.2012 – VII R 43/11. Zu AGG im Verhältnis zu BDSG s. z.B. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 3 Rz. 57 a; Müller, AiB 2007, 709; Schierbaum, Computer und Arbeit 5/2008, S. 7 zu Betriebsratsbeteiligung und AGG.
Conrad
195
754
A Rz. 755
Datenschutz und IT-Management
forderung“ dar, vorausgesetzt, dass „der Zweck rechtmäßig und die Anforderung angemessen“ ist.900 755 Bewerberdaten dürfen zulässigerweise i.R.d. Stellenausschreibung und der Verhandlungen mit Auswahl und Entscheidung erhoben, gespeichert und genutzt werden.901 Das Bewerbungsverfahren endet für die abgelehnten Bewerber mit der Entscheidung bzw. Mitteilung der Entscheidung. Aus Gründen der Verteidigung wegen Fehlern bei Auswahlverfahren und Entscheidungen würde es sich empfehlen, die Daten für zumindest die Zeit aufzubewahren, für die eine evtl. Inanspruchnahme durch abgelehnte Bewerber droht,902 und so lange die Daten nicht nach § 35 BDSG zu löschen.903 Das Problem ist, dass die Zwei-Monatsfrist erst mit Kenntnis der Benachteiligung beginnt. Dazu ist es für den Prozessfall wichtig, den Zugang der Ablehnung beweisen zu können.904 756 Bei hoher Zahl von Bewerbungen werden nach Eingabe der persönlichen Daten in ein geeignetes Programm im Rahmen einer automatischen Vorabselektion Bewerbungen „ausgesiebt“, die schon aufgrund bestimmter Merkmale bzw. deren Fehlens ausscheiden. Dies ist doppelt problematisch: Zum einen handelt es sich evtl. um Kriterien, die gemäß AGG nicht für eine Entscheidung herangezogen werden dürften. Zum anderen liegt evtl. eine ausschließlich automatisierte Einzelentscheidung vor, die nach § 6a BDSG unzulässig wäre. Dies gilt auch, wenn die Vorentscheidung im Auftrag durch Dritte nach den mit dem Arbeitgeber als Auftraggeber vereinbarten Kriterien erfolgt. 757 Eine Erhebung, Speicherung und Nutzung von Daten im Hinblick auf Kriterien, die nach AGG unzulässig sind, wäre wohl auch datenschutzrechtlich verboten. Andererseits sind eine Reihe von Daten für das potentielle Arbeitsverhältnis relevant, können allerdings auch diskriminierend verwendet werden, etwa Alter, Geburtsort (Herkunft).905 Bei der Gestaltung von Auswahlrichtlinien für Bewerbungsphasen ist somit auch aus datenschutzrechtlichen Gründen zu beachten, dass der Auswahlgrund nicht diskriminierend ist.906 8. Datenschutz und Betriebsrat 8.1 Leitlinien und Grundsätze 758 § 32 Abs. 3 BDSG erklärt ausdrücklich, dass die Beteiligungsrechte des Betriebsrats unberührt bleiben. Die allgemeine Kontrollfunktion des Betriebsrats gem. § 80 Abs. 1 Nr. 1 BetrVG umfasst grds. auch den Arbeitnehmerdatenschutz.907 Gemäß § 75 Abs. 2 BetrVG haben der Arbeitgeber und der Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb
900 S. etwa BAG v. 14.8.2007 – 9 AZR 943/06, DB 2008, 128 zu geschlechtsbezogener Benachteiligung bei freiwilligen Leistungen; BAG v. 14.3.2007 – 5 AZR 420/06, DB 2007, 1817 zu Gleichbehandlung nach Betriebsübergang; Löwisch, DB 2006, 1729 ff.; Maier-Reimer, NJW 2006, 2577 ff.; Nicolai, AnwBl. 2006, 563 ff.; Wisskirchen, DB 2006, 1495; Annuß, BB 2006, 1630; Thüsing/v. Hoff, NJW 2007, 21 ff.; Wichert/Zange, DB 2007, 970 ff.; Rolfs, NJW 2007, 1489 ff.; Nägele/Frahm, ArbRB 2007, 140 ff.; Schiefer/Ettwig/Worzalla, DB 2007, 1977. 901 S. Moos/Bandehzadeh/Bodenstedt, DB 2007, 1194 (1195). 902 S.a. Rittweger/Schmidl, RDV 2006, 235. 903 Zur Frist nach AGG s. Bauer/Evers, NZA 2006, 893 (897). 904 S.a. Willemsen/Scheibert, NJW 2006, 2583 (2591). 905 S. zu Beweislast und Indizien der Diskriminierung LAG München v. 16.8.2006 – 4 Sa 338/06, RDV 2007, 214; s.a. zu Auswahlgrund und Diskriminierung Willemsen/Scheibert, NJW 2006, 2583 (2591). Zu besonderen Arten von Daten Rz. 193 ff. 906 Mit den arbeitsrechtlichen Konsequenzen unzutreffender Angaben bei der Einstellung befasste sich LAG BW (RDV 2007, 175) und bejahte die Anfechtung des Arbeitsvertragsabschlusses wegen Vorlage eines gefälschten Ausbildungszeugnisses auch nach achtjähriger unbeanstandeter Tätigkeit im Betrieb. 907 BAG v. 17.3.1987 – 1 ABR 59/85, DB 1987, 1491; Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, 6. Aufl. 2013, Rz. 925 ff. m.w.N.
196
Conrad
Arbeitnehmerdatenschutz
Rz. 761
A
beschäftigten Arbeitnehmer zu schützen und zu fördern.908 Im Einzelnen ist jedoch vieles streitig, etwa ob der Betriebsrat bei AuftragsDV von Arbeitnehmerdaten einen Anspruch darauf hat, die Einhaltung der zugunsten der Arbeitnehmer geltenden Datenschutzregeln zu prüfen. Es hat sich eine Art betrieblicher Kollektivdatenschutz herausgebildet, und zwar insb. abgeleitet aus § 75 Abs. 2 BetrVG, Schutz des allgemeinen Persönlichkeitsrechts, und § 87 Abs. 1 Nr. 6 BetrVG, technische Überwachungseinrichtungen. Sofern z.B. die technischorganisatorischen Maßnahmen zur Datensicherheit gem. § 9 BDSG auch Verhaltens- und Leistungskontrollen ermöglichen, ist § 87 Abs. 1 Ziff. 6 BetrVG zu beachten.909 Der Betriebsrat hat das Recht, auf die Einhaltung des Datenschutzes zu dringen.910 Da zudem kollektivrechtliche Regelungen, insb. Betriebsvereinbarungen, als „andere Rechtsvorschrift“ i.S.v. § 4 Abs. 1 BDSG angesehen werden,911 erhält die Betriebsvereinbarung über den Mitbestimmungsbereich eine erhebliche datenschutzrechtliche Bedeutung.912 Dies gilt allerdings nicht gegenüber solchen Betroffenen, die nicht dem Betrieb angehören, für den die Betriebsvereinbarung gilt. Nach der wohl h.M. darf die Betriebsvereinbarung nicht die Mindestrechte des Mitarbeiters verkürzen oder aushebeln,913 etwa das Recht auf Auskunft.
759
8.2 Datenverarbeitung und -nutzung zur Ausübung von Mitwirkungsrechten Der Betriebsrat erhält im Zshg. mit der Ausübung seiner Mitwirkungs- und Mitbestim- 760 mungsrechte und der Wahrnehmung seiner allgemeinen Aufgaben nach § 80 Abs. 1 BetrVG Kenntnis von einer Vielzahl von Arbeitnehmerdaten. Zur Erfüllung dieser Aufgaben verarbeitet und nutzt der Betriebsrat diese Daten, etwa Umsatz-Daten von bestimmten Mitarbeitern u.ä. Performance-Daten, die vom Unternehmen z.B. zum Zwecke einer ordnungsgemäßen Buchhaltung erhoben werden. Solche Daten sind regelmäßig personenbezogene Daten. Das Unternehmen darf personenbezogene Arbeitnehmerdaten, soweit durch Rechtsvorschrift oder Einwilligung zulässig, erheben, verarbeiten und nutzen, insb. i.R.d. Zweckbestimmung des Arbeitsverhältnisses.914 „Auch die allgemeinen Aufgaben des Betriebsrats nach § 80 Abs. 1 BetrVG umfassen Überwachungsaufgaben, die sich auf das einzelne Arbeitsverhältnis beziehen, sodass sie ohne personenbezogene Daten nicht ausführbar sind.“915 Bei der Verarbeitung und Nutzung solcher Daten muss der Betriebsrat neben der für ihn gel- 761 tenden speziellen gesetzlichen Geheimhaltungspflicht nach § 79 BetrVG auch die Regelungen des BDSG beachten. Als Teil des Unternehmens hat der Betriebsrat die gesetzlichen Datenschutzvorschriften und auch innerbetriebliche Regelungen zum Datenschutz einzuhalten und erforderlichenfalls selbst ergänzende Regelungen zu treffen, um einen ausreichenden Datenschutz sicherzustellen. Greift der Betriebsrat auf personenbezogene Arbeitnehmerdaten, die in Dateien auf einem Laufwerk des Unternehmens gespeichert werden, mittels EDV zu und wertet sie aus, so richtet sich die Zulässigkeit der Verarbeitung und Nutzung dieser personenbezogenen Daten durch den Betriebsrat nach §§ 4, 27 ff. BDSG.
908 S. etwa BAG v. 27.3.2003 – 2 AZR 51/02, RDV 2003, 293 zur Mitbestimmung des Betriebsrats bei Videoüberwachung. 909 Zu den Rechten des Betriebsrats speziell bei Intranet, Internet, deren Nutzung und der Kontrolle (Firewall u.Ä.) s. Rz. 776 f., 809. 910 Zu möglicher Zusammenarbeit von Betriebsrat und Datenschutzbeauftragtem Bommer, ZD 2015, 123. 911 S. v.a. BAG v. 27.5.1986 – 1 ABR 48/84, CR 1986, 571; hierzu krit. Linnenkohl/Rauschenberg/Schütz, BB 1987, 1455; zur Begrenzung aber auf den internen Bereich des Betriebs s. Rz. 759. 912 Zu ITK-Betriebsvereinbarungen im Einzelnen s. Rz. 791 ff. 913 S.a. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4 Rz. 10 f. m.w.N. 914 Zu den datenschutzrechtlichen Erlaubnistatbeständen im Arbeitsverhältnis s. Rz. 719 ff, 810 ff. 915 LAG Köln v. 28.6.2011 – 12 TaBV 1/11, ZD 2011, 183 (Ls. 2) zum Einsichtsrecht des BR in Gleitzeitlisten.
Conrad
197
A Rz. 762
Datenschutz und IT-Management
762 Zunächst ist fraglich, ob eine Weitergabe bzw. ein Zugänglichmachen von personenbezogenen Arbeitnehmerdaten an den Betriebsrat eine Datenübermittlung nach § 28 BDSG darstellt. Dies wäre der Fall, wenn der Betriebsrat als eigene „verantwortliche Stelle“ und somit als Dritter i.S.d. BDSG angesehen würde. Zwar steht dem Betriebsrat gegenüber dem Unternehmen eine betriebsverfassungsrechtlich garantierte Unabhängigkeit zu. Die h.M. sieht aber den Betriebsrat nicht als eigenständige verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG, sondern datenschutzrechtlich als Teil der verantwortlichen Stelle Unternehmen. Der Betriebsrat ist also datenschutzrechtlich kein Dritter,916 sondern ein „interner Datenempfänger“. Damit wäre eine Datenweitergabe durch das Unternehmen an den Betriebsrat nicht als Datenübermittlung i.S.v. § 3 Abs. 4 Nr. 3 BDSG zu sehen, sondern als Teil der Datennutzung durch das Unternehmen.917 763 Der Betriebsrat ist jedoch datenschutzrechtlich insoweit als selbständig bzw. eigenverantwortlich anzusehen, als er nicht der Prüfung durch den betrieblichen Datenschutzbeauftragten unterliegt.918 Diese Kontrollfreiheit hat das BAG v.a. damit begründet, dass trotz der unabhängigen Stellung des betrieblichen Datenschutzbeauftragten dieser letztlich wegen des Fehlens der Mitbestimmung bei seiner Bestellung als Vertreter des Arbeitgebers anzusehen ist und es deshalb nicht hinzunehmen wäre, dass er grds. Zugang zu sämtlichen Dateien des Betriebsrats erhält.919 764 Das bedeutet, dass der Betriebsrat seine „eigene“ Datenverarbeitung kontrollfrei ausüben kann, gleichwohl dem Datenschutz unterliegt, diesen also einzuhalten hat. Soweit für die gesetzlichen Mitwirkungs- und Mitbestimmungsaufgaben des Betriebsrats (etwa nach §§ 80 Abs. 1, 87 Abs. 1 Nr. 6 BetrVG) erforderlich, ist ein Umgang des Betriebsrats mit personenbezogenen Arbeitnehmerdaten zur zweckbestimmten Aufgabenerfüllung datenschutzrechtlich zulässig. Im Regelfall ist davon auszugehen, dass der Betriebsrat einen selbständigen Zugriff auf personenbezogene Arbeitnehmerdaten mit der Unternehmensleitung bzw. der Personal- und/oder Fachabteilung absprechen muss und sich nicht selbst unabgesprochen Zutritt, Zugang bzw. Zugriff verschaffen darf. Der Umfang des Zugriffs bzw. der Zugänglichmachung hat sich an der Aufgabenerfüllung des Betriebsrats zu orientieren und unterliegt dem Erforderlichkeitsgebot ebenso wie dem Gebot der Datensparsamkeit und Datenvermeidung (§ 3a BDSG).920 8.3 Datenschutzpflichten des Betriebsrats 765 Als Teil der Stelle „Unternehmen“ ist der Betriebsrat grds. nicht Normadressat der Datenschutzvorschriften: Verantwortlich ist die Leitung des Unternehmens, der die Datenschutzpflichten obliegen (z.B. Bestellung eines Datenschutzbeauftragten nach § 4f BDSG). Allerdings hat der Betriebsrat bestimmte Datenschutzpflichten eigenständig zu erfüllen, soweit die Unternehmensleitung dazu nicht in der Lage oder nicht befugt ist, etwa wenn ein Mitarbeiter Auskunft begehrt, welche Daten über ihn beim Betriebsrat gespeichert sind. Darüber hinaus haben die Mitglieder des Betriebsrats dieselben datenschutzrechtlichen Pflichten zu erfüllen, wie jeder Mitarbeiter des Unternehmens, etwa strikte Zweckbindung der Verarbeitung und Nutzung personenbezogener Daten sowie aktive Unterstützung der IT-Sicherheit.
916 BAG v. 11.11.1997 – 1 ABR 21/97, CR 1998, 329. 917 S. zur Zulässigkeit der Übermittlung personenbezogener Daten durch den Betriebsrat an Aufsichtsbehörden: BAG v. 3.6.2003 – 1 ABR 19/02, RDV 2004, 24. 918 BAG v. 11.11.1997 – 1 ABR 21/97, CR 1998, 328. S. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4g Rz. 11 und (Betriebsrat ist nicht Dritter) § 3 Rz. 49. 919 BAG v. 11.11.1997 – 1 ABR 21/97, CR 1998, 328. 920 Zum Teilhabe-/Ausstattungsanspruch des Betriebsrats an betrieblichen IT- und TK-Systemen s. Rz. 776 ff.
198
Conrad
Arbeitnehmerdatenschutz
Rz. 769
A
In diesem Zshg. hatte das BAG921 einen Fall zu entscheiden, in dem der Betriebsrat eines 766 Unternehmens Zugriff auf das Zeiterfassungssystem hatte, mit dem die Arbeitszeiten der Arbeitnehmer elektronisch erfasst wurden. Nachdem es bei einzelnen Arbeitnehmern zu Überschreitungen der zulässigen Höchstarbeitszeit gekommen war, schaltete der Betriebsrat eigenmächtig das Amt für Arbeitsschutz und Sicherheitstechnik ein. Dabei übermittelte der Betriebsrat der Behörde auch Ausdrucke aus der elektronischen Zeiterfassung – einschließlich entsprechender Arbeitnehmerdaten. Der Arbeitgeber hielt dies für einen Verstoß gegen den Datenschutz. Daraufhin wollte sich der Betriebsrat das Gegenteil vom Arbeitsgericht bestätigen lassen. Das BAG stellte hier zunächst fest, dass dem Betriebsrat kein generelles Recht zur Datenweitergabe zustehe. Letztlich hänge die Bewertung immer davon ab, ob die Datenübermittlung zur Wahrung der berechtigten Interessen des Betriebsrats oder der Aufsichtsbehörde erforderlich sei.922 Das bedeutet: Der Betriebsrat darf nicht ohne ausdrückliche gesetzliche Erlaubnis oder ent- 767 sprechende Einwilligung von der Geschäftsleitung und den betroffenen Mitarbeitern eigenmächtig personenbezogene Arbeitnehmerdaten verarbeiten und nutzen. Insb. darf sich der Betriebsrat nicht unter Verstoß gegen interne Unternehmensrichtlinien/-anweisungen selbständig Zugriff zu IT-Systemen des Unternehmens verschaffen, etwa mittels der IT-Abteilung. Dies ist nicht nur datenschutzrechtlich unzulässig, sondern verletzt auch die betriebsverfassungsrechtliche Verpflichtung des Betriebsrats zur vertrauensvollen Zusammenarbeit mit dem Arbeitgeber. Zusätzlich zu den oben genannten Voraussetzungen der Verarbeitung und Nutzung personenbezogener Daten hat der Betriebsrat auch die übrigen Anforderungen des BDSG, soweit sie ihn betreffen, einzuhalten. Die Mitglieder des Betriebsrats müssen z.B. gemäß § 5 BDSG auf das Datengeheimnis verpflichtet werden. Der Betriebsrat hat erforderlichenfalls geeignete organisatorische und technische Sicherheitsmaßnahmen nach § 9 BDSG und der Anlage hierzu zu treffen, d.h. der Betriebsrat muss z.B. personenbezogene Daten sorgfältig verwahren und er muss sicherstellen, dass personenbezogene Daten ausschließlich i.R.d. gesetzlichen Aufgabenerfüllung des Betriebsrats nach dem BetrVG erhoben, verarbeitet und genutzt werden. Werden dem Betriebsrat besondere Arten von personenbezogenen Daten (etwa Gesundheitsdaten von Mitarbeitern) zugänglich gemacht, hat der Betriebsrat besondere Schutzvorkehrungen zu treffen. Des Weiteren muss der Betriebsrat seine Mitteilungspflichten nach § 37 Abs. 1 Nr. 1 und Abs. 2 BDSG erfüllen.
768
Es empfiehlt sich daher, dass der Betriebsrat Regelungen insb. darüber trifft, welche Mitglie- 769 der des Betriebsrats auf welche Daten in Personaldateien des Unternehmens Zugriff nehmen dürfen. Geklärt werden sollte weiter, ob und auf welche Weise Mitgliedern des Betriebsrats vor Sitzungen Unterlagen mit besonders schutzbedürftigen Daten (z.B. Daten über gesundheitliche Verhältnisse oder spezielle Kündigungsgründe) zugeleitet werden oder ob solche Unterlagen nur in der Sitzung ausgeteilt, zur Einsicht bereitgehalten923 (z.B. § 83 Abs. 1 BetrVG Einsicht in die Personalakte) oder mündlich bekannt gegeben werden. Sofern den Mitgliedern des Betriebsrats entsprechende Unterlagen überlassen werden, empfehlen sich Regelungen darüber, dass solche Unterlagen nach der Sitzung nicht bei den Mitgliedern ver921 BAG v. 3.6.2003 – 1 ABR 19/02, ArbuR 2003, 265. 922 BAG v. 3.6.2003 – 1 ABR 19/02, ArbuR 2003, 265. 923 Verbietet das Betriebsverfassungsrecht dem Arbeitgeber, dem Betriebsrat bestimmte Informationen zur Verfügung zu stellen, so darf der Betriebsrat gleichwohl erlangte Informationen verarbeiten und nutzen. Werden bestimmte Informationen gem. BetrVG nur zur Einsicht zur Verfügung gestellt, etwa Bruttolohn- und Bruttogehaltslisten, so ist dem Betriebsrat eine Speicherung oder sonstige automatisierte Verarbeitung dieser Daten untersagt (s. BAG v. 3.12.1981 – 6 ABR 8/80, DB 1982, 653; BAG v. 16.8.1995 – 7 ABR 63/94, NZA 1996, 330). Dies gilt auch, wenn der Betriebsrat berechtigt ist, Notizen zu machen (BVerwG v. 22.4.1998 – 6 P 4.97, RDV 1999, 25). Vgl. auch LAG Nürnberg (v. 4.8.2004 – 4 TaB 49/03, RDV 2006, 84), wonach dem Betriebsrat weder aus § 80 noch aus § 40 Abs. 2 BetrVG ein Anspruch auf Zugriff auf das SAP-Entgeltabrechnungssystem zusteht.
Conrad
199
A Rz. 770
Datenschutz und IT-Management
bleiben, sondern an den Vorsitzenden des Betriebsrats zurückzugeben und zu vernichten sind. Die Einsicht- und Kenntnisnahmebeschränkungen des BetrVG können auch nicht durch § 34 BDSG ausgeweitet werden. 770 Auch der Betriebsrat muss beachten, welcher konkreten Zweckbindung personenbezogene Daten unterliegen, die das Unternehmen dem Betriebsrat im Zshg. mit der Ausübung von Mitwirkungs- und Mitbestimmungsrechten zur Verfügung stellt. Wie im konkreten Fall der Verpflichtung des Betriebsrats nachgekommen wird, die Daten dem Arbeitgeber nach Ausübung der Beteiligungsrechte wieder zurückzugeben oder diese Daten zu vernichten bzw. zu löschen, ist in der Praxis häufig dunkel. Es müsste differenzierend geregelt werden, welche Arbeitnehmerdaten der Betriebsrat zur Erfüllung seiner allgemeinen Aufgaben längerfristig speichert, welche Regellöschungsfristen dafür bestehen und welche Daten zurückgegeben oder sofort wieder gelöscht werden. 771 Zweck solcher Regelungen ist es sicherzustellen, dass die Arbeitnehmerdaten (auch) beim Betriebsrat in datenschutzgerechter Weise verarbeitet und genutzt werden. Im Hinblick auf datenschutzrechtliche Ansprüche von Betroffenen auf Auskunft, Berichtigung, Sperrung und Löschung von Arbeitnehmerdaten, die beim Betriebsrat gespeichert sind, darf die Sphäre des Betriebsrats keine „Black Box“ für den Betroffenen sein. 8.4 Spannungsverhältnis zum betrieblichen Datenschutzbeauftragten 772 Geklärt ist, dass der Betriebsrat nicht der Prüfung durch den betrieblichen Datenschutzbeauftragten unterliegt.924 I.Ü. ist das Verhältnis von betrieblichem Datenschutzbeauftragten und Betriebsrat umstritten.925 Unklar ist insb. das Mitbestimmungsrecht des Betriebsrats bei allgemeinen Aspekten der Datenschutzorganisation im Betrieb, so z.B. hinsichtlich des Amts des Datenschutzbeauftragten (DSB) (dazu s. Rz. 252 ff., 602 ff.).926 773 Ein spezielles Mitbestimmungsrecht bei der Bestellung des DSB hat der Betriebsrat nicht.927 Klar ist, dass den Betriebsrat eine Überwachungsaufgabe dahingehend trifft, dass der DSB unter den genannten Voraussetzungen bestellt wird, den Anforderungen nach § 4f Abs. 2 BDSG (Zuverlässigkeit und Fachkunde) genügen muss und seine Aufgabe ordnungsgemäß wahrnehmen kann und muss.928 774 Unklar ist, inwieweit dem Betriebsrat bei der Auswahlentscheidung selbst ein Mitbestimmungsrecht einzuräumen ist. Wird ein nicht leitender Angestellter zum Beauftragten für den Datenschutz bestellt (interner „DSB“), kann ein Mitbestimmungsrecht vor dem Hintergrund des § 99 BetrVG bestehen.929 775 Die Kontrollfunktionen des Betriebsrats beim Arbeitnehmerdatenschutz und die Aufgaben des DSB beim Umgang mit personenbezogenen Arbeitnehmerdaten decken sich nicht.930 Die Überwachung durch den Betriebsrat darf die Weisungsunabhängigkeit des DSB nicht be924 S. dazu Rz. 311 zur Überwachung arbeitsrechtlicher Vorschriften zum Umgang mit Personaldaten durch den DSB; BAG v. 11.11.1997 – CR 1998, 328. S. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4g Rz. 11 und (Betriebsrat ist nicht Dritter) § 3 Rz. 49; Kort, NZA 2015, 1345 (1348). Allerdings unterliegt Betriebsrat der Kontrolle der Aufsichtsbehörden, Kort, NZA 2015, 1345 (1351). 925 Vgl. zur Kontrollfreiheit der Datenverarbeitung des BR gegenüber der Kontrollpflicht des DSB: BAG v. 11.11.1997 – 1 ABR 21/97, CR 1998, 328. 926 Zum Kündigungsschutz des stellvertretenden DSB ArbG Hamburg v. 13.4.2016 – 27 Ca 486/15, ZD 2016, 338 m. Anm. Franck/Reif. 927 Breinlinger, RDV 1993, 53 (57); Kort, NZA 2015, 1345 (1349). 928 Linnenkohl, NJW 1981, 202 ff.; Stellungnahme BMI, RDV 1986, 160 f. 929 Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4f Rz. 33; Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 99, Rz. 131. 930 Beder (CR 1990, 475 f.) legt dar, dass ein Betriebsrat nicht zum DSB bestellt werden darf, da es zu Interessenkonflikten zwischen diesen beiden Funktionsträgern kommen kann.
200
Conrad
Arbeitnehmerdatenschutz
Rz. 777
A
einträchtigen. Adressat für die Auskunftsansprüche des Betriebsrats ist nicht der Datenschutzbeauftragte unmittelbar, sondern der Arbeitgeber. 8.5 (Teilhabe-)Anspruch des Betriebsrats an betrieblichen IT- und TK-Systemen Auch wenn dem Betriebsrat unstreitig bestimmte Aufgaben und Rechte i.R.d. Arbeitneh- 776 merdatenschutzes obliegen, hat er nicht „automatisch“ Anspruch auf Teilhabe (Anschluss und Nutzung) etwa beim betrieblichen Intranet. § 40 Abs. 2 BetrVG räumt dem Betriebsrat keinen Teilhabe- oder Ausstattungsanspruch hins. Kommunikations- und Informationstechnik ohne Erforderlichkeit bzw. besondere Prüfung der Erforderlichkeit ein. Der Betriebsrat hat bei der Erforderlichkeitsprüfung einen Beurteilungsspielraum.931 Allerdings hat dabei ein Abwägungsprozess stattzufinden, bei dem den Interessen der Belegschaft an der sachgerechten Ausübung des Betriebsratsarbeit berechtigte Interessen des Arbeitgebers, auch soweit sie auf eine Begrenzung der Kostentragungspflicht gerichtet sind, gegenüberzustellen sind. Entsprechendes gilt auch für den Internetzugang seitens des Betriebsrats.932 Der Ausstattungsanspruch des Betriebsrats mit ITK-Technik und Zugang zu Inter-/Intranet 777 unterliegt jeweils festzustellenden Voraussetzungen933: Der Betriebsrat kann vom Arbeitgeber nach § 40 Abs. 2 BetrVG die Überlassung eines PC nebst Zubehör und Software nur verlangen, wenn er die Ausstattung mit diesem Sachmittel zur Durchführung seiner sich ihm stellenden betriebsverfassungsrechtlichen Aufgaben für erforderlich halten darf. Dies ist nicht bereits dann der Fall, wenn der Betriebsrat ihm obliegende Aufgaben mit Hilfe eines PC effektiver und rationeller erledigen kann als mit einem anderen ihm bereits zur Verfügung stehenden Sachmittel. Aus Effektivitätsgründen darf der Betriebsrat die Überlassung eines PC nur für erforderlich halten, wenn er ohne diese technische Ausstattung ihm obliegende Aufgaben vernachlässigen müsste.934 „… Der Betriebsrat kann die Überlassung eines PC nebst Zubehör und Software allerdings – … – vom Arbeitgeber nur verlangen, wenn dies zur ordnungsgemäßen Wahrnehmung der ihm nach dem Gesetz obliegenden Aufgaben erforderlich ist. … Auch nach der Neuregelung des § 40 Abs. 2 BetrVG kann, was die Nutzung von Informations- und Kommunikationstechnik durch den Betriebsrat betrifft, von der Prüfung der Erforderlichkeit nicht abgesehen werden. Bereits nach dem Wortlaut von § 40 Abs. 2 BetrVG stehen Informations- und Kommunikationstechnik gleichrangig neben Räumen, sachlichen Mitteln und Büropersonal. Diese hat der Arbeitgeber jeweils in erforderlichem Umfang zur Verfügung zu stellen. Die Neufassung des § 40 Abs. 2 BetrVG dient lediglich der Klarstellung (BT-Drs. 14/5741 S. 41). Wie bisher bezweckt § 40 Abs. 2 BetrVG mit der Prüfung der Erforderlichkeit eines sachlichen Mittels, die übermäßige finanzielle Belastung des Arbeitgebers durch den Betriebsrat zu verhindern. Damit ließe sich nicht in Einklang bringen, gerade in dem kostenintensiven Bereich moderner Bürotechnik, anders als bei den übrigen Sachmitteln, auf die Prüfung der Erforderlichkeit zu verzichten […].“935 931 BAG v. 3.9.2003 – 7 ABR 12/03, CR 2004, 451 m. Anm. Klasen; zu Erforderlichkeit und Berücksichtigung der konkreten betrieblichen Verhältnisse BAG v. 23.8.2006 – 7 ABR 55/05, RDV 2007, 168; zur Telekommunikation am Arbeitsplatz s. Altenburg/v. Reinersdorff/Leister, MMR 2005, 222. BAG v. 16.5.2007 – 7 ABR 45/06, DB 2007, 2036 zum Anspruch des Betriebsrats auf Überlassung eines PC: einzelfallbezogen zu beurteilen und zu verneinen, wenn der PC nicht zur „Normalausstattung“ gehört. 932 BAG v. 3.9.2003 – 7 ABR 8/03, CR 2004, 465 (Ls.) (Vorinstanz: LAG Kiel v. 31.10.2002, DB 2003, 670); ebenso BAG v. 16.5.2007 – 7 ABR 45/06, NZA 2007, 1117 (1119), Rz. 22; s. aber LAG Berlin v. 9.7.2008 – 17 TaBV 607/08, DB 2008, 2143 (Ls.): Zugang „regelmäßig“ erforderlich. 933 S.a. Gola, MMR 2004, 17. 934 PC für den Betriebsrat: BAG v. 16.5.2007 – 7 ABR 45/06, DB 2007, 2036, Ls. 1. 935 BAG v. 16.5.2007 – 7 ABR 45/06, NZA 2007, 1117 (1119), Rz. 21, mit folgenden weiteren Nachweisen zur Nutzung von Internet und Intranet: BAG v. 3.9.2003 – 7 ABR 8/03 – BAGE 107, 231 = AP BetrVG 1972 § 40 Nr. 79 = EzA BetrVG 2001 § 40 Nr. 6, zu B II 2 a der Gründe; v. 3.9.2003 – 7 ABR 12/03 – AP BetrVG 1972 § 40 Nr. 78 = EzA BetrVG 2001 § 40 Nr. 5, zu B I 2 b der Gründe; v. 1.12.2004 – 7 ABR 18/04 – AP BetrVG 1972 § 40 Nr. 82 = EzA BetrVG 2001 § 40 Nr. 8, zu B II 2 a der Gründe; v. 23.8.2006 – 7 ABR 55/05 – AP BetrVG 1972 § 40 Nr. 88, zu II 1 der Gründe.
Conrad
201
A Rz. 778
Datenschutz und IT-Management
Maßgeblich für den „erforderlichen“ Umfang der Ausstattung ist im Regelfall der Standard der Büroausstattung.936 Ein Laptop wird nur in Ausnahmefällen begründet werden können.937 9. Kollektivrechtliche Mitwirkung bei Einführung und Änderung von IT- und TK-Einrichtungen 9.1 Planungsphase 778 Konzerne sind regelmäßig an einer (automatisierten) Auswertung von Personaldaten z.B. zum Zweck konzernweiter Personalplanung, etwa einem konzernweiten „career and succession planning“ und „resource and skills allocation“ interessiert. Häufig kann die entsprechende Mitwirkung des Betriebsrats, ggf. Abschluss einer Betriebsvereinbarung zum Einsatz und zur Datenübermittlung, erst nach längeren Verhandlungen zwischen Unternehmensleitung und Betriebsräten erledigt werden. Gerade in internationalen Konzernen werden bei Planung der Einführung oder Änderung eines bestimmten IT- oder TK-Systems (ITK) betriebsverfassungsrechtliche und datenschutzrechtliche Erfordernisse zu spät geprüft und die notwendigen Informationen zu spät gesammelt. 779 Dabei ist zu berücksichtigen, dass gem. § 90 BetrVG der Betriebsrat einen Mitwirkungsanspruch auf Unterrichtung und Beratung bereits bei der Planung des ITK-Projekts hat. Zu diesem Zweck muss der Arbeitgeber dem Betriebsrat rechtzeitig die erforderlichen Unterlagen vorlegen.938 Im Gegensatz zur bloßen Anhörung muss der Arbeitgeber in einer Verhandlung mit dem Betriebsrat die Initiative ergreifen, um Argumente für und gegen das ITKProjekt gegeneinander abzuwägen.939 Zur Klarstellung kann es sich empfehlen, in einer ITK-Rahmenbetriebsvereinbarung zu konkretisieren, zu welchem Zeitpunkt und mittels welcher Unterlagen der Betriebsrat über die Planung bzw. wesentliche Änderung (bestimmter) ITK-Anlagen zu unterrichten ist. 780 Ist in einem Unternehmen ein Betriebsrat vorhanden und wird die Einführung/Änderung/ Nutzungsänderung einer ITK-Anlage beabsichtigt, sollte somit frühzeitig geklärt werden,940 – inwieweit ein mitwirkungs- bzw. mitbestimmungspflichtiger Tatbestand vorliegt; – welches betriebsverfassungsrechtliche Organ (Betriebsrat, Gesamtbetriebsrat oder Konzern-Betriebsrat) im konkreten Fall zuständig ist; bei welchen Änderungen des ITK-Systems ist der Betriebsrat in welcher Weise zu beteiligen? – welche weiteren Stellen im Unternehmen/Konzern etwa einzubinden sind (etwa der betriebliche Datenschutzbeauftragte,941 die Konzernleitung, andere verbundene Unternehmen); 936 LAG Köln v. 29.4.2002 – 2 TaBV 31/01, RDV 2003, 32; LAG Rh.-Pf. v. 30.6.2004 – 10 TaBV 880/03, RDV 2006, 79; zu Telefax bejaht, Internetzugang nur bei betrieblichem Standard; LAG Hamm v. 16.9.2005 – 13 TaBV 66/05, RDV 2006, 83 E-Mail- und Internetzugang im konkreten Fall als nicht betriebsüblich verneint. ArbG Frankfurt/M. v. 13.11.2001 – 8 BV 633/00, RDV 2002, 133: kein Anspruch auf unkontrollierten Zugang zum konzerninternen Intranet. 937 LAG Köln v. 17.10.1997 – 11 TaBV 15/97, NZA-RR 1998, 163; Altenburg/v. Reinersdorf/Leister, MMR 2005, 222 ff.; Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, 6. Aufl. 2013, Rz. 1954 ff. m.w.N. 938 Richardi/Annuß, BetrVG, 15. Aufl. 2016, § 90 Rz. 21 ff. 939 Richardi/Annuß, BetrVG, 15. Aufl. 2016, § 90 Rz. 24. 940 In diesem Zshg. interessant BAG v. 16.11.2006 – 1 ABR 4/06, RDV 2007, 165; S.a. Conrad/Antoine, ITRB 2006, 90 ff.; ähnlich Frey/Pulte, Betriebsvereinbarungen in der Praxis, S. 23. 941 Unabhängig von der Anzahl der befassten Mitarbeiter ist ein betrieblicher Datenschutzbeauftragter zu bestellen, soweit im Unternehmen eine automatisierte Verarbeitung vorgenommen wird, die der Vorabkontrolle gem. § 4d Abs. 5 BDSG unterliegt (z.B. Warndatei der Versicherungswirtschaft, Videoüberwachung, Data-Warehouse-Auswertungen; s. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4d Rz. 13 m.w.N.) oder bei geschäftsmäßiger (ggf. anonymisierter) Datenübermittlung (z.B. Auskunfteien, Ad-
202
Conrad
Arbeitnehmerdatenschutz
Rz. 783
A
– zu welchem Zeitpunkt und in welchem Umfang der Betriebsrat zu beteiligen ist (insb. § 90 BetrVG); – ob und inwieweit eine tarifvertragliche Regelung und ggf. eine Öffnungsklausel bestehen; – ob ein Abschluss einer (neuen) Betriebsvereinbarung erforderlich oder ob ggf. eine Ergänzung/Anlagenerweiterung einer bestehenden oder gar eine formlose Zustimmung des Betriebsrats ausreichend ist. 9.2 Verhältnis von Betriebsvereinbarungen zu BDSG Im Zshg. mit Informations- und Telekommunikationstechnik am Arbeitsplatz haben Unter- 781 nehmen mit Betriebsrat einen entscheidenden Vorteil: Betriebsvereinbarungen (und auch Tarifverträge) gelten nach allgemeiner Meinung als „andere Rechtsvorschriften“ i.S.v. § 4 Abs. 1 BDSG, obwohl dem Wortlaut nach die dem BDSG vorrangige Rechtsvorschrift i.S.v. § 1 Abs. 3 BDSG eine solche des Bundes sein muss.942 Hier greift also die Restriktion, dass es sich um eine Vorschrift des Bundes handeln müsste, nicht. Der Streitpunkt ist, ob Betriebsvereinbarungen hinter dem Mindeststandard des BDSG zurückbleiben dürfen, wie dies aus einer BAG-E. abgeleitet wird.943 Einzelne Facetten, insb. datenschutzrelevante Restriktionen, wurden von der Rspr. entwickelt, so v.a. zum Fragerecht bzw. zum Fragebogen, zu Beobachtung (etwa per Video) und Kontrolle von Telefonaten und E-Mails.944 Ist kein Betriebsrat vorhanden, kann es gleichwohl datenschutzrechtlich erforderlich sein, dass Erlaubnistatbestände geschaffen werden, sei es mitarbeiterindividuell oder z.B. durch Auftragsdatenverarbeitungskonzepte. Neben der individualvertraglichen Regelung (etwa im Arbeitsvertrag) ist eine „besonders hervorgehobene“ Einwilligungserklärung (s. § 4a Abs. 1 Satz 4 BDSG) erforderlich.
782
Ob Betriebsvereinbarungen jedoch die geeignete Grundlage sein können, um vom Schutzstandard des Datenschutzrechts abzuweichen, ist sehr fraglich.945 Nach h.M. dürfen unabdingbare Betroffenenrechte nicht abweichend geregelt werden. Dies betrifft insb. die Auskunfts-, Berichtigungs-, Sperrungs- oder Löschungsansprüche des Arbeitnehmers. Ein Teil der Lit. und die Datenschutzaufsichtsbehörden946 gehen davon aus, dass Datenverarbeitungsregelungen in Betriebsvereinbarungen nur wirksam sind, wenn sie mit den Vorschriften des BDSG im Einklang stehen. Danach ist in Betriebsvereinbarungen nur eine unternehmensspezifische Konkretisierung der BDSG-Vorschriften möglich. Ein z.B. punktuelles Unterschreiten des Datenschutzniveaus in einer Betriebsvereinbarung, jedoch „Ausgleich“ dieses Nachteils an anderer Stelle der Betriebsvereinbarung durch datenschutzfreundliche Regelungen wäre somit unzulässig. Im Einzelnen bliebe auch nach dieser Ansicht unklar, ob bzw. inwieweit eine Betriebsvereinbarung das datenschutzrechtliche Erforderlichkeitsgebot unter Berücksichtigung betrieblicher Besonderheiten konkretisieren kann.947 Die wohl überwiegende Auffas-
783
942 943 944 945
946 947
resshandelsunternehmen, Markt- und Meinungsforschungsinstitute). Als Faustregel gilt, dass zumindest bei solchen Systemen neben dem Datenschutzbeauftragten auch der zuständige Betriebsrat zu beteiligen ist. S.a. Rz. 718 und Gola/Schomerus, BDSG, 12. Aufl. 2015, § 4 Rz. 10. BAG v. 6.6.1984, NJW 1984, 2910; v. 27.5.1986, CR 1986, 571. Zu Fragebogen s. Rz. 837 ff.; zu Videoüberwachung und Kontrolle von Telefonaten und E-Mail s. Rz. 861 ff., 877 ff. Auch zum Nachteil des Beschäftigten: Büllesbach, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, S. 965; Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, 6. Aufl. 2013, Rz. 332 ff., 334; anders Dix in: Simitis, BDSG, 8. Aufl. 2014, § 1 Rz. 165. S.a. das in Rz. 759 ausführlich zitierte BAG v. 27.5.1986 zur Zulässigkeit von Telefondatenerfassung. Dix, in: Simitis, BDSG, 8. Aufl. 2014, § 1 Rz. 166 i.V.m. Seifert, in: Simitis, BDSG, 8. Aufl. 2014, § 32 Rz. 167; Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, 6. Aufl. 2013, S. 208 ff., m.w.N.; Schmidl, DuD 2009, 364 mit Verweis auf Düsseldorfer Kreis. So wohl Innenministerium Hess. als Aufsichtsbehörde in 11. Tätigkeitsbericht, LT-Drs. 14/159; dagegen: Hamburgischer Datenschutzbeauftragter, RDV 2002, 211.
Conrad
203
A Rz. 784
Datenschutz und IT-Management
sung in der Lit.948 vertritt, dass zwar unabdingbare Betroffenenrechte nicht geschmälert werden dürfen; ansonsten können Datenschutz-Nachteile durch Vorteile an anderer Stelle in der Betriebsvereinbarung ausgeglichen werden. Insb. kann die Betriebsvereinbarung Erlaubnis (z.B. zur Datenübermittlung) sein, etwa wenn § 32 BDSG als Erlaubnis ausscheidet.949 Die Rspr. des BAG950 ist insoweit uneinheitlich. Im Ergebnis ist also nach wie vor umstritten, inwieweit Datenverarbeitungsregelungen in Betriebsvereinbarungen auf ihre Vereinbarkeit mit Datenschutzvorschriften zu prüfen sind. 784 Entscheidet sich ein Unternehmen wegen der relativ hohen Anforderungen an die Wirksamkeit von Einwilligungserklärungen und wegen des möglichen Widerrufs der Einwilligung durch einzelne Mitarbeiter für eine Regelung des Datenverkehrs mittels Betriebsvereinbarung, ist die Bindungswirkung bzw. der beschränkte (persönliche) Geltungsbereich der Betriebsvereinbarung zu beachten. Sind in den Einsatz der ITK-Einrichtung Dritte involviert – sei es als Betroffene (z.B. Kundendaten, Daten von Freelancern) oder als Datenempfänger (z.B. verbundene Unternehmen und/oder externe Dienstleister etwa bei Outsourcing von Applikationen) –, sind regelmäßig zusätzliche Regelungen zwischen Arbeitgeber und diesen Dritten zu treffen. 9.3 Günstigkeitsprinzip 785 Nach § 310 Abs. 4 BGB finden die AGB-rechtlichen Bestimmungen auf Betriebsvereinbarungen keine Anwendung. Jedoch unterliegen sie ggf. einer gerichtlichen Rechtskontrolle auf Übereinstimmung mit Verfassung, Gesetz und guten Sitten sowie einer Billigkeitskontrolle,951 wie sie in § 75 BetrVG beschrieben ist.952 786 Auf Rechte aus einer Betriebsvereinbarung kann ein Arbeitnehmer nur mit vorheriger Zustimmung des Betriebsrats verzichten. Allerdings sind für den Arbeitnehmer günstigere Einzelvereinbarungen im Arbeitsvertrag zulässig (Günstigkeitsprinzip).953 Bei einer verschlechternden Betriebsvereinbarung sind auch die Grundsätze der Verhältnismäßigkeit und des Vertrauensschutzes zu beachten. 787 Ggf. ist auf Grundlage eines objektiven Beurteilungsmaßstabs ein Günstigkeitsvergleich zwischen den betreffenden Regelungsbereichen durchzuführen. Dabei ist zu berücksichtigen, dass gerade die Einführung von ITK-Einrichtungen für den Arbeitnehmer regelmäßig ambivalent ist: z.B. Verbesserung der Arbeitsmittel bzw. der betrieblichen Kommunikation und Informationsbeschaffung einerseits sowie Erhöhung des Überwachungspotentials andererseits. Sehr strittig ist, ob bei der Einführung einer technischen Anlage, die z.B. geeignet ist, eine konzernweite Performance-Kontrolle von Arbeitnehmern zu ermöglichen, der Aspekt Sicherung von Arbeitsplätzen (in Deutschland) in den Günstigkeitsvergleich einbezogen werden kann.954
948 Zöll, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 32 Rz. 59. 949 Kort, ZD 2016, 3 (5). 950 BAG v. 25.9.2013 – 10 AZR 270/10, DB 2013, 2863; v. 9.7.2013 – 1 ABR 2/13 (A), NZA 2013, 1433 und v. 15.4.2014 – 1 ABR 2/13, NZA 2014, 551 – Betriebsvereinbarung zu Torkontrollen. 951 Maßstab der Billigkeitskontrolle ist die Verpflichtung der Betriebsorgane, dem Wohle des Betriebs und seiner Arbeitnehmer unter Berücksichtigung des Gemeinwohls zu dienen. 952 Pulte/Bigos, Betriebsvereinbarungen in der Praxis, 4. Aufl. 2014, S. 9/10 f. 953 Zum Günstigkeitsprinzip vgl. Richardi, BetrVG, 15. Aufl. 2016, § 77 Rz. 141 ff. 954 ArbG Düsseldorf v. 6.6.1997 – 3 Ca 414/97, BB 1997, 1585; dagegen wohl BAG v. 20.4.1999, AP Nr. 89 zu Art. 9 GG; Richardi, DB 2000, 47.
204
Conrad
Arbeitnehmerdatenschutz
Rz. 790
A
9.4 Abgrenzung personenbezogener von verhaltens- und leistungsbezogenen Daten Typisch für IT- und TK-Einrichtungen am Arbeitsplatz ist, dass personenbezogene Mitarbei- 788 terdaten erhoben und verarbeitet (z.B. gespeichert und gelöscht) werden, die geeignet sind, vom Arbeitgeber z.B. für Personalperformancekontrollen genutzt (ausgewertet) zu werden. Diese mit dem technischen Fortschritt verbundenen Gefahren für die Persönlichkeitsrechte der Arbeitnehmer begründen die Kontrollfunktion des Betriebsrats bei der Einführung oder Änderung von IT- oder TK-Anlagen.955 Daher sind solchen Betriebsvereinbarungen regelmäßig zwei Prüfungsschwerpunkte gemeinsam: – technische Verhaltens- oder Leistungskontrolle (kollektives Arbeitsrecht, § 87 Abs. 1 Nr. 6 BetrVG) und – Art und Ausmaß des Umgangs mit personenbezogenen Arbeitnehmerdaten (Datenschutzrecht). Bei der Gestaltung der Betriebsvereinbarung ist folgende Abgrenzung des Datenschutzrechts 789 gegenüber Betriebsverfassungsrecht zu beachten, damit der Anwendungsbereich der Vereinbarung den Erfordernissen im Einzelfall gerecht wird: Das Datenschutzrecht regelt den Umgang mit personenbezogenen Daten. Gem. § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Verhaltensbezogene Arbeitnehmerdaten sind dagegen Daten über das Tun oder Unterlassen des Arbeitnehmers im betrieblichen, aber auch außerbetrieblichen Bereich, soweit dieses für das Arbeitsverhältnis erheblich sein kann.956 Leistungsbezogene Arbeitnehmerdaten sind Daten über die vom Arbeitnehmer in Erfüllung seiner vertraglichen Arbeitspflicht geleisteten Arbeiten.957 Personenbezogene Daten können, müssen aber nicht verhaltens- oder leistungsbezogen sein.958 Verhaltens- oder leistungsbezogene Daten können, müssen aber nicht personenbezogen sein. Gruppenbezogene Leistungsdaten sind nicht personenbezogen, wenn der einzelne Gruppenangehörige nicht bestimmbar ist.959 Ist die Identifizierung eines bestimmten Arbeitnehmers nicht möglich, besteht grds. kein Mitbestimmungsrecht des Betriebsrats.960 Etwas anderes kann gelten, wenn die leistungs- oder verhaltensrelevanten Gruppendaten einen Überwachungsdruck für den einzelnen Arbeitnehmer erzeugen. Dies kann etwa bei kleinen, überschaubaren Gruppen der Fall sein.961 Die Interpretationsrisiken nicht synchroner Begriffsbestimmungen und somit Unklarheiten 790 im Anwendungsbereich können verringert werden, indem Betriebsvereinbarungen mit Begriffsdefinitionen beginnen, die sich möglichst genau an Legaldefinitionen (insb. BDSG) und Definitionen des BAG halten.
955 Nägele, ArbRB 2002, 55 (56); Ueckert, ITRB 2003, 158 (160). 956 BAG v. 11.3.1986 – 1 ABR 12/84, AP Nr. 14 zu § 87 BetrVG 1972; Fitting/Engels/Schmidt/Trebinger/ Linsenmaier, BetrVG, 28. Aufl. 2016, § 87, Rz. 221; a.A. Müllner, DB 1984, 1677. 957 BAG v. 18.2.1986 – 1 ABR 21/84, AP Nr. 12, 13 zu § 87 BetrVG 1972; Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 87 Rz. 221. 958 Beispielsweise ist die Telefonnummer des Arbeitnehmers zwar personenbezogen, aber regelmäßig nicht leistungs- oder verhaltensbezogen. 959 Ein Beispiel wäre der durchschnittliche Monatsumsatz des Vertriebsteams der deutschen Tochter mit 1.000 Mitarbeitern. 960 BAG v. 6.12.1983 – 1 ABR 43/81, AP Nr. 7 zu § 87 BetrVG 1972; v. 10.4.1984 – 1 ABR 69/82, AP Nr. 7 zu § 87 BetrVG 1972. 961 Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 87 Rz. 220 m.w.N.
Conrad
205
A Rz. 791
Datenschutz und IT-Management
9.5 Überblick über Regelungspunkte in einer Betriebsvereinbarung zu ITK 791 Eine ITK-Betriebsvereinbarung kann – betriebsverfassungsrechtlich gesehen – insb. folgende Bereiche regeln, wobei häufig mehrere Aspekte betroffen sein werden: – Allgemeine personelle Angelegenheiten, §§ 92 ff. BetrVG,962 – Berufsbildung, §§ 96 ff. BetrVG,963 – Gestaltung von Arbeitsplatz, Arbeitsablauf und Arbeitsumgebung, § 90 f. BetrVG, – betriebliche Ordnung § 87 Abs. 1 Nr. 1 BetrVG,964 – technische Überwachungseinrichtung nach § 87 Abs. 1 Nr. 6 BetrVG,965 – Sozialeinrichtungen, § 87 Abs. 1 Nr. 8 BetrVG.966 792 Bereits der Umstieg auf neue Textverarbeitungsprogramme, Dokumenten- oder Kundendatenbanken, die Verschmelzung von Intranets, Telefon- und E-Mail-Adresslisten oder geänderte Policies für die Benutzung von technischen Kommunikationssystemen kann den Neuabschluss oder die Änderung einer Betriebsvereinbarung erfordern.967 793 Das Thema Videoüberwachung968 ist regelmäßig Gegenstand von Betriebsvereinbarungen (§ 87 Abs. 1 Nr. 6 BetrVG). Insoweit haben Unternehmen mit Betriebsrat einen Vorteil,969 denn nach wie vor ist strittig, ob Arbeitnehmer in Videoüberwachung wirksam einwilligen970 können. Das LAG MV971 hatte zu entscheiden, ob eine Videoattrappe im Außenbereich mitbestimmungspflichtig ist. § 87 Abs. 1 Nr. 6 BetrVG scheidet aus, da eine Attrappe keine Eignung zur technischen Überwachungseinrichtung hat. Das LAG hat aber auch § 87 Abs. 1 Nr. 1 BetrVG abgelehnt, weil eine bloße Attrappe nicht geeignet sei, das Ordnungsverhalten der Arbeitnehmer zu gestalten. Das dürfte aber nur dann richtig sein, wenn der Attrappen-Charakter für alle Arbeitnehmer offensichtlich oder ihnen bekannt ist.972 794 Das BAG973 hat in einem Urteil aus 2013 betont, dass das allgemeine Persönlichkeitsrecht außerhalb des absolut geschützten Kernbereichs privater Lebensführung nicht nur durch verfassungsmäßige Gesetze, sondern auch durch Betriebsvereinbarungen, die den Grundsatz 962 Etwa elektronische Personalakte oder Personalinformationssysteme, s.a. Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 92 Rz. 25. 963 Z.B. E-Learning. 964 Einzelfälle s. Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 87 Rz. 71 m.w.N., z.B. elektronische Zugangskontrollen und/oder Zeiterfassung; betrieblicher Datenschutz im Allgemeinen. 965 Z.B. Personalinformationssysteme; Telefondatenerfassung; Videoüberwachung; Einführung/Änderung von Betriebssystem und/oder Anwendungen; elektronische Zeiterfassung; Internet-/E-MailNutzung. 966 Beispiele sind Einrichtung betriebseigener Internet-Terminals, die den Mitarbeitern zur privaten Internetnutzung außerhalb der Arbeitszeit zur Verfügung gestellt werden; vgl. auch Möller, ITRB 2005, 142 (143). 967 S. beispielhaft Altenburg/v. Reinersdorff/Leister, MMR 2005, 135 ff. und 222 ff.; vgl. zur Videoüberwachung am Arbeitsplatz: BAG v. 29.6.2004 – 1 ABR 21/03, RDV 2005, 21 ff.; vgl. umfangreiche Rspr. und Lit. speziell zu E-Mail- und Internetnutzung am Arbeitsplatz BAG v. 7.7.2005 – 2 AZR 581/04, DB 2006, 397; 25. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz (2002) in RDV 2003, 260 f.; Lindemann/Simon, BB 2001, 1950 (1954 ff.); Nägele, ArbRB 2002, 55 ff.; Hörl/Buddee, ITRB 2002, 160 ff.; Hoß, ArbRB 2002, 315; Beckschulze, DB 2003, 2777 ff.; Ueckert, ITRB 2003, 158 (160 ff.); Kossens, ArbRB 2004, 215 ff.; Schmidl, MMR 2005, 343 ff.; Möller, ITRB 2005, 142 (145). 968 Einzelheiten Rz. 861 ff. 969 S. Rz. 703, 874. 970 S. Rz. 876. 971 LAG MV v. 12.11.2004 – 3 TaBV 5/14, ZD 2015, 185. 972 Kort, ZD 2016, 3 (5). 973 BAG v. 9.7.2013 – 1 ABR 2/13 (A), NZA 2013, 1433 und BAG v. 15.4.2014 – 1 ABR 2/13, NZA 2014, 551 – Betriebsvereinbarung zu Torkontrollen.
206
Conrad
Arbeitnehmerdatenschutz
Rz. 795
A
der Verhältnismäßigkeit wahren, eingeschränkt werden kann. In dieser E. des BAG lautete die Betriebsvereinbarung zu Torkontrollen (BV-Torkontrolle) auszugsweise: „… wird vor dem Hintergrund der aktuellen, im September 2009 in Kraft getretenen arbeitsrechtlich relevanten Änderungen des Bundesdatenschutzes, insb. des § 32 BDSG, ist eine Anpassung der derzeitigen betrieblichen Regelung über die Durchführung von Torkontrollen, wie folgt erforderlich: … 2. Geltungsbereich: Diese Vereinbarung gilt für alle Beschäftigten am Standort DC W und alle dort eingesetzten Arbeitnehmer von Zeitarbeitsunternehmen. … 4. Durchführung der Torkontrollen: 4.1. Zum Schutze des persönlichen und betrieblichen Eigentums werden aus den Ausgangsdrehkreuzen durch dazu bestimmten Personen Kontrollen durch-geführt. Alle Betriebsangehörigen haben auf Verlangen über Betriebsprodukte in ihrem Besitz einen Nachweis vorzuzeigen (Kassenbon Personalverkauf). 4.2. Durch die beim Verlassen des Werkes notwendige Öffnung der Drehkreuze mittels des Werksausweises wird eine Auswahl der zu kontrollierenden Personen über einen Zufallsgenerator getroffen. Der Kontroll-zyklus wird dem Betriebsrat mitgeteilt. Bei Verlassen des Werksgeländes über die Pforte, kann ebenfalls jederzeit eine Kontrolle durchgeführt werden. 4.3. Die Kontrolle findet im Pförtnerraum an einer nicht einsehbaren Stelle statt. Die Kontrolle bezieht sich auf die Durchsicht mitgeführter Behältnisse, Jacken- und Manteltaschen. In begründeten Verdachtsfällen wird der Mitarbeiter aufgefordert sämtliche Kleidertaschen (Hosen und Kleider) zu leeren. Weigert sich der Mitarbeiter dem nachzukommen, kann die Kontrolle auf Veranlassung der Firma, durch die zuständige Polizei durchgeführt werden. Über jede durchgeführte Kontrolle wird ein Protokoll angefertigt. Dieses Protokoll ist von demjenigen zu unterzeichnen, der die Kontrolle durchgeführt hat und von dem/der betroffenen Mitarbeiter/in gegenzuzeichnen. Es dient als Nachweis der Durchführung sowie hinsichtlich etwaig beschlagnahmter Gegenstände. 5. Zusätzliche Kontrollmaßnahmen: Bei Verdacht des Diebstahls von Firmen- oder Privateigentum können außerhalb der Zufallskontrolle weitergehende Kontrollmaßnahmen an den Werkstoren und im Werk angeordnet werden. Der Betriebsrat ist hierüber zu informieren. … 6. Schlussbestimmung: Diese Betriebsvereinbarung tritt mit Unterzeichnung in Kraft und ist erstmals mit einer Frist von 3 Monaten zum 1.8.2012 und sodann mit einer Frist von 3 Monaten jeweils zum Folgejahr kündbar. Im Falle der Kündigung wirkt die Betriebsvereinbarung bis zum Abschluss einer neuen Vereinbarung nach. Mit Unterzeichnung dieser Betriebsvereinbarung tritt die Betriebsvereinbarung über die Durchführung von Torkontrollen vom 30.6.2006 außer Kraft.“
Aus dieser E. des BAG974 ergeben sich folgende Konsequenzen für die Gestaltung von Be- 795 triebsvereinbarung insb. im Zshg. mit technischen Überwachungseinrichtungen oder sonstigen Kontrollen: Erforderlich ist zunächst eine präzise Bestimmung der grundrechtlichen Positionen von Arbeitgeber und Arbeitnehmer und abgeleitet daraus Vorgaben zur Verhältnismäßigkeit (z.B. ist die Eingriffsintensität nach dem Anlass bzw. Verdacht zu staffeln). Ebenso erforderlich sind klare/transparente und offen kommunizierte Regelungen zu den Verfahrensabläufen, zur Gewährleistung der Datensicherheit und zur Protokollierung (die die Überprüfbarkeit der Rechtmäßigkeit erleichtern soll). Soll die BV Erlaubnis i.S.v. § 4 Abs. 1 BDSG sein, 974 BAG v. 9.7.2013 – 1 ABR 2/13 (A), NZA 2013, 1433 und v. 15.4.2014 – 1 ABR 2/13, NZA 2014, 551 – Betriebsvereinbarung zu Torkontrollen.
Conrad
207
A Rz. 796
Datenschutz und IT-Management
empfehlen sich konkrete Festlegungen – ähnlich § 11 Abs. 2 Nr. 1 bis Nr. 3 BDSG – zu den Komponenten des Systems (z.B. Hardware, Betriebssystem, Applikationen, vor- und nachgelagerte Datenbanken, interne und externe Schnittstellen, wie z.B. Archivsysteme etc.), zum Kreis der Betroffenen, zum Datenkatalog personenbezogener Arbeitnehmerdaten („data dictionary“), ggf. Schnittstellen (Import/Export von Arbeitnehmerdaten), zur Festlegung der Nutzungszwecke (auch Auswertungen, Reports), zum Überblick über Zugriffsrechte (evtl. Informationen zu Rollenbeschreibungen des Berechtigungskonzepts), speziell im Falle von Datenübermittlung (z.B. an verbundene Unternehmen) zur Auflistung der Datenempfänger mit jeweiligen Nutzungszwecken sowie Regelung zu Updates/Upgrades von Software (etwa dass eine Änderung der BV nicht erforderlich, wenn weder das Frontend noch der Funktionsumfang und auch nicht der Art und Umfang der personenbezogenen Beschäftigtendaten, die mit dem System erhoben, verarbeitet oder genutzt werden, geändert werden). 796 Gerade wenn der Umfang technischer Einrichtungen im Betrieb über Festnetztelefon, E-Mail und Internet hinausgeht, kann es sich empfehlen, eine Rahmenbetriebsvereinbarung zu schaffen, in der allgemeine Definitionen, Verfahrens- und allgemeine Datenschutzgrundsätze geklärt werden. Einzelne ITK-Systeme können dann in Einzelbetriebsvereinbarungen geregelt werden, die vom Umfang her entlastet werden. 797 Für den Entwurf der Betriebsvereinbarung zu klären bzw. zu beschaffen sind die technischen und organisatorischen (Detail-)Informationen, die für den Entwurf einer entsprechenden betrieblichen Regelung erforderlich sind, insb. um – Nutzungsgebote, -verbote und – die Reichweite einer datenschutzrechtlichen Erlaubnis ausreichend und rechtswirksam zu beschreiben sowie – den jeweiligen betriebsverfassungsrechtlichen Anforderungen, z.B. aus §§ 75, 80, 87 Abs. 1 Nr. 1 bzw. Nr. 6 BetrVG, ausreichend Rechnung zu tragen. 798 Nicht gesetzlich gefordert, aber empfehlenswert kann sein, dass – wie auch sonst in ProjektVerträgen – die Betriebsvereinbarung einen (De-)Eskalationsprozess für den Fall von Streitigkeiten über Anwendung und Auslegung der Betriebsvereinbarung regelt. 9.6 Anwendungsbereich der Betriebsvereinbarung 799 Besteht in einem Unternehmen mit mehreren Betrieben ein Gesamtbetriebsrat, so werden Betriebsvereinbarungen zu ITK regelmäßig als Gesamtbetriebsvereinbarung geschlossen. Da die Einführung des neuen informationstechnischen oder Telekommunikations-Systems meist unternehmensweit oder zumindest in mehreren Betrieben erfolgt, besteht in diesen Fällen ein zwingendes Erfordernis für eine unternehmenseinheitliche bzw. betriebsübergreifende Regelung (§§ 47, 50 BetrVG). Ggf. ist ein bestehender Konzernbetriebsrat für die ITKBetriebsvereinbarung zuständig (§§ 54, 58 BetrVG). 800 Ist die Entscheidung für den Entwurf einer Betriebsvereinbarung gefallen, sind zunächst der persönliche und sachliche Geltungsbereich, z.B. Beschränkung auf angestellte Außendienstmitarbeiter, zu klären. Ggf. sollten entsprechende Regelungen mit freien Mitarbeitern und leitenden Angestellten abgeschlossen werden, etwa wenn eine datenschutzrechtliche Einwilligung dieser Betroffenen erforderlich ist. Eine Betriebsvereinbarung gilt unmittelbar und zwingend für alle von ihr erfassten Arbeitsverhältnisse (sog. normative Wirkung, § 77 Abs. 4 BetrVG). Maßgeblich ist insoweit weniger der Wortlaut als vielmehr der nach Treu und Glauben zu ermittelnde, von Arbeitgeber und Betriebsrat verfolgte Zweck.
208
Conrad
Arbeitnehmerdatenschutz
Rz. 807
A
9.7 Kündigung, Nachwirkung, Aushang Jede Betriebsvereinbarung kann außerordentlich aus wichtigem Grund gekündigt werden.975 Bei auf unbestimmte Zeit geschlossenen Betriebsvereinbarungen kann (daneben) eine ordentliche Kündigungsfrist vereinbart werden.976 Die Geltungsdauer einer Betriebsvereinbarung kann auch direkt zeitlich befristet werden. Eine Teil-Kündigung ist nur dann zulässig, wenn sich die Kündigung auf einen selbständigen, mit dem weiteren Inhalt der Vereinbarung inhaltlich nicht zusammenhängenden Komplex bezieht bzw., wenn Arbeitgeber und Betriebsrat als Vertragsparteien dies ausdrücklich vereinbart haben.
801
Gem. § 77 Abs. 6 BetrVG gilt nach Ablauf einer Betriebsvereinbarung die Regelung so lange 802 weiter, bis sie durch eine andere Vereinbarung ersetzt wird. Dies gilt allerdings nur hinsichtlich der Regelungsbereiche, die ggf. durch einen Spruch der Einigungsstelle, die von beiden Seiten angerufen werden kann, ersetzt werden können, also für Regelungsgegenstände der gesetzlichen Mitbestimmung, insb. gem. § 87 BetrVG. Soweit die Einführung/Änderung einer ITK-Einrichtung mitbestimmungspflichtig ist, ist eine Nachwirkung gesetzlich vorgesehen. Diese gesetzliche Regelung ist jedoch nicht zwingend, sodass abweichende Regelungen in der Betriebsvereinbarung getroffen werden können.977
803
Die Betriebsvereinbarung muss im Betrieb ausgehängt bzw. bekannt gemacht werden. Gera- 804 de in internationalen Konzernen bzw. Matrixstrukturen (s. Rz. 931 ff.) wird regelmäßig auch eine Übersetzung für übergeordnete Konzerngesellschaften oder Rechtsabteilungen erforderlich sein. 9.8 Tarifvorbehalt und Öffnungsklausel Um die Nutzung der ITK-Anlage zu regeln und zugleich arbeitsrechtliche und datenschutz- 805 rechtliche Anforderungen (insb. hinsichtlich des Umgangs mit personenbezogenen bzw. verhaltens- und leistungsbezogenen Arbeitnehmerdaten; s. Rz. 788 ff.) zu erfüllen, enthalten Betriebsvereinbarungen zu ITK-Einrichtungen schematisch gesehen v.a. Bestimmungen zu Ziel und Umfang/Geltungsbereich der Einführung und/oder Änderung, Bedingungen der betrieblichen, ggf. auch privaten Nutzung, Zweckbestimmungen, evtl. Auswertung personenbezogener Daten bzw. Leistungs- und Verhaltenskontrolle, Beteiligungsrechten des Betriebsrats/ der Mitarbeiter, ggf. Einigungsverfahren, Geltungsdauer/Schlussbestimmungen. Grds. können über alle Fragen Betriebsvereinbarungen geschlossen werden, die zum Rege- 806 lungsbereich des Betriebsrats gehören.978 Dabei dürfen Betriebsvereinbarungen nicht gegen höherrangiges Recht (Grundrechte, Gesetze, Tarifverträge) verstoßen. Gem. § 77 Abs. 3 Satz 1 BetrVG können Regelungen über Arbeitsbedingungen, die durch Ta- 807 rifvertrag geregelt sind oder üblicherweise durch Tarifvertrag geregelt werden (Tarifüblich-
975 Die – zweckmäßigerweise schriftliche – Kündigung muss dem Arbeitgeber bzw. dem Vorsitzenden des Betriebsrats zugehen; s. zu weiteren Einzelheiten Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 77 Rz. 157; BAG v. 6.11.2007 – 1 AZR 826/06, DB 2008, 1218 zu Teilkündigung einer Betriebsvereinbarung. 976 § 77 Abs. 5 BetrVG sieht eine Kündigungsfrist von drei Monaten vor, soweit nichts anderes vereinbart wurde. 977 Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 77 Rz. 180. 978 Was zulässiger Inhalt einer Betriebsvereinbarung sein kann, ist im Betriebsverfassungsgesetz nicht abschließend definiert. § 77 Abs. 3 BetrVG nennt, was nicht Gegenstand einer BV sein kann. S.a. Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 77 Rz. 45 ff.; zu Regelungsgegenständen zu ITK im Überblick s. Rz. 791 ff.
Conrad
209
A Rz. 808
Datenschutz und IT-Management
keit),979 nicht Gegenstand einer Betriebsvereinbarung sein.980 Eine Betriebsvereinbarung ist trotz tariflicher Regelung nicht ausgeschlossen, wenn der Tarifvertrag eine ergänzende Betriebsvereinbarung ausdrücklich zulässt, keine in sich abgeschlossene materielle Regelung enthält oder den Umfang der Abweichung durch Betriebsvereinbarung genau definiert (Öffnungsklausel).981 In Deutschland sind Beschäftigtendatenschutzangelegenheiten zumindest bislang regelmäßig nicht in Tarifverträgen geregelt.982 808 Im Anwendungsbereich des § 87 Abs. 1 BetrVG ist nach gefestigter Rspr. des BAG983 der Tarifvorbehalt in § 87 Abs. 1 Satz 1 BetrVG lex specialis zu § 77 Abs. 3 BetrVG und somit vorrangig (Vorrangtheorie). 809 Als Faustregel gilt: Vorgaben zu formellen Arbeitsbedingungen – wie z.B. Einsatz informations- bzw. kommunikationstechnischer Einrichtungen – sind nicht tarifüblich.984 Das bei ITK-Anlagen regelmäßig bestehende Mitbestimmungsrecht des Betriebsrats ist nur dann ausgeschlossen, wenn eine konkrete tarifliche Regelung ohne Öffnungsklausel vorliegt. Eine Betriebsvereinbarung über die betriebliche Nutzung eines ITK-Systems ist im Regelfall erzwingbar, denn im Falle der Nichteinigung kann die Betriebsvereinbarung durch Einschaltung einer Einigungsstelle durchgesetzt werden. 10. Datenschutzrechtliche Einwilligungen von Arbeitnehmern 810 Schon aufgrund des Gebots der Datenvermeidung und Datensparsamkeit (§ 3a BDSG, s. Rz. 125, 137 f., 240, 571) ist der Arbeitgeber gehalten, datenschutzfreundliche Techniken und Verfahren einzusetzen und insb. zu prüfen, ob im Einzelfall zur Analyse und Auswertung anonymisierte Daten ausreichend sind.985 Geht jedoch die vom Arbeitgeber beabsichtigte Datenverarbeitung und -nutzung über gesetzliche Erlaubnistatbestände und Gestaltungsspielräume986 hinaus und liegt auch keine entsprechende Betriebsvereinbarung vor (etwa weil im Unternehmen kein Betriebsrat besteht), dann bleibt regelmäßig als einzige Option die datenschutzrechtliche Einwilligung der betroffenen Mitarbeiter. 811 Der Betrieb von IT- und TK-Systemen (auch ITK-Systeme genannt) im Unternehmen sollte aber nach Möglichkeit nicht von Einwilligungen der Arbeitnehmer abhängig sein. Anderenfalls würde die fehlende Einwilligung die Erhebung, Verarbeitung und Nutzung der betreffenden Daten unzulässig machen. Außerdem kann eine einmal erteilte Einwilligung vom
979 Tarifüblichkeit richtet sich danach, ob eine bestimmte tarifliche Regelung nur vorübergehend nicht besteht, konkret zu erwarten ist und/oder für den jeweiligen Berufszweig üblich ist. S.a. Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 77 Rz. 90 ff. 980 Zu den datenschutzrechtlichen Aspekten des Tarifeinheitsgesetzes Gola, RDV 2015, 183. 981 BAG v. 20.12.1961– 4 AZR 213/60, AP Nr. 7 zu § 59 BetrVG; v. 20.4.1999 – 1 AZR 631/98, AP Nr. 12 zu § 77 BetrVG 1972; v. 29.10.2002 – 1 AZR 573/01, AP Nr. 18 zu § 77 BetrVG 1972; Fitting/Engels/ Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 77 Rz. 117 ff. m.w.N. 982 Kort, DB 2016, 711 (714). 983 In der Lit. heftig umstritten ist, ob die Sperrwirkung des § 77 Abs. 3 BetrVG auch im Anwendungsbereich des § 87 Abs. 1 BetrVG gilt. Nach mittlerweile gefestigter Rspr. des BAG ist der Tarifvorbehalt in § 87 Abs. 1 Satz 1 BetrVG vorrangig zu § 77 Abs. 3 BetrVG, s. BAG v. 24.2.1987, AP Nr. 21 zu § 77 BetrVG 1972; Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, 28. Aufl. 2016, § 77 Rz. 109 m.w.N. 984 Pulte/Bigos, Betriebsvereinbarungen in der Praxis, 4. Aufl. 2014, S. 6. 985 Anonymisierte Datenverarbeitung ist datenschutzrechtlich weitgehend unproblematisch. Gemäß § 15 Abs. 3 TMG ist auch eine pseudonyme Verarbeitung von Nutzungsdaten zu Werbezwecken erlaubt, ohne dass es einer Einwilligung bedarf. Allerdings hat der Nutzer, wie bereits dargestellt, die Möglichkeit zu widersprechen. Auf dieses Widerspruchsrecht ist der Nutzer hinzuweisen. Zu Einwilligungen im Rahmen TMG s.a. Schafft/Ruoff, CR 2006, 499. 986 Als Gestaltungsspielraum kann z.B. § 11 BDSG angesehen werden. Wird eine Datenweitergabe an Dritte technisch, organisatorisch und vertraglich so geregelt, dass sie die Anforderungen des § 11 BDSG erfüllt, erfordert die Datenweitergabe keine Einwilligung der Betroffenen.
210
Conrad
Arbeitnehmerdatenschutz
Rz. 815
A
Betroffenen mit Wirkung für die Zukunft widerrufen werden.987 Eine nachträgliche Zustimmung des Betroffenen hat für bereits ohne Einwilligung und sonstige Erlaubnis durchgeführte Datenverarbeitungsmaßnahmen, also für die Vergangenheit, keine legalisierende Wirkung.988 Das Vorliegen der erforderlichen Einwilligungen für den vorgesehenen Zweck gehört zur Werthaltigkeit und Ordnungsmäßigkeit bei der Datenverarbeitung. Dessen hat sich das Unternehmen zu vergewissern.989 Problematisch ist i.R.v. Arbeitsverhältnissen insb. die Freiwilligkeit der Einwilligungserklä- 812 rung des Arbeitnehmers. Auf dem Arbeitnehmer lastet i.d.R. ein erheblicher Druck, die Einwilligung zu erteilen.990 „Eine Nebenpflicht des Arbeitnehmers aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten – soweit erforderlich – zuzustimmen, besteht nicht.“991 Teilweise wird vertreten, dass die Einwilligung eines Beschäftigten mangels Freiwilligkeit jedenfalls dann unzulässig ist, wenn sie zusammen mit einem abzuschließenden Arbeitsvertrag dem Bewerber vorgelegt wird.992 Dies dürfte in dieser Pauschalität nicht richtig sein. Freiwilligkeit ist zumindest dann anzunehmen, wenn der Betroffene zumutbare Alternativen hat, was gerade bei Neueinstellung häufig der Fall ist. „Eine Einwilligung in die Datenerhebung, -verarbeitung und -nutzung ist im Arbeitsverhältnis überhaupt zulässig. Der Einwand, Arbeitnehmer könnten aufgrund des Machtungleichgewichts nicht i.S.v. § 4a Abs. 1 Satz 1 BDSG frei entscheiden und damit einwilligen, steht der Einwilligung nicht allg. entgegen. Nach § 4a Abs. 1 Satz 2 BDSG muss der Arbeitgeber den Arbeitnehmer auf den Zweck der Erhebung, Verarbeitung oder Nutzung hinweisen, also auf den konkreten Kontrollzweck (Grundsatz der informierten Einwilligung). Unwirksam ist beispielsweise die für eine noch nicht konkretisierte Vielzahl von Fällen – und in der betrieblichen Praxis oft vorzufindende – Pauschaleinwilligung im Arbeitsvertrag.“993 Unabhängig davon ist die Einwilligung als rechtsmissbräuchlich und unwirksam anzuse- 813 hen, wenn sie gegen zwingende Schutzprinzipien verstößt. Eine Einwilligung des Arbeitnehmers darf nicht dazu führen, dass der Arbeitgeber Arbeitnehmerdaten verarbeitet oder übermittelt, die er nach arbeitsrechtlichen Grundsätzen nicht verarbeiten darf. Ein praktischer Grund, warum in vielen Fällen Einwilligungen unpraktikabel sind, ist der 814 Aufwand für die Verwaltung der Einwilligungen; insb. müssen Einwilligungen erneut eingeholt werden, wenn sich die der Einwilligung zugrunde liegenden Umstände (Datenkategorien, Verarbeitungsphasen, Zwecke, Datenempfänger) ändern. Bei Beschäftigteneinwilligungen in Datenübermittlungen im Konzern besteht regelmäßig das Problem, dass sich der Bestand der zugehörigen Konzernunternehmen ändert. Muss die Einwilligung aktualisiert werden, darf der Arbeitgeber im Regelfall keine Opt-Out-Lösung („Ihre Einwilligung gilt als erteilt, wenn Sie nicht …“) wählen. Vielmehr muss die Einwilligung (mit allen Voraussetzungen des § 4a BDSG) erneut von allen Betroffenen eingeholt werden. Ein weiterer Grund, warum Einwilligungen im Einzelfall als Lösung ausscheiden, ist die Verweigerungs- und Widerrufsmöglichkeit des Betroffenen. Wird z.B. in einem Ladengeschäft flächendeckend Videoüberwachung994 eingesetzt, ist fraglich, wie der Arbeitgeber die Einwil987 S. zur Einwilligung als Legitimation für die Verarbeitung von Arbeitnehmerdaten Gola, RDV 2001, 123. 988 Hingewiesen sei auf die Straf- und Bußgeldvorschriften in §§ 43, 44 BDSG. 989 Zu den Pflichten des Unternehmens im Hinblick auf die erforderlichen Einwilligungen für den Erwerb von Adress- und Kontaktdaten zu Werbezwecken s. LG Traunstein v. 20.5.2008 – 7 O 318/08, BeckRS 2008, 14267. 990 Die wohl h.M. geht davon aus, dass trotz Abhängigkeitsverhältnis die Einwilligung eines Arbeitsnehmers Legitimationswirkung haben kann, vgl. Gola, RDV 2002, 109 ff.; Lejeune, ITRB 2005, 94 (96). 991 VG Saarlouis v. 29.1.2016 – 1 K 1122/14, RDV 2016, 101, das auf BAG v. 11.12.2014 – 8 AZR 1010/13 und v. 19.2.2015 – 8 AZR 1011/13 verweist. 992 https://bigbrotherawards.de/2013/arbeitswelt-apple. 993 VG Saarlouis v. 29.1.2016 – 1 K 1122/14, RDV 2016, 101. 994 Einzelheiten zu der Zulässigkeit von Videoüberwachung s. Rz. 861 ff.
Conrad
211
815
A Rz. 816
Datenschutz und IT-Management
ligungsverweigerung oder den Widerruf eines Beschäftigten umsetzten will. Gesichtserkennungssoftware in der Kamera, die automatisch die Bilderfassung aussetzt, wenn der Arbeitnehmer, der nicht eingewilligt hat, in den Aufnahmebereich der Kamera kommt, dürfte im Ergebnis die Zulässigkeit der Maßnahme insgesamt in Frage stellen. Denn Smart Cameras mit Gesichtserkennung sind ein intensiverer Eingriff in die Persönlichkeitsrechte der Arbeitnehmer als herkömmliche Videobeobachtung. Die Datenschutzaufsichtsbehörden995 sehen als ein Kriterium für die Wirksamkeit der Einwilligung, dass die verantwortliche Stelle Maßnahmen bereithält, wie sie die Verweigerung oder den Widerruf einer Einwilligung umsetzt. U.U. ist eine solche Umsetzung nur möglich, wenn der Arbeitgeber insgesamt auf die geplante (Überwachungs-) Maßnahme verzichtet. Das dürfte im Regelfall einen gewissen Druck auf den Betroffenen ausüben, die Einwilligung doch abzugeben, was Zweifel an der Freiwilligkeit begründet. 816 Die Freiwilligkeit ist v.a. bei betrieblichen Überwachungsmaßnahmen fraglich und die Rspr. insoweit sehr uneinheitlich. Das VG Saarlouis996 hat festgestellt (Leitsätze 2 und 3): „Beschäftigte können in eine offene Videoüberwachung einwilligen. Bestehen Zweifel an der Freiwilligkeit der Einwilligung bzw. des Genügens der Hinweispflicht können diese durch die Einvernahme der Betroffenen geklärt werden.“ Im Zshg. mit präventivem Terrorlistenscreening zum Zwecke eines AEO-Zertifikats997 hat das FG Düsseldorf998 die LWiderruf von Einwilligungen umgeht und welche Auswirkungen das auf das AEO-Zertifikat hat. Der BFH999 hält Einwilligungen in diesem Fall für unproblematisch möglich. 817 Das LAG Rh.-Pf.1000 hat betont, dass eine pauschale Erklärung, mit der sich eine Arbeitnehmerin verpflichtet, eine betriebliche Richtlinie einzuhalten, die die private Nutzung von E-Mail und Internet am Arbeitsplatz untersagt, nicht als Einwilligung in die Kontrolle des dienstlichen elektronischen Kalenders zu verstehen ist. „Die Vorgaben zu Einwilligung nach § 4a Abs. 1 BDSG sehen vor, dass auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen ist.“ Durch die Einsichtnahme in den elektronischen Kalender war festgestellt worden, dass die Arbeitnehmerin auch private Einträge im Kalender hatte. Nach Ansicht des LAG war die Einsichtnahme in den elektronischen Kalender nicht verhältnismäßig i.S.d. § 32 Abs. 1 Satz 2 BDSG. Aufgrund der anzustellenden Güterabwägung ging das LAG jedoch von einer Verwertbarkeit der durch die Einsichtnahme in den Kalender gewonnenen Erkenntnisse im Kündigungsschutzprozess aus. Die Arbeitnehmerin hatte vorsätzlich gegen ihre Verpflichtung verstoßen, die abgeleistete, vom Arbeitgeber nur schwer zu kontrollierende Arbeitszeit korrekt zu dokumentieren. U.a. hatte die Arbeitnehmerin eine ganztägige Dienstreise eingetragen, hatte aber zeitweise bei den Bundesjugendspielen ihrer Tochter ausgeholfen. Die E. des LAG ist im Ergebnis arbeitgeberfreundlich, zeigt aber andererseits, dass Pauschaleinwilligungen von Beschäftigten nicht wirksam sind. „Das BAG (v. 11.12.2014 – 8 AZR 1010/13, ZD 2015, 330) hat in einer Entscheidung zur Veröffentlichung von Videoaufnahmen eines Arbeitnehmers eher beiläufig festgestellt, dass Einwilligungen nach § 4a BDSG auch im Arbeitsverhältnis sehr wohl den Umgang mit personenbezogenen Daten erlauben können. Sowohl die Aufsichtsbehörden als auch die herrschende Fachliteratur hatten bislang eine andere Auffassung vertreten. Nach § 4a Abs. 1 Satz 1 BDSG ist eine Einwilligung nur
995 Im Zshg. mit Videoüberwachung im Münchner Apple Store s. https://bigbrotherawards.de/2013/ar beitswelt-apple. Das ArbG Frankfurt/M. v. 8.11.2013 – 22 Ca 9428/12, ZD 2014, 633; rechtskräftigt) hat entschieden, dass Apple einem ehemaligen Mitarbeiter 3.500,– Euro Schmerzensgeld zahlen muss, weil die Videokamera im Hamburger Apple Store direkt auf seinen Arbeitsplatz (in den hinteren Räumen des Ladens) gerichtet war. 996 VG Saarlouis v. 29.1.2016 – 1 K 1122/14, RDV 2016, 101. 997 Zu Einzelheiten Rz. 752. 998 FG Düsseldorf v. 1.6.2011, ZD 2012, 297 m. Anm. Strauf. 999 BFH v. 19.6.2012 – VII R 43/11, ZD 2013, 129. 1000 LAG Rh.-Pf. v. 25.11.2014 – 8 Sa 363/14, ZD 2015, 488.
212
Conrad
Arbeitnehmerdatenschutz
Rz. 819
A
wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Gerade diese Freiwilligkeit sei aber im Arbeitsverhältnis grundsätzlich nicht gegeben. …“1001
Im Fall des BAG1002 ging es um die Nutzung eines Werbefilms, in dem der klagende Arbeit- 818 nehmer (neben weiteren Beschäftigten) kurz zu sehen war, für den Internetauftritt des Arbeitgebers. Durch Unterschrift auf einer Namensliste hatte der Kläger erklärt, dass Filmaufnahmen von seiner Person zur freien Nutzung i.R.d. Öffentlichkeitsarbeit des Arbeitgebers verwendet und ausgestrahlt werden dürfen. Nach Beendigung des Arbeitsverhältnisses ließ der Kläger seine „möglicherweise“ erteilte Einwilligung mit Anwaltsschreiben widerrufen und verlangte die Entfernung des Videos von der Homepage des Arbeitgebers. „Grundlage für den Anspruch des Kl. ist nicht § 35 Abs. 3 BDSG (Sperrung). Entgegen der Auffassung der Revision ist der Unterlassungsanspruch nicht nach dem BDSG zu beurteilen.“ Nach Ansicht des BAG gehen die Vorschriften des KunstUrhG vor, was das Verhältnis von BDSG zum KunstUrhG klärt. Das BAG sah eine nach § 22 KunstUrhG erforderliche Einwilligung als wirksam erteilt an. Die Einwilligung sei auch nicht auf die Dauer des Arbeitsverhältnisses beschränkt, was in der Praxis häufig streitig ist.1003 Allerdings bedeutet eine zeitlich nicht beschränkte Einwilligung nicht, dass sie unwiderruflich ist. „Allerdings deutet ein Umkehrschluss aus § 28 Abs. 3a Satz 1 a.E. BDSG darauf hin, dass eine einmal erteilte Einwilligung nicht generell ‚jederzeit mit Wirkung für die Zukunft widerrufen werden kann‘. Es ist wiederum i.R.d. gegenseitigen Rücksichtnahme auf die Interessen der anderen Seite, § 241 Abs. 2 BGB, eine Abwägung im Einzelfall vorzunehmen.“ Das BAG verlangt vom Betroffenen eine plausible Begründung für den Widerruf. Das BAG moniert, dass der Widerruf erst 3 Jahre nach der Einwilligung erfolgt ist und erst Monate nachdem das Arbeitsverhältnis beendet wurde. Ob diese Erwägungen auf den Widerruf von Datenschutzeinwilligungen im Allgemeinen übertragen werden können, ist fraglich.1004 Im Regelfall handelt es sich um formularmäßige Einwilligungserklärungen.1005 Die Anfor- 819 derungen daran sind im Hinblick auf die erforderliche Transparenz besonders hoch.1006 Nach Ansicht des Düsseldorfer Kreises1007 ist in Fällen, in denen das Unternehmen Daten aufgrund eines gesetzlichen Erlaubnistatbestandes (etwa Zweckbestimmung des Vertragsverhältnisses mit dem Kunden, § 28 Abs. 1 Nr. 1 BDSG) erhebt, verarbeitet oder nutzt, irreführend, wenn das Unternehmen versucht, diesen Umgang mit personenbezogenen Daten auf eine Einwilligung des Betroffenen zu stützen.1008 Durch die Bitte um Einwilligung gewinnt der Betroffene den Eindruck, er habe eine echte Wahl und könne seine Einwilligung zu einem späteren Zeitpunkt widerrufen. Darf jedoch das Unternehmen bereits aufgrund ge-
1001 Wybitul, ZD 2015, 453 (454). 1002 BAG v. 11.12.2014 – 8 AZR 1010/13, NZA 2015, 604 hat auch Einwilligung nach KunstUrhG und BDSG „harmonisiert“, Rz. 24 ff. 1003 Der Düsseldorfer Kreis (Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für Werbezwecke, S. 5 f.) geht davon aus, dass eine Werbeeinwilligung 2 Jahre nach dem letzten geschäftlichen Kontakt ihre Gültigkeit verliert. Conrad, in: Auer-Reinsdorff/Conrad, § 34 Rz. 418 m.w.N. zur Gültigkeitsdauer von Einwilligungen i.S.v. § 7 UWG und Rspr. dazu. 1004 Rz. 870. 1005 Zwar nicht im Zshg. mit Einwilligungen ergangen, aber interessant hins. §§ 307, 310 BGB: BAG v. 23.8.2012 – 8 AZR 804/11, NZA 2013, 268 zur Unwirksamkeit einer Vereinbarung, wonach der Arbeitnehmer verpflichtet ist, seine Steuererklärung durch den Steuerberater des Arbeitgebers zu erstellen. 1006 Ayad/Schafft, BB 2002, 1711 ff.; s.a. sogleich zu BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback – mit Zitat der Klausel. 1007 Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen (privaten) Bereich haben sich nach dem Ort ihres ersten Zusammentreffens im Jahr 1977 als „Düsseldorfer Kreis“ benannt. Die wichtigsten Ergebnisse ihrer Treffen werden in Beschlüssen bekannt gemacht. 1008 S. im Zshg. mit Einwilligung von Mitarbeitern zum konzerninternen Datenaustausch: Regierungspräsidium Darmstadt, Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzern-interner Datentransfer“, S. 11; dieser Ansicht ist auch die Art.-29-Gruppe, Stellungnahme 8/2001.
Conrad
213
A Rz. 820
Datenschutz und IT-Management
setzlicher Erlaubnis die Daten des Betroffenen verarbeiten und nutzen, wäre ein Widerruf des Betroffenen wirkungslos, denn das Unternehmen dürfte auch nach Widerruf bzw. ohne Einwilligung mit den Daten operieren. Eine irreführende Einwilligung ist jedoch mangels Transparenz für den Betroffenen bereits nach AGB-rechtlichen Grundsätzen unwirksam (§ 307 Abs. 1 BGB).1009 820 Nach anderer Ansicht1010 ist eine Einwilligung, die auch Bereiche umfasst, die gesetzlich erlaubt sind, zwar nicht unwirksam. Denn der verantwortlichen Stelle darf es nicht verwehrt werden, durch Einholung der Einwilligung Rechtssicherheit zu gewinnen.1011 Macht aber die verantwortliche Stelle von dieser Möglichkeit Gebrauch, muss sie sich daran festhalten lassen. Wenn der Betroffene die Einwilligung verweigert oder widerruft, darf die verantwortliche Stelle nicht auf die entsprechenden gesetzlichen Erlaubnistatbestände zurückgreifen. Der BFH,1012 der im oben erwähnten Fall des AEO-Zertifikats.1013 § 32 Abs. 1 Satz 1 BDSG als Erlaubnis zum Zwecke von Terrorlistenscreenings als unproblematisch erfüllt ansieht, führt aus: „Falls die Klägerin [Arbeitgeberin] weiterhin Bedenken hat, ob der Vergleich der Stammdaten ihrer Beschäftigten mit den Listen der VO Nr. 2580/2001 und VO Nr. 881/2002 gemäß § 32 Abs. 1 Satz 1 BDSG zulässig ist, kann sie eine entsprechende Einwilligung der betroffenen Beschäftigten einholen, durch die datenschutzrechtliche Bedenken jedenfalls ausgeräumt werden (§ 4 Abs. 1 BDSG).“ 821 Um die Einwilligungserklärung rechtssicher zu gestalten ist abzugrenzen, ob die geplante Datenerhebung, -verarbeitung und -nutzung a) bereits aufgrund Gesetz oder Betriebsvereinbarung erlaubt ist, sodass eine Bitte um Einwilligung irreführend wäre; b) per se im Arbeitsverhältnis unzulässig ist, etwa wegen eines schweren Eingriffs in das Persönlichkeitsrecht der Arbeitnehmer, sodass eine Einwilligungserklärung – mangels Freiwilligkeit – nicht wirksam gestaltet werden kann. 822 Schon wegen der Gefahr der Irreführung (a) sind sehr generalisierende Formulierungen in Einwilligungen riskant. Es empfiehlt sich, im Text der Einwilligung gestalterisch reine „Information“ und tatsächliche Einwilligungstatbestände zu trennen. Ein Problem – das allerdings im Arbeitsverhältnis nur für Teilbereiche relevant ist1014 – ist der Umstand, dass bei datenschutzrechtlichen Einwilligungen zwischen – aufgrund BDSG1015 oder – TMG1016 oder – TKG1017 1009 Das Verlangen einer pauschalen Einwilligungserklärung, die auch die Bereiche umfasst, die ohnehin erlaubt sind, kann unter dem Gesichtspunkt des Werbens mit Selbstverständlichkeiten wettbewerbswidrig sein. 1010 Wolff/Brink/Bäcker, BeckOK Datenschutzrecht, 16. Edition, Stand: 1.5.2016, § 4 Rz. 20. 1011 Damit erteilt Bäcker der gesetzlichen Regelung ein Armutszeugnis. Denn offensichtlich ist die gesetzliche Regelung so unklar, dass nur eine Einwilligung Klarheit über die Reichweite von Erlaubnistatbeständen schafft; ähnlich Buchner, DuD 2010, 39 (40). 1012 BFH v. 19.6.2012 – VII R 43/11, ZD 2013, 129. 1013 Zu Einzelheiten Rz. 752. 1014 Etwa bei erlaubter privater Nutzung vom E-Mail, Internet und Telefon am Arbeitsplatz, dazu s. Rz. 877 ff. Zu den Anforderungen des TMG an die Einwilligung s. Rz. 191 f., 1284 f. 1015 Insb. etwa § 28 Abs. 1 Satz 1 Nr. 1 BDSG (Datenverarbeitung aufgrund der Zweckbestimmung eines Vertrages mit dem Betroffenen) und § 28 Abs. 3 Nr. 3 BDSG (sog. „Listenprivileg“ zu Werbezwecken und Marktforschung). 1016 § 15 Abs. 4 und Abs. 5 TMG (Verarbeitung von Nutzungsdaten für Abrechnungszwecke). 1017 Z.B. § 95 TKG (Verarbeitung von Bestandsdaten) und § 97 TKG (Verarbeitung von Verkehrsdaten für Abrechnungszwecke).
214
Conrad
Arbeitnehmerdatenschutz
Rz. 825
A
erlaubter Datenverarbeitung1018 zu differenzieren ist. Das betrifft auch die Frage, für welche Tatbestände statt Einwilligung eine Widerspruchslösung bzw. opt-out ausreichend ist. Gerade im anglo-amerikanischen Rechtskreis wird häufig die Auffassung vertreten, eine opt-outLösung (etwa eine elektronische Einwilligung, bei der das Zustimmungs-„Häkchen“ bereits voreingestellt gesetzt ist) bzw. eine Widerspruchsmöglichkeit des Betroffenen per se als Einwilligung ausreichend sei. Dem ist nicht zuzustimmen. Opt-out ist keine Einwilligung, denn Opt-out ist Schweigen bzw. Fiktion einer Zustimmung, denn Schweigen hat im Rechtsverkehr grds. nicht die Bedeutung einer Zustimmung.1019 Es ist also zumindest das aktive Ankreuzen/Anklicken eines Ja-Kästchens durch den Betroffenen erforderlich. Des Weiteren enthalten § 4a BDSG, § 13 TMG und § 94 TKG jeweils unterschiedliche Anforderungen und Hinweispflichten in Bezug auf die Gestaltung der Einwilligungserklärung. Nach § 13 Abs. 3 Satz 1 TMG muss der Betroffene vor Abgabe der Einwilligung ausdrücklich auf sein Recht, die Einwilligung jederzeit wirksam zu widerrufen, hingewiesen werden. Das BDSG sieht nach seinem Wortlaut diesen ausdrücklichen Hinweis nicht vor.
823
Fraglich ist, ob die datenschutzrechtliche Einwilligung z.B. an eine Nutzungserlaubnis für 824 den Mitarbeiter gekoppelt werden darf, beispielsweise indem die Überlassung einer Konzern-Firmenkreditkarte davon abhängig gemacht wird, dass der Mitarbeiter in die Übermittlung seiner Kreditscoring-Daten an die Konzernmutter und Betreiberin des Firmenkreditkartenprogramms einwilligt.1020 Nach § 12 Abs. 3 TMG ist es dem Dienstanbieter untersagt, die Bereitstellung von Telemedien von der datenschutzrechtlichen Einwilligung des Nutzers abhängig zu machen, wenn dem Nutzer ein anderer Zugang zu dem jeweiligen Dienst nicht oder nicht zumutbar möglich ist. Dagegen heißt es in § 4a Abs. 1 Satz 2 BDSG lediglich, dass der Betroffene, „soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung hinzuweisen“ ist. Ist die Verweigerung der Einwilligung mit Nachteilen verbunden, ist die Freiwilligkeit der Einwilligung regelmäßig fraglich, es sei denn, dem Betroffenen stehen adäquate Alternativen zur Verfügung. Dies wird in Kundenverhältnissen eher möglich sein als im Arbeitsverhältnis.1021 Allerdings ist denkbar, dass Koppelungen in einem gewissen eingeschränkten Umfang zulässig sind, soweit es um eine (auch) private Nutzung von betrieblichen Ressourcen geht, etwa um die private Nutzung einer Firmenkreditkarte. Denn insoweit steht es dem Arbeitnehmer im Regelfall offen, statt des Arbeitgebers einen Drittanbieter zu wählen. Allerdings kann er dann die entsprechende Leistung u.U. nicht während der Arbeitszeit nutzen. Die Einwilligung i.S.v. § 4 Abs. 1, § 4a Abs. 1 Satz 3 BDSG ist grds. schriftlich einzuho- 825 len.1022 Nach § 4a Abs. 1 Satz 4 BDSG ist die datenschutzrechtliche Einwilligung „besonders hervorzuheben“, wenn sie zusammen mit anderen Erklärungen schriftlich erteilt wird. Zur besonderen Hervorhebung wird üblicherweise entweder eine deutlich unterscheidbare Schrifttype (etwa Fettdruck) verwendet oder eine gesonderte Unterschrift unter den Einwilligungstext. Zwei getrennte Dokumente sind nach dem Wortlaut des § 4a Abs. 1 Satz 4 BDSG nicht erforderlich, können jedoch – gerade bei längeren AGB-Texten – zweckmäßig sein, um die „besondere Hervorhebung“ sicherzustellen.
1018 Zusätzlich ist jeweils die Zulässigkeit der auf der Verwendung der Daten beruhenden Handlung, insb. Werbung, etwa per SMS oder E-Mail, zu prüfen; s. BGH v. 16.7.2008 – VIII ZR 348/06, und dazu Rz. 831. 1019 Eine Ausnahme davon bildet nur das Schweigen auf ein kaufmännisches Bestätigungsschreiben. 1020 Zu datenschutzrechtlichen Fragen bei Firmenkreditkarten s. Rz. 906 ff. 1021 Im Kundenverhältnis ist das sog. Kopplungsverbot v.a. für „Monopolisten“ (S. Rz. 832) relevant. Im Falle des OLG Bdb. (v. 11.1.2006 – 7 U 52/05, K&R 2006, 234 f.) hatte das Internetauktionshaus einen Anteil am relevanten Markt von 76 %. Gleichwohl sah das Gericht eine § 12 Abs. 3 TMG (bzw. § 3 Abs. 4 TDDSG) auslösende Monopolstellung als nicht gegeben an. 1022 Zu den formellen Voraussetzungen der Einwilligung nach der DS-GVO s. Rz. 540; Krohm, ZD 2016, 368; Plath, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2016, Art. 7 DS-GVO Rz. 6.
Conrad
215
A Rz. 826
Datenschutz und IT-Management
826 Die Einwilligung nach TMG (§ 13 Abs. 2) kann unter erleichterten Bedingungen auch elektronisch gegeben werden. Grds. greift nur dann die Erleichterung des § 13 Abs. 2 TMG, nämlich elektronische Form, wenn die Daten nur für einen bestimmten Telemediendienst erhoben werden, etwa i.R.d. erlaubten privaten Internetnutzung am Arbeitsplatz (s. Rz. 877 ff.). Nach der E. „Haushaltsumfrage“ des OLG Frankfurt1023 soll das Schriftformerfordernis für die Einwilligung lediglich Ordnungsvorschrift sein mit der Folge, dass ein Verstoß dagegen nicht zur Nichtigkeit und Unwirksamkeit der Einwilligung führt. Art. 2 lit. h RL 95/46/EG, in deren Lichte auch die deutsche Regelung auszulegen ist, legt per definitionem nahe, dass die Einwilligung schon „ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage“ erfolgen muss. Es ist also eine bewusste Willensbekundung des Betroffenen ohne Zweifel erforderlich, was nicht unbedingt Schriftform heißt. Schafft/Ruoff weisen in diesem Zshg. darauf hin, dass das OLG Frankfurt in seiner E. zur Haushaltsumfrage die grundsätzliche Verfügungsbefugnis des Einzelnen über „seine“ Daten festgestellt hat.1024 Zwar ist vom Recht des Einzelnen auf informationelle Selbstbestimmung auszugehen. Jedoch sind zudem die zu dessen Schutz aufgestellten Regeln zu beachten. Dazu gehört, dass hohe Anforderungen an die Einwilligung gestellt werden, wenn der Einzelne sich der Zweckbindung für seine Daten begibt. Deshalb begegnet die E. des OLG Frankfurt Bedenken, auch wenn sie i.R.d. UWG erging. Allerdings ist auch richtig, dass der BGH die Revision gegen das Urteil nicht angenommen hat.1025 827 Hier wird vertreten, dass der eigentliche Kernpunkt die Frage ist, ob die, auch von der RL 95/46/EG so vorgegebenen, konstitutiven Merkmale einer aufgeklärten Willenserklärung/ Einwilligung gegeben sind, die lauten: – Freiwilligkeit, d.h. ohne Zwang, im Regelfall daher Kopplungsverbot – für den konkreten Fall und – in Kenntnis der Sachlage, – grds. Schriftform, es sei denn, es liegt ein Fall des § 13 Abs. 2 TMG vor oder wegen besonderer Umstände ist keine Schriftform möglich.1026 828 Damit eine Einwilligung wirksam ist, müssen diese Kriterien kumulativ vorliegen. Das Kriterium „für den konkreten Fall“ ist von besonderer Bedeutung, wenn der Kunde/Nutzer in ein sehr komplexes System von Reaktionen mit Verzweigungen einwilligen soll, die er i.d.R. überhaupt nicht überblickt. Es fehlt dann am „informed consent“ und damit an einem konstitutiven Merkmal der Einwilligung. Die Gefahr, dass das Merkmal „konkreter Fall“ weit überschritten wird, besteht v.a. dann, wenn die Reaktionen/Auswirkungen weit über die konkrete Situation und den Dialog im Moment hinausgehen und die Wirkungen für die Zukunft nicht erkennbar sind. 829 Im Betrieb ist eine umfassende Aufklärung der betroffenen Mitarbeiter möglicherweise aus „politischen“ Gründen nicht gewollt. Häufig besteht Unklarheit, welchen Umfang und Detaillierungsgrad die Einwilligungserklärung aufweisen muss, damit sie zwar umfassend genug aber gleichzeitig „allgemein verständlich“ ist. Eine in alle Einzelheiten gehende Darstellung der Techniken und Geschäftsprozesse, die über mehr als ca. zwei Seiten geht, verfehlt im Regelfall ihren Informationszweck, weil sie der Verständnismöglichkeit und Auffassungsbereitschaft des durchschnittlichen, juristisch nicht vorgebildeten Betroffenen nicht mehr gerecht wird. Dem Informationsbedürfnis wird eine zusammenfassende, aber
1023 OLG Frankfurt v. 13.10.2000 – 13 U 204/98, CR 2001, 294. 1024 Schafft/Ruoff, CR 2006, 499. 1025 OLG Frankfurt v. 13.12.2000 – 13 U 204/98, CR 2001, 294; BGH v. 15.11.2001 – I ZR 47/01, ITRB 2002, 73. 1026 Allerdings sind im Hinblick auf die Schriftform einige Datenschutzbehörden großzügig.
216
Conrad
Arbeitnehmerdatenschutz
Rz. 832
A
gleichwohl datenschutzrechtlich präzise Darstellung gerecht. Dies bedeutet konkret für die Gestaltung der Einwilligungserklärung: Abschließend aufgezählt werden sollten die erhobenen Datenkategorien des Nutzers, die Identität der Datenempfänger, an die personenbezogene Daten übermittelt werden (z.B. verbundene Unternehmen oder outgesourcte Abteilungen) und die Nutzungszwecke des Arbeitgebers und ggf. der anderen Datenempfänger.
830
Bei den Verarbeitungsphasen und Techniken ist dagegen ein Konzentrieren auf die wesentlichen Aspekte zweckmäßig. Werden besondere Arten von personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG erhoben (also z.B. Gesundheitsdaten des Arbeitnehmers), ist auf deren Verarbeitung und Nutzung besonders sorgfältig und ausdrücklich einzugehen (§ 4a Abs. 3 BDSG). Allenfalls eine knappe Information zur Abgrenzung kann bzgl. der Bereiche der Datenerhebung und -verwendung zweckmäßig sein, die für die verantwortliche Stelle bereits aufgrund gesetzlicher Erlaubnis gestattet sind. Auch bei der datenschutzrechtlichen Einwilligung gibt es eine Überlagerung mit den Prinzipien eines anderen Rechtsgebietes. Dies spielt z.B. im Verhältnis zu Geschäftsgeheimnis, Berufsgeheimnis oder Bankgeheimnis eine Rolle. Es ist durchaus denkbar ist, dass die datenschutzrechtlichen Anforderungen im konkreten Fall, insb. etwa eine Einwilligung, erfüllt sind, nicht jedoch die Anforderungen aus dem weiteren, zu beachtenden Rechtsrahmen. Konkret hat der BGH1027 dies etwa für die Einwilligung in Werbung entschieden. Die konkrete Einwilligungsklausel war datenschutzrechtlich nicht beanstandet worden, jedoch unter Aspekten des UWG, unverlangte Werbung, soweit es um die Werbung durch E-Mail oder SMS ging. Die fragliche Klausel lautete:
831
„Einwilligung in Werbung und Marktforschung Mit meiner Unterschrift erkläre ich mich einverstanden, dass die von mir oben angegebenen Daten sowie die Rabattdaten (Waren/Dienstleistungen, Preis, Rabattbetrag, Ort und Datum des Vorgangs) für an mich gerichtete Werbung (z.B. Information über Sonderangebote, Rabattaktionen) per Post und mittels ggf. von mir beantragter Services (SMS oder E-Mail-Newsletter) sowie zu Zwecken der Marktforschung ausschließlich von der L. Partner GmbH und den Partner-Unternehmen gem. Nr. 2 der beiliegenden Hinweise zum Datenschutz gespeichert und genutzt werden. …“ „Hier ankreuzen, falls die Einwilligung nicht erteilt wird. …“
Der BGH hat nicht beanstandet, dass die Einwilligung nicht gesondert zu unterzeichnen war. Auch hat er nicht verlangt, dass für die Erteilung der Einwilligung ein vorzusehendes Kästchen gesondert anzukreuzen sei. Das eigentliche Problem war also nicht die datenschutzrechtliche Konformität, sondern § 7 Abs. 2 Nr. 3 UWG. Dieser betrifft die Werbung unter Verwendung elektronischer Post, hier E-Mail und SMS. Wenn keine Einwilligung des Adressaten vorliegt, stellt diese Werbung eine unzumutbare Belästigung dar. Im konkreten Fall war anzukreuzen, falls der Adressat die Einwilligung nicht erteilen will. Diese „Opt-out“-Möglichkeit ist mit § 7 Abs. 2 Nr. 3 UWG „nicht vereinbar“.1028 Die Notwendigkeit einer gesonderten Erklärung insoweit, also „Optin“ resultiert aus der EG-Datenschutz-RL für elektronische Kommunikation (2002/58/EG), die in Deutschland mit § 7 UWG umgesetzt wurde. Das OLG Bdb. hat in einem Urteil vom 11.1.20061029 zum alten TDDSG (aber auf die 832 Rechtslage nach TMG übertragbar) entschieden, dass eine Darstellung der Datenschutzerklärung in einem fünf Zeilen großen Popup-Fenster, das Scrollen erfordert, den daten1027 BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback. 1028 BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback. 1029 OLG Bdb. v. 11.1.2006 – 7 U 52/05, K&R 2006, 234 f.
Conrad
217
A Rz. 833
Datenschutz und IT-Management
schutzrechtlichen Anforderungen (nach damals § 4 Abs. 1 TDDSG) genügt, wenn zusätzlich die Möglichkeit besteht, die Erklärung auszudrucken. Das beklagte Internetauktionshaus hatte (vermutlich in dem Popup mit der Datenschutzerklärung) mehrere Einwilligungserklärungen vorgesehen, bei denen der Kunde jeweils ein einfaches Häkchen in eine Checkbox setzen konnte. Hatte der Kunde das Häkchen gesetzt, wurde ein weiteres Schaltfeld eingeblendet mit dem Text „Ich akzeptiere und willige ein“. Dies sollte der Kunde erneut durch Häkchen bestätigen. Nach Ansicht des Gerichts war diese wiederholende Bestätigung durch aktives Tun des Kunden ausreichend, den Anforderungen des § 4 Abs. 2 Nr. 1 TDDSG (nach neuer Rechtslage § 13 Abs. 2 Nr. 1 TMG) an eine „bewusste und eindeutige“ Erklärung zu genügen. Der Text dieser Einwilligungserklärungen lautete: „Ich willige ein, dass e. meine personenbezogenen Daten für e.-Marketing-Maßnahmen wie z.B. zur Versendung von E-Mails mit allgemeinen Informationen oder werbendem Charakter (Newsletter) verarbeitet und nutzt.“
Eine weitere Einwilligungserklärung besagte: „Ich bin damit einverstanden, dass e. meine personenbezogenen Daten auch verarbeitet und nutzt, um mir auf persönliche Interessen zugeschnittene Angebote in ‚mein e.‘ zu präsentieren.“
833 Wenn diese Erklärungen in unmittelbarem Zshg. mit der Datenschutzerklärung stehen, in der die Datenkategorien genannt werden, dürfte der Text insoweit hinreichend präzise sein, auch wenn beispielhafte Aufzählungen in Einwilligungserklärungen („… wie z.B. …“) vermieden werden sollten. 11. Einzelne technische Kontroll- und Sicherheitseinrichtungen im Betrieb 11.1 Planungs-, Skilldatenbanken 834 International bzw. global orientierte Unternehmen, aber auch große national operierende Unternehmen planen Einsatz, Beförderung und Weiterbildung ihrer Mitarbeiter teils automatisiert und unternehmensübergreifend. Dazu dienen Planungsfunktionen der HR-Systeme i.V.m. Daten aus der Personaldatenbank. Grds. ist allerdings die Erhebung von Daten für Planungszwecke im Rahmen einer Datenbevorratung ohne Rückbindung an das bestehende Arbeitsverhältnis und bei Verknüpfung mit der weiteren Beschäftigung nur mit Einwilligung des Betroffenen erlaubt.1030 835 Diese Rückbindung und Verknüpfung ist bei konkreter Personalplanung zwar gegeben und macht die entsprechende Datenverarbeitung zulässig, kann aber zugunsten bloßer Bevorratung verloren gehen bzw. fehlen, sodass sie unzulässig würde.1031 Zudem ist Personalplanung mitbestimmungspflichtig gem. § 92 Abs. 1 BetrVG (Beratungspflicht; s. Rz. 779). 836 Der notwendige Bezug zum Arbeitsverhältnis fehlt u.U. bei sog. Skilldatenbanken1032 bzw. bei der Erhebung von Daten zu Eigenschaften, die nicht auf das Arbeitsverhältnis bezogen sind und etwa den konzernweiten Einsatz planen helfen, ohne dass arbeitsvertraglich ein entsprechender Einsatz vereinbart wäre. Dies ist besonders kritisch, wenn Daten für Skilldatenbanken mittels psychologischer Testverfahren erhoben werden. 11.2 Fragebögen, psychologische Testverfahren 837 Immer häufiger kommt es vor, dass im Unternehmen nicht nur i.R.v. Assessment Centers bei Bewerbungen, sondern auch während des Arbeitsverhältnisses über die üblichen Per1030 S. Seifert, in: Simitis, BDSG, 8. Aufl. 2014, § 32 Rz. 57 f. m.w.N. 1031 S.a. Seifert, in: Simitis, BDSG, 8. Aufl. 2014, § 32 Rz. 57 f. m.w.N. 1032 Zu Skilldatenbanken s. Wächter, jur-pc Dok. 89/2007.
218
Conrad
Arbeitnehmerdatenschutz
Rz. 842
A
sonalfragebögen hinausgehend umfassende Fragebögen zur Analyse des Persönlichkeitstyps des Arbeitnehmers eingesetzt werden. Dem Mitarbeiter wird vermittelt, dass je offener er antwortet, desto klarer das Bild ist, das er selbst von seinen eigenen Stärken bekommt. Auch sog. 360-Grad-Reviews, bei denen nicht nur jeder einzelne Mitarbeiter für sich selbst Fragebögen ausfüllt, sondern auch seine Kollegen, Vorgesetzten, Untergebenen, sind in der Praxis im Einsatz. Teilweise erfolgen solche Umfragen anonym, etwa indem eine entsprechende Plattform im Intranet des Unternehmens dafür genutzt wird. Die Personalabteilung bzw. Personalentwicklungsabteilung interessierte sich dann v.a. da- 838 für, ob die „Probanden“ bei geselligen Anlässen möglichst viele Leute kennen lernen wollen oder sich lieber auf einige Bekannte konzentrieren. Beispielsweise wird abgefragt, ob die Probanden, was ihren Kollegen-/Bekanntenkreis betrifft, eher auf dem Laufenden sind oder nicht. Auch für die Auffassung zur perfekten Beziehung interessierten sich die Personalentwickler oder dafür, ob sich der Mitarbeiter nach einem Kauf wohler fühle oder aber, wenn der Kauf noch bevorstehe. So sollten die Probanden angeben, ob sie es bevorzugen, dass in einer Beziehung die meisten Angelegenheiten klar geregelt sind oder sie eher den Umständen entsprechend behandelt werden sollten. Die Verarbeitung personenbezogener Daten im Arbeitsverhältnis, also innerhalb eines Ver- 839 tragsverhältnisses, ist nur unter den Voraussetzungen des § 28 Abs. 1 Nr. 1 BDSG zulässig (bei sensitiven Daten § 28 Abs. 6 Nr. 3 BDSG). Danach muss die konkrete Datenverarbeitung erforderlich sein, um den Zweck des Arbeitsverhältnisses zu erfüllen. Fragen/Tests zu persönlichen Vorlieben und Ansichten zur Kindererziehung oder zur perfekten Partnerschaft überschreiten regelmäßig die Zweckbestimmung des Arbeitsverhältnisses und sind somit unzulässig. Die Personalabteilung hat insoweit die Privatsphäre der Belegschaft zu respektieren. Ob für Fragen zu den privaten Verhältnissen des Mitarbeiters, die das Arbeitsverhältnis nicht unmittelbar berühren, Einwilligungen und Betriebsvereinbarungen wirksam gestaltet werden können, ist sehr zweifelhaft und wohl eher zu verneinen. Bei der Einwilligung wäre die Freiwilligkeit sehr zweifelhaft. Bei einer Betriebsvereinbarung würde die umfangreiche Rspr. zum Fragerecht des Arbeitgebers entgegenstehen.1033 Hinsichtlich der Zulässigkeit kommt es aber in vielen Fällen trotz schematischer Handhabung auf den Einzelfall an. So kann z.B. die Frage nicht pauschal beantwortet werden, ob es zulässig ist, Fragebögen von Bewerbern bzw. deren Inhalte einzuspeichern und auf Vorrat zu behalten, nicht zuletzt deshalb, weil auch abgewiesene Bewerber wieder erneut Bewerbungen einreichen.
840
Hierbei ist zunächst einmal zu beachten, dass bei Einführung und Verwendung von Fragebögen nach § 94 BetrVG der Betriebsrat ein Mitbestimmungsrecht hat.1034
841
Auch die Verwendung sog. standardisierter Checklisten, deren Inhalte aus formularmäßigen 842 Übersichten oder Zusammenstellungen gewonnen werden, unterliegt dieser Mitbestimmung.1035
1033 Vgl. statt vieler BAG v. 18.1.2000 – 9 AZR 932/98 zu Mitteilungs-/Offenbarungspflichten bei bestehendem Arbeitsverhältnis (vorzeitiges Ende einer Schwangerschaft); BAG v. 8.6.1999 – 1 ABR 28/97, RDV 2000, 23 zur Unterrichtung des Betriebsrats über Ergebnisse einer Mitarbeiterumfrage. 1034 S. dazu Ehrich, DB 2000, 421 m.w.N.; zur Notwendigkeit der Zustimmung des Personalrats s. BAG v. 2.12.1999 – 2 AZR 724/98, DB 2000, 1418 (Entlassungsbefugnis auch bei nicht vorliegender Zustimmung des Personalrats zum Personalfragebogen, wenn eine in dem Fragebogen individualrechtlich zulässigerweise gestellte Frage wahrheitswidrig beantwortet wurde). BAG v. 14.12.2004 – 1 ABR 55/03, DB 2005, 1524 zu Bewerbungsunterlagen: Vorlagepflicht gegenüber dem Betriebsrat erfasst auch Personalfragebögen und anlässlich der Bewerbungsgespräche erstellte Testergebnisse – kein Lauf der Zustimmungsfrist bei offensichtlich unvollständiger Unterrichtung. 1035 S. Ehrich, DB 2000, 421 unter Hinweis auf BAG v. 21.9.1993 – 1 ABR 28/93, DB 1994, 480.
Conrad
219
A Rz. 843
Datenschutz und IT-Management
843 Sodann hat der abgewiesene Bewerber ein Beseitigungsrecht bzw. ein Recht auf Vernichtung des Fragebogens, auch wenn die Daten nicht unter das Datenschutzgesetz fallen sollten, weil sie nicht dateimäßig verarbeitet werden.1036 844 Aus heutiger Sicht hätte wohl der abgewiesene Bewerber auch nach Auffassung anderer Gerichte, zuständig für freie Mitarbeiter oder Handelsvertreter, einen Anspruch auf Vernichtung, und zwar aus dem Recht auf informationelle Selbstbestimmung. 845 Fragebögen sind unschwer als „Beschaffen von Daten über den Betroffenen“ (§ 3 Abs. 3 BDSG) zu qualifizieren. Ist die Erhebung unzulässig, bleibt die Verarbeitung verboten. Dies bedeutete, dass dann, wenn Daten etwa aufgrund widerrechtlicher Fragestellungen erhoben worden waren, ihre weitere Verarbeitung unzulässig war.1037 Die DS-RL besagt in Art. 6a i.R.d. „Grundsätze in Bezug auf die Qualität der Daten“ (Abschnitt I), dass Daten „nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden“.1038 Die DS-GVO hat diese Regelung teilweise übernommen: Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) (Art. 5 Abs. 1 a DS-GVO). Diesen Prinzipien würde eine weitere Verarbeitung der Antworten zu unzulässigen Fragen widersprechen, sodass es bei diesem Ergebnis auch weiterhin bleiben wird. 846 Grenzen des Fragerechts1039 bestimmen sich nach den allgemeinen Regeln und insoweit nach dem Recht auf informationelle Selbstbestimmung und dem allgemeinen Persönlichkeitsrecht. Der Arbeitgeber hat ein Fragerecht insoweit, als sein berechtigtes, billigenswertes und schutzwürdiges Interesse an der Beantwortung der Fragen jeweils für das konkrete Arbeitsverhältnis reicht.1040 Praktisch heißt dies, dass dann, wenn in Fragebögen über Identifikations- und Abrechnungsdaten hinaus Daten erfragt werden, die Zulässigkeit der weiteren Datenverarbeitung davon abhängt, ob der Arbeitnehmer verpflichtet war, diese Frage (richtig) zu beantworten.1041 847 Dies hängt bei einer Reihe von möglichen Fragestellungen von der in Aussicht genommenen Stelle und deren Beschreibung ab. Es gibt jedoch auch Fragen, die generell unzulässig, sind. So ist z.B. die Frage nach der Schwangerschaft vor der Einstellung grds. unzulässig und zwar gleichgültig, ob sich nur Frauen oder auch Männer auf den Arbeitsplatz beworben haben. Andererseits ist eine behördliche Auflage mit entsprechendem Verbot, „in der Regel nicht vor Abschluss des Arbeitsvertrages nach dem Bestehen einer Schwangerschaft zu fragen“, mangels Bestimmtheit der Kriterien rechtswidrig.1042 Eine Ausnahme gilt für den Fall, dass Mutter und Kind am zukünftigen Arbeitsplatz objektiv Gefahren drohen.1043 848 Eine weitere Ausnahme „neigte“ der 2. Senat des BAG vorzunehmen und eine Anfechtung durchgreifen zu lassen, wenn das eingegangene Arbeitsverhältnis überhaupt nicht realisiert werden kann oder darf, z.B. als Mannequin oder Tänzerin.1044 Im Rahmen einer Rspr.-Änderung kam das BAG tatsächlich zur gegenteiligen Auffassung: Die Schwangerschaftsfrage ist 1036 BAG v. 6.6.1984 – 5 AZR 286/81, NJW 1984, 2910; das BDSG ist inzwischen noch wesentlich geändert worden. Der Begriff der Datei ist wesentlich weiter. S.a. Rz. 124, 129. 1037 S. früher schon BAG v. 22.10.1986 – 5 AZR 660/85, DB 1987, 1048. 1038 Zur EU-RL s. Rz. 44 ff. 1039 S. dazu Ehrich, DB 2000, 421. 1040 S. dazu Ehrich, DB 2000, 421; z.B. BAG v. 20.5.1999 – 2 AZR 320/98, DB 1999, 1859. 1041 Zur Definition des Fragebogens: OVG Berlin v. 31.3.1992 – PV Bln 15.89, CR 1994, 37 (im Zshg. mit Fragen, die lediglich zum Zwecke der Besoldung abgefragt werden): entscheidend ist nicht der Inhalt, sondern der Zweck (m.w.N. der Rspr. des BVerwG); Ehrich, DB 2000, 421; zum Fragerecht nach Einstellung s. BAG v. 7.9.1995 – 8 AZR 828/93, RDV 1996, 86. 1042 BSG v. 6.4.2000 – B 11/7 AL 10/99 R, RDV 2000, 222. 1043 BAG v. 1.7.1993 – 2 AZR 25/93, DB 1993, 1371 m. Anm. Ehrich, DB 1993, 1379. 1044 BAG v. 15.10.1992 – 2 AZR 227/92, DB 1993, 435 m. Anm. Ehrich, DB 1993, 431 m.w.N.
220
Conrad
Arbeitnehmerdatenschutz
A
Rz. 852
auch dann regelmäßig unzulässig, wenn für die Arbeitnehmerin von Anfang an zeitweilig ein gesetzliches Beschäftigungsverbot eingreift.1045 Zwar muss ein Schwerbehinderter nicht von sich aus über seine bestehende Behinderung 849 aufklären. Der Arbeitgeber ist jedoch berechtigt, danach zu fragen und der Arbeitnehmer muss wahrheitsgemäß antworten. Dies gilt jedenfalls auch,1046 wenn die Schwerbehinderung für die auszuübende Tätigkeit von Bedeutung ist.1047 Wirkung für die Benachrichtigung (s. Rz. 356 ff.): Wenn ein Arbeitnehmer bei Vertragsunter- 850 zeichnung auch den Fragebogen mit in den Personalunterlagen gesehen hat, den er zuvor bei seiner Bewerbung eingereicht hatte, wenn er eine Reihe von Formularen zusätzlich unterschrieben hat, die etwa auch der Kantinenabrechnung, dem sonstigen Warenbezug, der Parkplatzregelung o.Ä. dienen, so wird die speichernde Stelle davon ausgehen dürfen, dass der Betroffene auf andere Weise Kenntnis erlangt hat, dass die Daten nun vom Arbeitgeber i.R.v. dessen Daten gespeichert sind und für die vertragsgemäßen Zwecke genutzt werden. Zweifelhaft könnte dies allerdings für solche Personen sein, die nicht selbst an diesem Vorgang des Vertragsschlusses bzw. Vertragsanbahnung teilhatten. Diese Zweifel erstrecken sich deshalb insb. auf Familienangehörige, deren Daten mit erfasst werden, z.B. wegen Ortszuschlag o.Ä.1048 11.3 Wearables am Arbeitsplatz, RFID, Chip- und Signaturkarte, Zutrittskontrollsysteme, Lizenzmanagement, DRM Mobile personenbezogene Speicher- und Verarbeitungsmedien sind schon länger im Ein- 851 satz.1049 Google Glass1050 ist eine mobile Bilderkennungsanwendung, die hardwareseits als Brille realisiert wurde. Google Goggles ist eine App, deren Hauptfunktion darin besteht, mit der Smartphone-Kamera aufgenommene Bilder und Internet-Suche so zu verbinden, dass der Nutzer automatisch auf die passende Website weitergeleitet wird. Welche Konsequenz hat es, wenn der Nutzer seine private Datenbrille mit an den Arbeitsplatz bringt? Durch die Datenbrille werden am Arbeitsplatz ggf. Daten über andere Beschäftigte, Kunden- oder Lieferantenkontaktpersonen erhoben. Letztlich ist die private Datenbrille am Arbeitsplatz eine Fallgruppe von BYOD.1051 Soweit der Beschäftigte die Datenbrille mit Erlaubnis des Arbeitgebers zu dienstlichen Zwecken nutzt, ist die mit der Datenbrille erfolgende Datenerhebung und -nutzung dem Arbeitgeber zuzurechnen. Insoweit ist im Einzelfall zu prüfen, ob die Datenerhebung über andere Beschäftigte von § 32 Abs. 1 Satz 1 BDSG gedeckt ist. Von der Smartwatch bis hin zur intelligenten Fitnesskleidung gibt es inzwischen eine Viel- 852 zahl sogenannter Wearables, tragbare Computer, die während der Anwendung am Körper 1045 BAG v. 6.2.2003 – 2 AZR 621/01, DB 2003, 1795. 1046 BAG v. 7.6.1984 – 2 AZR 270/83, AP Nr. 26 zu § 123 BGB. 1047 BAG v. 11.11.1993 – 2 AZR 467/93, RDV 1994, 135 und v. 5.10.1995 – 2 AZR 923/94, NJW 1996, 2323: gilt auch, wenn Behinderung tätigkeitsneutral ist; BAG v. 3.12.1998 – 2 AZR 754/97, DB 1999, 852; zu Rspr. und Lit. zu den weiteren Fragethemen wie Vorstrafen, Krankheit u.Ä. sowie zu den Folgen falscher Antworten s. Ehrich, DB 2000, 421. Zur Zulässigkeit der Aufbewahrung von Bewerberdaten unter Berücksichtigung des AGG s. Moos/Bandehzadeh/Bodenstedt, DB 2007, 1194. 1048 Zur Befugnis, Daten über Familienangehörige des Beschäftigten zu speichern, s. Rz. 702 ff. (Personalakte). 1049 Zu technologischem Hintergrund und Regulierungsrahmen (Standardisierung, Frequenzmanagement, Datenschutz auf europ. Ebene) s. Toutziaraki, DuD 2007, 107; Huber, MMR 2006, 728; zur Diskussion in Europa MMR 2006, 17; s.a. NIST.gov; EU-Kommission stellt Vorschläge für eine europäische RFID-Strategie vor: v. 15.3.2007, MMR 2007, 5/2007, XIV. S. unter Bedrohungsszenarien Taucis-Studie. Zu neuen Technologien wie Wearables am Arbeitsplatz etwa Kopp/Sokol, NZA 2015, 1352. 1050 Gaschke, Die Zeit v. 14.1.2010; www.datenschutzbeauftragter-info.de: Meldung v. 25.1.2013; Schwenke, DSRITB 2013, 215. 1051 Rz. 892 ff.
Conrad
221
A Rz. 853
Datenschutz und IT-Management
des Nutzers befestigt sind. Wearables messen häufig Köperfunktionen des Nutzers und lassen so Rückschlüsse auf das Freizeitverhalten zu, etwa auf die Fitness des Nutzers. Das Freizeitverhalten kann für den Arbeitgeber interesant sein, v.a. wenn es um gefahrgeneigte Arbeit geht. Manche Unternehmen bieten auf freiwilliger Basis Gesundheitsprogramme an.1052 Mitarbeiter werden dazu angehalten, z.B. eine Mio. Schritte pro Jahr zu erreichen und auf diese Weise Krankenversicherungsbeiträge zu sparen. Insoweit entsteht eine Verbindung zwischen Wearables-Anbietern, Arbeitgebern und Krankenversicherern. Auf freiwilliger Basis scheint dies mit Einwilligung der Betroffenen zulässig, wobei zumindest die folgenden Anforderungen eingehalten werden müssen1053: Transparenz für den Betroffenen in Bezug auf Datenerhebung und Datenauswertung (Algorithmen), Privacy by Design und by Default (u.a. Verschlüsselung), „do not track“ muss respektiert werden, dezentrale Technologien fördern und mehr Kontrolle über persönliche Daten einräumen, Vertrauen schaffen durch Datenschutz-Gütesiegel und Zertifizierungen. Doch selbst wenn diese Maßgaben erfüllt werden, scheint die Entwicklung dahin zu gehen, dass diejenigen, die weitreichende sensible personenbezogene Daten an den Versicherer weitergeben, geringere Prämien zahlen müssen, als diejenigen, die ihre Privatsphäre schützen wollen. Auch der Einsatz von Fitnesstrackern und anderen Wearables im Betrieb ist denkbar. Je nach gemessener Köperfunktion lässt sich feststellen, ob ein Beschäftigter müde oder dynamisch und kreativ ist. Manche Wearables ermöglichen Bewegungsprofile, die sich potentiell für die Leistungs- und Verhaltenskontrolle nutzen lassen. Ermöglicht das Wearable eine opto-elektronische Überwachung des Arbeitnehmers, sind die Grundsätze zur Videoüberwachung zu beachten.1054 Es soll sogar möglich sein zu analysieren, ob Mitarbeiter einen Abwanderungswillen haben oder sich beim Arbeitgeber emotional wohlfühlen. Daraus ließe sich eine Risikoskala für den Arbeitgeber erstellen.1055 Die Zulässigkeit ist aber fraglich. Eine individuelle Einwilligung der Beschäftigten dürfte als Rechtsgrundlage wohl ausscheiden.1056 Beim betrieblichen Einsatz von Wearables, die Informationen über ihren Nutzer und potenziell auch andere Personen erheben und ggf. übermitteln, kommen als Rechtsgrundlage § 32 Abs. 1 Satz 1 BDSG sowie ggf. § 28 Abs 1 Satz 1 Nr 2 BDSG in Betracht. Kopp/Sokol weisen darauf hin, dass bei der Einführung von Wearables der betriebliche Datenschutzbeauftragte zu beteiligen ist, insb. wenn wegen besonderer Risiken für Persönlichkeitsrechte eine Vorabkontrolle durchzuführen ist. Auch der Betriebsrat ist regelmäßig zu beteiligen. 853 Oft werden die datenschutzrechtlichen Anforderungen unterschätzt, insb. eine Einwilligung für entbehrlich gehalten und nicht eingeholt, obwohl die Rechtsgrundlage fehlt, weil die Daten nicht nach § 32 Abs. 1 Satz 1 BDSG erforderlich sind und auch fraglich ist, ob ein berechtigtes Interesse des Arbeitgebers überwiegt.1057 § 6c BDSG – Mobile Medien – verpflichtet zu besonderer Unterrichtung und Auskunft. § 10 BDSG – Abrufverfahren – betrifft die Voraussetzungen und Handhabung der Zulässigkeit automatisierter Abrufe aus einer Datenbank.1058 854 RFID wurde besonders bekannt über die WM-Tickets 2006, die – wohl unzulässigerweise – personalisiert waren.1059 RFID wird nicht nur beim Ticketing eingesetzt, sondern auch zum
1052 Kopp/Sokol, NZA 2015, 1352. 1053 Schnellbacher, Wearables am Arbeitsplatz: Nützliches Tool oder Überwachungsmaßnahme?, abrufbar unter: https://entwickler.de/online/iot/wearables-arbeitsplatz-tool-ueberwachung-192783.html. 1054 Dzida, ArbRB 2016, 146. Zur Videoüberwachung Rz. 861. 1055 Schnellbacher, Wearables am Arbeitsplatz: Nützliches Tool oder Überwachungsmaßnahme?, abrufbar unter: https://entwickler.de/online/iot/wearables-arbeitsplatz-tool-ueberwachung-192783.html. 1056 Kopp/Sokol, NZA 2015, 1352. 1057 Zu datenschutzrechtlichen Anforderungen (Entbehrlichkeit, Einwilligung) s. Holznagel/Bonnekoh, MMR 2006, 17. 1058 Einzelheiten s. Conrad, in: Auer-Reinsdorff/Conrad, § 34 Rz. 146 ff. 1059 Conrad, CR 2005, 537; krit. dazu Schmidt/Hanloser, CR 2006, 75.
222
Conrad
Arbeitnehmerdatenschutz
Rz. 856
A
Diebstahlschutz,1060 als Ersatz für den Barcode oder bei „Kundenkarten“ (Chipkarte).1061 Durch die Abbildung der Bewegungen des Einzelnen bei RFID-erfassten Kontakten bedroht die Anwendung die Unbefangenheit der Bewegung, im Betrieb auch dort, wo die Sicherheitsanforderungen nicht entsprechende Codes verlangen. Die Gefährdungen werden v.a. unter den Aspekten „Tracking“ und „Profilbildung“ behandelt.1062 Das BAG hat sich mit der insoweit relevanten Frage befasst, ob der Arbeitnehmer Anspruch auf persönliche Ausübung seiner Signatur hat:1063 „1. Ein Arbeitnehmer ist verpflichtet, auf Weisung seines Arbeitgebers bei einem Zertifizierungsdiensteanbieter eine qualifizierte elektronische Signatur im Sinne des Signaturgesetzes zu beantragen und eine elektronische Signaturkarte bei seiner Tätigkeit zu nutzen, wenn dies für die Erbringung der Arbeitsleistung erforderlich und dem Arbeitnehmer zumutbar ist.
855
2. Dass der Arbeitnehmer seine Personalausweisdaten an den Zertifizierungsdiensteanbieter zu Identifizierungszwecken übermitteln muss, steht der Wirksamkeit der Weisung nicht grundsätzlich entgegen. Die Bestimmungen des Signaturgesetzes lassen die Beantragung einer qualifizierten elektronischen Signatur durch ein Unternehmen oder eine Dienststelle nicht zu. 3. Tarifverträge und Betriebs- oder Dienstvereinbarungen sind Rechtsvorschriften im Sinne des § 4 Abs. 1 BDSG. Erlaubt eine Dienstvereinbarung, dass eine qualifizierte elektronische Signatur in der Dienststelle verwendet wird, die nach den Bestimmungen des Signaturgesetzes nur durch den Arbeitnehmer persönlich bei einem Zertifizierungsdiensteanbieter beantragt werden kann, verstößt eine entsprechende Weisung auch dann nicht gegen Bestimmungen des BDSG, wenn der Arbeitnehmer keine Einwilligung im Sinne von BDSG erteilt. 4. In der damit verbundenen Verpflichtung zu einer Weitergabe personenbezogener Daten an einen Dritten liegt ein Eingriff in das Recht des Arbeitnehmers auf informationelle Selbstbestimmung. Dieser ist zumutbar, wenn die Weitergabe für die Ausübung der vertraglich geschuldeten Tätigkeit erforderlich ist, es sich nicht um besonders sensible Daten handelt und deren Schutz hinreichend sichergestellt ist.“
Zutrittskontrollsysteme ist der Oberbegriff für eine Vielzahl an Techniken. Manche Zu- 856 trittskontrollsysteme funktionieren mit biometrischen Daten (etwa Iris-, Fingerabdruck, Handvenen-Erkennung). Ein klassisches elektronisches Zutrittskontrollsystem ist z.B. die Schlüsselkarte. Zutrittskontrollsysteme erfüllen i.d.R. zwei Funktionen. Einerseits sollen das Betriebsgelände bzw. betriebliche Räumlichkeiten vor dem Betreten durch Unbefugte geschützt werden. Die Zutrittskontrolle schützt auch die Datenverarbeitungsanlagen des Arbeitgebers (s. Kontrollgebot Nr. 1 der Anlage zu § 9 BDSG). Andererseits ermöglichen elektronische Zutrittskontrollsysteme die Anwesenheits- und Abwesenheitskontrolle der Beschäftigten. Streitig ist bisweilen die Arbeitszeiterfassung mittels Zutrittskontrollsystem. Das LAG Rh.-Pf.1064 hat betont, dass ein vorsätzlicher Verstoß eines Arbeitnehmers gegen seine Verpflichtung, die abgeleistete Arbeitszeit korrekt zu dokumentieren, einen wichtigen Grund zur außerordentlichen Kündigung darstellen kann. Dies gelte für den vorsätzlichen Missbrauch einer Stempeluhr ebenso wie für das wissentliche und vorsätzliche falsche Ausstellen von Stundenzetteln. Gerade bei Gleitzeit muss der Arbeitgeber auf eine korrekte Dokumentation der Arbeitszeit vertrauen können. Es ist also davon auszugehen, dass die Datenerhebung durch das Zutrittskontrollsystem zum Zwecke der Arbeitszeiterfassung durch den Arbeitgeber grds. von § 32 Abs. 1 Satz 1 BDSG gedeckt ist, sofern sie verhältnismäßig ist. Bei biometrischen Daten ist regelmäßig ein besonderes Schutzbedürfnis im Hinblick auf die gesicherten Räumlichkeiten erforderlich.
1060 Zu Torkontrollen im Betrieb Rz. 794, 856. 1061 Zu Kundenkarten und Rabattsystemen als datenschutzrechtlicher Herausforderung s. Verbraucherzentrale Schl.-Holst., Stand 8.4.2008 (verbraucherzentrale-sh.de). 1062 S. dazu Kesten, RDV 2008, 97. 1063 BAG v. 25.9.2013 – 10 AZR 270/12, NZA 2014, 41. 1064 LAG Rh.-Pf. v. 25.11.2014 – 8 Sa 363/14, ZD 2015, 488.
Conrad
223
A Rz. 857
Datenschutz und IT-Management
857 Nicht im Zshg. mit der Zutrittskontrolle, aber i.V.m. Zugangs- und Zugriffskontrolle stehen Digital Rights Management Systeme (DRM). Aus Gründen des Urheberrechtsschutzes ist das Unternehmen gut beraten, ein wirksames Lizenzmanagement zu praktizieren.1065 Dabei ist eine Erfassung von Zuordnungen zu Arbeitsplätzen (Clients) und evtl. auch Namen, je nach Lizenz- und Vergütungskonzept des Softwarelieferanten erforderlich.1066 Herstellerseitig ist evtl. bereits ein DRM eingebaut. Dieses ist „offline“ und evtl. sogar anonym gestaltbar und insoweit datenschutzrechtlich als autonomes System unbedenklich. Manche DRM melden bzw. übertragen Daten mit Personenbezug an Dritte, was datenschutzrechtlichen Bedenken begegnet. Der einzelne Mitarbeiter, der keinen Vertrag mit dem Lizenzgeber hat, muss diesem seine Nutzungsdaten nicht übermitteln. U.U. gehen die Daten auch an Firmen, mit denen der Arbeitgeber keinen Vertrag als Lizenznehmer hat. Insoweit bedürfte das Übermitteln der Daten der Einwilligung der einzelnen Nutzer. Dies gilt auch bei internationalen Konzernen innerhalb des Konzerns. 858 Bei Online-Nutzung intensiviert sich das Problem, v.a. für Verbraucher im direkten Kontakt als Nutzer. Da DRM aber auch im professionellen Feld Daten bei netzwerkgestütztem DRM an Dritte absondern, stellt sich das Problem auch für Unternehmen und deren Mitarbeiter. Die Artikel-29-Gruppe der EU hatte das Datenschutzproblem bei Einsatz von DRM 2005 angesprochen und auf die sich vergrößernde Divergenz bei Offline- und Online-Systemen hingewiesen.1067 Die kanadische Datenschutzbeauftragte hatte dieses Problem aufgegriffen.1068 Ein Ergebnis einer Untersuchung für diese war: Sämtliche der netzbasierten DRM-Systeme übertragen Informationen an Dritte, wie etwa an die Internetwerbedienste DoubleClick oder Akamai. Gesammelt würden persönliche Informationen über das Nutzer- und Surfverhalten sowie technische Daten, die für eine Nutzung des Produkts oder der Dienstleistung nicht erforderlich waren.1069 859 Das Problem der Erfassung der personenbezogenen Daten stellt sich auch beim Erwerb DRM-gestützter Systeme online. Bereits im Vorfeld der Lizenzierung werden i.R.d. sog. Registrierung die identifizierenden Angaben abgefragt und gespeichert.1070 Ohne explizite Eingabe durch den Nutzer/Kunden greifen die Online-Systeme noch weitere Daten bezogen auf den Nutzer, darunter auch die Nutzungsvorgänge ab.1071 860 Problematisch ist dies ohnehin, wenn die Angaben nicht zur Vertragsabwicklung bzw. Vergütung erforderlich sind.1072 Die Problematik verschärft sich, wenn Vertragspartner der Auftraggeber ist, die Mitarbeiter aber ihre persönlichen Daten angeben sollen. Hier wird der Arbeitgeber der expliziten Einwilligung der Mitarbeiter bedürfen. Die Betriebsvereinbarung kann nur bedingt als Ersatz ausreichen (Rz. 759, 810 ff.). Die Auswertung der Nutzerdaten kann – besonders i.V.m. schon vorhandenen Daten – über Data Warehouse zu Persönlichkeitsprofilen führen.1073
1065 S.a. Backu, ITRB 2001, 89; Bierekoven, ITRB 2008, 84; Hoppen, CR 2007, 129; Hartung/Busche, CR 2011, 705. Zum Urheberrechtsschutz und v.a. Lizenzen s. G Rz. 480 ff. 1066 Etwa SAP-Lizenzvermessung. 1067 MMR 4/2005, XVI. 1068 MMR 11/2007, XVII. 1069 MMR 11/2007, XVII: „… Die Studie bemängelt vor allem, dass der Verbraucher über die Tatsache der Datensammlung und deren Zweck nicht ausreichend in Kenntnis gesetzt würde. … Fast alle Unternehmen sähen – entgegen der Rechtsauffassung der kanadischen Datenschutzbeauftragten – IPAdressen nicht als persönliche Information an, obwohl sie mit dem jeweiligen Nutzer in Verbindung gebracht werden könnten …“. Zu IP-Adressen s. Rz. 111, 524, 1078, 1154 ff. 1070 Vgl. Arlt, MMR 2007, 683: Name, E-Mail-Adresse, Telefonnummer. 1071 Vgl. Arlt, MMR 2007, 683 unter Verweis auf Beispiele bei Möller/Bizer, DuD 2006, 80 (81); Grimm/ Puchta, DuD 2006, 74 (76 ff.). 1072 Insb. bei „Flatrate“ entsprechenden Vergütungssystemen, s. B Rz. 214. 1073 S.a. Arlt, MMR 2007, 683 (685). Zu Gefährdungspotential und Zulässigkeit s. Rz. 945 f.
224
Conrad
Arbeitnehmerdatenschutz
Rz. 864
A
11.4 Videoüberwachung am Arbeitsplatz 11.4.1 Einzelheiten zu den relevanten Vorschriften, insb. § 6b BDSG Durch §§ 22, 23 i.V.m. 33 KunstUrhG ist das Recht am eigenen Bild nach KunstUrhG auch strafrechtlich geschützt. Danach ist das unbefugte Verbreiten oder öffentliche zur Schau stellen von Bildnissen identifizierbarer Personen grds. verboten, sofern diese Dritten nicht nur Beiwerk (etwa in einer Landschaft) sind und sofern es sich nicht um sog. Personen der Zeitgeschichte handelt oder eine andere Ausnahme des § 23 KunstUrhG vorliegt. § 201a StGB stellt die Verletzung des „höchstpersönlichen Lebensbereichs“ durch Bildaufnahmen unter Strafe. Zum höchstpersönlichen Lebensbereich gehören die Wohnung und andere gegen Einblicke geschützte Räume. Werden Bildaufnahmen in Dateien verarbeitet, kann eine Verletzung des Rechts am eigenen Bild auch datenschutzrechtliche Konsequenzen haben (s. etwa § 6b BDSG bei öffentlich zugänglichen Räumen, i.Ü. §§ 4 Abs. 1, 28 BDSG).
861
V.a. das BAG hatte sich auch bereits mehrfach mit der Problematik der Videoüberwachung 862 am Arbeitsplatz befasst, nicht zuletzt über § 87 Abs. 1 Nr. 6 BetrVG i.R.v. Einigungsstellenverfahren.1074 Die Möglichkeiten der Betriebsparteien (oder der Einigungsstelle) zur Regelung der Videoüberwachung stoßen dort an ihre Grenzen, wo die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer bzw. deren allgemeines Persönlichkeitsrecht verletzt wird.1075 Schon die Herstellung der Aufnahmen fällt unter den Schutzbereich des allgemeinen Persönlichkeitsrechts.1076 Ausdrücklich bezieht sich das BAG hierbei auch auf die E. des BVerfG zum Recht auf informationelle Selbstbestimmung, wonach der Einzelne besonders unter der Bedingung der automatisierten Datenverarbeitung des Schutzes bedarf. § 6b BDSG war insoweit nicht involviert, als es sich hier nicht um einen öffentlich zugäng- 863 lichen Raum handelt, wenn die Videoüberwachung am Arbeitsplatz stattfindet bzw. stattfinden soll. Mit „öffentlich zugänglichen Räumen“ sind für einen unbestimmten Personenkreis zugängliche Bereiche gemeint. Damit können sich auch Arbeitnehmer auf § 6b BDSG berufen, allerdings nur, wenn ihr Arbeitsplatz für die Öffentlichkeit zugänglich ist, wie etwa bei einem Museumswärter oder Parkhauswächter oder auch im Empfangsbereich am Haupteingang des Unternehmens.1077 Das eigentlich Interessante an der Regelung ist die Terminologie. Hier wird ausdrücklich der Begriff der „Beobachtung“ eingeführt, der noch unspezifischer als „Überwachung“ ist. Auch soweit § 6b BDSG nicht anwendbar ist, kann eine Videobeobachtung den Anforderungen des BDSG (insb. §§ 3a, 4, 32 BDSG) unterliegen. Dies ist dann der Fall, wenn die Bilder
1074 S. insoweit auch BAG v. 14.12.2004 – 1 ABR 34/03 zur Unwirksamkeit eines Spruchs der Einigungsstelle betreffend den Einbau einer Videoüberwachungsanlage, wonach die Betriebsvereinbarung dazu unwirksam ist. Allg.: BAG v. 29.6.2004 – 1 ABR 21/03, Videoüberwachung am Arbeitsplatz unterfällt dem Mitbestimmungsrecht des Betriebsrats. Das Allgemeine Persönlichkeitsrecht der Arbeitnehmer muss dabei beachtet werden und der Eingriff verhältnismäßig sein, §§ 75 II 1, 87 I Nr. 6 BetrVG; Art. 2 I, 10 I GG; BAG v. 26.8.2008 – 1 ABR 21/07, DB 2008, 2144 zu Angemessenheit und Verhältnismäßigkeit; s.a. Klein/Roos, ZD 2016, 65; zu heimlichen Video-Aufnahmen von Lehrern, die ins Internet gestellt werden, als Mobbing s. Beck, MMR 2008, 77. 1075 S. BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216, Rz. 14. 1076 BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216, Rz. 15, zum Recht am eigenen Bild unter Verweis auf BAG v. 27.3.2003 – 2 AZR 51/02, NJW 2003, 3436 und hinsichtlich des Schutzbereichs BGH v. 25.4.1995 – VI ZR 272/94 – AP BGB § 611 Nr. 25. 1077 Das Firmengelände i.Ü. (Büro) ist i.d.R. nicht öffentlich zugänglich, so etwa die Betriebshalle eines Briefzentrums, vgl. BAG v. 29.6.2004 – 1 ABR 21/03, RDV 2005, 21. Insoweit ist § 6b Abs. 1 BDSG auch nicht analog anwendbar. Anders aber z.B. hins. Verkaufsräumen, vgl. BAG v. 27.3.2003 – 2 AZR 51/02, RDV 2003, 293, bei denen § 6b BDSG anwendbar ist. Abgrenzungsfragen ergeben sich evtl. mit dem Hausrecht, das zumindest einen Teil der Straße bzw. des Gehwegs mitumfasst, nach AG Berlin Mitte (RDV 2004, 132) allerdings nur einen Meter; s.a. BGH v. 26.8.2008 – 1 ABR 21/07, DB 2008, 2144 (2148) zum Hausrecht im Außenbereich.
Conrad
225
864
A Rz. 865
Datenschutz und IT-Management
der Beschäftigten – hierbei handelt es sich um personenbezogene Daten – je nach eingesetzter Technik automatisiert oder zumindest dateimäßig gespeichert werden, was regelmäßig der Fall sein dürfte. 865 Im Bereich außerhalb des BDSG kommt es, so das BAG, auf eine Abwägung an, bei der das zulässige Maß einer Beschränkung des allgemeinen Persönlichkeitsrechts im Hinblick auf den Grundsatz der Verhältnismäßigkeit ermittelt wird.1078 Das BAG hat sich mit der Intensität des Eingriffs in die Persönlichkeitsrechte befasst und diesen als besonders hoch eingeschätzt, nachdem die Videoanlage gemäß der dort zu behandelnden Betriebsvereinbarung in jeder Kalenderwoche bis zu 20 Stunden in Betrieb genommen werden kann, ohne dass irgend ein begründeter Anfangsverdacht vorliegen müsste.1079 „Damit wird eine Vielzahl von Arbeitnehmern der dauerhaften Überwachung unterzogen, ohne hierfür einen konkreten Anlass gegeben zu haben (vgl. zur Bedeutung dieses Umstandes BVerfG, 3.3.2004 – 1 BvR 2378/98, 1 BvR 1084/99 – BVerfGE 109, 279“.1080
866 Nach Auffassung des BAG gehen somit zulasten der „unschuldigen Arbeitnehmer“ mit einem schwerwiegenden Eingriff in deren Persönlichkeitsrecht nur geringe Abschreckungswirkungen einher. Damit gehen die Überwachungsmöglichkeiten, wie sie hier vorgesehen sind, „deutlich über die Befugnisse hinaus, die staatliche Organe zur Verhütung selbst schwerer Straftaten haben“.1081 U.U. kann bei ausreichendem Verdacht eine Beweiserhebung durch heimliche Videoüberwachung am Arbeitsplatz erfolgen.1082 Wenn kein milderes Mittel zur Verdachtsaufklärung zur Verfügung steht, gilt kein Beweisverwertungsverbot für heimliche Videoaufnahmen am Arbeitsplatz.1083 Fraglich ist aber, ob die Transparenzpflichten des BDSG (insb. § 6b Abs. 2 und § 4 Abs. 3) einer heimlichen Überwachung entgegenstehen. Nach wohl überwiegender Auffassung ist § 6b Abs. 2 BDSG keine Rechtmäßigkeitsvoraussetzung, sondern bloße Verfahrensvorschrift. Unklar ist, ob heimliche Beobachtung als Direkterhebung zu verstehen ist, da der Betroffene selbst mitwirkt (vgl. § 4 Abs. 3 BDSG). Dies ist wohl zu verneinen. Allerdings ist auch bei § 4 Abs. 3 BDSG streitig, ob dieser als Rechtmäßigkeitsvoraussetzung oder als Verfahrensvorschrift zu sehen ist.1084 867 Das Verhältnis von § 6 b BDSG zu § 32 BDSG ist nach dem Gesetzeswortlaut unklar.1085 Unklar ist insb., ob bei Videoaufzeichnung von Beschäftigten an allgemein zugänglichen Arbeitsplätzen (etwa in einem Friseursalon) § 32 oder § 6b BDSG oder § 28 Abs. 1 Satz 1 Nr. 2 BDSG Anwendung findet. Ein Teil der Lit. geht davon aus, dass 6b BDSG in solchen Fällen nicht zur Anwendung komme, da wegen des Hausrechts des Arbeitgebers keine öffentliche
1078 BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216, Rz. 17. 1079 BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216, Rz. 49. S. aber OLG Köln v. 5.7.2005 – 24 U 12/05, NJW 2005, 2997 ff., wonach die dauernde, schrankenlose und heimliche Videoüberwachung einer Gemeinschaftsküche trotz früherer Beschädigung an Waschmaschinen unzulässig ist. 1080 BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216, Rz. 49. S.a. BVerfG v. 3.3.2004 – 1 BvR 2378/98, 1 BvR 1084/99 zur akustischen Wohnraumüberwachung. 1081 BAG v. 14.12.2004 – 1 ABR 34/03, Rz. 50 m. Hinweis auf BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278. Zur Wirksamkeit bei Begrenzung auf Fälle eines auf konkrete Personen bezogenen Verdachts einer strafbaren Handlung s. BAG v. 26.8.2008 – 1 ABR 21/07, DB 2008, 2144 (2146). 1082 S. BAG v. 27.3.2003 – 2 AZR 51/02, RDV 2003, 293 zu den Voraussetzungen. 1083 LG Zweibrücken v. 3.11.2003 – Qs 10/03 u. Qs 11/03, NJW 2004, 85. 1084 Gegen die Annahme einer bloßen Verfahrensvorschrift: Innenministerium BW, Hinweis Nr. 41, RDV 2004, 234. 1085 Nach dem Gesetzentwurf vom 25.8.2010 zur Regelung des Beschäftigtendatenschutzes sollte die heimliche Videoüberwachung von Beschäftigten per se verboten werden (s. § 32 f BDSG-E); s.a. Tinnefeld/Petri/Brink, MMR 2011, 427 (429).
226
Conrad
Arbeitnehmerdatenschutz
Rz. 869
A
Zugänglichkeit gegeben sei; allerdings sei § 28 Abs. 1 Satz 1 Nr. 2 BDSG u.U. denkbar.1086 Das BAG1087 hat aber entschieden, dass § 6b BDSG beispielsweise bei Videoüberwachung in den Verkaufsräumen eines Einzelhandelsunternehmens zur Anwendung kommt. Inzwischen unterscheidet die wohl überwiegende Ansicht bei Videoüberwachung am Arbeitsplatz nach dem Zweck.1088 Ist der Zweck die präventive Verhaltenskontrolle bei besonders gefahrgeneigter Arbeit, ist § 32 Abs. 1 Satz 1 BDSG einschlägig (aber rein zur Überwachung des ordnungsgemäßen Dienstablaufs regelmäßig nicht erfüllt).1089 Zur Aufdeckung von Straftaten von Mitarbeitern bei Vorliegen von Anhaltspunkten für einen Verdacht ist § 32 Abs. 1 Satz 2 BDSG anzuwenden. In den übrigen Fällen der Videoüberwachung, wenn es als nicht um Leistungs- und Verhaltenskontrolle, sondern z.B. Schutz vor Schädigung durch Dritte geht, ist nicht § 32 BDSG sondern § 28 Abs. 1 Satz 1 Nr. 2 BDSG anzuwenden.1090 Bei Videoüberwachung im Außenbereich (etwa eines Kaufhauses) ist regelmäßig § 6b BDSG einschlägig.1091 Das BAG1092 hat entschieden (allerdings vor Einführung des § 32 BDSG), dass im Innen- 868 bereich eines Postzustellbetriebs nur bei konkretem personenbezogenem Verdacht einer strafbaren Handlung und nur stellenweise Videoüberwachung zulässig ist. Rein präventive Videoüberwachung ist nicht zulässig. Dieses Ergebnis ist jedoch umstritten.1093 Die Artikel29-Gruppe1094 hat z.B. Bedenken dahingehend geäußert, dass eine Videoüberwachung am Firmenhaupteingang (mangels Erforderlichkeit) unzulässig ist, wenn zugleich der Empfang durch einen Pförtner bzw. Empfangspersonal besetzt ist. Im Beispielsfall war ein Hinweisschild angebracht, wonach die Videoüberwachung zu Sicherheitszwecken erfolgt. Aus Sicht der Artikel-29-Gruppe1095 ist die Nutzung von Videoaufzeichnungen für Leistungs- und Verhaltenskontrolle ein „unrelated purpose“ (also inkompatibel), wenn auf einem Hinweisschild gekennzeichnet ist, dass die Videoaufzeichnung aus Sicherheitsgründen erfolgt. Andere Faktoren der Inkompatibilität der Zweckänderung sind Nachteile für die Beschäftigten (disziplinarische Maßnahmen), Art der Daten (Videos sind per se sensitive Daten) und das Verhältnis zwischen verantwortlicher Stelle und Betroffenen (Ungleichgewicht im Beschäftigungsverhältnis) sowie das Fehlen von technischen/organisatorischen Sicherheitsmaßnahmen (z.B. Berichtigung des Hinweisschilds). Bei der Zweckbestimmung und Zweckbindung von Videoaufzeichnungen ist also große Sorgfalt geboten. Nach a. A.1096 ist zur Gewährleistung der Sicherheit (z. B. in Serverräumen) präventive Vi- 869 deoüberwachung zulässig, sofern sie verhältnismäßig ist. Zur Erforderlichkeit bzw. Verhältnismäßigkeit der Videoüberwachung gibt es uferlose Rspr. und Beispiele in Tätigkeitsberichten der Datenschutzaufsichtsbehörden und mitnichten ist das Urteil der Gerichte und Behörden einheitlich. Auch scheinen die Meinungen auseinanderzugehen, ob z.B. die Tiefgarage eines Betriebs zum Schutz des Personals und zur Verhinderung und Aufdeckung von Beschädigungen und Diebstählen videoüberwacht werden darf. 1086 Andeutungsweise wohl BAG v. 27.3.2003 – 2 AZR 51/02, RDV 2003, 293. Str. a.A. Düsseldorfer Kreis (Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ v. 19.2.2014, S. 13), der bei Videoüberwachung im Gastraum einer Gaststätte § 6b BDSG anwendet. 1087 BAG v. 21.6.2012 – 2 AZR 153/11. 1088 Klein/Roos, ZD 2016, 65; Venetis/Oberwetter, NJW 2016, 1051. 1089 Düsseldorfer Kreis OH Videoüberwachung, S. 14. S.a. OVG Lüneburg v. 29.9.2014 – 11 LC 114/13, Videoüberwachung von öffentlich zugänglichen Flächen eines Bürogebäudes, dazu Zscherpe, DuD 2015, 172. 1090 Düsseldorfer Kreis OH Videoüberwachung, S. 15. 1091 AG Berlin-Mitte v. 18.12.2003 – 16 C 427/02. 1092 BAG v. 26.8.2008 – 1 ABR 16/07, MDR 2008, 1401. 1093 Wolff/Brink, DuD 2011, 447; Abate, DuD 2011, 451; Wilke, RDV 2005, 96; Forst, RDV 2009, 204. Zu automatischer Verhaltensanalyse mittels „Smart Cameras“: Hornung/Desoi, K & R 2011, 153. 1094 Working Paper 203 (Opinion on purpose limitation) v. 2.4.2013, S. 56. 1095 Artikel-29-Gruppe, Working Paper 203 (Opinion on purpose limitation) v. 2.4.2013, S. 56. 1096 Saarl. LDSB, RDV 2008, 83.
Conrad
227
A Rz. 870
Datenschutz und IT-Management
870 Wenn der Arbeitnehmer die Einwilligung zur Publikation ihn abbildender Videosequenzen gegeben hat, endet deren Wirkung nicht automatisch mit Ausscheiden:1097 Ein Arbeitgeber hatte einen Werbevideo mit Beschäftigten am Arbeitsplatz drehen lassen und auf seiner Homepage veröffentlicht. Die Beschäftigten hatten auf einer Namensliste ihr Einverständnis erklärt. Ein Beschäftigter hat nach Ausscheiden beim Arbeitgeber die Einwilligung widerrufen und vom Arbeitgeber Unterlassung der Videoausstrahlung verlangt. Nach Ansicht des BAG kann sich ein Unterlassungsanspruch aus § 823 Abs. 1 und Abs. 2 BGB, § 1004 Abs. 1 Satz 2 BGB analog iVm. §§ 22, 23 KunstUrhG, Art. 1 Abs. 1, Art. 2 Abs. 1 GG (Recht auf informationelle Selbstbestimmung) ergeben. § 35 BDSG kommt nicht zur Anwendung, da die Vorschrift des KunstUrhG dem BDSG vorgehen. Nach § 22 KunstUrhG ist eine Einwilligung des Abgebildeten erforderlich. Nach Abwägung der betroffenen Belange ergibt sich, dass die Einwilligung der Arbeitnehmer der Schriftform bedarf. Das BAG betont, dass Arbeitnehmereinwilligungen nicht per se unwirksam sind, sofern der Arbeitnehmer „frei entscheiden“ kann, was bei dem Werbevideo angenommen wurde. Fraglich ist aber die Geltungsdauer einer unbefristet erteilten Einwilligung. Nach Ansicht des BAG erlischt die Geltungsdauer nicht automatisch mit dem Arbeitsverhältnis. Es ist aber denkbar, dass sich die Geltungsdauer aus der Natur der Videos ergibt, etwa wenn der Arbeitgeber speziell mit der Person des Arbeitnehmers (als „der“ Fachmann und Ansprechpartner beim Arbeitgeber) werben würde. Überraschend an der E. des BAG ist, dass das BAG verlangt, der Abgebildete muss – zum Schutz der berechtigten Interessen des Arbeitgebers – für den Widerruf seiner Einwilligung einen plausiblen Grund angeben. Auch nach Beendigung des Arbeitsverhältnisses müsse der Abgebildete auf die Interessen der anderen Seite Rücksicht nehmen (§ 241 Abs. 2 BGB). Dies stellt eine jederzeitige Widerrufsmöglichkeit sehr in Frage. 11.4.2 Zusammenfassung der rechtlichen Anforderungen 871 Bei einer Videobeobachtung am Arbeitsplatz zur Wahrung der Persönlichkeitsrechte der Mitarbeiter sind folgende Grundsätze zu beachten: Eine Videoüberwachung und sogar die bloße Möglichkeit einer (sporadischen) Videoüberwachung (also selbst wenn die Videokamera zeitweise nicht läuft, der Mitarbeiter aber den genauen Überwachungszeitraum nicht kennt) erzeugt einen Überwachungsdruck auf die betroffenen Mitarbeiter. Dieser Überwachungsdruck durch Videoüberwachung stellt einen Eingriff in das Persönlichkeitsrecht der Mitarbeiter dar. Dieser Eingriff ist nur dann zulässig, wenn er durch schutzwürdige Interessen des Arbeitgebers gerechtfertigt ist. Schutzwürdige Interessen des Arbeitgebers können z.B. sein: Schutz vor Verlust von Firmeneigentum durch Überfälle, Diebstahl, Unterschlagung oder Schutz vor Verrat von Betriebsgeheimnissen. Das Vorliegen solcher schutzwürdigen Interessen des Unternehmens muss vor Beginn der Videoüberwachung durch konkrete Anhaltspunkte und Verdachtsmomente belegt sein. Eine vage Vermutung oder pauschaler Verdacht gegen die gesamte Belegschaft reicht nicht aus. Nachträglich, also nach einer ursprünglich unzulässigen Videoaufzeichnung, aufgetretene schutzwürdige Interessen des Unternehmens können die Videobeobachtung nicht im Nachhinein legitimieren. 872 Zu unterscheiden ist zudem, ob der Mitarbeiter Gegenstand der Überwachung ist (so z.B. in Kaufhäusern zur Diebstahlüberwachung) oder ob der Mitarbeiter nur als „Nebenprodukt“ von der Videokamera aufgenommen wird (so z.B. bei Überwachung einer Bank zum Schutz vor Überfällen). Im letzteren Fall muss durch eng begrenzte Zweckbestimmungen und Zugriffsregelungen im Hinblick auf die Videobänder/Videodateien sichergestellt werden, das eine mitarbeiterbezogene Auswertung nicht stattfinden kann. Ggf. sollen Auswertungen solcher Bänder/Dateien nur in Anwesenheit des/r Datenschutzbeauftragten erfolgen.
1097 BAG v. 11.12.2014 – 8 AZR 1010/13, GRUR 2015, 922; s.a. Rz. 127.
228
Conrad
Arbeitnehmerdatenschutz
Rz. 874
A
Im Regelfall gilt, dass Videoüberwachung zur Diebstahlssicherung/Prävention vor Unterschlagungen auf den engeren Theken-/Kassenbereich bzw. auf besonders diebstahl-/unterschlagungsgefährdete Bereiche im Unternehmen beschränkt sein muss.1098 Häufig werden bei Diebstahlsverdacht im Unternehmen Detektive eingeschaltet, die Videoüberwachung einsetzen, wobei ggf. Beweisverwertungsverbote zu beachten sind.1099 Dienen die Videoaufzeichnungen dem Schutz gegen Überfall, Diebstahl, Vandalismus etc., so sind die Aufnahmen grds. unverzüglich automatisiert zu löschen, wenn sich aus dem Inhalt der Aufzeichnungen keine Relevanz für die Schutzzwecke ergibt.
873
Eine unter den genannten Voraussetzungen zulässige Videoüberwachung ist grds. offen mittels einer sichtbaren Anlage nach vorheriger Information der Belegschaft durchzuführen. Eine Überwachung durch verdeckte Kameras ist nur zulässig, wenn dieses Mittel die einzige Möglichkeit darstellt, berechtigte und schutzwürdige Interessen des Arbeitgebers zu wahren. Die durch eine unzulässige Videoüberwachung gewonnenen Erkenntnisse können nicht zulasten eines Mitarbeiters (etwa in einem arbeitsgerichtlichen Verfahren) verwertet werden.1100 Gemäß § 75 Abs. 2 BetrVG haben der Arbeitgeber und der Betriebsrat die Persönlichkeitsrechte der Arbeitnehmer zu schützen und zu fördern. Schon die Möglichkeit der jederzeitigen Überwachung erzeugt einen Überwachungsdruck, der mit dem Anspruch der Arbeitnehmer aus § 75 Abs. 2 BetrVG regelmäßig nicht zu vereinbaren ist. Daher ist eine Videoüberwachung von Arbeitsplätzen und Arbeitnehmern auch aufgrund arbeitsrechtlicher – genauer gesagt betriebsverfassungsrechtlicher – Vorgaben nur durch besondere Sicherheitsinteressen des Arbeitgebers ausnahmsweise gerechtfertigt. Da es sich bei Videoüberwachung im Arbeitsverhältnis i.d.R. um eine technische Methode der Verhaltens- und Leistungskontrolle handelt, ist die Mitbestimmung des Betriebsrats gegeben.1101 Zu beachten ist jedoch, dass eine unzulässige Videoüberwachung durch die Zustimmung des Betriebsrats nicht geheilt bzw. legitimiert wird. Betroffene Mitarbeiter können eine unzulässige Videobeobachtung abwehren und möglicherweise auf Unterlassung und ggf. sogar Schmerzensgeld1102 klagen (etwa aus §§ 823, 1004 bzw. analog § 847 BGB oder unmittelbar aus Art. 1 Abs. 1 i.V.m. Art. 2 GG). Darüber hinaus braucht – nach Rspr. der Arbeitsgerichte1103 – der Arbeitnehmer seiner Arbeitspflicht nicht nachzukommen, solange der ihm zugewiesene Arbeitsplatz im Blickfeld der unzulässig installierten Kamera liegt. Dies gilt unabhängig davon,
1098 Zu (heimlichen) Aufnahmen s. z.B. LAG Köln v. 30.8.1996 – 12 Sa 639/96, RDV 1997, 183; LAG Mannheim v. 6.5.1998 – 12 Sa 115/97, RDV 2000, 27; zu den Vorauss. BAG v. 27.3.2003 – 2 AZR 51/02, RDV 2003, 293. Während nach Ansicht des BAG Eingriffe in das Persönlichkeitsrecht der Arbeitnehmer nur durch Wahrnehmung überwiegender schutzwürdiger Interessen des Arbeitgebers gerechtfertigt sein können (BAG AP Nr. 15 und Nr. 21 zu § 611), argumentiert LAG Berlin v. 15.2.1988 – 9 Sa 114/87 (RDV 1989, 248 ff. m.w.N.) mit Notwehr/Notstand (§§ 32, 34 BGB) des Arbeitgebers gegenüber rechtswidrigem Verhalten des Arbeitnehmers. Weitere Urteile zur Videoüberwachung: LAG Düsseldorf v. 7.12.2015 – 7 Sa 1078/14; ArbG Frankfurt/M. v. 27.1.2016 – 6 Ca 4195/15. 1099 LAG BW v. 20.7.2016 – 4 Sa 61/15. 1100 Zur Kündigung nach heimlicher Videoüberwachung Eylert, NZA-Beilage 2015, 100. 1101 Jerchel/Schubert, DuD 2015, 151 (155). 1102 ArbG Frankfurt/M. v. 26.9.2000 – 18 Ca 4036/00, RDV 2001, 190 ff.: Eine nicht durch vorrangige betriebliche Interessen gerechtfertigte und unter Verstoß gegen Mitbestimmungsrecht des Betriebsrats durchgeführte Videoüberwachung kann Schmerzensgeldanspruch auslösen. 1103 ArbG Dortmund v. 25.7.1988 – 6 Ca 1026/88, CR 1989, 715: Bei der Abwägung ist die Intensität der Beobachtung zu berücksichtigen, d.h. ob der Mitarbeiter nur gelegentlich (etwa auf dem Flur) oder dauernd (z.B. am Schreibtisch) erfasst wird.
Conrad
229
874
A Rz. 875
Datenschutz und IT-Management
– ob die Kamera sichtbar oder verdeckt angebracht ist, – ob die Videoüberwachung nur sporadisch erfolgt, die Mitarbeiter aber den Zeitpunkt nicht kennen und jederzeit mit der Überwachung rechnen müssen. 875 Da eine rechtswidrige Videobeobachtung regelmäßig einen schweren Eingriff in das Persönlichkeitsrecht darstellt, sprechen die (Arbeits-)Gerichte1104 dem Betroffenen u.U. eine angemessene Geldentschädigung zu. 876 Strittig ist die Frage der Wirksamkeit eine Einwilligung des Beschäftigten in Videoüberwachung.1105 In einem Fall des AG Saarlouis1106 hatte der Arbeitgeber Videokameras im Verkaufsraum einer Apotheke, in der Schleuse und im Bereich des Betäubungsmittelschranks angebracht, weil ein Gutachten vorlag, wonach der Medikamentenschwund außergewöhnlich hoch und daher der Ertrag der Apotheke schlecht war (die Lagerdifferenz betrug im Jahre 2011 rund 44.000,– Euro). Vom Verkaufsraum aus gelangte man zu den Medikamentenschränken. Der Arbeitgeber hatte zuvor arbeitsrechtliche Maßnahmen gegen die Belegschaft ergriffen, die aber erfolglos blieben. Er hatte auch Einwilligungen der Beschäftigten in die Videoüberwachung eingeholt. Nach Ansicht der zuständigen Datenschutzbehörde war die Videoüberwachung unzulässig, das VG Saarlouis hat jedoch die Zulässigkeit bejaht. 11.5 Dienstliche und private Nutzung von E-Mail, Internet und Telefon 877 Grds. kann der Arbeitgeber frei darüber entscheiden, ob und in welchem Umfang den Mitarbeitern die Nutzung von Internet und E-Mail ermöglicht wird.1107 Die private Nutzung bedarf daher grds. der Erlaubnis des Arbeitgebers. Nur in Notfällen bzw. bei sog. dienstlich veranlasster Privatnutzung darf der Mitarbeiter auch ohne eine solche Erlaubnis E-Mail und Internet privat nutzen.1108 Der Arbeitgeber wird durch diese sehr eingeschränkte zulässige Privatnutzung nicht zum Adressaten von TKG und TMG. Verletzt ein Arbeitnehmer ein wirksames Verbot der Privatnutzung, kann – je nach Art und Umfang der Pflichtverletzung – eine Kündigung auch ohne Abmahnung zulässig sein.1109 Das gilt insb. dann, wenn der Beschäftigte eigenmächtig Software installiert, um die – in solchen Fällen meist extensive – Privatnutzung zu verschleiern. In einer E. des LAG Schleswig-Holstein1110 hatte ein seit mehr als 21 Jahren bei dem Arbeitgeber beschäftigter Mitarbeiter während der Arbeitszeit mittels des unerlaubt installierten Programmes Usenet/UseNEXT Software zu privaten Zwecken heruntergeladen. Nach Ansicht des LAG rechtfertigt diese ausschweifende private Nutzung des Internets während der Arbeitszeit eine ordentliche Kündigung ohne vorherige Abmahnung. 878 Strittig ist, wie der Arbeitgeber im Kündigungsschutzprozess den Nachweis führen kann, dass der Arbeitnehmer unerlaubt privat nutzt. Das LAG Rh.-Pf.1111 hatte einen Fall zu entscheiden, bei dem der Arbeitnehmer schriftlich erklärt hatte, das Internet nur zu dienst1104 OLG Frankfurt v. 21.1.1987 – 21 U 164/86, NJW 1987, 1087; LAG Hess. v. 25.10.2010 – 7 Sa 1586/09, RDV 2011, 99; BVerfG v. 8.3.2000 – 1 BvR 1127/96, NJW 2000, 2187; BAG v. 19.2.2015 – 8 AZR 1007/13, NJW 2014, 2749, dazu Klein/Roos, ZD 2016, 65. 1105 Zu Einzelheiten Rz. 815. 1106 VG Saarlouis v. 29.1.2016 – 1 K 1122/14, RDV 2016, 101. 1107 Zu Intranet s. Rz. 776 ff., 1261, zu Filter-Befugnissen des Arbeitgebers Rz. 883 ff., zu Provider-Pflichten des Arbeitgebers insgesamt Rz. 883 ff. 1108 Gola, Datenschutz am Arbeitsplatz 5. Aufl. 2014, Rz. 274 ff.; Grenzbereiche bestehen etwa bei Verabredung mit Kollegen zum gemeinsamen Mittagessen u.Ä. Zum Schutz betrieblicher E-Mails im Arbeitsverhältnis Reufels/Roth, ArbRB 2016, 341. 1109 Statt vieler BAG NJW 2007, 2653. Siehe auch EGMR v. 12.1.2016 – 61496/08, CCZ 2016, 285; LAG Bln.-Bdb. v. 14.1.2016 – 5 Sa 657/15; LAG Hamm v. 17.6.2016 – 16 Sa 1711/15, dazu Rottwinkel, ZDAktuell 2016, 05388. 1110 LAG Schl.-Holst. v. 6.5.2014 – 1 Sa 421/13, NZA-RR 2014, 417. 1111 LAG Rh.-Pf. v. 26.2.2010 – 6 Sa 682/09, NZA-RR 2010, 297.
230
Conrad
Arbeitnehmerdatenschutz
Rz. 882
A
lichen Zwecken zu nutzen. Der Arbeitgeber hatte aber einer einen speziellen PC zum privaten Surfen zur Verfügung gestellt. Das LAG sah darin eine Aufweichung des Verbots und entschied: „Allein die Missachtung des Verbots der privaten Internetnutzung rechtfertigt nicht eine Kündigung. Es müssen weitergehende Pflichtverletzungen wie ein unbefugter Download, Verursachung zusätzlicher Kosten und Verletzung einer Arbeitspflicht hinzukommen.“ Im Kündigungsschutzprozess konnte der Arbeitgeber die erhebliche Beeinträchtigung durch besonders extensive Nutzung mittels Log-Protokollen nicht nachweisen, weil – was wohl datenschutzrechtlich zutreffend ist – Log-Files einerseits einer strengen Zweckbindung und restriktiven Löschpflicht unterliegen. Das LAG meint dazu: „Der Arbeitgeber hat eine Darlegungslast hins. der Feststellung einer erheblichen Beeinträchtigung. Ist ihm das nicht möglich [weil er die Internetzugriff nicht entsprechend speichert], kann dies für ihn zu zivilprozessualen Nachteilen führen.“ Auch das LAG Berlin-Bdb.1112 hielt in einer E. aus 2009 eine fristlose Kündigung für unwirk- 879 sam, da die aus den Protokolldaten gewonnenen Erkenntnisse wegen Verstoß gegen die Betriebsvereinbarung einem Beweisverwertungsverbot unterliegen. Anderer Ansicht ist das LAG Berlin-Bdb.1113 in einer E. aus 2016, der ein Fall zugrunde liegt, 880 in dem der Arbeitnehmer innerhalb eines Zeitraums von drei Monaten das Internet im Umfang von 40 Stunden zu privaten Zwecken während der Arbeitszeit genutzt hatte. Das Gericht bejahte die Berechtigung zur außerordentlichen Kündigung, wenn dem Arbeitnehmer die Privatnutzung arbeitsvertraglich nur in Ausnahmefällen und nur innerhalb der Arbeitspausen erlaubt ist. Zudem bejaht das Gericht, dass im Kündigungsschutzprozess die vom Arbeitgeber ohne Hinzuziehung des Arbeitnehmers ausgewerteten Browser-Protokolle zum Beweis einer exzessiven Internetnutzung verwertet werden dürfen. Auch wenn im Unternehmen die Privatnutzung nicht ausdrücklich erlaubt ist und sogar 881 dann, wenn die Privatnutzung ausdrücklich verboten ist, jedoch dieses Verbot weder kontrolliert noch sanktioniert wird, ist eine Erlaubnis durch so genannte betriebliche Übung denkbar. Die betriebliche Übung entsteht grds. durch gleichmäßige, regelmäßige und vorbehaltlose Wiederholung zusätzlicher Leistungen an den Mitarbeiter, ohne dass der Arbeitgeber dazu verpflichtet wäre. Im Rahmen bereits bestehender Arbeitsverhältnisse kann die betriebliche Übung beseitigt werden durch entsprechende einverständliche ausdrückliche Vereinbarung1114 mit den betroffenen Mitarbeitern oder durch eine „gegenläufige“ betriebliche Übung. Für eine gegenläufige betriebliche Übung ist ein ausdrücklicher Widerruf erforderlich sowie ein deutlicher Aushang des Widerrufs.1115 Einer gegenläufigen betrieblichen Übung können die betroffenen Mitarbeiter innerhalb eines bestimmten Zeitraums (nach herrschender Ansicht wohl 3 Jahre, nach anderer Ansicht 2 Jahre) widersprechen. Bei Widerspruch bleibt nur die Möglichkeit einer Änderungskündigung der betroffenen Arbeitsverhältnisse im Hinblick auf die Privatnutzung von E-Mail und Internet am Arbeitsplatz. Gegenüber neu eintretenden Mitarbeitern kann ein subjektives Recht der Arbeitnehmer auf 882 eine sehr freizügige Privatnutzung dadurch eingeschränkt werden, dass arbeitsvertraglich ausdrücklich ein Verbot oder ein eingeschränkter Umfang der Privatnutzung geregelt wird. Zumindest sollte in Arbeitsverträgen ausdrücklich geregelt werden, dass die Privatnutzung nur widerruflich erfolgt, sodass damit die Bindungskraft der betrieblichen Übung ausgeschlossen wird. Die Widerrufsgründe sollten spezifiziert werden. Ein Widerrufsgrund kann die missbräuchliche Nutzung durch den Mitarbeiter sein. Um Unklarheiten zu ver-
1112 LAG Bln.-Bdb. v. 9.12.2009 – 15 Sa 1463/09, NZA-RR 2010, 347. 1113 LAG Bln.-Bdb. v. 14.1.2016 – 5 Sa 657/15, CR 2016, 442 = ZD 2016, 336 m. Anm. Tiedemann. 1114 Auch eine entsprechende Betriebsvereinbarung kann dazu ein geeignetes Mittel sein. Dazu s.a. Rz. 781 ff. 1115 BAG v. 26.3.1997 – 10 AZR 69/96.
Conrad
231
A Rz. 883
Datenschutz und IT-Management
meiden, empfiehlt sich, beispielsweise folgende Nutzungseinschränkungen bzw. -verbote mit dem Mitarbeiter zu vereinbaren: – das Abrufen oder Verbreiten von Inhalten, die gegen persönlichkeitsrechtliche, urheberrechtliche oder strafrechtliche Bestimmungen verstoßen (insb. verfassungsfeindliche, rassistische, gewaltverherrlichende, pornographische Äußerungen oder Abbildungen; Raubkopien etc.); – das Verbreiten/Übermitteln von Informationen über Mitarbeiter, Kunden oder andere interne Informationen des Arbeitgebers (z.B. zusammengefasst in Listen) ohne Berechtigung des Arbeitgebers (etwa für private Zwecke); – das Verbreiten von geschäftsmäßiger Werbung, soweit dies nicht vom Arbeitgeber beauftragt ist; – das Nutzen der dienstlichen E-Mail-Adresse oder der dienstlichen User-ID in sog. ChatRäumen, Blogs u.Ä.; – das Abrufen kostenpflichtiger Informationen und Beschaffungsvorgänge im Internet für den privaten Gebrauch (z.B. eBay) in einem mehr als nur geringfügigen Umfang, es sei denn, der Mitarbeiter ist vom Arbeitgeber ausdrücklich dazu beauftragt; – das Einbringen, Installieren oder Ausführen oder der Download von Software oder Programmcode aus dem Internet, es sei denn, der jeweilige Mitarbeiter ist durch den Arbeitgeber ausdrücklich dazu berechtigt; – der Download und das Verbreiten/Übermitteln von umfangreichen Dateien bzw. Dateianhängen (insb. Video-Dateien) für private Zwecke, soweit diese Dateien/Dateianhänge geeignet sind, die Funktionsfähigkeit der IT- und TK-Systeme des Arbeitgebers (insb. Backup-Systeme, Archivierungssysteme, Mailbox-Systeme) zu beeinträchtigen. 883 Grenzt der Arbeitgeber die private E-Mail-Nutzung nicht logisch oder physisch von der dienstlichen Nutzung ab (z.B. durch separate E-Mail-Anschrift oder Vorgaben einer Pflicht zur Kennzeichnung als privat), so ist grds. jede Kommunikation als privat anzusehen. Die Folge davon ist (nach der lange Zeit vorherrschenden Ansicht), dass der Mitarbeiter insoweit rechtlich nicht als Teil des Unternehmens einzuordnen ist, sondern der Arbeitgeber tritt in die Position eines geschäftsmäßigen E-Mail-/Internet-Providers ein und der Mitarbeiter ist insoweit sein „Kunde“.1116 Damit unterliegt der Arbeitgeber u.a. den teilweise strafbewehrten Vorschriften zum Schutz des Fernmeldegeheimnisses1117 (§§ 88, 89 Telekommunikationsgesetz, TKG) und zum Schutz des „Vertrauens der Allgemeinheit in die Sicherheit und Zuverlässigkeit des Fernmeldeverkehrs“ (§ 206 Strafgesetzbuch, StGB). Strafbar ist auch das „Unterdrücken“ von E-Mails, etwa durch technische Eingriffe, die bewirken, dass die Nachricht ihren Empfänger nicht bzw. verspätet oder nicht vollständig oder verstümmelt erreicht (§ 206 Abs. 2 Nr. 2 StGB). In diesen Fällen kann auch eine Strafdrohung nach § 303a StGB (strafbare Datenveränderung) erfüllt sein. Die genannten Straftatbestände können beispielsweise auch durch Ausfiltern von E-Mails (z.B. Spam-Filter) erfüllt werden. Dies gilt sowohl für die Fälle, in denen durch E-Mail-Filter E-Mails gelöscht werden, als auch für die Fälle, in denen die Zustellung blockiert wird oder die herausgefilterten E-Mails in eine (Quarantäne-) Station gepackt werden.
1116 Zu telekommunikations- und telemedienrechtlichen Einzelthemen der auch privaten Nutzung von Telefon, E-Mail und Internet am Arbeitsplatz, etwa Providerpflichten des Arbeitgebers, „Surfen“ am Arbeitsplatz, Intranet u.Ä., s. Conrad/Hausen, in: Auer-Reinsdorff/Conrad, § 37 Rz. 198 ff. 1117 Zur Reichweite des Fernmeldegeheimnisses und andere Fragen bei erlaubter Privatnutzung s.a. Rath/Karner, K&R 2007, 446; Wolf/Mulert, BB 2008, 442; Härting, CR 2007, 312; Fischer, ZD 2012, 265 jeweils m.w.N. Zum konzerninternen Outsourcing von E-Mail- und anderen IKT-Diensten und zum europarechtskonformen Schutz des Fernmeldegeheimnisses Klein, CR 2016, 606.
232
Conrad
Arbeitnehmerdatenschutz
Rz. 885
A
2009 hatte das VG Frankfurt festgestellt, dass das Fernmeldegeheimnis endet, wenn E-Mails 884 von Mitarbeitern an selbst gewählter Stelle archiviert oder gespeichert werden.1118 Seit etwa 2010 gibt es zunehmend arbeitsgerichtliche Rspr.1119 und Lit.,1120 die verneinen, dass der Arbeitgeber im Hinblick auf die auch private E-Mail-Nutzung TK-Diensteanbieter ist (wobei die Gerichtsurteile dies leider kaum begründen). Im Fall des LAG Berlin-Bdb.1121 aus 2010 war eine Arbeitnehmerin im Urlaub erkrankt und fiel mehrere Monate unerreichbar aus. Sie hatte vor Urlaubsantritt – entgegen Dienstanweisung – die Weiterleitungsfunktion für eingehende E-Mails deaktiviert. Der Arbeitgeber ließ in Anwesenheit des Betriebsrats und des betrieblichen Datenschutzbeauftragten nur E-Mails öffnen und ausdrucken, die anhand Betreffzeile und Absender erkennbar dienstlich und eilig waren. In seiner Begründung führt das LAG – entgegen wohl (noch) überwiegender Auffassung – aus: „Ein Arbeitgeber wird nicht allein dadurch zum Diensteanbieter i.S.d. TKG, dass er seinen Beschäftigten gestattet, einen dienstlichen Account auch privat zu nutzen. Belassen die Beschäftigten bei Nutzung des Arbeitsplatzrechners die eingehenden E-Mails im Posteingang bzw. die versendeten im Postausgang, so unterliegt der Zugriff des Arbeitgebers auf diese Daten nicht des rechtlichen Beschränkungen des Fernmeldegeheimnisses [Art. 10 GG, § 88 TKG].“ Auch das VG Karlsruhe1122 verneint die Anwendbarkeit von § 88 TKG auf die private E-Mail-Nutzung, insb. – aber nicht nur – dann, wenn die Erlaubnis der Privatnutzung nicht ausdrücklich erklärt wird:1123 Denn Sinn und Zweck des TKG sei nicht „die unternehmens- beziehungsweise behördeninternen Rechtsbeziehungen – etwa zwischen Arbeitgeber und Arbeitnehmer – zu regeln.“ Eingriffe in das Fernmeldegeheimnis aufgrund einer Einwilligungserklärung sind nur dann zulässig, wenn alle Beteiligten des Kommunikationsvorgangs (also Absender und Empfänger) ihr Einverständnis erklärt haben. Dabei spielt es keine Rolle, ob der Arbeitnehmer angemailt wird oder selbst gemailt hat. Folgende Überwachungen/Filterungen des privaten E-Mail-Verkehrs sind gesetzlich erlaubt und daher auch ohne ausdrückliche Einwilligung der betroffenen Nutzer zulässig: § 88 Abs. 3 TKG gestattet dem Arbeitgeber u.a. sich Kenntnis vom Inhalt und den näheren Umständen der Kommunikation zu verschaffen, soweit dies zum Schutz der technischen Systeme erforderlich ist. § 109 Abs. 1 Nr. 2 TKG schreibt technische Vorkehrungen oder sonstige angemessene Maßnahmen zum Schutz gegen unbefugte Zugriffe auf die Telekommunikation und Datenverarbeitungssysteme vor. Dabei ist zu beachten, dass – die Erhebung personenbezogener Daten bei diesen Maßnahmen soweit wie möglich vermieden wird, – die Informationen (Protokolle) nur zur Wahrung der Datensicherheit verwendet werden dürfen; nur in besonderen Fällen (z.B. bei Einwilligung des Betroffenen oder strafrechtlicher Verfolgung durch die Strafverfolgungsbehörden) ist eine Durchbrechung der strikten Zweckbindung zulässig, – keine sonstigen Vereinbarungen (z.B. arbeitsvertragliche Regelung, evtl. betriebliche Übung) entgegenstehen.
1118 VG Frankfurt/M. v. 6.11.2008 – 1 K 628/08.F, WM 2009, 948; s. zum Fernmeldegeheimnis auch BVerfG v. 16.6.2009 – 2 BvR 902/06. 1119 LAG Bln.-Bdb. v. 16.2.2011 – 4 Sa 2132/10; ähnlich: LAG Nds. v. 31.5.2010 – 12 Sa 875/09 – ArbRB 2010, 300. 1120 Schuster, CR 2014, 21 ff.; zur hM.: Rath/Karner, K&R 2010, 469; Hoppe/Braun, MMR 2010, 80. 1121 LAG Bln.-Bdb. v. 16.2.2011 – 4 Sa 2132/10, dazu etwa Fülbier/Splittgerber, NJW 2012, 1995. 1122 VG Karlsruhe v. 27.5.2013 – 2 K 3249/12, CR 2013, 428, Rz. 72 f. 1123 Im konkreten Fall begehrte der ehemalige Ministerpräsident von BW, Mappus, die Löschung von kopierten Daten aus seinem ihm vom Staatsministerium zur Verfügung gestellten E-Mail-Postfach.
Conrad
233
885
A Rz. 886
Datenschutz und IT-Management
Soweit die entstandenen Protokolle nicht mehr benötigt werden, sind sie zu vernichten oder zu sperren. Eine unbeschränkte und vollständige Überwachung der Beschäftigten ist nicht gerechtfertigt. 886 Nach § 97 TKG dürfen Verbindungsdaten (nicht Content-Daten!) von Mitarbeitern, die E-Mail und Internet in erlaubter Weise privat nutzen – ohne Einwilligung des betroffenen Mitarbeiters –, erhoben werden, um das Entgelt für die Telekommunikationsdienste zu ermitteln. Nach § 100 Abs. 1 bis 3 TKG ist ebenso auch ohne Einwilligung zulässig die Verarbeitung von Verbindungsdaten (nicht Content-Daten!), soweit sie für – die technische Durchführung der Telekommunikation, – zum Erkennen und Beseitigen von Störungen und – für das Aufklären und Unterbinden rechtswidriger Inanspruchnahme des Internet- und E-Mail-Zugangs erforderlich ist. Für den zuletzt genannten Zweck kann daher die Protokollierung der Internetnutzung z.B. durch eine Firewall zulässig sein. Voraussetzung ist jedoch, dass tatsächliche Anhaltspunkte für eine rechtswidrige Inanspruchnahme vorliegen. Der Verdacht darf sich gerade nicht aus der Protokollierung der Verbindungsdaten ergeben, sondern es müssen vorab konkrete Anhaltspunkte für den Missbrauch der Internet-/E-Mail-Nutzung sprechen. 887 Für eine darüber hinausgehende Filterung von E-Mails und URL-Zugriffen, insb. für eine Content-Filterung (z.B. nach bestimmten Suchbegriffen) und Einsatz von zentralen Spamfiltern, ist eine vorherige Einwilligung von Absender und Empfänger des jeweiligen E-MailKommunikationsvorgangs erforderlich.1124 Dies gilt grds. auch für zentrale Archivierung von E-Mails, wenn dies auch (erlaubte) private E-Mails erfasst. 888 Häufig werden zu diesem Zweck betriebliche Vereinbarungen zur erlaubten (auch) privaten Nutzung von Telefon, E-Mail und Internet am Arbeitsplatz abgeschlossen, obgleich dies die Einwilligung des externen privaten Kommunikationspartners des Mitarbeiters nicht ersetzen kann. Gleichwohl sind solche Vereinbarungen (sei es als Betriebsvereinbarungen oder Individualvereinbarungen) zweckmäßig, weil sie den Nutzungsumfang konkretisieren und bestimmte Sicherheitsrisiken regeln können. Nicht übersehen werden darf dabei, dass solche Vereinbarungen die datenschutz- und telekommunikationsrechtlichen Anforderungen an eine Einwilligung erfüllen müssen.1125 Dazu ist erforderlich, die Kategorien von personenbezogenen Arbeitnehmerdaten, die etwa bei Filtermaßnahmen oder sonstigen Kontrollund Sicherheitsmaßnahmen anfallen, in der Vereinbarung festzulegen. Auch die Nutzungszwecke der Daten, also die Auswertungsmaßnahmen ggf. auch Konkretisierungen der Filtermaßnahmen, müssen konkret bestimmt sein. Wie entscheidend für den Arbeitgeber wirksame – und zulässige – IT-Sicherheitsmaßnahmen sowie die Regelung und Einhaltung von Kontrollverfahren sind, zeigt eine E. des LAG Berlin-Bdb.1126 Ein Mitarbeiter hatte eigenmächtig einen Gruppen-Email-Account des Arbeitgebers mit über 1.000 Datensätzen von Großkunden gelöscht. Arbeitgeber hatte die Protokolldaten der Löschung unter Verstoß gegen die IT-Betriebsvereinbarung ausgewertet, weil er u.a. den betrieblichen Datenschutzbeauftragten nicht hinzugezogen hatte. Nach Ansicht des LAG unterliegen die Protokolldaten wegen des Verstoßes gegen die Betriebsvereinbarung
1124 Für den Einsatz von Virenfiltern ergibt sich die Erlaubnis des TK-Dienstanbieters aus § 109 TKG. Für den Einsatz von Spam-Filtern oder zentrale Archivierung gibt es keine vergleichbare gesetzliche Erlaubnis. 1125 Zur datenschutzrechtlichen Einwilligung von Arbeitnehmern: Rz. 810 ff. 1126 LAG Berlin-Bdb. v. 9.12.2009 – 15 Sa 1463/09, NZA-RR 2010, 347.
234
Conrad
Arbeitnehmerdatenschutz
Rz. 891
A
einem Beweisverwertungsverbot und die fristlose Kündigung ist unwirksam, obwohl der Betriebsrat der Kündigung ausdrücklich zugestimmt hatte.1127 Ebenfalls praxisrelevant ist eine Regelung von Vertretungsfällen. Das sind Fälle, in denen 889 Mitarbeiter wegen Krankheit, Urlaub oder aus sonstigen Gründen länger abwesend ist oder wenn in Notfällen der Arbeitgeber auf die dienstlichen E-Mails des abwesenden Mitarbeiters zugreifen muss und dabei ggf. zwangsläufig auch private E-Mails zur Kenntnis nehmen könnte.1128 Auch hier ist bei erlaubter Privatnutzung grds. eine Einwilligung des Mitarbeiters erforderlich, wenn keine technische Abgrenzung der privaten E-Mails durchgeführt wird. Ein ähnliche Problemlage tritt bei Ausscheiden von Mitarbeitern auf. Möglich wäre, dass in 890 den Rückgabeprotokollen für dienstliche Laptops, Handys etc. eine Regelung aufgenommen wird, wonach der Mitarbeiter bestätigt, vor Abgabe des Geräts alle privaten Daten, insb. personenbezogene (etwa private E-Mails, SMS und private Telefonverzeichniseinträge) gelöscht zu haben. Das Fehlen einer solchen Regelung, kann fatale Folgen für den Arbeitgeber haben. In einer E. des OLG Dresden1129 hatte der Arbeitgeber einem Fahrradkurier ein Smartphone zur Verfügung gestellt. Bei Beendigung des Arbeitsverhältnisses hatte der Arbeitgeber private E-Mails gelöscht, die der ehemalige Arbeitnehmer benötigte. Das Gericht stellt im einstweiligen Rechtsschutzverfahren fest, dass es zu den Nebenpflichten in einem Arbeitsverhältnis gehört, Schäden für Rechtsgüter des Arbeitnehmers, die aus der Sphäre des Arbeitgebers stammen können, von diesem fern gehalten werden müssen. Diese Nebenpflichten können auch nach Beendigung des Arbeitsverhältnisses noch bestehen, etwa wenn der Arbeitgeber i.R.d. Arbeitsverhältnisses dem Arbeitnehmer einen E-Mail-Account bereitstellt, den dieser auch privat nutzt. Leitsatz des Gerichts: „Wird im Rahmen eines Dauerschuldverhältnisses von einer Partei für die andere ein E-Mail-Account angelegt, darf dieser nach Kündigung des Vertrages solange nicht gelöscht werden, wie nicht feststeht, dass der Nutzer für die auf dem Account abgelegten Daten keine Verwendung mehr hat. Die Verletzung dieser Pflicht kann einen Schadensersatzanspruch auslösen.“ Ähnlich häufig wie die Löschung von Daten durch den Arbeitgeber bei Ausscheiden eines 891 Arbeitnehmers (v.a. i.R.d. Neuformatierung der zurückgegebenen Geräte) ist die, ggf. unbefugte Löschung durch ausscheidende Mitarbeiter. In einem Fall des OLG Nürnberg1130 hatte der Arbeitgeber deswegen Strafanzeige gestellt. Zwei leitende Mitarbeiter im Außendienst, die hinsichtlich der Datenlöschung nicht bestimmten Weisungen oder Kontrollen des Arbeitgebers unterlagen, löschten mit einer speziellen Software anlässlich ihres Ausscheidens alle Daten auf ihren dienstlichen Laptops. Die Laptops enthielten Daten, die die Außendienstmitarbeiter vom Arbeitgeber zur Erfüllung ihrer Arbeitspflicht erhalten bzw. bei Akquise und Betreuung von Kunden erhoben hatten. Der Arbeitgeber hatte den Verdacht, dass sich die Mitarbeiter unberechtigt, Geschäftsgeheimnisse, Kundendaten und Vertragsvorlagen verschafft hatten. Nach Ansicht des OLG Nürnberg sind weder § 274 StGB (Urkundenunterdrückung) noch § 303a StGB (Datenveränderung) einschlägig und es verwies den Arbeitgeber hinsichtlich des Tatverdachts einer Straftat nach §§ 16–19 UWG auf den Privatklageweg. „§ 303a StGB erfasst Daten, an denen ein unmittelbares Recht einer anderen Person auf Nutzung, Verarbeitung und Löschung besteht. Diese Daten- Verfügungsbefugnis steht grds. demjenigen zu, der die Speicherung der Daten unmittelbar selbst bewirkt hat. Das gilt in der Regel auch im Rahmen eines Arbeits- oder Dienstverhältnisses bei in fremden Auftrag erstellten Daten; solange der Auftragnehmer die Daten nicht dem Auftraggeber
1127 Pröpper, JurPC Web-Dok. 80/2010, Abs. 1 – 10; zum Beweisverwertungsverbot bei rechtswidrig erlangten Arbeitnehmerdaten ArbG Cottbus v. 25.11.2014 – 3 Ca 359/14, ZD 2016, 301. 1128 Dazu etwa v. Brühl/Sepperer, ZD 2015, 415; Lensdorf/Born, CR 2013, 30. 1129 OLG Dresden v. 5.9.2012 – 4 W 961/12, ZD 2013, 232 m. Anm. Schröder. 1130 OLG Nürnberg v. 23.1.2013 – 1 Ws 445/12, ZD 2013, 282 m. Anm. Schröder.
Conrad
235
A Rz. 892
Datenschutz und IT-Management
ausgehändigt hat, besteht für den Auftraggeber außerhalb des Schutzbereiches des UWG lediglich ein Schutz aufgrund der gegenseitigen schuldrechtlichen Verpflichtungen.“1131 11.6 Telearbeit, Homeoffice, BYOD 892 Im engeren Sinne denkt man bei „Bring your own device“1132 v.a. an die dienstliche Nutzung privater mobiler Endgeräte (Devices). Das erfasst aber nur einen Teilbereich.1133 Für die Verwischung der Grenze zwischen dienstlichem und privatem Endgerät haben kostenlos abrufbare Open-Source-Anwendungen und zumindest für private Zwecke kostenlos nutzbare Cloud-Dienste wie Google-Kalender und Google-Mail gesorgt, deren Funktionalitäten und weltweite Verfügbarkeit teilweise anwenderfreundlicher sind, als Anwendungen und VPN-Lösungen des Arbeitgebers. In der Folge haben Mitarbeiter z.B. für die dienstliche Terminplanung den Google-Kalender eingesetzt oder für die gemeinsame Projektarbeit schnell ein Wiki bei einem Dienstleister aufgesetzt. Auf solche Weise initiierten Nutzer Outsourcing, das vom Arbeitgeber nicht beauftragt war.1134 Während bei einem vom Arbeitgeber bewusst als Auslagerung an einen gewerblichen Dritten gesteuerten Outsourcing z.B. Festlegungen zum Auftrag, zu den SLA u.Ä. der Regelfall sind (zumindest bei größeren KundenUnternehmen), fehlen oft Vereinbarungen zwischen Arbeitgeber und Mitarbeiter, was Umfang, Grenzen, Sicherheitsmaßnahmen, Verfügbarkeit1135 und Kontrolle bei BYOD betrifft. Die Cloud-Problematik1136 kann insoweit vergleichend herangezogen werden, als es auch dort um die Beherrschbarkeit – datenschutzrechtlich um die Frage der Datenherrschaft – geht. Einerseits führt der Einsatz privater IT zu weiterer Auslagerung, evtl. auch in die Cloud. Andererseits werden durch den Mitarbeiter private Software, Daten und Datenbanken in den Betrieb „mitgebracht“. Somit stellt sich datenschutzrechtlich zunächst die Frage, nach der Anwendbarkeit des BDSG und nach der verantwortlichen Stelle. 893 § 1 Abs. 2 Nr. 3 BDSG schließt die Anwendbarkeit des BDSG explizit für die Erhebung, Verarbeitung und Nutzung „für persönliche oder familiäre Tätigkeiten“ aus.1137 Dadurch, dass der Mitarbeiter bei BYOD sein Gerät zu dienstlichen Zwecken nutzt – auch wenn es sich um sein privates Endgerät handelt -, liegt keine Erhebung, Verarbeitung oder Nutzung für persönliche oder familiäre Zwecke vor, sodass das Datenschutzrecht uneingeschränkt Anwendung findet.1138 Entscheidend ist, wer als verantwortliche Stelle Adressat der Datenschutzvorschriften ist und die Verantwortlichkeit für die Erhebung, Verarbeitung und Nutzung der Daten trägt. Der Arbeitnehmer ist grds. dem Verantwortungsbereich des Arbeitsgebers zuzurechnen, soweit er bei der Verarbeitung, Erhebung und Nutzung von Daten für betriebliche Zwecke in Erfüllung seiner arbeitsvertraglichen Pflichten handelt.1139 Der Beschäftigte bleibt auch bei Nutzung des privaten Geräts zu dienstlichen Zwecken Teil der verantwort-
1131 OLG Nürnberg v. 23.1.2013 – 1 Ws 445/12 (Ls.). 1132 Dazu auch Helfrich, in: Forgó/Helfrich/Schneider, S. 245 ff. 1133 Conrad, in: Auer-Reinsdorff/Conrad, § 37 Rz. 277 ff.; Lensdorf/Mayer-Wegelin/Mautz, CR 2009, 62. 1134 S. kritisch dazu Conrad/Schneider, ZD 2011, 153 zur Nutzung von Google-Diensten im Unternehmen Schuster, Vortrag IRIS 2009 in Salzburg. 1135 Wie kann etwa die Produktivität bei Verlust oder Reparatur des Endgeräts, z.B. durch Support-Verträge oder Ersatzhardware, sichergestellt werden? 1136 Abgesehen davon, ob sich Cloud als Auftragsdatenverarbeitung wirksam gestalten lässt; s. allg. Engels, K&R 2011, 548; Hennrich, CR 2001, 546; Heidrich/Wegener, MMR 2010, 810. 1137 EuGH v. 11.12.2014 – C-212/13, NJW 2015, 463 zur Videoüberwachung in Privathaus. 1138 Dazu etwa Conrad/Schneider, ZD 2011, 153 (154); Helfrich, in: Forgó/Helfrich/Schneider, IV. 2 Rz. 25 ff.; Göpfert/Wilke, NZA 2012, 765; insgesamt scheint der EuGH (Urt. v. 11.12.2014 – C-212/13, CR 2015, 10) die „Datenverarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ i.S.v. Art. 3 Abs. 2 zweiter Gedankenstrich RL 95/46/EG eher eng auszulegen. Z.B. ist Videoüberwachung des öffentlichen Raums durch Private zum privaten Schutz keine solche Datenverarbeitung zur ausschließlich persönlichen oder familiären Tätigkeit. 1139 Helfrich, in: Forgó/Helfrich/Schneider, IV. 2. Rz. 33.
236
Conrad
Arbeitnehmerdatenschutz
Rz. 894
A
lichen Stelle des Arbeitgebers.1140 In der Folge ergibt sich, dass es keines Auftragsdatenverarbeitungsvertrags gem. § 11 BDSG bedarf, soweit die Tätigkeit des Beschäftigten dem Arbeitgeber als verantwortliche Stelle zuzurechnen ist.1141 Eine Ausnahme kann sich etwa ergeben, wenn der Arbeitnehmer privat Daten erhebt, verarbeitet oder nutzt, die er dann dem Betrieb zu dienstlichen Zwecken zur Verfügung stellt. Er ist im Hinblick auf die Datenübermittlung an den Arbeitgeber u.U. nicht Teil von dessen verantwortlicher Stelle.1142 Wenn der Arbeitgeber jedoch die dienstliche Nutzung von privaten Geräten ausdrücklich untersagt, erfolgt grds. keine Zurechnung der Erhebung, Verarbeitung und Nutzung zum Arbeitgeber und der Arbeitnehmer ist selbst verantwortliche Stelle. Allerdings kann auch hier das Institut der betrieblichen Übung eine Rolle spielen. Wenn der Arbeitgeber mehrjährig duldet (nie abmahnt, nie auf sonstige Weise sanktioniert), dass seine Arbeitnehmer private Hardware, Software oder Dienste zu dienstlichen Zwecken nutzen, muss sich der Arbeitgeber ggf. die Duldung zurechnen lassen.1143 BYOD steht in engem Zshg. zur privaten E-Mail- und Internetnutzung am Arbeitsplatz1144 894 und hat in datenschutzrechtlicher Hinsicht viele Gemeinsamkeiten mit Telearbeit (Homeoffice). Telearbeit hat gerade im IT-Bereich eine hohe Relevanz was einerseits der Fachkräftemangel und in der Folge umfangreichen Einsatz von Freelancern mit sich bringt und zum anderen die hohen Anforderungen an die Verfügbarkeit und die Service Level (teilweise mit 24x7 Bereitschaft hinsichtlich der Antwort- und Reaktionszeiten) während und nach Einführung unternehmenskritischer Anwendungen (etwa ERP-Systeme). Alle diese Phänomene wurden durch die gestiegenen Anforderungen des Arbeitsmarktes hinsichtlich Mobilität und flexible Arbeitszeiten ausgelöst. Sie haben gemeinsam, dass IT-Sicherheits- und Datenschutzrisiken drohen können, soweit dienstliche und private Nutzung bzw. Daten „vermischt“ werden.1145 Im Ergebnis stehen die Datenschutzbehörden BYOD ähnlich zurückhaltend gegenüber wie Telearbeit/Homeoffice. Orientierungshilfe bei BYOD bieten auch – wegen der erwähnten Parallelen – Stellungnahmen der Datenschutzbehörden zu Tele-/Heimarbeit.1146 Nicht alle betrieblichen Aufgaben eignen sich für Heimarbeit, etwa wenn besondere Geheimhaltungsanforderungen bestehen.1147 Insoweit dürfte auch BYOD unzulässig sein. 1140 Helfrich, in: Forgó/Helfrich/Schneider, IV. 2. Rz. 36 f. 1141 Für durchaus erforderlich hält dies Koch, ITRB 2012, 35 (39). 1142 Moos/Arning, Datenschutz- und Datennutzungsverträge, 2014, Teil 4 VI Rz. 12; bei Leiharbeiternehmern, die im arbeitsrechtlichen Sinne Arbeitnehmer des Verleihers sind, ist im Regelfall nach der betrieblichen Eingliederung zu differenzieren. Ist der Leiharbeitnehmer in den Betrieb des Entleihers eingegliedert (hat dort z.B. einen Bildschirmarbeitsplatz, ist dort Mo-Fr tätig, nutzt die Kantine des Entleihers etc.), dann wird er datenschutzrechtlich als Teil der verantwortlichen Stelle des Entleihers behandelt, soweit er für den Entleiher tätig ist – selbst soweit er dafür ein privates Endgerät nutzt. 1143 Anders kann dies ggf. zu bewerten sein bei freien Mitarbeitern. Bei sogenannten Freelancern ist zu differenzieren, ob diese scheinselbständig und somit als Beschäftigte im datenschutzrechtlichen Sinne und Teil der verantwortlichen Stelle des Arbeitgebers zu behandeln sind, oder als Selbständige. Diese Differenzierung wird überwiegend arbeitsrechtlich nicht datenschutzrechtlich vorgenommen. Bei selbständiger Tätigkeit liegt regelmäßig eine Funktionsübertragung vor, wenn der Auftraggeber die Auslagerung der Daten nicht beherrscht. 1144 Einzelheiten und Rspr. s. Rz. 877 ff. 1145 Auch zwischen BYOD und der Nutzung von Social Media durch Arbeitnehmer gibt es eine Schnittmenge. Ebenso fließend kann der Übergang zwischen dienstlich und privat bei Beiträgen von Mitarbeitern in Netzwerken, die der Darstellung der beruflichen Qualifikation dienen (z.B. Xing), oder in Foren und Blogs. Zu Social Media s.a. Rz. 729 ff. 1146 Rieble/Picker, ZfA 2013, 383; s.a. LfD Nds., Telearbeit … aber datenschutzgerecht – Orientierungshilfe und Checkliste, Stand 23.8.1999 (abrufbar unter www.lfd.niedersachsen.de); BfDI, Telearbeit – Ein Datenschutz-Wegweiser, Stand 8/2012 (abrufbar unter www.lfd.niedersachsen.de); 35. TB LfDI Hess., Telearbeit; 20. TB ULD Schl.-Holst., Nr. 6.4, datenschutzrechtliche Einordnung Telearbeit; 32. TB ULD Schl.-Holst., Nr. 6.3, Tele-, Heim- und mobile Arbeit; 21. TB LfDI Saarl., Nr 13.6, Prüfung Telearbeitsplätze; IX. TB LfD Sa.-Anh., Nr. 14.14, Telearbeit; 22. TB BfDI, Nr. 11.4, Nicht alle Aufgaben eignen sich für Telearbeit; 14. TB LfD Sachs., Nr. 14.1.1.4, Mobile Datenträger. 1147 Zum Schutz von Betriebs- und Geschäftsgeheimnissen bei BYOD Bierekoven, ITRB 2012, 106.
Conrad
237
A Rz. 895
Datenschutz und IT-Management
895 Für den Arbeitgeber ist es ggf. schon aus Gründen der Transparenz (§ 307 BGB) wichtig, eine Synchronisierung zwischen den Maßnahmen und Regelungen (etwa Betriebsvereinbarungen) zu BYOD, Telearbeit und Privatnutzung von betrieblicher IT herbeiführen.1148 Bevor jedoch einzelne Sicherheitsmaßnahmen implementiert werden können, sind eine Inventarisierung der privaten Devices sowie Maßgaben für eine zentrale Verwaltung durch die IT-Abteilung des Arbeitgebers erforderlich. Die zentrale Verwaltung der privaten Endgeräte beziehungsweise der darauf installierten Apps ist mithilfe des sog. Mobil Device Management (MDM) bzw. Mobile Application Management (MAM) möglich.1149 896 BYOD ist – jedenfalls nach überwiegender Auffassung1150 – nicht per se unzulässig. Wenn jedoch die Kontroll- und Verfügungsgewalt des Arbeitgebers sowie das Datenschutz- und Sicherheitsniveau (Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit) durch BYOD absinken und der Arbeitgeber als verantwortliche Stelle insb. das datenschutzrechtliche Trennungsgebot (dienstliche – private Datenverarbeitung) nicht wahrt, werden Datenschutzvorschriften verletzt. Gem. § 9 BDSG hat die verantwortliche Stelle, also der Arbeitgeber,1151 durch technische und organisatorische Maßnahmen die Einhaltung der datenschutzrechtlichen Pflichten sicherzustellen – dies gilt auch im Verhältnis zu BYOD. Die meisten technischen Sicherheitsmaßnahmen für BYOD, etwa auch Sandbox- oder Containerlösungen, geben dem Arbeitgeber Einblick in das Nutzungsverhalten des Arbeitnehmers, weil die Sicherheitsmaßnahmen regelmäßig Dokumentations- bzw. Protokollfunktionalitäten zur Verfügung stellen und automatisiert Daten über das Nutzungsverhalten erheben.1152 Insoweit ist unter betriebsverfassungsrechtlichen Gesichtspunkten § 87 Abs. 1 Nr. 6 BetrVG relevant. Unter datenschutzrechtlichen Gesichtspunkten benötigt der Arbeitgeber eine Erlaubnis. Soweit der Arbeitgeber bei Administrierung des privaten Geräts oder i.R.v. Sicherheitsmaßnahmen den privaten Datenumgang auf dem Device (etwa Kurznachrichten, Telefonlisten, E-Mails, Daten in Spiele-Apps etc.) z.B. mit-loggt bzw. speichert, kommt § 32 Abs. 1 Satz 1 BDSG als Erlaubnis nicht in Betracht. Schon aus diesem Grund empfiehlt sich, den privaten und den dienstlichen Umgang auf dem privaten Gerät z.B. durch zwei verschiedene Container-Apps zu trennen.1153 Denn für den dienstlichen Datenumgang ist § 32 Abs. 1 Satz 1 BDSG erfüllt, jedenfalls wenn sichergestellt ist, dass die Arbeitnehmer den dienstlichen Container nur zu dienstlichen und nicht zu privaten Zwecken nutzen.1154 897 Will der Arbeitgeber ein Zugriffsrecht auf private Geräte des Beschäftigten haben, muss ein solches explizit mit diesem – ggf. unter Hinzuziehung des Betriebsrats (zum Mitbestimmungsrecht des Betriebsrats – vereinbart werden. Bei Kontrollmaßnahmen durch den Arbeitgeber muss stets der Grundsatz der Verhältnismäßigkeit gewahrt werden, auch wenn der Arbeitnehmer einwilligt.1155 Bei unverhältnismäßigen Kontrollmaßnahmen liegt nahe, dass die Einwilligung nicht freiwillig war. Die Herausgabedauer sollte vertraglich zum Beispiel auf die tägliche Arbeitszeit1156 beschränkt werden. Soweit es sich bei der BYOD-Regelung um AGB handelt, was regelmäßig der Fall sein dürfte, sind Regelungen unwirksam, die den Arbeitnehmer unangemessen benachteiligen (§ 307 Abs. 2 Nr. 1 BGB). Der Entzug der privaten Nutzungsmöglichkeit kann eine solche unangemessene Benachteiligung darstellen. Allerdings wäre bei der Beurteilung der Unangemessenheit zu berücksichtigen, ob der
1148 Zur vertraglichen Absicherung von Bring Your Own Device: Arning/Moos/Becker, CR 2012, 592. 1149 Computerwoche vom 13.8.2012, S. 12 f. – So behalten Sie die Fäden in der Hand; zu Data Loss Prevention Systemen Conrad, CR 2011, 797. 1150 S. Überblick m.w.N. bei Kranig, in: Conrad/Grützmacher, S. 411 (422 ff.). 1151 S. Rz. 715. 1152 Wisskirchen/Schiller, DB 2015, 1163 (1164). 1153 S. dazu Rz. 877 ff. 1154 S. insoweit auch Parallelen zur privaten E-Mail-Nutzung am Arbeitsplatz Rz. 877 ff. 1155 Conrad, in: Auer-Reinsdorff/Conrad, § 37 Rz. 290. 1156 Kremer/Sander, in: Koreng/Lachenmann, S. 404.
238
Conrad
Arbeitnehmerdatenschutz
Rz. 900
A
Arbeitgeber dem Arbeitnehmer für die Zeit der Herausgabe (jedenfalls wenn diese länger, etwa nach Dienstschluss andauert) ein vergleichbares Ersatzgerät zur Verfügung stellt.1157 Die Einwilligung im Beschäftigungsverhältnis ist wirksam möglich, der Arbeitnehmer muss 898 aber „frei entscheiden“ können.1158 Dies ist im Hinblick auf betriebliche Kontrolle bzw. betriebliche Administration von BYOD nur gewährleistet, wenn dem Arbeitnehmer angemessene Betriebsmittel zur Verfügung stehen, sodass er auf BYOD nicht angewiesen ist und wenn zudem die Kontrollen und Sicherheitsmaßnahmen des Arbeitgebers verhältnismäßig sind1159 Daneben stellt sich bei BYOD häufig die Frage, inwieweit der Beschäftigte überhaupt berechtigterweise einwilligen kann: Häufig werden auf dem Gerät des Beschäftigten auch Emails und sonstige Daten (etwa Fotos etc.) Dritter gespeichert sein, für die der Beschäftigte keine Einwilligung erklären kann. Restriktionen für die Kontrollmöglichkeiten des Arbeitgebers können sich aufgrund des 899 Fernmeldegeheimnisses (§ 88 TKG) und der TK-Datenschutzvorschriften (§§ 91 ff. TKG) ergeben, jedoch nur, soweit die SIM-Card des Smartphones/Tabletts vom Arbeitgeber gestellt wird. Denn nur dann kommt in Betracht,1160 dass der Arbeitgeber als Diensteanbieter i.S.v. § 3 Nr. 24 TKG zu behandeln ist. Die TK-rechtliche Bewertung weist Parallelen zur privaten E-Mailnutzung am Arbeitsplatz auf.1161 Verwendet der Arbeitnehmer eine eigene SIM-Card, ist das TKG, insb. § 88 TKG, nach überwiegender Auffassung nicht anwendbar. Auch §§ 11 ff. TMG sind nicht anwendbar, soweit der Arbeitnehmer mittels eines privaten Endgeräts private Apps zu dienstlichen Zwecken oder dienstliche Apps zu dienstlichen Zwecken nutzt (s. § 11 Abs. 1 TMG).1162 Der Arbeitgeber hat aber die Vorschriften des BDSG etwa hinsichtlich der Daten, die auf einem Endgerät des Arbeitnehmers gespeichert sind, zu beachten.1163 11.7 Missbrauch von Administratorenrechten Systemadministratoren sind i.d.R. mit weitreichenden Zugriffsrechten auf die betrieblichen 900 IT-Systeme ausgestattet. Dadurch haben sie die technische Möglichkeit, den internen und externen E-Mail-Verkehr des Unternehmens einzusehen. Ein Missbrauch von Administratorenrechten stellt regelmäßig eine Verletzung arbeitsvertraglicher Pflichten dar. Ob jedoch ein solcher Missbrauch eine fristlose Kündigung rechtfertigt, ist in der Rspr. bislang nicht einheitlich behandelt worden (dazu Rz. 901 f.).1164 Daneben kommt ein Verstoß des Systemadministrators gegen das Datengeheimnis aus § 5 BDSG sowie ein Ausspähen von Daten gemäß 202a StGB in Betracht. Die Verletzung des Fernmeldegeheimnisses (§ 88 TKG bzw. § 206 StGB) ist ein Sonderdelikt, dass nur von TK-Providern – also etwa vom Arbeitgeber im Hinblick auf eine erlaubte Privatnutzung von E-Mail- und Internet am Arbeitsplatz – begangen werden kann.1165 Allerdings muss sich ggf. der Arbeitgeber im Hinblick auf Betroffene, deren Persönlichkeits- und Datenschutzrechte durch den Missbrauch des Systemadministrators verletzt wurden, das Handeln des Administrators zurechnen lassen. Zur Klarstellung empfiehlt sich für die Unternehmens- bzw. Personalleitung, arbeitsvertraglich ausdrücklich zu regeln, dass Systemadministratoren der zweckwidrige E-Mail-Zugriff untersagt ist. Zudem soll-
1157 Göpfert/Wilke NZA 2012, 765 (769); zur Nutzungsentziehung von über 24 Stunden Moos/Arning, Datenschutz- und Datennutzungsverträge, 2014, Teil 4 VI Rz. 101. 1158 BAG v. 11.12.2014 – 8 AZR 1010/13, ZD 2015, 330. 1159 S. Rz. 810 ff., 870. 1160 Göpfert/Wilke NZA 2012, 765 (767); Arning/Moos DB 2013, 2607 (2608); Moos/Arning, Datenschutz- und Datennutzungsverträge, 2014, Teil 4 VI Rz. 4. 1161 S. im Einzelnen Rz. 877 ff. 1162 Wisskirchen/Schiller, DB 2015, 1163 (1164). 1163 Arning/Moos DB 2013, 2607 (2609). 1164 Sächs. LAG v. 17.1.2007 – 2 Sa 808/05, K&R 2008, 256, zum Entfernen eines Programms von einem Arbeitgeber-Notebook: Kündigung berechtigt. 1165 Dazu s. im Einzelnen Rz. 883 ff. (Der Betrieb als Provider).
Conrad
239
A Rz. 901
Datenschutz und IT-Management
ten die Systemadministratoren schriftlich über die Konsequenzen eines Missbrauchs, v.a. über die relevanten Strafvorschriften, belehrt werden. 901 Die Rspr. der Arbeitsgerichte zu diesem Problemkreis scheint sich in den letzten Jahren zulasten der Systemadministratoren verschärft zu haben. So hatte 1982 das LAG Köln1166 noch entschieden, dass der Arbeitgeber einen Programmierer, der unbefugt „eine Geheimliste vom Computer“ abgefragt hatte, vor der Kündigung zunächst eindeutig im Hinblick auf Verstöße gegen den Datenschutz abmahnen müsse. 1981 hat das BAG1167 geurteilt, dass der „Missbrauch der EDV-Anlage zur Erstellung einer Liste sämtlicher Arbeitnehmer für persönliche Zwecke durch einen Arbeitnehmer einen verhaltensbedingten Kündigungsgrund für eine ordentliche Kündigung darstellt“. Es ging also um eine ordentliche Kündigung, nicht um eine fristlose. Zudem sah das BAG als Grund für die Kündigung die unbefugte Listenerstellung an und nicht bereits den unbefugten Zugriff. Allerdings hatte 1994 das LAG BW1168 eine fristlose Kündigung für wirksam erachtet, „wenn ein Mitarbeiter auf Dateien mit schutzwürdigem Inhalt zugreift, auf die er nicht zugreifen darf“. In diesem Sinne hatte auch das ArbG Osnabrück1169 festgestellt, dass „die rechtswidrige und strafbare Einsichtnahme in Dateien mit vertraulichen Beurteilungsdaten einen schweren Vertrauensbruch darstellt, der auch ohne vorherige Abmahnung jedenfalls zur ordentlichen Kündigung des Arbeitsverhältnisses berechtigt“. 902 In einem Fall, den das ArbG Aachen1170 2006 zu entscheiden hatte, klagte ein langjährig angestellter Systemadministrator, der anlässlich eines Streitgesprächs mit seinem Vorgesetzten unbefugt Einsicht in interne E-Mails genommen hat, die diesen Konflikt betrafen. Über die Strafbarkeit und mögliche arbeitsrechtliche Konsequenzen beim Zugriffsmissbrauch war er schriftlich informiert gewesen. Der unbefugte E-Mail-Zugriff war durch elektronische Empfangsbestätigungen an den Absender aufgefallen. Bei einer ersten Konfrontation mit den Ausdrucken einer Empfangsbestätigung stritt der Systemadministrator den Vorfall ab. Später räumte er ein, die entsprechende E-Mail eingesehen zu haben, verschwieg jedoch, dass er auch auf zwei weitere E-Mails unbefugt zugegriffen hatte. Nach Ansicht des Gerichts rechtfertigt der Missbrauch der übertragenen Zugriffsrechte eine fristlose Kündigung auch ohne Abmahnung. Der durch den Missbrauch verursachte Vertrauensbruch sei so erheblich, dass der Arbeitgeber fristlos kündigen durfte. Das Gericht sah einen schwerwiegenden Verstoß gegen arbeitsvertragliche Pflichten, da der Arbeitnehmer unter Missbrauch der ihm übertragenen Befugnisse und technischen Möglichkeiten auf die interne Korrespondenz zwischen seinem Vorgesetzten und weiteren Führungskräften zugegriffen hatte. Der Arbeitgeber darf i.Ü. darauf vertrauen, dass Systemadministratoren Daten nur zweckbestimmt verwenden. Insb. deshalb, weil die Datensicherung zu ihren Aufgaben gehört. Für eine Weiterführung des Arbeitsverhältnisses ist insb. dann kein Raum, wenn es sich, wie im vorliegenden Fall, um einen gezielten Missbrauch von Zugriffsrechten aus eigennützigen Motiven handelt. Die persönliche Situation des Administrators ist i.Ü. nicht von Belang, da sich der Arbeitgeber darauf verlassen können muss, dass Administratoren auch in Ausnahmesituationen ihre Zugriffsrechte nicht missbrauchen. In der Berufungsinstanz vor dem LAG Köln1171 ist das Verfahren dann durch Vergleich beendet worden.
1166 1167 1168 1169 1170
LAG Köln v. 29.9.1982 – 5 Sa 514/82, DB 1983, 124. BAG v. 25.11.1981 – 7 AZR 463/79. LAG BW v. 11.1.1994 – 7 Sa 86/92, NJW-CoR 1994, 305 = CR 1994, 361. ArbG Osnabrück v. 19.3.1997 – 1 Ca 639/96, RDV 1998, 118. AG Aachen v. 16.4.2006 – 7 Ca 5514/04; abrufbar unter http://www.jurpc.de/rechtspr/20060083.pdf; Anmerkung zum Urteil s. Martin Pröpper, jur-pc Web-Dok. 85/2006, Abs. 1–7. 1171 LAG Köln v. 16.3.2006 – 5 Sa 1631/05, zitiert nach Pröpper, jur-pc Web-Dok. 85/2006, Abs. 1–7.
240
Conrad
Arbeitnehmerdatenschutz
Rz. 906
A
11.8 Workflow-Systeme im Call Center Das Recht am gesprochenen Wort als Teil des Allgemeinen Persönlichkeitsrechts ist nicht 903 identisch mit dem Schutz der Privatsphäre, basiert aber ebenfalls auf Art. 2 Abs. 1 GG.1172 Der Sprecher – auch z.B. der Mitarbeiter im Call Center – soll vor heimlichen Tonaufnahmen geschützt sein, damit er selbst entscheiden kann, ob sein gesprochenes Wort nur den Gesprächsteilnehmern zugänglich ist oder auch anderen. Sowohl das dienstlich als auch das privat gesprochene Wort sind geschützt, also etwa auch dienstliche Telefonate, Videokonferenzen etc. Nicht nur individuell auf die Person des Sprechers oder auf eine andere Person bezogene Kommunikationsinhalte sind geschützt, sondern alle Gespräche. Der strafrechtliche Schutz ergibt sich aus § 201 StGB. Danach wird die Verletzung der Vertraulichkeit des Wortes durch unbefugte Aufnahme des nicht-öffentlich gesprochenen Wortes auf einen Tonträger oder durch Zugänglichmachung einer solchen Aufnahme für Dritte unter Strafe stellt. Folglich bedarf auch die Aufzeichnung von Telefongesprächen am Arbeitsplatz einer vorherigen Vereinbarung mit dem Mitarbeiter bzw. einer Einwilligung.1173 Fraglich ist weiter, inwieweit im Call Center eine automatisierte Telefondatenerfassung zur 904 Leistungs- und Verhaltenskontrolle der Mitarbeiter ausgewertet werden darf.1174 Das BAG1175 hat in einer älteren E. aus 1996 eine mitarbeiterbezogene Auswertung der Automatic Call Distribution (ACD)-Daten durch den Arbeitgeber für grds. zulässig erachtet. Diese Daten erfassen etwa Zahl und Dauer der Gespräche eines Mitarbeiter sowie die Häufigkeit, mit der sich Mitarbeiter i.R.d. automatischen Anrufverteilung aus der Bearbeitung eingehender Gespräche ausgeschaltet haben.1176 Der Aussagegehalt dieser Daten ist jedoch eher gering. Weit größer wäre die Aussagekraft, wenn diese Daten mit anderen Informationen verknüpft würden, etwa Daten aus einem Kundenzufriedenheitsumfrage-Tool, aus einer Skill-Datenbank (s. Rz. 836) u.Ä. Das Ergebnis wäre ein Profil des Arbeitnehmers, das gerade wegen der weitgehend lückenlosen Zeit- und Tätigkeitserfassung im Call Center die Grenze zur verbotenen Rundumüberwachung überschreitet und daher arbeits- und persönlichkeitsrechtlich im Regelfall unzulässig ist.1177 Zu den telekommunikationsrechtlichen Anbieter-Pflichten des Arbeitgebers bei erlaubter 905 Privatnutzung des Telefons s. Rz. 883 ff. 11.9 Einführung einer Firmenkreditkarte 11.9.1 Überblick Die Einführung der Firmenkreditkarte bedarf einer entsprechenden Arbeitgeberweisung. Diese Weisung muss „billigem Ermessen“ entsprechen und unterliegt den Grenzen des Direktionsrechts aus § 106 Satz 1 GewO. Die Weisung entspricht dann billigem Ermessen, wenn sie eine angemessene Berücksichtigung der beiderseitigen (Arbeitgeber- und Arbeitnehmer-)Interessen gewährleistet. Der Arbeitgeber will mit der Einführung einer Firmenkreditkarte für die Abrechnung von Kosten aus beruflich veranlasster Tätigkeit – insb. Reisekosten, Spesen – Verwaltungsabläufe straffen und so Einsparungen erreichen.
1172 BGH v. 10.8.2005 – 1 StR 140/05, RDV 2005, 266; BVerfG v. 11.5.2007 – 2 BvR 543/06, CR 2007, 496; s.a. Rz. 697. 1173 Gola, Datenschutz im Call Center, 2. Aufl. 2006, S. 52, zu den Problemen der Freiwilligkeit der Einwilligung im Arbeitsverhältnis. 1174 Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, 6. Aufl. 2013, Rz. 1158. 1175 S. Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2004, S. 343 zu BAG v. 26.7.1995 – 5 AZR 216/94, NZA 1996, 30; s. dazu auch Schierbaum, RDV 1998, 154. 1176 Schierbaum, Automatic Call Distribution – Auf dem Weg zur gläsernen Büroarbeit, RDV 1998, 154; Menzler-Trott/Hahnel (Hrsg.), Call Center Evolution, 2001. 1177 Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, 6. Aufl. 2013, Rz. 410 f.
Conrad
241
906
A Rz. 907
Datenschutz und IT-Management
907 Für den Arbeitnehmer jedoch begründet die Einführung der Firmenkreditkarte eine gesonderte Haftung für die mit der Zusatzkarte begründeten Umsätze sowie die Gefahr, im Fall des Missbrauchs der Kreditkarte durch dritte Personen für die missbräuchlich getätigten Kartenumsätze vom kartenausgebenden Unternehmen in Anspruch genommen zu werden. Haftungsrechtlich gesehen spielt es regelmäßig keine Rolle, a) ob mit dem Arbeitgeber bereits ein laufender Hauptkreditkarten-Vertrag besteht, der um eine Zusatzkarte für den Arbeitnehmer erweitert wird, oder b) ob alternativ ein separater Kreditkartenvertrag zwischen dem Kreditinstitut und dem einzelnen Arbeitnehmer abgeschlossen wird (so wohl im vorliegenden Fall).1178 908 In beiden Fällen existiert grds. eine gesamtschuldnerische Haftung des Arbeitnehmers und des Arbeitgebers für die mit der Firmenkreditkarte getätigten Umsätze. Bei Einführung der Firmenkreditkarte durch einen gesonderten Kreditkartenvertrag zwischen dem Arbeitnehmer und der Bank (so vorliegend, s. Rz. 907) besteht die Haftung bereits originär. Allerdings besteht diese Haftung des Arbeitnehmers auch bei der Überlassung der Firmenkreditkarte als Zusatzkarte (s. Rz. 907), begründet durch einen Schuldbeitritt des Arbeitnehmers. 909 Weisungen, die eine zusätzliche Haftung des Arbeitnehmers begründen, sind arbeitsrechtlich kritisch. Die h.M.1179 geht gleichwohl davon aus, dass die Benutzung der Firmenkreditkarte und die damit verbundene Anweisung zum Schuldbeitritt bzw. zum Abschluss eines gesonderten Kreditkartenvertrags billigem Ermessen des Arbeitgebers entspricht. Der Arbeitnehmer hat nämlich den Vorteil, dass er durch Benutzung der Firmenkreditkarte die aus seiner beruflichen Tätigkeit entstandenen Kosten nicht vorfinanzieren muss. Zudem hat er innerhalb der gesamtschuldnerischen Haftung im Innenverhältnis einen Ausgleichsanspruch gegen den Arbeitgeber. Das somit grds. bestehende Weisungsrecht wird jedoch durch das Persönlichkeitsrecht des Arbeitnehmers begrenzt. 910 Die Ausgabe der Firmenkreditkarte birgt für den Arbeitgeber das Risiko, dass der Arbeitnehmer die Karte auch zur privaten Lebensführung nutzt und der Arbeitgeber für diese Umsätze gegenüber der Bank gesamtschuldnerisch haftet.1180 Zwar steht dem Arbeitgeber im Innenverhältnis gegen den Arbeitnehmer ein Ausgleichsanspruch zu. Dieser Ausgleichsanspruch läuft jedoch etwa bei überschuldeten Arbeitnehmern ins Leere. Daher sind für den Arbeitgeber und auch für das kartenausgebende Kreditinstitut Informationen zu wirtschaftlichen Verhältnissen und Zahlungsverhalten des Arbeitnehmers interessant. 11.9.2 Persönlichkeits- und datenschutzrechtliche Aspekte 911 Die Gerichte wägen dieses Informationsinteresse des Arbeitgebers gegen das Interesse des Arbeitnehmers an der Geheimhaltung seiner persönlichen Lebensumstände (Persönlichkeitsschutz) ab. Das BAG1181 bejaht ein schutzwürdiges Informationsinteresse des Arbeitgebers nur, soweit die Informationen in einem sachlichen und inneren Zshg. mit dem ausgeschriebenen Arbeitsplatz stehen und für den Arbeitsplatz und die Tätigkeit des Arbeitnehmers von Bedeutung sind. Nach Ansicht des BAG darf der Arbeitgeber den Arbeitnehmer konkret nach dessen wirtschaftlichen Verhältnissen befragen, wenn der Arbeitnehmer eine besondere Vertrauensstellung innehat. Nach Ansicht eines Teils der Lit. ist eine solche Befragung auch zulässig, wenn der Arbeitnehmer eine leitende Funktion hat oder wenn lediglich nach bestehenden Pfändungen und zu erwartenden Pfändungs- und Überweisungsbeschlüssen gefragt wird. Ob der Arbeitgeber einen Anspruch auf die Informationen hat, die eine Bank im Rah1178 Lunk/Hinrichs, DB 2007, 2144 ff. 1179 S. Übersicht bei Lunk/Hinrichs, DB 2007, 2144 ff. 1180 S. zur unbefugten privaten Nutzung einer Firmenkreditkarte: OLG Bdb. v. 20.2.2007 – 6 U 22/6 und 6 U 61/06, OLGR Brandenburg 2007, 786. 1181 Vgl. etwa BAG v. 18.1.2000 – 9 AZR 932/98, DB 2000, 2276.
242
Conrad
Arbeitnehmerdatenschutz
Rz. 918
A
men einer zulässigen „Bonitätsprüfung“ bzw. eines Kredit-Scoring vor Ausstellung einer Kreditkarte an einen Kunden erheben darf, ist jedoch sehr fraglich.1182 Jedenfalls sind zum Schutz des Persönlichkeitsrechts des Arbeitnehmers Vorkehrungen zu 912 treffen. Dem Arbeitnehmer (zumindest sofern er keine leitende Funktion im Unternehmen innehat) sollte ein Wahlrecht bleiben, ob er an dem Firmenkreditkarten-Programm teilhaben möchte oder nicht. Die Einführung einer Firmenkreditkarte gegen den Willen des Mitarbeiters ist nicht zulässig, wenn dies mit Fragen über seine Bonität oder sein Zahlungsverhalten einhergeht.1183 Aus datenschutzrechtlichen Gründen (Erforderlichkeit) müssen die Daten über die Bonität 913 des Arbeitnehmers vom Umfang her auf die Informationen beschränkt sein, die für die Beurteilung des wirtschaftlichen Risikos einerseits des Arbeitgebers und andererseits der Bank erforderlich sind. Die Bonitätsdaten des Arbeitnehmers müssen sowohl beim Arbeitgeber als auch bei der Bank streng vertraulich behandelt werden. Sie dürfen nur einem eingeschränkten Personenkreis zugänglich sein, der diese Daten zur Abwicklung des Kreditkartenvertrages mit dem Arbeitnehmer benötigt und zur vertraulichen Behandlung der Daten verpflichtet ist. Die Daten dürfen grds. nicht weitergegeben werden, insb. nicht an verbundene Unternehmen und Dritte, die nicht Partei des Kreditkartenvertrages sind. Auch eine Übermittlung dieser Daten zwischen dem Arbeitgeber und der Bank ist grds. unzulässig.
914
Bei Einführung einer Firmenkreditkarte wird der Arbeitgeber personenbezogenen Beschäftig- 915 tendaten (z.B. Geburtsdatum und -ort sowie Wohnanschrift des Arbeitnehmers, evtl. auch Daten zur Bonität) an die Bank übermitteln. Damit diese Datenerhebung und -verarbeitung i.R.d. Kreditkartenprogramms von § 32 Abs. 1 Satz 1 BDSG gedeckt ist, müssen die entsprechenden Daten zur Erfüllung des konkreten Arbeitsvertragszwecks geeignet und erforderlich sein und innerhalb einer Interessenabwägung neben dem Interesse des Arbeitgebers an der Erhebung bzw. Übermittlung der Daten auch das Interesse des Arbeitnehmers an der Wahrnehmung seines informellen Selbstbestimmungsrechts hinreichend berücksichtigt werden. Dies kann gerade bei Vertriebsmitarbeitern, die viel – auch international – dienstlich reisen, der Fall sein.
916
Nach diesen Kriterien ist die Erhebung, Verarbeitung (insb. Übermittlung) und Nutzung von 917 personenbezogenen Daten des Arbeitnehmers allenfalls insoweit zulässig, als Art und Umfang der Daten für die Abwicklung des Kreditkartenvertrages mit dem Arbeitnehmer erforderlich sind und soweit lediglich dem Arbeitgeber und dem kartenausgebenden Kreditinstitut diese Daten zugänglich sind bzw. gemacht werden. Eine darüber hinausgehende Datenverwendung ist nicht durch § 32 Abs. 1 Satz 1 BDSG gedeckt und bedarf der Einwilligung des Arbeitnehmers (§ 4a BDSG) oder einer entsprechenden Betriebsvereinbarung (§ 4 Abs. 1 BDSG; s. dazu Rz. 732 ff., 759). 11.9.3 Betriebsverfassungsrechtliche Aspekte In kollektivrechtlicher Hinsicht sind im Wesentlichen die Beteiligungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 4, 6 und 10 BetrVG und § 90 BetrVG einschlägig. Bei Unternehmen mit mehreren Betrieben und bei konzernweit einheitlicher Kreditkarteneinführung ist grds. der Gesamt- bzw. Konzernbetriebsrat (sofern vorhanden) gem. § 50 Abs. 1 Satz 1 BetrVG bzw. § 58 BetrVG zuständig.
1182 Allg. zum Scoring s. Rz. 99, 197, 666 ff. 1183 S.a. Lunk/Hinrichs, DB 2007, 2144 ff.
Conrad
243
918
A Rz. 919
Datenschutz und IT-Management
919 Nach § 87 Abs. 1 Nr. 4 BetrVG besteht ein Mitbestimmungsrecht für Zeit, Ort und Art der Auszahlung der Arbeitsentgelte. Die Übernahme der Kartengebühr durch den Arbeitgeber kann dann einen Vergütungsbestandteil darstellen, wenn dem Arbeitnehmer eine private Nutzung der Kreditkarte vom Arbeitgeber erlaubt wurde. 920 Der Betriebsrat hat nach § 87 Abs. 1 Nr. 10 BetrVG bei der betrieblichen Lohngestaltung mitzubestimmen. Das BAG versteht darunter die Festlegung abstrakt-genereller (kollektiver) Grundsätze zur Lohnfindung i.S.v. Strukturformen des Entgelts einschließlich ihrer Vollzugsformen. Gegenstand der Mitbestimmung ist die Festlegung abstrakter Kriterien zur Vergütungsleistung des Arbeitgebers, die dieser zur Abgeltung der Arbeitsleistung der Arbeitnehmer oder sonst mit Rücksicht auf das Arbeitsverhältnis erbringt. Der Lohnbegriff i.S.d. § 87 Abs. 1 Nr. 10 BetrVG umfasst insoweit allein Geld- und Sachleistungen mit Entgeltcharakter, die der Arbeitgeber anlässlich des Arbeitsverhältnisses gewährt. Ist dem Arbeitnehmer die Nutzung der Firmenkreditkarte zur privaten Lebensführung gestattet, dann stellt die mit der Nutzungsüberlassung verbundene Übernahme der Kreditkartengebühr durch den Arbeitgeber eine Leistung mit Entgeltcharakter dar und unterliegt bei Ausgabe der Karte an eine größere Anzahl von Arbeitnehmern dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 10 BetrVG. 921 Der Betriebsrat hat gem. § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. „Zur Überwachung bestimmt“ sind technische Einrichtungen, die objektiv geeignet sind, Verhaltens- oder Leistungsinformationen über den Arbeitnehmer zu erheben und aufzuzeichnen (s.a. Rz. 758). Auf die subjektive Überwachungsabsicht des Arbeitgebers soll es nicht ankommen. 922 Die Kartennutzung durch den Arbeitnehmer beinhaltet zwar die technische Aufzeichnung der relevanten Zahlungsdaten durch ein Kreditkartenlesegerät und die technische Weiterverarbeitung dieser Zahlungsdaten durch die Bank. Zweifelhaft ist, ob die aufgezeichneten Informationen Aufschluss über ein in Bezug auf die Arbeitsleistung bzw. betriebliche Ordnung stehendes Verhalten des Arbeitnehmers geben. Die Zahlungsdaten geben Auskunft über die Art und den Gegenwert der durch den Arbeitnehmer in Anspruch genommenen Leistungen des einzelnen Vertragsunternehmens. Der Bezug zum Verhalten des Arbeitnehmers ist eher gering. Etwas anderes könnte sich aus der Verknüpfung mit Daten über Ort und Zeit der Kartenbenutzung ergeben. Zumindest die Lit. lehnt jedoch ein Beteiligungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG ab. 923 Die Nutzung der Firmenkreditkarte ist zwar eine formale Veränderung der betrieblichen Reisekosten- und Spesenabrechnung. Allerdings werden weder die für die Reisekostenabrechnung relevanten Buchungsvorgänge in der Finanzabteilung des Unternehmens geändert noch die Tätigkeit des Arbeitnehmers modifiziert. Ein Beteiligungsrecht des Betriebsrats aus § 90 BetrVG dürfte somit nicht vorliegen (s.a. Rz. 779 f.). 12. Zentrale Personaldatenverarbeitung und -nutzung im Konzern 12.1 Kein Konzernprivileg 924 Im „Global Village der Multis“1184 ist regelmäßig der Austausch personenbezogener Daten innerhalb eines Konzerns oder innerhalb einer Unternehmensgruppe von besonderem Interesse, v.a. für die Konzernleitung. Das Datenschutzrecht sieht jedoch jede juristische Person als eigene „verantwortliche Stelle“ für die Datenverarbeitung an. Eine Privilegierung des Datenverkehrs innerhalb eines Konzerns findet nicht statt.1185 Normadressat ist immer nur
1184 Ruppmann, Der konzerninterne Austausch personenbezogener Daten, 2000, S. 81. 1185 Ebenso Däubler, Gläserne Belegschaft, 6. Aufl. 2015, Rz. 451 ff.; Gola/Schomerus, BDSG, 12. Aufl. 2015, § 27 Rz. 4; Ruppmann, Der konzerninterne Austausch personenbezogener Daten, 2000, S. 81,
244
Conrad
Arbeitnehmerdatenschutz
Rz. 927
A
das einzelne am Konzern beteiligte Unternehmen,1186 ggf. die Konzernobergesellschaft, nicht jedoch der Konzern selbst. Eine Weitergabe von Beschäftigtendaten innerhalb eines Konzerns ist deshalb – solange es sich nicht um Beschäftigte handelt, die mit Rücksicht auf die Art und die Besonderheit ihrer Aufgaben einer eindeutig an den spezifischen Konzerninteressen ausgerichteten Tätigkeit nachgehen – regelmäßig wie eine Datenübermittlung bzw. wie eine AuftragsDV zu behandeln. Auch der konzerninterne Austausch von Beschäftigtendaten bedarf also einer Erlaubnis.1187 Fraglich kann sein, ob das BDSG anwendbar ist, wenn Personaldaten in internationalen 925 Konzernen nicht bei dem deutschen Tochterunternehmen verwaltet werden, sondern (selbständig) von der ausländischen Konzerngesellschaft oder von einem von der ausländischen Konzerngesellschaft beauftragten, im Ausland ansässigen Dienstleister. Grds. ist das BDSG bei der Erhebung, Verarbeitung oder Nutzung von Daten, die außerhalb Deutschlands durch Unternehmen mit Sitz in der EU oder im europäischen Wirtschaftsraum vorgenommen wird, nicht anwendbar. Es gilt jedoch nach § 1 Abs. 5 BDSG eine Ausnahme von Territorialitätsprinzip, wonach das BDSG doch zur Anwendung kommt, wenn die Datenerhebung durch ein nicht-deutsches europäisches Unternehmen unmittelbar über eine selbständige Niederlassung in Deutschland erfolgt. Für verbundene Unternehmen der deutschen Gesellschaft in der EU und im europäischen Wirtschaftsraum (EWR) ist deswegen das BDSG grds. nicht anwendbar. Wird dagegen das Personalinformationssystem außerhalb von EU/EWR (z.B. von der US- 926 Mutter aus) eingerichtet und betrieben, stellt sich die Frage, ob die Datenerhebung in Deutschland „erfolgt ist“ (dazu s. Rz. 119). Wenn nicht, dann wäre das BDSG evtl. zumindest auf die Datenerhebung und -verarbeitung nicht anwendbar. Allerdings werden dadurch datenschutzrechtliche Fragen nicht vermieden, sondern nur verlagert. Grds. wird das Mutterunternehmen z.B. Skill- und Performance-Daten der deutschen Mitarbeiter nicht nur zur Kenntnis nehmen wollen. Spätestens wenn weitere Informationen bei der deutschen Tochtergesellschaft erfragt werden oder die Tochter arbeitsrechtliche Maßnahmen ergreifen soll, wird regelmäßig der Tatbestand der Datenübermittlung erfüllt, der nach deutschem Datenschutzrecht zu beurteilen wäre. 12.2 AuftragsDV im Konzern, Drittstaatenproblematik Konzern-Datenverarbeitung und Service-Rechenzentren im Nicht-EU-Ausland, sog. „Dritt- 927 staaten“, sind nicht durch § 11 BDSG privilegiert.1188 Liegt keine AuftragsDV, § 11 BDSG, vor, weil die gesamte Aufgabe, also die betriebliche Funktion auf einen Dritten übertragen wurde, sind die DV-Vorgänge bei beiden Vertragspartnern, auch wenn es sich hierbei jeweils um konzernangehörige Firmen handelt, jeweils auf ihre Zulässigkeit hin zu prüfen.1189 Bei
1186
1187 1188 1189
48 ff.; Büllesbach, RDV 2001, 4 ff.; Wedde, in: Däubler/Klebe/Wedde/Weichert, BDSG, 5. Aufl. 2016, § 32 Rz. 147. Es macht datenschutzrechtlich keinen Unterschied, ob es sich um einen Unterordnungs-, Gleichordnungs- oder faktischen Konzern handelt, vgl. Biesalski, BB 1978, 68; Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 2 Rz. 142: das Datenschutzrecht trifft insoweit eine andere Wertung als das Betriebsverfassungs- (§§ 54 ff. BetrVG), das Aktien- (§§ 15 ff. AktG) oder das Steuerrecht (§§ 7a KörpStG, 2 Abs. 2 Nr. 2 UStG, 2 Abs. 2 GewStG). Erst recht kommt es nicht darauf an, ob Bewerberdaten oder andere Personalinformationen konzernintern übermittelt werden. Kritisch dazu Giesen, CR 2007, 543. Allg. zur Auftragsdatenverarbeitung und Funktionsübertragung Rz. 226. Zur Funktionsübertragung s.a. Gola, Betrieblicher Datenschutz, S. 62; Wächter, CR 1991, 333; Gola/Schomerus, BDSG, 12. Aufl. 2015, § 11 Rz. 9; zur Zuständigkeit des Konzernbetriebsrats s. BAG v. 20.12.1995, CR 1996, 542 (zum Austausch von Mitarbeiterdaten). Zum Wegfall des Privilegs bei Nicht-EU-Ausland-Partner Rz. 441, 458.
Conrad
245
A Rz. 928
Datenschutz und IT-Management
Funktionsübertragung1190 ist die Weitergabe von Daten vom Auslagernden (Exporteur) an den Datenempfänger (Importeur) als Übermittlung zu behandeln, ebenso wie einzelne Abrufe bzw. Zugriffe des Datenempfängers. Dies gilt auch zwischen konzernangehörigen Unternehmen. U.U. liegt auch ein Betriebsübergang in der Auslagerung, ebenso bei der Retransition ins auftraggebende Unternehmen oder an Dritte.1191 928 Die Privilegierung der AuftragsDV entfällt bzw. fehlt, wenn die Datenverarbeitung ins Nicht-EU-Ausland verlagert wird, auch wenn keine Funktionsübertragung vorliegt. Nach § 3 Abs. 8 Satz 2 BDSG kann ein Auftragnehmer i.S.d. Privilegierung des § 11 BDSG, AuftragsDV, nur ein solcher sein, der seinen Sitz im Inland, in einem anderen Mitgliedsstaat der EU (oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum) hat. Auf den Konzern bezogen bedeutet dies z.B., dass eine Auslagerung der EDV auf eine konzernangehörige Unternehmung im Nicht-EU-Ausland nicht mehr als AuftragsDV gelten kann, § 11 BDSG also nicht anwendbar ist, vielmehr jeweils im Einzelfall Datenübermittlungsvorgänge bzw. Speicherungsvorgänge vorliegen, deren Zulässigkeit hinsichtlich des inländischen Unternehmens jeweils nach dem BDSG zu beurteilen ist. Dies gilt auch für den Transfer von Mitarbeiterdaten zwischen verbundenen Unternehmen mit zentraler Personaldatenverwaltung1192 innerhalb der EU. 929 Gemäß § 1 Abs. 5 Satz 1 BDSG findet das BDSG keine Anwendung, wenn eine Stelle aus dem EU-Ausland die Daten erhebt, verarbeitet oder nutzt, es sei denn, dies geschieht über eine Niederlassung im Inland. Schließlich bestimmt § 4b Abs. 2 Satz 2 BDSG, dass die Zulässigkeit der Übermittlung an Stellen in Drittländern davon abhängig ist, ob bzw. inwieweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Dieses wird vermutet, wenn („insbesondere“) bei der empfangenden Stelle kein angemessenes Schutzniveau gewährleistet ist.1193 Die Lösung erfolgt (v.a. nach Ungültigkeit von Safe Harbor)1194 über EU-Standardvertragsklauseln,1195 BCR und – unter DS-GVO evtl. verstärkt – über Codes of Conduct.1196 Speziell die EU-Standardklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern sind in internationalen Konzernen viel im Einsatz.1197 Die DS-GVO bietet die Grundlage für entsprechende Regelungen (Datenübermittlung vorbehaltlich geeigneter Garantien, Art. 46; Verbindliche interne Datenschutzvorschriften, Art. 47 DS-GVO, s.a. Rz. 641 ff.). 930 Soll ein Konzept für die Weitergabe von Beschäftigtendaten im Konzern entwickelt werden, bietet sich im ersten Schritt an, eine tabellarische Übersicht der Verfahren (v.a. der Daten1190 S. zu Textvorschlag Gabel/Wieczorek, Funktionsübertragung. in: Moos (Hrsg.), Datennutzungsund Datenschutzverträge, Köln, 2013, S. 935. 1191 Zu Transition bei Outsourcing-Vertrag s. M Rz. 424; U Rz. 15 f., 47 ff., 245 ff.; zur arbeitsrechtlichen Beurteilung s. C Rz. 86 ff. 1192 Mit Blick auf die Datenschutzaufsichtsprüfung s. Conrad, ITRB 2005, 164. 1193 Zur Beurteilung der Angemessenheit des Schutzniveaus gemäß § 4b Abs. 3 BDSG 2001 s. u.a. Rz. 116 ff., 635 ff. 1194 Zum Privacy Shield s. Grimm/Schmidt-Lauber, ArbRB 2016, 243. Stellungnahme der Artikel-29Gruppe zum EU-U.S.-Privacy Shield s. Press release: http://ec.europa.eu/justice/data-protection/arti cle-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_ us_privacy_shield_en.pdf (abgerufen am 26.8.2016); Working Paper 238: http://ec.europa.eu/justice/ data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf (abgerufen am 26.8.2016). Siehe auch Niklas/Faas, ArbR Aktuell 2016, 473. 1195 Rz. 409 ff., 461 ff. Die Geltungsdauer der EU-Standardvertragsklauseln ist aber fraglich, da die irische Datenschutzbehörde nach Safe Harbor nun auch die Standardvertragsklauseln vom EuGH prüfen lässt. Heise-Meldung vom 25.5.2016, http://www.heise.de/newsticker/meldung/Nach-Safe-Har bor-Facebooks-Datentransfer-soll-wieder-vor-den-EuGH-3218186.html. 1196 Wisskirchen/Jordan/Bissels, DB 2005, 2190; s.a. Rz. 412. 1197 Beschl. der EU-Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (2010/87/EU; ABl. EU L 39/5 v. 12.2.2010); hat den alten Beschluss der Kommission v. 27.12.2001 (2002/16/EG, ABl. EG C 6/52 v. 10.1.2002) abgelöst, S. 118.
246
Conrad
Arbeitnehmerdatenschutz
Rz. 934
A
exporteure/verantwortliche Stellen, Zwecke, Datenkategorien und Datenimporteure) zu erstellen. Diese Matrix erleichert die Fallgruppenbildung. Für die Fallgruppen sind dann die geeigneten Erlaubnistatbestände zu finden oder zu schaffen – angefangen von gesetzlicher Erlaubnis zur Übermittlung (etwa bei konzerndimensionalen Arbeitsverhältnissen), Anonymisierung als Lösung, Betriebsvereinbarungen sowie – nur ausnahmsweise ratsam – Einwilligungen. 12.3 Konzerne mit Matrixstruktur, Doppel-Arbeitsverhältnisse Matrixstrukturen, v.a. in internationalen Konzernen, die nicht an gesellschaftsrechtlichen 931 Grenzen, sondern an Geschäftsbereichen (etwa Vertrieb, Produktion, Entwicklung, HR, Marketing, Recht) orientiert sind, sollen zu Effizienz, Synergieeffekten und somit Kosteneinsparung führen. Zweifelhaft ist, inwieweit diese Ziele erreicht werden können. Riskant ist, dass es in Matrixstrukturen aufwendiger und schwieriger ist, auf nationale gesellschaftsrechtliche, arbeitsrechtliche und datenschutzrechtliche Erfordernisse der beteiligten Tochtergesellschaften ausreichend Rücksicht zu nehmen. Bei der Matrixstruktur stehen Mitarbeiter häufig in Weisungsbeziehungen auf mehreren 932 Ebenen, fachliche und disziplinarische Führung sind getrennt1198: So berichten sie z.B. einerseits den Leitern der zentralen Funktionen (Reporting Lines etwa für Support, Vertrieb, Produktion). Andererseits berichten sie gleichzeitig den einzelnen Managern. Es gibt Aufteilungen einerseits in globale Geschäftsbereiche und andererseits in regionale Bereiche. Dies führt dazu, dass sich ein Konzern in Geschäftseinheiten gliedert, deren Leiter sowohl an einen Verantwortlichen für das jeweilige Land als auch für den Leiter des jeweiligen globalen oder regionalen Geschäftsbereiches berichten. Dadurch können Weisungs- und Berichtswege, die Erbringung der Arbeitsleistung (Ort), die Eingliederung in den Betrieb von der herkömmlichen Zuordnung innerhalb der Anstellungsgesellschaft verlagert sein, was u.U. zu einer „Verdopplung“ des Arbeitsverhältnisses1199 des betroffenen Arbeitnehmers führt. Inwieweit solche globalen Berichtswege und Leistungswege zu einer Erweiterung der Zweckbestimmung des Arbeitsverhältnisses und somit zu einer Erlaubnis von Datenübermittlungen1200 entlang solcher globalen Berichtswege und Organisationsstrukturen führen mit Gefahren für das datenschutzrechtliche Transparenzgebot, ist noch nicht abschließend geklärt.
933
12.4 Gemeinsame verantwortliche Stelle und DS-GVO Die Richtlinie 95/46/EG kennt die sogenannte „gemeinsame verantwortliche Stelle“, die al- 934 lerdings nur in der Definition von verantwortliche Stelle erwähnt wird (Art. 2 lit. d „gemeinsam mit anderen“) und nicht als Erlaubnistatbestand zur Datenübermittlung ausgestaltet ist. Im BDSG ist eine gemeinsame Verantwortlichkeit nicht normiert, aber implizit vorgesehen, sog. Verbunddateien bei § 6 Abs. 2 BDSG (s. Rz. 646). Deshalb ist davon auszugehen, dass sie generell möglich und zulässig ist.1201 Wegen der vollharmonisierenden Wirkung der RL 95/46/EG kann diese unmittelbar angewendet werden und entfaltet eine unmittelbare Erlaubniswirkung.1202
1198 Günther/Böglmüller, NZA 2015, 1025 (1026). 1199 S. Wisskirchen, CR 2004, 862. 1200 Zu möglichen Erlaubnistatbeständen, Einwilligung und Lösungsmöglichkeiten etwa Feige, ZD 2015, 116 (117 ff.); Kuß, ZD 2016, 150 (151 ff.). 1201 Wolff/Brink/Spoerr, BeckOK Datenschutzrecht, 16. Edition, Stand: 1.5.2016, § 11 Rz. 63; vgl. auch Artikel-29-Gruppe-Stellungnahme 1/2010, WP 169, 21 ff. 1202 Wolff/Brink/Spoerr, BeckOK Datenschutzrecht, 16. Edition, Stand: 1.5.2016, § 11 Rz. 63 mit Verweis auf EuGH. v. 24.11.2011 – C-468/10 und C-469/10.
Conrad
247
A Rz. 935
Datenschutz und IT-Management
935 In der Lit.1203 gibt es immer wieder Ansätze, z.B. dem arbeitsrechtlichen „Gemeinschaftsbetrieb“ zumindest eine Erlaubnis gemäß § 28 Abs. 1 Satz 1 Nr. 2 BDSG zur Datenübermittlung zuzubilligen. Bei der Funktionsübertragung im Konzern – was z.B. bei Zentralisierung der Personalverwaltung oder zumindest Auslagerung wesentlicher HR-Funktionen an die Konzernmutter regelmäßig der Fall ist – stehen als Erlaubnis im Regelfall (nur) § 28 Abs. 1 Satz 1 Nr. 2 und Abs. 2 Nr. 2a BDSG zur Verfügung. Vertragliche Datenschutzregelungen zwischen Datenübermittler und Datenempfänger sind i.R.d. Abwägung zu berücksichtigen. In der betrieblichen Praxis haben sich Auftragsdatenverarbeitungsverträge allmählich durchgesetzt. Es werden aber vergleichsweise wenig Datenübermittlungs-/Funktionsübertragungsverträge abgeschlossen. Die Datenschutzaufsichtsbehörden gehen überwiegend davon aus, dass Funktionsübertragungsverträge einen ähnlichen Inhalt wie Auftragsdatenverarbeitungsverträge haben müssen.1204 Der Landesdatenschutzbeauftragte BW geht davon aus, dass ein Funktionsübertragungsvertrag gerade bei Übermittlung von Personaldaten erforderlich ist und dass in dieser Vereinbarung Regelungen entsprechend § 11 Abs. 2 Satz 2 Nr. 1, 2, 3, 4, 5, 6 und 10 BDSG getroffen werden müssen, sofern nicht ausnahmsweise „die Berufsordnung der beauftragten Stelle (z.B. für Ärzte, Rechtsanwälte, Steuerberater) Vorschriften vorgesehen sind, die ein ausreichendes Datenschutzniveau sicherstell[t]“1205 Nach dieser Ansicht sind Regelungen zu Kontrollrechten, zu vom Datenempfänger mitzuteilenden Verstößen sowie zu Weisungsbefugnissen im Funktionsübertragungsvertrag – anders als im Auftragsdatenverarbeitungsvertrag – nicht erforderlich. Mit Blick auf die Rspr. des EuGH1206 wäre jedoch gerade eine Regelung zu Weisungen und Kontrollen erforderlich. 936 Durch die EU-Datenschutzgrundverordnung wird die gemeinsame Verantwortlichkeit speziell geregelt (s.a. Rz. 646 ff.) und dadurch stärker in den Fokus gerückt, im Trilog hat man sich jedoch – anders als vom Europäischen Parlament vorgeschlagen – nicht auf ein (partielles) Konzernprivileg geeinigt.1207 Zwar ist die Unternehmensgruppe in der DS-GVO definiert (entscheidend ist die Kontrolle der angeschlossenen Unternehmen). Art. 47 DS-GVO stellt auf die Unternehmensgruppe ab, ebenso wie die Erw.grd. 36, 37 und 110. Erw.grd. 48 stellt aber klar: „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.“ Für die verantwortlichen Stellen einer Unternehmensgruppe gelten also die allgemeinen Regeln. Das heißt, in vielen Fällen bleibt nur ein Rückgriff auf die Generalklausel und unsichere Abwägung des Art. 6 Abs. 1 lit. f DS-GVO („die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“). Die praktischen Schwierigkeiten einer solchen Generalklausel sind aus der Erfahrung mit § 28 Abs. 1 Satz 1 Nr. 2 BDSG hinlänglich bekannt und werden erst beseitigt, wenn sich eine – europäische – Rspr. ausbildet.
1203 Trappehl/Schmidl, RDV 2005, 100. 1204 BayLDA, Auftragsdatenverarbeitung nach 11 BDSG – Gesetzestext mit Erläuterungen. 1205 http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/Auftragsdatenverar beitung-und-Funktionsübertragung.pdf. 1206 EuGH v. 22.11.2012 – C-119/12. Der EuGH hatte einen Fall zu entscheiden, den der BGH (v. 16.2.2012 – III ZR 200/11) vorgelegt hatte. Darin ging es um einen echten Forderungsverkauf zwischen einem Mobilfunkprovider und einem Inkasso-Anbieter, ebenfalls TK-Unternehmen. Bei Factoring kommt Auftragsdatenverarbeitung nicht in Betracht, da die Daten durch den Factoring-Anbieter auch zu seinen eigenen Geschäftszwecken verarbeitet werden, weil er (bei unechtem Factoring zumindest vorübergehend) der neue Forderungsinhaber ist. 1207 Rz. 510, 1595.
248
Conrad
Arbeitnehmerdatenschutz
Rz. 938
A
Gerade bei Personaldatenübermittlung zwischen Konzernunternehmen dürfte die Relevanz 937 der „Joint Controllership“ sehr groß sein. Art. 26 DS-GVO stellt konkrete Vorgaben an die Ausgestaltung einer Joint-Control-Vereinbarung und deren Durchführung1208 und erlegt den gemeinsam Verantwortlichen konkrete Pflichten auf. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung personenbezogener Daten fest, sind sie sog. Joint Controllers, die sich den allgemeinen Pflichten des Art. 26 DS-GVO unterwerfen müssen. Sie müssen zukünftig in transparenter Form festlegen, wer welche Aufgaben erfüllt, wer welchen Informationspflichten nachkommt (soweit dies nicht gesetzlich festgeschrieben ist) und wer Anlaufstelle für die Betroffenen ist.1209 Allerdings kann sich der Betroffene unabhängig von der zwischen den Verantwortlichen getroffenen Regelung hinsichtlich der Geltendmachung seiner Rechte an jeden beteiligten Verantwortlichen wenden (vgl. Art. 26 Abs. 2 DS-GVO). Erw.grd. 791210 unterstreicht die Bedeutung der gemeinsamen Verantwortlichkeit: „Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und Haftung (…) bedarf es (…) einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschließlich der Fälle, in denen ein für die Verarbeitung Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird.“ In Erw.grd. 92 heißt es darüber hinaus: „Unter bestimmten Umständen kann es vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein, eine Datenschutz-Folgenabschätzung nicht auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen – beispielsweise wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere für die Verarbeitung Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.“ Entscheidend ist, dass Art. 26 DS-GVO keine Erlaubnis ist, sondern – ähnlich wie § 10 BDSG – Anforderungen aufstellt, die kumulativ zur Erlaubnis vorliegen müssen. 13. Beschäftigtendatenschutz bei Big Data und Industrie 4.0 13.1 Cyberphysische Systeme, Machine-to-Machine-Kommunikation, vernetzte Nutzfahrzeuge Industrie 4.0 steht wie Big Data für die Digitalisierung aller Industriezweige. Durch diese 938 zunehmende Vernetzung soll eine „vierte industrielle Revolution“ erreicht werden. „Die Wirtschaft steht an der Schwelle zur vierten industriellen Revolution. Durch das Internet getrieben, wachsen reale und virtuelle Welt zu einem Internet der Dinge zusammen. Mit dem Zukunftsprojekt Industrie 4.0 wollen wir diesen Prozess unterstützen.“1211 Das Bundesministerium für Bildung und Forschung hat zum „Zukunftsprojekt Industrie 4.0“ Leitfäden und Broschüren veröffentlicht.1212 Industrie 4.0 verbindet das „Internet der Menschen“1213 mit dem Internet der Dinge (Internet of Things IoT) zu einer neuen Dimension der „Digitalisierung, Automatisierung und Vernetzung aller an der Wertschöpfung beteiligten Akteure“,1214 was nicht nur auf die Produkte (Smart Products), sondern auch auf die 1208 1209 1210 1211 1212
Wolff/Brink/Spoerr, BeckOK Datenschutzrecht, 16. Edition, Stand: 1.5.2016, § 11 Rz. 65, 145. Plath, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2016, Art. 26 DS-GVO Rz. 5. Hervorhebungen durch die Verfasserin. Grünwald/Nüßing, MMR 2015, 378 (383). Abrufbar unter: http://www.bmbf.de/de/9072.php (abgerufen am 26.8.2016); Broschüre des Bundesministerium für Bildung und Forschung, abrufbar unter: https://www.bmbf.de/pub/Industrie_ 4.0.pdf (abgerufen am 26.8.2016). 1213 Eckert, DuD 2015, 641. 1214 Obermeier, Die vierte industrielle Revolution, Vortrag auf dem Bayerischen IT-Rechtstag 2015, München, 28.10.2015. zum damit verbundenen „Arbeitsrecht 4.0“ Günther/Böglmüller, NZA 2015, 1025.
Conrad
249
A Rz. 939
Datenschutz und IT-Management
Entwicklung, Produktion und die Geschäftsmodelle einwirkt. Während früher das Angebot die Nachfrage bestimmt hat, bestimmt im Industrie 4.0-Betrieb die individualisierte Nachfrage das Angebot und alle Stufen der Fertigung (Entwicklung, Design, Beschaffung, Teilefertigung, Vormontage, Endmontage, Versand).1215 Dies erfordert auf Ebene der IT-Systeme, dass „alle in einer Fertigung Beteiligten horizontal und vertikal über das Internet in Echtzeit“1216 vollintegriert sind. Insoweit spricht man von cyber-physischen Systemen. Kennzeichen von CPS sind ein Verbund von Komponenten der Informations- und Kommunikationstechnik, einschließlich Embedded Systems, Mensch-Maschine-Schnittstellen sowie Sensoren, Aktoren und Analytics Tools, die über eine Dateninfrastruktur (z.B. via Internet) kommunizieren, und ein hoher Grad an Komplexität. Einsatzbereiche sind u.a. medizinische Geräte und Systeme (z.B. zentral steuerbarer Röntgengeräte oder per Fernsteuerung dosierbare Infusionspumpen), altersgerechte Assistenzsysteme (AAL), IT-Verkehrssteuerungs- und Verkehrslogistiksysteme, vernetzte Sicherheits- und Fahrerassistenzsysteme für Kfz/Nutzfahrzeuge oder industrielle Prozesssteuerungs- und Automationssysteme. 939 Machine-to-Machine-Kommunikation (kurz M2M) bezeichnet Technologien zum Datenaustausch zwischen Endgeräten untereinander und/oder mit einer zentralen Datenverarbeitungsanlage (Plattform).1217 Endgeräte können z.B. Produktionsmaschinen, Fahrzeuge, Container, Werkzeuge etc. sein. Die technischen Voraussetzungen sind kabelgebundene oder kabellose (Bluetooth, WLAN, Mobilfunk, RFID) Verbindungen bzw. Schnittstellen, ggf. unter Nutzung des Internets. Bausteine sind Sensoren, Aktoren, Kommunikationsmodule/-architektur mit verschiedenen Datenverarbeitungsinstanzen und –zwecken. Auf welchem Weg kommunizieren „Smarte Produkte“? Nicht jedes Gerät enthält eine IP(v6)-Adresse. Letztlich gibt es zwei Alternativen: Entweder verbinden sich Geräte direkt mit einem IP-basiertem Netzwerk, etwa per WLAN, und haben jeweils eine eigene IP-Adresse oder Geräte kommunizieren (z.B. per Funk) mit einer Bridge und enthalten selbst keine IP. Erst die Bridge ist Teil eines IP-basierten Netzwerks und erhält eine IP-Adresse. 940 Ein Beispiel sind Fahrassistenzsysteme1218 (etwa in Nutzfahrzeugen wie LKWs), die eine umfangreiche Sensorik erfordern (etwa Achslast, Motor-belastung, Reifendrehzahl, Reifendruck, Temperatur, Geschwindigkeit, Querbeschleunigung, Verformung, Glasbruch etc. sowie weitere Daten aus dem Bremssystem und der Stabilitätskontrolle und auch Umgebungsdaten, die durch Kamera- und Radarsysteme aufgenommen werden). Im Rahmen dieser Vernetzung werden teilweise Cloud-Dienste und Big-Data-Technologie genutzt. Die Datenerhebung, -verarbeitung und -nutzung bei vernetzten Nutzfahrzeugen erfolgt für unterschiedliche Zwecke, etwa für ein Zugangskontrollsystem,1219 zum Management von Wartung/Reparaturen,1220 zur Sicherheit1221 und zur Unterstützung des Fahrverhaltens, für das automatisches Notrufsystem eCall,1222 zur Auswertung des Nutzungsverhaltens,1223 für 1215 1216 1217 1218
1223
Obermeier, Vortrag auf dem Bayerischen IT-Rechtstag 2015, München, 28.10.2015. Obermeier, Vortrag auf dem Bayerischen IT-Rechtstag 2015, München, 28.10.2015. Langer, DSRI-Tagungsband Herbstakademie 2015, S. 973 ff. Zu Datenschutz bei Connected Cars: Kremer, RDV 2014, 240; Marquardt/Sörup, ZD 2015, 310; Lüdemann, ZD 2015, 247; Lüdemann/Sengstacken/Vogelpohl, ZD 2015, 55; Pohle/Zoch, CR 2014, 409. Zu diesem Zweck sind ggf. Führerschein und sonstige Daten zum Fahrer im Backend hinterlegt. Ggf. erfolgt der Service proaktiv durch den Hersteller unter Bezugnahme auf die Fahrgestellnummer. Es gibt auch Portale, bei denen das Fahrzeug Daten an angeschlossene Werkstätten weitergibt oder Portale, mit denen der Fahrer günstige und zum Fahrzeugtyp und -alter passende Werkstattangebote im nahen Umkreis suchen kann. Abstandskontrolle, Kollisionswarnung, Selbstfahrfunktionen etc. bieten sich z.B. bei großen Nutzfahrzeugen oder unübersichtlichen Fahrsituationen an, die von Fahrern schlecht überblickt werden können. Ein Beispiel ist Staplerarm-Rangieren im Hochlager. Pohle/Zoch, CR 2014, 409. I.R.d. Schadensmanagements nach Autounfällen finden Datenübermittlungen zwischen Versicherern, Kfz-Gutachtern, Autowerkstätten, Glasern, Restwertbörsen etc. statt, die teilweise über Plattformen abgewickelt werden. Leistungs- und Verhaltenskontrolle von Fahrern.
250
Conrad
1219 1220
1221 1222
Arbeitnehmerdatenschutz
Rz. 942
A
Test- und Demonstrationszwecke1224 und für Zwecke der Steuerung und Koordination des Straßenverkehrs.1225 In datenschutzrechtlicher Hinsicht ist für die Beurteilung der Zulässigkeit u.a. relevant, inwieweit die Datenerhebungs- und -verarbeitungsvorgänge für den Betroffenen transparent sind, ob er z.B. Datenübermittlungen an andere Fahrer oder Vorgesetzte selbst steuert oder ob dies für ihn unbemerkt geschieht. 13.2 Anwendbares Datenschutzrecht, Relevanz der Personenbeziehbarkeit von Kennziffern Die neue Dimension der Vernetzung in der Industrie 4.0 bringt neue rechtliche Herausforderungen im Bereich Datenschutz1226 und IT-Sicherheit1227: Unklar in diesem Zshg. ist insb., inwieweit Telekommunikations- bzw. Datenschutzrecht auf die neuen Form der Kommunikation im Bereich Smart Factory und M2M-Kommunikation anwendbar sind und wie im Rahmen dessen die IT-Sicherheit und Schutz des geistigen Eigentums gewährleistet werden kann.1228 Eine entscheidende Rolle spielt bei M2M-Kommunikation die Geräte-ID, bei Fahrzeugen die VIN (vehicle identification number). Bisweilen hat der Geräte-Hersteller, der einen M2M-Dienst für einen B2B-Kunden erbringt, zwar die Geräte-ID, die er benötigt, um z.B. den proaktiven Wartungsdienst zu erbringen. Allerdings kann nur der Kunde den Rückschluss vornehmen, welches Gerät von welchem Arbeitnehmer eingesetzt wird. Ob und inwieweit Geräte-Kennziffern (stets) als personenbezogene Daten zu behandeln sind, ist vom EuGH v. 19.10.2016 – C-582/14 für dynamische IP-Adressen insoweit entschieden worden, als das zurechenbare Identifizierungswissen der verantwortlichen Stelle sich nicht in einer Hand befinden muss, sofern die verantwortliche Stelle legale Mittel hat, dieses Wissen von dem Dritten zu erhalten.1229 Die Frage der Personenbeziehbarkeit von Geräte-IDs u.Ä. stellt sich für Industrie 4.0 in vielfacher Weise: Entscheidend ist, ob und inwieweit das Zusatzwissen etwa des Arbeitgebers (Kunden) dem Gerätehersteller zurechenbar ist, weil er legale Mittel (etwa Herausgabeansprüche) hat.
941
Grünwald/Nüßing1230 vertreten, dass bei M2M-Kommunikation in Industrie 4.0-Betrieben 942 regelmäßig personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG und der bereichsspezifischen Datenschutzvorschriften vorliegen (z.B. bei Aufenthaltsorten von Fahrzeuginsassen bei vernetzten Nutzfahrzeugen oder Roboter- und/oder kamera-gestützte Fahrassistenz-Systeme). Hofmann1231 differenziert. Erfolgt ein Rückgriff auf ein personalisiertes Nutzerkonto liegt regelmäßig eine personenbezogene Datenerhebung vor. Bei kamerabasierter Erfassung komme es darauf an, ob die Aufnahme nur maschinenlesbar (nicht auslesbar) und nur vorübergehend (keine längerfristige Speicherung) erfolgt; dann soll keine Erhebung i.S.d. BDSG vor1224 Z.B. in der Entwicklung und im Vertrieb. 1225 Etwa Datenübermittlungen an die Verkehrszentrale. Zu intelligenten Verkehrssystemen Kremer, RDV 2014, 240; zu intelligenten Autokennzeichen Lüdemann/Sengstacken/Vogelpohl, ZD 2015, 55. 1226 Bräutigam/Klindt, NJW 2015, 1137; Hornung/Hofmann, in: Hirsch-Kreinsen/Ittermann/Niehaus (Hrsg.), Digitalisierung industrieller Arbeit, 2015, S. 165; Grünwald/Nüßing, MMR 2015, 378; Kirn/ Müller-Hengstenberg, MMR 2014, 225; Langer, DSRI-Tagungsband Herbstakademie 2015, S. 973 ff.; Wulf/Burgenmeister, CR 2015, 404. 1227 Eckert, DuD 2015, 641; Fiedler/Thiel, DuD 2015, 671; Fischer/Gröne/Stüble, DuD 2015, 657; Hemker, DuD 2015, 668; Junker, DuD 2015, 647; Krüger-Brand, Deutsches Ärzteblatt 2016, 113(9), C-309; Thiel/Thiel, DuD 2015, 663; Wiedermann, DuD 2015, 652. 1228 Zum Ganzen: Grünwald/Nüßing, MMR 2015, 378; Wulf/Burgenmeister, CR 2015, 404. 1229 Conrad, ZD 2016, 553. Der BGH hatte die Frage im Zshg. mit IP-Adressen vorgelegt (BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109 m. Anm. Eckhardt; LG Berlin v. 31.1.2013 – Az. 57 S 87/08, CR 2013, 471 (Vorinstanz: AG Berlin-Mitte v. 13.8.2008 – 2 C 6/08). In der Vergangenheit hatte sich der EuGH nur zum Personenbezug von IP-Adressen in den Fällen geäußert, in denen die verantwortliche Stelle den Personenbezug herstellen konnte, weil sie der TK-Diensteanbieter war. S. Generalanwältin Kokott, Schlussanträge v. 18.7.2007 – C-275/06, Fußnote 36; Generalanwalt Villalón, Schlussanträge v. 14.4.2011 – C-70/10, Rz. 75 ff. Zum Ganzen Bergt, ZD 2015, 365 ff. 1230 Grünwald/Nüßing, MMR 2015, 378 (382). 1231 Hofmann, DSRI-Tagungsband Herbstakademie 2015, S. 209 ff.; Hofmann, ZD 2016, 12.
Conrad
251
A Rz. 943
Datenschutz und IT-Management
liegen. Bei Aufnahme dauerhaft und/oder durch Menschen auslesbar ist das BDSG dagegen anwendbar. 943 Langer1232 hat sich v.a. mit der Frage beschäftigt, inwieweit die bereichsspezifischen Datenschutzvorschriften des TKG und TMG auf die M2M-Kommunikation Anwendung finden. Ausgangspunkt der Überlegung ist, dass M2M (etwa im Rahmen vernetzter Nutzfahrzeuge) häufig mittels WLAN oder das Mobilfunknetz realisiert wird. Somit ergibt sich im Grundsatz das Drei-Parteien-Verhältnis Mobilfunkbetreiber, M2M-Gerätehersteller und Endkunde, wobei im Einzelfall der Mobilfunkbetreiber und Gerätehersteller in einer Person zusammenfallen können. Im Regelfall erfolgt M2M. über eine zentrale Kommunikationsplattform (Backend) zur Speicherung und Auswertung der M2M-Daten. M2M-Dienst zur Darstellung der M2M-Daten und Steuerung der M2M-Geräte werden mittels Apps oder Internetportale oder Displays in den M2M-Geräten (zusammen Frontend) abgerufen bzw. bedient. Die bereichsspezifischen Datenschutzvorschriften der §§ 91 ff. TKG sind nur dann anwendbar, wenn ein Telekommunikationsdienst oder telekommunikationsgestützter Dienst vorliegt. Langer verneint einen TK-Dienst i.S.v. § 3 Nr. 22 TKG jedenfalls bei M2M via Mobilfunk, weil zwar Signalübermittlung erfolgt, aber der M2M-Dienst nicht „überwiegend“ in der „Übertragung von Signalen“ besteht. Der Schwerpunkt liegt bei der Datenauswertung und Gerätesteuerung. Auch ein TK-gestützter Dienst nach § 3 Nr. 25 TKG scheidet aus. Zwar wird in gewisser Weise „Inhaltsleistung noch während der Telekommunikationsverbindung“ erbracht. § 3 Nr. 25 TKG sei jedoch – auch nach Stellungnahme BNetzA – der zumindest ursprünglich angelegt auf „telefonnahe Dienste“, was M2M nicht ist. Somit ist im Einzelfall ein Telemediendienst (§ 1 Abs. 1 TMG) denkbar, v.a. bei Nutzung von Apps mit Online-Funktionalität und Internetportalen, was aber bei Gerätesteuerung über Displays das Signalübertragungselement nicht berücksichtigt. Auch wenn eine Telemediendienst vorliegt, verbleibt es im Verhältnis zwischen Arbeitgeber und Arbeitnehmer bei den Vorschriften des BDSG (im Wesentlichen § 32 und § 28), s. § 11 Abs. 1 Nr. 1 TMG. 13.3 Vertikale und horizontale Vollintegration, Profilbildung und Beschäftigtendatenschutz 944 Die horizontale und vertikale Vollintegration von cyberphysischen Systemen, was eine Grundlage von Industrie 4.0 ist, verlangt eine ungeheure Anzahl an Schnittstellen, Datenexporte und -importe. Diese gilt es – jedenfalls soweit personenbezogene Daten betroffen sind – transparent zu machen und zu kontrollieren. Das ist keine leichte Aufgabe für die Unternehmen, betrieblichen Datenschutzbeauftragten und Datenschutzbehörden. Beispielsweise kann es sein, dass eine industrielle Applikation selbst keine personenbezogenen Daten verarbeitet, aber den Zugriff ermöglicht auf eine verknüpfte Applikation, die Beschäftigten- oder Kundendaten für eine Reihe von Anwendungen vorhält. 945 Profilbildung gibt es nicht nur bei der Nutzung des Internet und mobiler Endgeräte. Auch bei industrieller Software werden Protokolle erzeugt, aus denen sich Profile über Nutzeraktivitäten ergeben können (z.B. Bewegungsprofile von LKW-Fahrern). Das ist kein neues Thema von Industrie 4.0, aber der neue Umfang der Vernetzung, Sensorik und Aktorik schafft neue Datenqualitäten bei der Profilbildung und Protokollierung, etwa i.R.d. Dokumentation im Krankenhaus. Die Kehrseite ist, dass diese neuen Möglichkeiten das Risiko der Rundum-Überwachung am Arbeitspatz erhöhen.1233 Protokollierung und Profilbildung sind von jeher zweischneidig. Protokolle können auch dem Arbeitsschutz dienen (etwa Schutz vor Gesundheitsrisiken wie der Fahrerüberwachung bei Nutzfahrzeugen oder Schutz vor Arbeitsüberlastung in sonstigen Fällen). Hier zeigt sich ein neues Spannungsfeld zwischen Datenschutz einerseits und Produkthaftung andererseits. Wenn durch intensivere
1232 Langer, DSRI-Tagungsband Herbstakademie 2015, S. 973. 1233 Rundum-Überwachung ist verboten, s. u.a. BVerfGE 27, 1 – Mikrozensus.
252
Conrad
Arbeitnehmerdatenschutz
Rz. 948
A
Fahrer- und Fahrzeugüberwachung lebensgefährliche Unfälle verhindert werden können, überwiegen dann die berechtigten Interessen des Datenverarbeiters? Soweit der Arbeitgeber i.R.v. M2M personenbezogene Beschäftigtendaten erhebt, verarbeitet 946 und nutzt, wird sich im Einzelfall die typische Frage des Beschäftigtendatenschutz stellen, nämlich inwieweit als Erlaubnistatbestand § 32 Abs. 1 Satz 1 BDSG oder § 28 Abs. 1 Satz 1 Nr. 2 BDSG zur Anwendung kommen.1234 Gegenüber dem Geräte-Hersteller, sofern dieser nicht zugleich der Arbeitgeber ist, ist § 32 BDSG jedenfalls nicht anwendbar. Bei der Frage der Erforderlichkeit sowie der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) sind die Effizienzgewinne durch Industrie 4.0 mit zu berücksichtigen. Ein pauschaler Vergleich, wonach Big Data per se nicht erforderlich ist, weil mit der EDV in Zeiten der 2. und 3. industriellen Revolution auch gearbeitet werden konnte, ist nicht sachgerecht.1235 Soweit aber z.B. Echtzeitbeobachtung (etwa für Fahrassistenzsysteme) zulässig ist, bedeutet dies nicht, dass auch eine dauerhafte Speicherung dieser Daten erlaubt ist. Im Arbeitsverhältnis ist stets eine Angemessenheitsprüfung,1236 sodass selbst bei Bejahung der Erforderlichkeit bestimmte Funktionalitäten oder Systeme unzulässig sein können, wenn sie z u einer Totalüberwachung führen würden. Es gibt jedoch Maßnahmen, die selbst bei Überwachungsvorrichtungen (etwa kamerabasierte Fahrassistenz in Nutzfahrzeugen) Datenschutzkonformität sicherstellen. Dazu gehört etwa, dass in Pausenzeiten des Beschäftigten (und auch nach Dienstschluss) keine Datenaufzeichnungen erfolgen, etwa indem Geräte über sogenannte Privacy-Schalter verfügen, die der Beschäftigte bedienen kann, um die Ortung oder Erstellung von Bewegungsprofilen oder Bilderfassung zu unterbrechen. Erste Maxime ist die Transparenz für den Betroffenen (u.a. Direkterhebung beim Betroffenen, § 4 Abs. 2 BDSG, sowie Benachrichtigungspflichten, § 33 BDSG) sowie sehr enge Zugriffsrechte auf die i.R.v. M2M erhoben Daten. Im Regelfall wird M2M im Betrieb der Mitbestimmung unterliegen (§ 87 Abs. 1 Nr. 6 BetrVG), sodass Betriebsvereinbarung ein geeignetes Mittel sein können, die Betroffenenrechte zu konkretisieren. 13.4 IT-Sicherheit, technische und organisatorische Maßnahmen Eine Folge von Industrie 4.0 ist, dass Industrie-Bereiche, die sich bisher nicht mit den Risi- 947 ken durch Hackerangriffe befasst haben, sich verstärkt gegen IT-Sicherheitsrisiken (DoS, Phishing etc.) wappnen müssen.1237 Cyber Security betrifft in Industrie 4.0 alle Branchen. Moderne Fahrzeuge haben idR keinen mechanischen Schlüssel. Wird zB das Passwort des Fahrzeugassistenzsystems gestohlen, kann der Täter ferngesteuert den Standort des Fahrzeugs ermitteln und die Türen öffnen.1238 Fahrassistenzsysteme sind vielfältig vernetzt (häufig auch mit Cloud-Anwendungen), was dem Manipulationsrisiko neue Wege öffnet.1239 Industrie 4.0 stellt auch neue Herausforderungen an die Zweckbindung von Daten und an 948 die Löschpflichten. Je dichter die Vernetzung, v.a. bei Plattformen, auf die verschieden verantwortliche Stellen zugreifen, umso schwieriger ist die Zweckbindung zu kontrollieren und die Frage zu beantworten, welche Daten bis wann zu löschen (oder ggf. nur zu sperren) sind. Vertikale und horizontale Integration aller Unternehmensbereiche heißt auch, dass es wenig (physikalische) Trennung zwischen den Bereichen gibt. Auch die logische Trennung nach unterschiedlichen Verarbeitungszwecken gerät ins Wanken. Zweckänderung ist jedoch 1234 S. Rz. 712 ff. Zu Arbeitsrecht 4.0 bzw. Robotern als Vorgesetzten und Kollegen s.a. Groß/Gressel, NZA 2016, 990; Kamps/Bonami, ArbRB 2016, 214. 1235 Hofmann, DSRI-Tagungsband Herbstakademie 2015, S. 209 ff.; Hofmann, ZD 2016, 12. 1236 S. Rz. 897. 1237 Krüger-Brand, Deutsches Ärzteblatt 2016, 113(9), C-309: Viren- und Trojaner-Angriff auf vernetze Röntgengeräte, Infusionspumpen und Kühlsysteme von Blutkonserven. 1238 Kremer, RDV 2014, 240; http://www.heise.de/newsticker/meldung/Sicherheitsforscher-knackenFunkschluessel-von-VW-und-anderen-Herstellern-3292169.html. 1239 Schonschek, Datenschutz-Praxis 08/2015, S. 12.
Conrad
253
A Rz. 949
Datenschutz und IT-Management
nur zulässig, soweit die verschiedenen Zwecke kompatibel sind.1240 Zweckentfremdung v.a. von Video- und Standortdaten ist per se kritisch. Weite Exportmöglichkeiten bergen Risiken wie Datenklau durch Mitarbeiter. Die Verzahnung der Datenverarbeitung muss sich auch auf die Datenschutzmaßnahmen (TOMs) und die Datenschutzkontrolle auswirken. 949 Dies stellt höhere Anforderungen an ausreichende TOMs (§ 9 BDSG und Anlage dazu). Im Regelfall wird eine Vorabkontrolle (§ 4d Abs. 5 BDSG) des betrieblichen Datenschutzbeauftragten erforderlich sein. Ob und inwieweit im Hinblick auf § 3a BDSG eine Anonymisierung erforderlich ist, ist Frage des Einzelfalls. Anonymisierung ist – gerade bei Big Data – nicht nur teuer (evtl. sogar unverhältnismäßig). Auch die Zweckerreichung mit anonymen Daten kann fraglich sein. Tauglich wird eher Pseudonymisierung sein. Auch sogenannte „Sticky Policies“, die den Kontext (Zweckfestlegung), die Zugriffs- und Bearbeitungsrechte mit dem jeweiligen maschinenlesbaren Datensatz verbinden, können sich anbieten.1241 950 Die Datenschutzbehörden haben speziell im Hinblick auf Connected Cars, aber übertragbar auf Industrie 4.0 insgesamt, eine Stellungnahme mit Empfehlungen veröffentlicht.1242 Die Kernpunkte, die von der verantwortlichen Stelle zu beachten sind, lauten zusammengefasst wie folgt: – Bereits in der Konzeptionsphase (von Smart Products und M2M-Diensten) sind Privacy by Design bzw. Privacy by Default zu verwirklichen, – Datenvermeidung und Datensparsamkeit, – Erlaubnis der Datenverarbeitungen durch vertragliche Vereinbarung oder ausdrückliche Einwilligung, – Vollständige Transparenz für Fahrer, Halter und Nutzer von Fahrzeugen über Datenerfassung/-verarbeitung, Datenexporte/Schnittstellen, – Rechtzeitige Information über Änderungen, – Betroffenen müssen in die Lage versetzt werden, weitere Nutzer zu informieren, – Erkennbarkeit und Kontrollierbarkeit von Datenübermittlungen für Fahrer/Halter/Nutzer, – Wahlfreiheit für datenschutzfreundliche Systemeinstellungen, – umfangreiche Löschmöglichkeiten, – geeignete TOMs für Datensicherheit und -integrität, insb. für die Datenkommunikation aus dem Fahrzeug (oder sonstigen M2M-Gerät) heraus. 14. Regelung zum Beschäftigtendatenschutz in der EU-Datenschutzgrundverordnung 951 Dass die Datenschutzgrundverordnung bei den Grundprinzipien wenig Neues bringt,1243 wird auch den Beschäftigtendatenschutz prägen, dessen Ausgestaltung im Detail weitgehend dem nationalen Gesetzgeber überlassen wird.1244 Kernvorschrift für den Beschäftigtendatenschutz in der DS-GVO ist Art. 88 (Datenverarbeitung im Beschäftigungskontext),
1240 Art. 6 Abs. 1 lit. b DS-RL 95/46/EG. S. Artikel-29-Gruppe, Working Paper 203 Opinion on purpose limitation. 1241 Hofmann, DSRI-Tagungsband Herbstakademie 2015, S. 209 ff.; Hofmann, ZD 2016, 12. 1242 Entschließung der 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 8./9.10.2014 in Hamburg, „Datenschutz im Kraftfahrzeug – Automobilindustrie ist gefordert“. 1243 Allg. zur DS-GVO s. Rz. 492, zu Übermittlung von Beschäftigtendaten in der Unternehmensgruppe s. Rz. 924 ff. 1244 S. Rz. 531, 692.
254
Conrad
Arbeitnehmerdatenschutz
Rz. 953
A
der eine relativ weite Öffnungsklausel vorsieht.1245 In Erw.grd. 155 DS-GVO heißt es: „Im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich‘ Betriebsvereinbarungen‘) können spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorgesehen werden, und zwar insb. Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen, über die Verarbeitung dieser Daten für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses.“ Das Europäische Parlament wollte den Rahmen für die Mitgliedstaaten deutlich enger stecken und hatte in Art. 82 seiner Kompromissfassung1246 zur DS-GVO „Mindestnormen für die Datenverarbeitung im Beschäftigungskontext“ vorgeschlagen, die jedoch im Trilog fallengelassen wurden. Das EP hatte Spezialregelungen u.a. für offene optisch-elektronische und/oder offene akustische Überwachung, für ärztliche Untersuchungen und Eignungstests, für die Nutzung von Telefon, Email, Internet und anderer IKT auch zu privaten Zwecken, für sogenannte „schwarze Listen“ von Beschäftigten und für die Übermittlung von Beschäftigtendaten in der Unternehmensgruppe vorgeschlagen.
952
Ebenso wenig konsensfähig im Trilog war, dass das EP ausdrücklich regeln wollte, dass die 953 Einwilligung eines Arbeitnehmers keine Rechtsgrundlage für die Verarbeitung von Daten durch den Arbeitgeber bietet, wenn sie nicht freiwillig erfolgt.1247 Die deutschen Arbeitsgerichte praktizieren dies seit langem und die Freiwilligkeit ist ein konstitutives Element jeder Einwilligung. Der Klarstellungswunsch des EP dürfte als Reaktion auf den Vorschlag der Kommission1248 zu werten sein, die in ihrem Entwurf der DS-GVO in Art. 7 Abs. 4 vorgeschlagen hatte zu regeln: „Die Einwilligung bietet keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht.“ Damit wäre fraglich gewesen, ob eine Arbeitnehmereinwilligung überhaupt eine wirksame Erlaubnis schaffen kann. Der Trilog hat dies revidiert. In Art. 7 Abs. 4 DS-GVO heißt es nun. „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ Damit sind Beschäftigteneinwilligungen möglich. Das probate Mittel wird aber eher – soweit ein Betriebsrat besteht – die Betriebsvereinbarung sein,1249 zumal Art. 88 Abs. 1 DSGVO klarstellt, dass Betriebsvereinbarung auf gleicher Stufe stehen wie die nationalen Vorschriften zum Beschäftigtendatenschutz. Ein Abweichen von der DS-GVO ist zwar nicht möglich (weder durch nationales Gesetz noch durch Betriebsvereinbarung). Aber die Berei1245 S. z.B. zum Handlungsbedarf Gola/Pötters/Thüsing, RDV 2016, 57 ff.; Düwell/Brink, NZA 2016, 665 ff.; Sörup/Marquardt, ArbRAktuell 2016, 103 ff. Körner, NZA 2016, 1383; Kort, DB 2016, 711; Kort, ZD 2016, 3; Rose/Taeger, BB 2016, 819; Sörup, ArbRAktuell 2016, 207; DAV-Stellungnahme Nr. 87/2016; Thüsing, BB 2016, 2165; Tiedemann, ArbRB 2016, 334; Wybitul/Draf, BB 2016, 2101; Wybitul/Pötters, RDV 2016, 10. 1246 Rz. 492 ff.; s. a. Trilog-Synopse des BayLDA abrufbar unter https://www.lda.bayern.de/media/bayl da_synopse.pdf. 1247 Schantz, NJW 2016, 1841 (1845); s.a. Stamer/Kuhnke, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2016, Art. 88 DS-GVO Rz. 12 f. 1248 S. Trilog-Synopse des BayLDA abrufbar unter https://www.lda.bayern.de/media/baylda_synopse. pdf. 1249 Kort, DB 2016, 711 (714).
Conrad
255
A Rz. 954
Datenschutz und IT-Management
che, die Art. 88 DS-GVO dem nationalen Gesetzgeber zur Konkretisierung überlässt, können durch Betriebsvereinbarung abweichend vom nationalen Gesetz geregelt werden. Das gilt hins. Art. 88 Abs. 2 DS-GVO insb. für „die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“. Sowohl vor als auch nach Inkrafttreten der DS-GVO bestehende bzw. abgeschlossene Betriebsvereinbarung kann die betreffen. Die Betriebsvereinbarung muss aber transparent sein.1250 Umstritten ist, ob durch Betriebsvereinbarung das gesetzliche Datenschutzniveau angehoben werden darf. Teile der Lit. sind dafür.1251 Hinsichtlich der Zielsetzung der DS-GVO einer EU-weit einheitlichen Regelung und Verbesserung der Vollharmonisierung,1252 die die RL 95/46/EG praktisch nicht leisten konnte, wäre eine Verschärfung der Datenschutzgrundsätze der DS-GVO durch Betriebsvereinbarung nicht zu vereinbaren. 954 Als Vorschriften der Mitgliedstaaten i.S.d. Art. 88 gelten nicht nur Vorschriften, die nach Inkrafttreten der DS-GVO erlassen wurden, sondern auch solche, die vorher bestanden, wozu § 32 BDSG gehören würde.1253 Im Referentenentwurf des Bundesministeriums des Innern vom 23.11.2016 für ein Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungsund Umsetzungsgesetz EU – DSAnpUG-EU) ist ein novelliertes BDSG (BDSG-E) vorgesehen, mit dem einerseits die Öffnungsklauseln nach DS-GVO ausgefüllt werden sollen, andererseits aber die Richtlinie (EU) 2016/680 vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI (kurz JI-Richtlinie) umgesetzt werden soll. Zudem sollen speziellere Datenschutzvorschriften des Bundes dem BDSG-E vorgehen und das BDSG-E regelt Bereiche, die weder der DS-GVO noch der JI-Richtlinie unterfallen, etwa die nicht-automatisierte Verarbeitung von Beschäftigtendaten, die auch nicht in Dateisystemen erfolgt.1254 Ob diese Komplexität im Anwendungsbereich des BDSG-E praktikabel ist, muss bezweifelt werden.1255 Der Referentenentwurf sieht mit § 24 BDSG-E eine Vorschrift zum Beschäftigtendatenschutz vor, mit der die umstrittene Regelung in § 32 (i.V.m. § 3 Abs. 11) BDSG de lege lata – die bei ihrer Einführung nur als Übergangsregelung gedacht war – fortgeführt werden soll. Angesichts der heftigen Kontroversen um den Entwurf eines Beschäftigtendatenschutzgesetzes in 2010 ist verständlich, dass die Bundesregierung schon aufgrund des straffen Zeitplans keinen Versuch unternommen hat, den Beschäftigtendatenschutz ausführlicher zu regeln. Allerdings ist die Vereinbarkeit von § 24 BDSG-E mit der DS-GVO zweifelhaft. Fraglich ist bereits, ob die mitgliedstaatliche Regelung eine Definition von „Beschäftigter“ vorsehen darf, die in Art. 4 DS-GVO fehlt und in Art. 88 DS-GVO nicht ausdrücklich als Konkretisierungsauftrag an die Mitgliedstaaten vorgesehen ist.1256 Im Übrigen erlaubt Art. 88 DS-GVO mitgliedstaatliche Vorschriften zum Beschäftigtendatenschutz. Allerdings müssen diese Vorschriften „angemessene und besondere Maßnahmen […] umfassen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirt1250 Wybitul/Sörup/Pötters, ZD 2015, 559 (560). 1251 Wybitul/Sörup/Pötters, ZD 2015, 559 (561); Kort, DB 2016, 711 (715, 716). 1252 EuGH v. 24.11.2011 – C-468/10, 469/10, CR 2012, 29 – ASNEF u. FECEMD vs. Administración del Estado; s. a. Rz. 58. 1253 Zur weiteren Geltung von § 32 BDSG s. Stamer/Kuhnke, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2016, Art. 26 DS-GVO Rz. 5 ff.; Kort, DB 2016, 711 (715). 1254 Rz. 698. 1255 DAV-Stellungnahme Nr. 82/2016 vom Dezember 2016. 1256 Im Bereich des Beschäftigtendatenschutzes zeigt sich der nicht unproblematische Konflikt zwischen der unterschiedlichen Regelungskompetenz der Union im Rahmen der Datenverkehrsfreiheit einerseits und des Arbeitsrechtsrecht andererseits, die auch bei der Definition von Beschäftigter eine Rolle spielen kann.
256
Conrad
Arbeitnehmerdatenschutz
Rz. 955
A
schaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“.1257 Insb. an einer Rechtsvorschrift zur Datenübermittlung in Unternehmensgruppen (u.a. bei Matrix-Strukturen) besteht ein großes praktisches Bedürfnis – die dann aber auch im vorstehende Sinne entsprechende „Maßnahmen“ beinhalten müsste. § 32 Abs. 1 Satz 1 BDSG und entsprechend § 24 Abs. 1 Satz 1 BDSG-E enthalten aber keine solchen besonderen Maßnahmen.1258 § 32 Abs. 1 Satz 2 BDSG (entsprechend § 24 Abs. 1 Satz 2 BDSG-E) regelt als „besondere“ Transparenz-Maßnahme zumindest die zu dokumentierenden tatsächlichen Anhaltspunkte für einen Verdacht. Der nationale Gesetzgeber wird also nicht ermächtigt, allgemeine Vorschriften zum Beschäftigtendatenschutz zu erlassen, sondern nur „spezifischere“. Liest man Art. 88 Abs. 1 DS-GVO so, dass – neben dem nationalen Gesetzgeber – auch die Kollektivparteien – durch die DS-GVO unmittelbar ermächtigt werden, in „Kollektivvereinbarungen“ solche spezifischeren Vorschriften zum Beschäftigtendatenschutz zu schaffen, müsste der deutsche Gesetzgeber nicht zwingend tätig werden. Ist eine direkte Ermächtigung z.B. der Arbeitgeber und Betriebsräte durch den europäischen Gesetzgeber möglich? Oder müsste zunächst das mitgliedstaatliche Recht eine Regelung enthalten (sei es in einem Datenschutzgesetz oder z.B. im Betriebsverfassungsgesetz), die klarstellt, was etwa in Betriebsvereinbarungen in welchem Umfang regeln dürfen oder müssen?1259 Im Ergebnis ist also eine Ergänzung und Konkretisierung von § 32 BDSG erforderlich, wenn die deutsche Regelung unionsrechtlich Bestand haben will. In diesem Zusammenhang bietet sich für den nationalen Gesetzgeber an, die Ergebnisse der BAG-Rspr. zu berücksichtigen, aus der sich diverse angemessene und besondere Maßnahmen ableiten lassen. Die Mitgliedstaaten müssen die Vorschriften und ggf. deren Änderungen an die Kommission melden, Art. 88 DS-GVO. Das EP wollte die Rolle des Betriebsrats als Datenschutzakteur stärken und das – nicht im- 955 mer einfache – Verhältnis zum betrieblichen Datenschutzbeauftragten regeln.1260 In den Erw.grd. 75a des Parlamentsentwurfs sollte klargestellt werden, dass der betriebliche Datenschutzbeauftragte die Fähigkeit haben muss, mit dem Betriebsrat zusammenzuarbeiten. In Art. 37 wollte das EP Unterrichtungspflichten des Datenschutzbeauftragten gegenüber dem BR aufnehmen, was die Unabhängigkeit des Beauftragten in Frage gestellt hätte.1261 Beides fand keinen Eingang in die in Kraft getretene Fassung der DS-GVO. Somit werden im Einzelfall Streitfragen bleiben, etwa inwieweit der Beauftragte auch den Betriebsrat kontrollieren darf bzw. muss.1262
1257 Rz. 696. 1258 Der Regelungsinhalt von § 32 Abs. 1 Satz 1 BDSG/§ 24 Abs. 1 Satz 1 BDSG-E ist bereits in Art. 6 Abs. 1 lit. b DS-GVO vorgesehen. Der EuGH erlaubt nur in engen Grenzen, dass im nationalen Recht Verordnungstext wiederholt werden. Zwar lässt Erw.grd. 8 DS-GVO eine Aufnahme von Teilen der Verordnung in nationales Recht zu, „soweit dies erforderlich ist, um die Koheränz zu wahren und die nationalen Vorschriften für die Personen, für die sie gelten, verständlicher zu machen.“ Es ist fraglich, ob die sinngemäße Wiederholung in § 24 Abs. 1 Satz 1 BDSG-E zur Koheränzwahrung und besseren Verständlichkeit erforderlich ist, zumal spezifischere Vorschriften für die „Normalfälle“ der Verarbeitung von Beschäftigtendaten fehlen. Fraglich ist zudem, ob die Differenzierung zwischen öffentlichen und nicht-öffentlichen Stellen (§ 2 Abs. 1 BDSG-E), die sich durch weite Teile des BDSG-E durchzieht (allerdings nicht bei § 24 BDSG-E), erforderlich und europarechtskonform ist. Die DS-GVO kennt diese Differenzierung so nicht und sieht dafür auch keine mitgliedstaatliche Sonderregelung vor. Vielmehr ist der unionsrechtliche Unternehmensbegriff (Art. 4 Nr. 18 DS-GVO) weiter als der Begriff der nicht-öffentlichen Stelle. 1259 Wybitul/Sörup/Pötters, ZD 2015, 559 zu Handlungsempfehlungen für Unternehmen und Betriebsräte hins. DS-GVO. 1260 Zu den Rechten des Betriebsrats Kort, ZD 2016, 3. 1261 Kort, DB 2016, 711 (713). 1262 Rz. 772 ff.
Conrad
257
A Rz. 956
Datenschutz und IT-Management
IV. Kundendatenschutz 1. Grundlegende Definitionen 956 Die Verwendung personenbezogener Daten spielt in der modernen Ökonomie eine herausragende Rolle.1263 Insb. mit Blick auf die IT-Wirtschaft werden Daten als die „Währung“ des 21. Jahrhunderts bezeichnet.1264 In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen oder jedenfalls rechtlich umstrittenen Umgangs mit personenbezogenen Daten bekannt geworden. Fälle wie die Weitergabe von Nutzerdaten an Werbefirmen über Facebook-Apps wie Farmville und Texas Hold’em1265 oder die Nutzung der iPhone-Geräteerkennung für Werbezwecke1266 gelangen oft in die Schlagzeilen. An diesen so bezeichneten Datenschutzskandalen zeigt sich deutlich, dass der Betroffene durch die Verwendung seiner Daten besonderen Gefahrenlagen ausgesetzt ist. Im Mittelpunkt steht dabei das allgemeine Persönlichkeitsrecht bzw. das Recht auf informationelle Selbstbestimmung als Unterfall des Ersteren. Das allgemeine Persönlichkeitsrecht umfasst die Befugnis des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen.1267 957 Um den mit einer Datenverwendung verbundenen Gefahren entgegenzuwirken und den Einzelnen vor einer Beeinträchtigung in seinem Persönlichkeitsrecht zu schützen, wird der Datenumgang durch gesetzliche Schutzvorkehrungen normiert. Solche Datenschutzvorschriften sind darauf ausgerichtet, den Einzelnen vor Eingriffen in sein Persönlichkeitsrecht zu schützen (vgl. § 1 Abs. 1 BDSG). Dieses Recht entfaltet nach dem BVerfG seinen Rechtsgehalt auch im Privatrecht und strahlt so auf die Interpretation und Anwendung privatrechtlicher Rechtsbestimmungen aus.1268 Vor diesem Hintergrund sind die Gerichte verpflichtet, bei der Interpretation und Anwendung solcher Rechtsbestimmungen einen wirksamen Rechtsschutz im Privatrechtsverkehr zu garantieren, sofern die informationelle Selbstbestimmung durch Regelungen des einfachen Rechts nicht (vollständig bzw. effizient) geschützt wird.1269 958 Soweit die Datenschutzvorschriften den Schutz einer Person bezwecken, die auf dem Markt als Kunde auftritt, kann von Kundendatenschutz die Rede sein.1270 Der Begriff „Kundendatenschutz“ ist nicht gesetzlich definiert. Er wird jedoch in Lit. und Rspr. weit verbreitet verwendet.1271 Um die erfasste Materie genau zu umreißen, sollen „Umgang mit personenbezogenen Daten“ und „Kunde“ definiert werden. „Umgang mit Daten“ findet im gesamten BDSG nur einmal Erwähnung, nämlich in dessen § 1 Abs. 1 BDSG, der das Regelungsziel und damit den Interpretationsrahmen festlegt.1272 Im Gesetzestext findet sich zwar keine Legaldefinition dieses Begriffs.1273 Aus der systemati1263 Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 1; Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße, S. 1 ff. 1264 Heckmann in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 471, 534; vgl. auch Mainusch/Burtchen, DuD 2010, 448 (449), die in dieser Hinsicht vom „Rohstoff des 21. Jahrhunderts“ sprechen; Forgó/Helfrich/Schneider, Teil X („Information als Wirtschaftsgut“). 1265 S. http://www.pcwelt.de/ratgeber/Sicherheit-Die-groessten-Datenschutz-Skandale-der-IT-Geschich te-4976380.html (abgerufen am 12.8.2016). 1266 S. www.focus.de/digital/computer/apple/problematischer-datenschutz-bei-ios6-apple-spioniert-nut zer-von-iphone-und-ipad-zu-werbezwecken-aus_aid_837633.html (abgerufen am 12.8.2016). 1267 BVerfG v. 17.7.2013 – 1 BvR 3167/08, Rz. 19, ZD 2014, 84. 1268 BVerfG v. 17.7.2013 – 1 BvR 3167/08, Rz. 19, ZD 2014, 84. 1269 BVerfG v. 17.7.2013 – 1 BvR 3167/08, Rz. 17, 21, ZD 2014, 84. 1270 S. z.B. Gola/Reif, Kundendatenschutz; Reif, RDV 2007, 4; Kranz, DuD 2001, 161; vgl. auch Bierekoven, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 1 Rz. 2. 1271 Bierekoven, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 1 Rz. 1; die BDSG-Novelle II wurde auch „Kundendatenschutz“ genannt, s. Gola/Reif, Kundendatenschutz. 1272 Simitis/Simitis, BDSG, § 1 Rz. 23; s.a. Taeger/Gabel/Schmidt, BDSG, § 1 Rz. 3; Plath/Plath, BDSG/ DSGVO, § 1 BDSG Rz. 8. 1273 Simitis/Dammann, BDSG, § 1 Rz. 134.
258
Kosmides
Kundendatenschutz
Rz. 963
A
schen Stellung der Regel des § 1 Abs. 1 BDSG sowie deren Regelungsgehalt ergibt sich jedoch, dass unter den Begriff Datenumgang jede Verwendung personenbezogener Daten fällt. Insofern handelt es sich beim Datenumgang um einen untechnischen Sammelbegriff für sämtliche Datenverarbeitungsformen.1274 Personenbezogene Daten werden definiert als „Einzelangaben über persönliche oder sachli- 959 che Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ (§ 3 Abs. 1 BDSG). Was die Erläuterung des Begriffs der personenbezogenen Daten angeht, so kann auf die umfangreiche Kommentarliteratur verwiesen werden.1275 Hier soll nur darauf hingewiesen werden, dass aus der obigen Begriffsbestimmung folgt, dass nur natürliche Personen in den Genuss des durch die Datenschutzvorschriften gewährten Schutzes kommen.1276 Juristische Personen werden hingegen vom Schutzbereich der Normen des BDSG sowie sonstiger Datenschutzregeln grds. ausgeschlossen (vgl. aber § 91 Abs. 1 Satz 2 TKG).1277 Im vorliegenden Zshg. gilt insoweit als Kunde eine natürliche Person, die ein Rechts- 960 geschäft zum Zwecke des Erwerbs einer Ware oder der Inanspruchnahme einer Dienstleistung abschließt (Kunde im engeren Sinne). Daneben stellt einen Kunden eine natürliche Person dar, die Interesse an einem Vertragsschluss zu demselben Zwecke zeigt oder zu diesem Zwecke durch den Anbieter oder einen Dritten werblich angesprochen wird (Kunde im weiteren Sinne). Für den Kundenbegriff ist ohne Bedeutung, ob das in Frage stehende Rechtsgeschäft der gewerblichen oder selbständigen beruflichen Tätigkeit1278 des Nachfragers zugerechnet werden kann oder nicht. Ein Unternehmer i.S.v. § 14 BGB (dazu B Rz. 39 ff.) kann genauso gut wie ein Verbraucher i.S.v. § 13 BGB (dazu B Rz. 33 ff.) ein Kunde sein, sofern er freilich eine natürliche Person ist. Demgemäß können als Kundendaten Angaben verstanden werden, die eine betriebliche, werbliche sowie gemeinhin wirtschaftliche Relevanz aufweisen und den Betroffenen als Marktpartner, nämlich als Kunden, ausweisen.1279
961
Als wesentliche Problembereiche des Kundedatenschutzes bzw. Einsatzgebiete der entsprechenden Datenschutznormen lassen sich feststellen:
962
– die Werbung (Rz. 1028 ff.), – das Vertragsleben (Vertragsverhandlungen, -abschluss, -durchführung und -beendigung) (Rz. 1100), – die Bonitätsbewertung (Rz. 1164 ff.), – die Markt- und Meinungsforschung (Rz. 1205 ff.) sowie – die Videoüberwachung von Kunden (Rz. 1210 ff.). 2. Die maßgeblichen Regelungen im Überblick Dem Kundendatenschutz dienende Rechtsbestimmungen sind in erster Linie im BDSG zu 963 finden. Das Gesetz stellt bekanntlich die allgemeine Regelung auf dem Gebiet des Daten1274 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 1 Rz. 7. 1275 Vgl. nur Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 3 Rz. 2 ff.; Simitis/Dammann, BDSG, § 3 Rz. 3 ff.; Taeger/Gabel/Buchner, BDSG, § 3 Rz. 3 ff. 1276 OLG Stuttgart v. 25.7.2013 – 2 U 9/13, juris Rz. 38 = ZD 2014, 144. 1277 Vgl. Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 3 Rz. 2, 10; Simitis/Simitis, BDSG, Einl. Rz. 155 ff., 206 und Simitis/Dammann, § 3 Rz. 17 ff.; Taeger/Gabel/Buchner, BDSG, § 3 Rz. 8; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 58; s.a. OLG Stuttgart v. 25.7.2013 – 2 U 9/13, juris Rz. 38 = ZD 2014, 144. 1278 Zum Begriff der gewerblichen oder selbständigen beruflichen Tätigkeit vgl. nur Micklitz/Purnhagen, in: MüKoBGB, Bd. I, § 14 Rz. 19 ff. 1279 Vgl. auch Gola/Reif, Kundendatenschutz, Kap. I Rz. 6.
Kosmides
259
A Rz. 964
Datenschutz und IT-Management
schutzes dar. Die letzte Stufe der im Jahr 2009 verabschiedeten BDSG-II-Novelle ist am 1.9.2012 in Kraft getreten. Daneben kommen bereichsspezifische Datenschutzvorschriften in Betracht. Solche Datenschutzvorschriften sind im TMG (§§ 11 ff.) sowie im TKG (§§ 91 ff.) niedergelegt. 964 Schließlich ist im vorliegenden Zshg. auch das UWG von Interesse, obschon es keine datenschutzrechtlichen Bestimmungen enthält. Denn das UWG dient nach § 1 u.a. dem Schutz der Verbraucherinteressen vor unlauteren Geschäftshandlungen, wozu auch der Schutz des Persönlichkeitsrechts der Konsumenten gehört.1280 965 Neben dem UWG gibt es auch weitere Regelungen wie etwa strafrechtliche, die zwar keinen Kundendatenschutz, jedoch Kundenschutz bewirken. Z.B. wurde das Anwählen von Mobiltelefonnummern mittels Computer, das so kurz war, dass die Angerufenen keine Möglichkeit hatten, das Gespräch anzunehmen, und deshalb die Nummer zurückriefen, ohne zu wissen, dass es sich um eine teure Mehrwertdienstnummer handelte, als strafbar wegen Betrugs i.S.v. § 263 Abs. 1 StGB gewertet.1281 Solche strafrechtlichen Regeln werden hier nicht thematisiert. 2.1 BDSG 2.1.1 Anwendungsbereich 966 Der sachliche Anwendungsbereich des BDSG wird in § 1 Abs. 2 BDSG bestimmt. Gegenüber der Zweckbestimmung des § 1 Abs. 1 BDSG, die sich auf einen „Umgang“ mit personenbezogenen Daten bezieht, führt § 1 Abs. 2 BDSG insoweit eine Konkretisierung ein, als er bestimmt, dass sich der Geltungsbereich des Gesetzes auf die „Erhebung, Verarbeitung und Nutzung“ personenbezogener Daten erstreckt.1282 Neben der Erhebung i.S.v. § 3 Abs. 3 BDSG, der Verarbeitung i.S.v. § 3 Abs. 4 BDSG und der Nutzung i.S.v. § 3 Abs. 5 BDSG stellen auch das Anonymisieren i.S.v. § 3 Abs. 6 BDSG und das Pseudonymisieren i.S.v. § 3 Abs. 6a BDSG eine vom BDSG erfasste Datenverwendung dar. Bei den beiden letztgenannten Verwendungsarten handelt es sich um ein Verändern i.S.v. § 3 Abs. 4 Satz 2 Nr. 2 BDSG, also einen Unterfall der Verarbeitung.1283 Dafür spricht in erster Linie, dass der Anwendungsbereich des BDSG laut § 1 Abs. 2 BDSG drei konkret festgelegten Verwendungsarten, nämlich der Erhebung, der Verarbeitung und der Nutzung, eröffnet ist. Insofern müssen Anonymisieren und Pseudonymisieren in eine dieser Kategorien eingeordnet werden. Hinzu kommt, dass das Gesetz in § 3 Abs. 6 BDSG das Anonymisieren als eine Sonderform des Veränderns definiert. 967 § 1 Abs. 2 BDSG ist auch für den persönlichen Anwendungsbereich, und zwar in zweierlei Hinsicht, relevant. Zum einen werden hierdurch die Normadressaten bestimmt. Dies sind die öffentlichen Stellen des Bundes i.S.v. § 2 Abs. 1 BDSG, die öffentlichen Stellen der Länder i.S.v. §§ 1 Abs. 2 Nr. 2 i.V.m. 2 Abs. 2 BDSG sowie die nicht-öffentlichen Stellen i.S.v. §§ 1 Abs. 2 Nr. 3 i.V.m. 2 Abs. 4 BDSG. Zum anderen ergibt sich aufgrund der Bezugnahme auf den Begriff „personenbezogene Daten“ im Lichte dessen Legaldefinition in § 3 Abs. 1 BDSG der geschützte Personenkreis. Geschützt werden nur natürliche Personen.
1280 Ebenso Gola/Reif, Kundendatenschutz, Kap. I Rz. 57. 1281 BGH v. 27.3.2014 – 3 StR 342/13 – Ping-Anrufe. 1282 Vgl. auch Simitis/Dammann, BDSG, § 1 Rz. 116; Taeger/Gabel/Schmidt, BDSG, § 1 Rz. 22; anders wohl Plath/Plath, BDSG/DSGVO, § 1 BDSG Rz. 20. 1283 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 3 Rz. 35; a.A. Taeger/Gabel/Buchner, BDSG, § 3 Rz. 33.
260
Kosmides
Kundendatenschutz
Rz. 973
A
2.1.2 Legitimationsgrundlagen für die Datenverwendung Was die Beurteilung der Rechtmäßigkeit einer Verwendung von Kundendaten angeht, so ist 968 zuvörderst § 4 Abs. 1 BDSG von Bedeutung. Diese Vorschrift legt das Grundkonzept für die Datenverwendung in der Form eines sog. Verbots mit Erlaubnisvorbehalt fest.1284 Demgemäß ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn eine entsprechende Erlaubnisnorm vorhanden ist oder der Betroffene eingewilligt hat. Einwilligung und normativer Erlaubnistatbestand stehen als Legitimationsgrundlagen formal gleichrangig nebeneinander.1285 2.1.2.1 Einwilligung Im Datenschutzrecht kommt der Einwilligung als Legitimationsgrundlage eine überragende 969 Rolle zu. Mit Spindler ist allerdings zu bezweifeln, ob sie die ihr zugedachten Funktionen in der Tat erfüllen kann. Zum einen sei die Annahme bewusster, rationaler Handlungen des Betroffenen unrealistisch, zum anderen bestehe die Gefahr, dass bei zu viel und zu deutlicher Aufklärung ein Abschreckungseffekt gegenüber der Nutzung von Diensten eintreten könnte.1286 Die Wirksamkeit der Einwilligung ist an strenge formelle sowie inhaltliche Anforderungen geknüpft (zu den Wirksamkeitsvoraussetzungen aus lauterkeitsrechtlicher Sicht B Rz. 831 ff.). Die bereichsspezifischen Wirksamkeitsvoraussetzungen sind in § 4a BDSG niedergelegt. Weitere Wirksamkeitsvoraussetzungen ergeben sich aus den allgemeinen Regeln des zwingenden Zivilrechts (vgl. z.B. §§ 119, 123, 134, 305 ff. BGB).1287 In formeller Hinsicht spielt zum einen der Zeitpunkt der Abgabe eine wichtige Rolle. Die Einwilligung stellt eine vorherige Einverständniserklärung bzw. Zustimmung des Betroffenen dar (vgl. § 183 BGB).1288 Sie soll eine künftige Datenverwendung legitimieren.1289 Insofern kann eine Einwilligung nicht rückwirkend erteilt werden.
970
Zum anderen muss die Einwilligung von einer einwilligungsfähigen Person erteilt werden. 971 Dabei ist gleichgültig, ob die fragliche Person geschäftsfähig i.S.d. §§ 104 ff. BGB ist. Vielmehr kommt es auf die individuelle Einsichtsfähigkeit der einwilligenden Person in die Tragweite ihrer Entscheidung an.1290 Die Einwilligung muss zudem höchstpersönlichen Charakter haben.1291
972
Weitere formelle Wirksamkeitsvoraussetzung ist gem. § 4a Abs. 1 Satz 3 BDSG die Wahrung der Schriftform (§ 126 BGB).1292 Die Schriftform kann unter den Bedingungen des § 126a
973
1284 Vgl. Plath/Plath, BDSG/DSGVO, § 4 BDSG Rz. 1; Schneider/Forgó/Helfrich, in: Forgó/Helfrich/ Schneider, Teil I Kap. 1 Rz. 45; kritisch zur Terminologie Simitis/Scholz/Sokol, BDSG, § 4 Rz. 3. 1285 Runte, in: Lehmann/Meents, Kap. 20 Rz. 52; Simitis/Scholz/Sokol, BDSG, § 4 Rz. 6; Däubler/Klebe/ Wedde/Weichert/Weichert, BDSG, § 4 Rz. 4; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 59. 1286 Spindler, GRUR 2013, 996 (998). 1287 Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 62. 1288 Gola/Schomerus, BDSG, § 4a Rz. 2; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 63. 1289 Taeger/Gabel/Taeger, BDSG, § 4a Rz. 32. 1290 Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 4a Rz. 5; Gola/Schomerus, BDSG, § 4a Rz. 25; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 63. 1291 Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 4a Rz. 6; Simitis/Simitis, BDSG, § 4a Rz. 30 ff.; Runte, in: Lehmann/Meents, Kap. 20 Rz. 56; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 63. 1292 Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 4a Rz. 11; Taeger/Gabel/Taeger, BDSG, § 4a Rz. 33.
Kosmides
261
A Rz. 974
Datenschutz und IT-Management
BGB durch die elektronische Form ersetzt werden.1293 Eine Befreiung vom Schriftformerfordernis ist nur möglich, wenn „wegen besonderer Umstände“ eine andere Form angemessen ist.1294 974 Schließlich ist die verantwortliche Stelle verpflichtet, die in § 4a Abs. 1 Satz 2 und 4 BDSG begründeten Hinweispflichten zu erfüllen. Erstere Vorschrift statuiert eine Verpflichtung zur vorherigen Information des Betroffenen über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, u.U., eine Verpflichtung zum Hinweis auf die Folgen der Verweigerung der Einwilligung. Die zweitgenannte Norm sieht die Pflicht der verantwortlichen Stelle vor, die Einwilligungserklärung im jeweiligen Schriftstück speziell hervorzuheben, soweit sie zusammen mit anderen Erklärungen abgegeben werden soll (Hervorhebungserfordernis).1295 Die Hervorhebung der Einwilligung in eine Datenverwendung für Werbezwecke ist im äußeren Erscheinungsbild drucktechnisch umzusetzen, z.B. durch die Schriftgröße, den Schrifttypus, eine Formatierung oder einen Rahmen.1296 975 Die inhaltlichen Anforderungen an die Ausgestaltung einer wirksamen Einwilligung sind in § 4a Abs. 1 Satz 1 BDSG niedergelegt. Hiernach beruht die Einwilligung notwendigerweise „auf der freien Entscheidung des Betroffenen“.1297 Damit ist gemeint, dass sie freiwillig oder – nach europarechtlicher Terminologie – „ohne Zwang“ (Art. 2 lit. b EG-DSRL) erteilt werden muss.1298 Zum Beispiel wird diese Voraussetzung nicht erfüllt, wenn die Einwilligung „in einer Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung erteilt wird oder wenn der Betroffene durch übermäßige Anreize finanzieller oder sonstiger Natur zur Preisgabe seiner Daten verleitet wird“.1299 976 In seinem Payback-Urteil hat der BGH entschieden, dass die folgende formularmäßige Widerspruchsmöglichkeit gegen die Erteilung einer Einwilligung den Anforderungen genüge, die an eine freie Entscheidung gesetzlich gestellt werden:1300 „Mit meiner Unterschrift erkläre ich mich einverstanden, dass die von mir oben angegebenen Daten (…) für an mich gerichtete Werbung (…) sowie zu Zwecken der Marktforschung ausschließlich von der L. GmbH und den Partnerunternehmen gem. Nr. 2 der beiliegenden Hinweise zum Datenschutz gespeichert und genutzt werden. (…) Hier ankreuzen, falls die Einwilligung nicht erteilt wird.“
977 Aus dem Grundsatz der freiwilligen Erteilung der Einwilligung folgt, dass sie nicht einseitig von der verantwortlichen Stelle geändert werden kann.1301 Steht der verantwortlichen Stelle ein vertragliches Recht zu, die Datenschutzbestimmungen einseitig zu ändern, so bleibt die Einwilligung von diesem Recht unberührt. 978 Die mit folgender Klausel erteilte Einwilligung beruht nach richtiger Ansicht des OLG Köln nicht auf Zwang, weil die Einwilligung in die Datenverarbeitung keine Voraussetzung dafür 1293 Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 4a Rz. 11; Taeger/Gabel/Taeger, BDSG, § 4a Rz. 34. 1294 Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 63; Runte, in: Lehmann/Meents, Kap. 20 Rz. 59. 1295 Simitis/Simitis, BDSG, § 4a Rz. 40 ff.; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 63. 1296 BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 (90) – Happy Digits. 1297 Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 64; Runte, in: Lehmann/Meents, Kap. 20 Rz. 54. 1298 Näher zur Freiwilligkeit der Einwilligungserklärung Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 4a Rz. 20 ff.; Simitis/Simitis, BDSG, § 4a Rz. 62 ff.; Taeger/Gabel/Taeger, BDSG, § 4a Rz. 52 ff.; s.a. Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 64. 1299 So ausdrücklich BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 (88) – Happy Digits; v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 (721) – Payback m.N. aus der Lit. 1300 BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 (721) – Payback. 1301 Vgl. auch LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (59).
262
Kosmides
Kundendatenschutz
Rz. 984
A
ist, dass die Bank ihren Kunden i.R.d. bereits bestehenden geschäftlichen Beziehungen ihre vertraglichen Pflichten erfüllt:1302 „Die … bietet ihren Kunden eine umfassende Beratung und Betreuung rund um die Themen Geld, Haus, Vorsorge. Um diese Beratung – auch über den Zweck des jeweils abgeschlossenen Vertrages hinaus – in allen Fragen zu Finanzdienstleistungen der … zu ermöglichen, bin ich damit einverstanden, dass die … den unten aufgeführten Gesellschaften der … die dafür erforderlichen Angaben zur dortigen Datenverarbeitung und Nutzung übermittelt.“
Die weitere inhaltliche Wirksamkeitsvoraussetzung besteht darin, dass die Einwilligungserklärung hinreichend bestimmt ist.1303 Sie hat sich in dieser Hinsicht auf konkrete Umstände zu beziehen. Eine sog. Blanko-Einwilligung (zu einer solchen Blanko-Einwilligung vgl. Rz. 1005) erfüllt insofern nicht die Bedingungen für eine wirksame Einwilligung.1304
979
Im Lichte von Art. 2 lit. h EG-DSRL ist schließlich erforderlich, dass die Erteilung der Einwilligung in Kenntnis der Sachlage zu erfolgen hat.1305 Dies ist der Fall, wenn der Betroffene weiß, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht.1306 So gesehen ist eine Klausel, die den Zweck des Datenumgangs nicht benennt und keine Auskunft darüber erteilt, wie die Daten genutzt werden, datenschutzwidrig.1307 Nach Ansicht des LG Frankfurt/M. verstößt die Einwilligung des Kunden in den AGB zur Schaltung von Werbung, ohne dass dieser als Verbraucher darüber informiert wird, welchen Datennutzungsprozessen er damit zustimmt, gegen § 4a BDSG sowie §§ 12 f. TMG.1308
980
In Anbetracht seines Rechts auf informationelle Selbstbestimmung kann der Betroffene die Erteilung einer Einwilligung verweigern oder seine zunächst erteilte Einwilligung widerrufen.1309
981
Neben der allg. Regel des § 4a BDSG sind im Gesetz verschiedene Rechtsbestimmungen vorhanden, die sich für die Erteilung einer Kundeneinwilligung relevant sind. Zu nennen sind v.a. die §§ 28 Abs. 3 Satz 1, Abs. 3a und 3b sowie 28a Abs. 2 Satz 4 BDSG.
982
Für die Bereiche der Telemediendienste sowie der TK-Dienste werden gewisse Sonderregelungen jeweils für die rechtmäßige Ausgestaltung der Einwilligungserklärung gesetzlich vorgeschrieben (§§ 13 Abs. 2 TMG; 94, 95 Abs. 5, 96 Abs. 4, 98 Abs. 1 Satz 4, 105 Abs. 4 TKG). Diese sind leges speciales gegenüber den allg. Bestimmungen des BDSG und gehen den Letzteren vor.
983
Die Einwilligung kann auch in AGB wirksam erteilt werden.1310
984 BGB.1311
Solche Einwilligungserklärungen unterliegen der Kontrolle nach den §§ 305 ff. Insb. kann eine i.R.v. AGB erteilte Einwilligung des Betroffenen allg. an einer entgegen dem Grundsatz von Treu und Glauben unangemessenen Benachteiligung i.S.d. § 307 Abs. 1
1302 OLG Köln v. 17.6.2011 – 6 U 8/11, CR 2012, 130 (131). 1303 Zum Bestimmtheitserfordernis vgl. Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 4a Rz. 18 f.; Simitis/Simitis, BDSG, § 4a Rz. 77 ff. 1304 LG Berlin v. 30.4.2013 – 15 O 92/12, GRUR-RR 2013, 406 (407); v. 9.12.2011 – 15 O 343/11, juris Rz. 44; s.a. Geuer, ITRB 2012, 206 (207); Piltz, K&R 2013, 413 (415). 1305 Zur informierten Einwilligung s. Gola/Schomerus BDSG § 4a Rz. 25 ff. 1306 BGH v. 25.10.2012 – I ZR 169/10, CR 2013, 440 (441) – Einwilligung in Werbeanrufe II. 1307 LG Berlin v. 30.4.2013 – 15 O 92/12, GRUR-RR 2013, 406 (407). 1308 LG Frankfurt/M. v. 6.6.2013 – 2-24 O 246/12, CR 2013, 744 (Ls. 4). 1309 Simitis/Simitis, BDSG, § 4a Rz. 89 ff.; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 65; zu den Widerrufsvoraussetzungen vgl. Rogosch, Die Einwilligung im Datenschutzrecht, S. 135 f. 1310 Vgl. BGH v. 25.10.2012 – I ZR 169/10, CR 2013, 440 (441) – Einwilligung in Werbeanrufe II; v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 (88) – Happy Digits; v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 (722) – Payback. 1311 Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 64.
Kosmides
263
A Rz. 985
Datenschutz und IT-Management
Satz 1 BGB1312 oder speziell der Verletzung des Transparenzgebots gemäß § 307 Abs. 1 Satz 2 BGB1313 scheitern.1314 Die Frage, ob durch eine Einwilligungsklausel Regelungen vereinbart werden, die i.S.v. § 307 Abs. 3 Satz 1 BGB von Rechtsvorschriften abweichen oder diese ergänzen und damit der Inhaltskontrolle unterliegt, ist am Maßstab des BDSG zu beantworten.1315 2.1.2.2 Gesetzliche Erlaubnistatbestände (Überblick) 985 Die für den Kundendatenschutz relevanten Erlaubnistatbestände sind in den §§ 28 bis 30a BDSG niedergelegt. Hierin findet sich eine breite Palette an Zulässigkeitstatbeständen, die jedenfalls zum Teil überdetailliert und für die verschiedensten Spezialfragen und Fallkonstellationen sehr fein differenziert sind, wodurch nicht zu unterschätzende Anwendungsschwierigkeiten hervorgerufen werden können. 986 Um Wettbewerbsverzerrungen zu vermeiden, gilt dieser Normenkomplex gemäß § 27 Abs. 1 Satz 1 BDSG für die Verwendung von Kundendaten sowohl durch privatrechtliche Stellen1316 als auch durch öffentlich-rechtliche Wettbewerbsunternehmen (vgl.a. die Ausnahmeregelung des § 12 Abs. 1 BDSG). Somit wird in der Tat der gesamte Bereich des Umgangs mit Kundendaten abgedeckt. Öffentlich-rechtliche Stellen, die nicht am Wettbewerb teilnehmen, verwenden i.d.R. keine Kundendaten. 987 Liegt ein die Datenverwendung rechtfertigender Erlaubnistatbestand vor, so stellt sich die Frage, ob die verantwortliche Stelle eine Einwilligung des Betroffenen einholen darf. Es könnte dabei behauptet werden, die Einwilligung habe in solchen Fällen keinen Anwendungsbereich, da mit der Einholung der Einwilligung der Eindruck erweckt werde, deren Verweigerungkönne die Verarbeitung verhindern. Diese Behauptung würde allerdings zu weit gehen.Das BDSG ist zwar auf den Schutz des Persönlichkeitsrechts des Einzelnen ausgerichtet (§ 1 Abs. 1 BDSG). Nicht zuletzt im Lichte der EG-Datenschutzrichtlinie (Art. 1 Abs. 2) dürfen allerdings die rechtlichen Interessen der verantwortlichen Stelle nicht außer Acht gelassen werden. Die verantwortliche Stelle soll berechtigt sein, aus Gründen der Rechtssicherheit auf die Berufung auf einen Erlaubnistatbestand zu verzichten und stattdessen eine Einwilligung einzuholen. Dafür dürfte auch der Wortlaut des § 4 Abs. 1 BDSG sprechen. 988 Wird durch die verantwortliche Stelle eine Einwilligung eingeholt, obschon ein Erlaubnistatbestand für die konkret-faktische Datenverwendung vorhanden ist, ist diese Stelle daran angehalten, eine eventuelle Verweigerung des Einverständnisses des Betroffenen zu respektieren. Dies bedeutet praktisch, dass sie grds. nicht mehr auf den gesetzlichen Erlaubnistatbestand zurückgreifen kann.1317 Hat die verantwortliche Stelle die Absicht, diese Verweigerung nicht zu respektieren, wird der Betroffene durch das Verlangen der verantwortlichen Stelle nach Einwilligung im Ergebnis getäuscht.1318
1312 1313 1314 1315
Vgl. BGH v. 19.9.1985 – III ZR 213/83, NJW 1986, 46 (47 f.) – SCHUFA-Klausel. Vgl. OLG Hamburg v. 4.3.2009 – 5 U 260/08, MMR 2009, 557 (558). Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 64. BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 (88) – Happy Digits; v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 (721) – Payback. 1316 BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116 (Rz. 12). 1317 Simitis/Simitis, BDSG, § 4a Rz. 93; zustimmend Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 59. 1318 Simitis/Scholz/Sokol, BDSG, § 4 Rz. 6.
264
Kosmides
Kundendatenschutz
Rz. 992
A
2.1.3 Der Grundsatz der Direkterhebung Liegt eine gesetzliche Erlaubnis oder eine Einwilligung vor, trifft die verantwortliche Stelle 989 grds. die zusätzliche Pflicht, die Daten „beim Betroffenen“ selbst zu erheben.1319 Die Rede ist vom Grundsatz der Direkterhebung. Dieser Grundsatz ist in § 4 Abs. 2 Satz 1 BDSG verankert. Der Grundsatz der Direkterhebung gebietet, dass die Daten mit Kenntnis des Betroffenen und unter seiner Mitwirkung erhoben werden müssen.1320 Im Falle einer Datenerhebung unter Mitwirkung des Betroffenen hat die verantwortliche Stelle die in § 4 Abs. 3 BDSG begründeten Informationspflichten zu beachten.1321 Ausnahmen von diesem Gebot sind lediglich i.R.v. § 4 Abs. 2 Satz 2 BDSG möglich.1322 Als Ausnahmefälle werden enumerativ bestimmte Fälle genannt, die alternativ zum Tragen kommen. Unter diesen sind folgende Tatbestände für den Kundendatenschutz relevant:
990
– Eine Rechtsvorschrift sieht dies ausdrücklich vor (§ 4 Abs. 2 Satz 2 Nr. 1 BDSG). Als Bsp. ist § 28 Abs. 1 Satz 1 Nr. 3 BDSG (Stichwort: „allgemein zugängliche Daten“) zu nennen. – Der Geschäftszweck macht eine Erhebung bei anderen Personen oder Stellen erforderlich, sofern gleichzeitig keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden (§ 4 Abs. 2 Satz 2 Nr. 2 lit. a. Als markantes Bsp. kommt hier die Datenerhebung bei einer Kreditauskunftei zum Zwecke der Bonitätsbewertung eines potenziellen Kunden in Betracht.1323 – Die Direkterhebung würde einen unverhältnismäßigen Aufwand erforderlich machen, sofern gleichzeitig keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden (§ 4 Abs. 2 Satz 2 Nr. 2 lit. b BDSG). Für die Konkretisierung des unbestimmten Rechtsbegriffs des unverhältnismäßigen Aufwands sind v.a. das Verhältnis des Aufwands zum Informationsinteresse des Betroffenen sowie die Art der Daten zu berücksichtigen.1324 Einen typischen Fall, der sich aufgrund dieses Tatbestands legitimieren lässt, stellt die Einholung von Kundendaten von Direktmarketingunternehmen oder Adresshändlern dar.1325 2.1.4 Automatisierte Einzelentscheidungen Von besonderem Interesse für den Kundendatenschutz ist ferner § 6a BDSG, der die (Un-)Zulässigkeit von automatisierten Einzelentscheidungen normiert. § 6a Abs. 1 BDSG verbietet Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, sofern sie ausschließlich auf einer automatisierten Datenverarbeitung zum Zwecke der Bewertung einzelner Persönlichkeitsmerkmale beruhen. Eine automatisierte Entscheidung setzt voraus, dass eine Wahl unter mehreren Alternativen unter Einsatz von Datenverarbeitungsanlagen i.S.v. § 3 Abs. 2 BDSG erfolgt. Das Merkmal der Ausschließlichkeit ist gegeben, wenn eine erneute Überprüfung der Entscheidungsfindung durch einen Menschen nicht vorgesehen ist.1326
991
Als Daten, die der Bewertung einzelner Persönlichkeitsmerkmale dienen, sind v.a. Informationen über persönliche Aspekte wie etwa Angaben zu der beruflichen Leistungsfähigkeit, der Bonität, dem Konsumverhalten, dem Familienstand sowie die Anschrift und das Alter
992
1319 OLG Stuttgart v. 25.7.2013 – 2 U 9/13, juris Rz. 38, ZD 2014, 144. 1320 S. Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 4 Rz. 6; wohl auch Simitis/Scholz/Sokol, BDSG, § 4 Rz. 20 ff.; vgl. aber Taeger/Gabel/Taeger, BDSG, § 4 Rz. 59 („unter seiner Mitwirkung oder zumindest mit seiner Kenntnis“). 1321 OLG Stuttgart v. 25.7.2013 – 2 U 9/13, juris Rz. 38, ZD 2014, 144. 1322 Simitis/Scholz/Sokol, BDSG, § 4 Rz. 20; Taeger/Gabel/Taeger, BDSG, § 4 Rz. 63. 1323 S.a. Simitis/Scholz/Sokol, BDSG, § 4 Rz. 34. 1324 Simitis/Scholz/Sokol, BDSG, § 4 Rz. 35. 1325 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 4 Rz. 9. 1326 Taeger/Gabel/Mackenthun, BDSG, § 6a Rz. 17.
Kosmides
265
A Rz. 993
Datenschutz und IT-Management
des Betroffenen einzustufen.1327 Solche Daten müssen im Rahmen eines Bewertungsverfahrens ausgewertet werden. Dabei wird eine gewisse Komplexität der elektronischen Auswertung verlangt (z.B. Scoring-Verfahren).1328 993 Typische Beispiele einer rechtlichen Folge der Entscheidung oder erheblichen Beeinträchtigung sind die Ablehnung eines Vertragsschlusses oder die Kündigung eines bestehenden Vertragsverhältnisses. 994 Das in § 6a Abs. 1 BDSG vorgesehene Verbot wird in den in § 6a Abs. 2 BDSG festgelegten Fällen aufgehoben. Der erste Ausnahmetatbestand besteht darin, dass die Entscheidung i.R.d. Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses getroffen und dem Begehren des Betroffenen stattgegeben wird (§ 6a Abs. 2 Nr. 1 BDSG). Z.B. ist das der Fall, wenn ein Vertragsangebot des Betroffenen angenommen wird.1329 Der weitere Ausnahmetatbestand besteht darin, dass geeignete Maßnahmen zur Wahrung der berechtigten Interessen des Betroffenen ergriffen werden und der Betroffene über die Tatsache des Bestehens einer Entscheidung i.S.d. § 6a Abs. 1 BDSG benachrichtigt wird (§ 6a Abs. 2 Nr. 2 BDSG). Die berechtigten Interessen des Betroffenen werden gewahrt, wenn ihm die Möglichkeit eingeräumt wird, seinen Standpunkt geltend zu machen.1330 995 § 6a Abs. 3 BDSG erweitert das Recht des Betroffenen auf Auskunft nach § 34 BDSG auf den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten.1331 996 § 6a BDSG ist u.a. auch bei einer scorewert-gestützten automatisierten Entscheidung darüber, ob eine bestimmte Zahlungsmöglichkeit einem Kunden angeboten wird, zu beachten.1332 Dabei findet § 6a BDSG parallel zu § 28b BDSG Anwendung.1333 997 Die Frage, ob Redlining1334 u.Ä. eine automatisierte Einzelentscheidung darstellt, kann evtl. zu bejahen sein. Insofern würde es der Eingrenzung der Verwendung von Anschriftendaten bedürfen.1335 2.2 TMG 2.2.1 Anwendungsbereich 998 Das TMG verfügt im vierten Abschnitt über einen eigenen Normenkomplex, der dem Datenschutz gewidmet ist (§§ 11 bis 15a TMG, s. dazu Rz. 1271 ff.). Die Datenschutzvorschriften des TMG sind auf den Schutz der Persönlichkeit des Nutzers eines Telemediendienstes vor den Gefahren ausgerichtet, die aus dem Umgang mit seinen personenbezogenen Daten resultieren. 999 Der Anwendungsbereich der Datenschutzvorschriften des TMG ist enger gegenüber dem allgemeinen Geltungsbereich dieses Gesetzes (§ 1 TMG) gefasst.1336 Er ergibt sich aus § 11 TMG. Der Anwendungsbereich der §§ 12 ff. TMG ist nach § 11 TMG dem Verhältnis zwischen Telemediendiensteanbieter i.S.v. § 2 Nr. 1 TMG und Nutzer i.S.v. § 11 Abs. 2 TMG er-
1327 1328 1329 1330 1331 1332 1333 1334
Taeger/Gabel/Mackenthun, BDSG, § 6a Rz. 14. Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 6a Rz. 3, 5. Simitis/Scholz, BDSG, § 6a Rz. 30; Taeger/Gabel/Mackenthun, BDSG, § 6a Rz. 20. Taeger/Gabel/Mackenthun, BDSG, § 6a Rz. 22. Taeger/Gabel/Mackenthun, BDSG, § 6a Rz. 23. Born, ZD 2015, 66 ff. Born, ZD 2015, 66 (69). Hammersen/Eisenried, ZD 2014, 342: „Prozedere, bei dem den Bewohnern eines bestimmten Gebiets Dienstleistungen nur verteuert oder überhaupt nicht angeboten würden“. 1335 S. dazu Gola/Schomerus, BDSG § 28b Rz. 14. 1336 S.a. BeckRTD-Komm/Gitter, § 1 TMG Rz. 28 ff.
266
Kosmides
Kundendatenschutz
Rz. 1007
A
öffnet und gleichzeitig nur auf dieses beschränkt.1337 Der Nutzerbegriff im Geltungsbereich des vierten Abschnitts umfasst nur natürliche Personen, wohingegen als Nutzer i.R.d. TMG sowohl natürliche als auch juristische Personen gelten (§ 2 Nr. 3 TMG). In den Anwendungsbereich des TMG fallen sowohl automatisierte als auch nicht automati- 1000 sierte Datenverarbeitungen (§ 12 Abs. 3 Halbs. 2 TMG).1338 Für die Bestimmung des Begriffs der personenbezogenen Daten ist auf § 3 Abs. 1 BDSG zurückzugreifen.1339
1001
Das Gesetz sieht in § 11 Abs. 1 Nr. 1 und 2 TMG Ausnahmen von der Anwendung seiner da- 1002 tenschutzrechtlichen Vorschriften. Werden Telemediendienste im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken (Nr. 1) oder ausschließlich zur internen Steuerung von Arbeits- oder Geschäftsprozessen (Nr. 2) bereitgestellt, soll das BDSG anwendbar bleiben.1340 2.2.2 Legitimationsgrundlagen für die Datenverwendung Im Einklang mit § 4 Abs. 1 BDSG sieht § 12 Abs. 1 TMG ein bereichsspezifisches Verbot 1003 mit Erlaubnisvorbehalt vor.1341 Als Legitimationsgrundlagen eines Datenumgangs werden alternativ eine gesetzliche Rechtsvorschrift oder eine Einwilligung des Nutzers vorgeschrieben. Solche Verarbeitungsbefugnisse sind in § 14 TMG zu Bestands- und § 15 TMG zu Nutzungs- 1004 daten enthalten. Bei der Erteilung einer Einwilligung auf dem Gebiet der Telemedien-Dienste sind grds. die 1005 allgemeinen in § 4a BDSG vorgesehenen Wirksamkeitsvoraussetzungen einschlägig. So hat das LG Berlin einen Verstoß gegen das allgemeine Bestimmtheitsgebot im Hinblick auf folgende Klausel in der Google-Datenschutzerklärung1342 festgestellt. Die Klausel beziehe sich auf zukünftige Umstände. Eine solche Blanko-Einwilligung ohne Hinweis auf konkrete Umstände ist unwirksam:1343 „Falls … an einem Unternehmenszusammenschluss, einem Unternehmenserwerb oder einem Verkauf von Vermögensgegenständen beteiligt ist, werden wir weiterhin dafür sorgen, die Vertraulichkeit jeglicher personenbezogener Daten sicherzustellen und wir werden betroffene Nutzer benachrichtigen, bevor personenbezogene Daten übermittelt [oder Gegenstand einer anderen Datenschutzerklärung] werden.“
Neben der allgemeinen Vorschrift des § 4a BDSG ist die telemedienspezifische Regelung des § 13 Abs. 2 TMG zu beachten. Die Anforderungen an eine wirksame Einwilligungserteilung auf dem Gebiet der Telemedien ergeben sich aus dem Zusammenspiel beider Rechtsbestimmungen.
1006
Durch die Spezialnorm des § 13 Abs. 2 TMG wird eine Ausnahme vom in § 4a Abs. 1 Satz 3 BDSG normierten Grundsatz der Schriftform festgelegt. Diese Ausnahmeregelung führt für den Online-Bereich eine Erleichterung gegenüber dem im BDSG angeordneten Schriftformerfordernis ein, indem sie eine elektronische Einwilligungserklärung genügen lässt, sofern
1007
1337 1338 1339 1340 1341 1342
Plath/Hullen/Roggenkamp, BDSG/DSGVO, § 11 TMG Rz. 10. BeckRTD-Komm/Bizer/Hornung, § 12 TMG Rz. 99. BeckRTD-Komm/Schulz, § 11 TMG Rz. 20. S.a. BeckRTD-Komm/Schulz, § 11 TMG Rz. 30. BeckRTD-Komm/Bizer/Hornung, § 12 TMG Rz. 35. Allg. zur rechtskonformen Erstellung einer Datenschutzerklärung i.R.v. kommerziellen Webangeboten Wintermeier, ZD 2013, 21 (22 ff.). 1343 LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (59); s.a. Rz. 979.
Kosmides
267
A Rz. 1008
Datenschutz und IT-Management
die in den Nr. 1 bis 4 aufgeführten Voraussetzungen erfüllt werden.1344 Dabei werden im Einzelnen vorausgesetzt: – eine bewusste und eindeutige Erteilung der Einwilligung (§ 13 Abs. 2 Nr. 1 TMG), – die Protokollierung der Einwilligung (§ 13 Abs. 2 Nr. 2 TMG), – die Gewährleistung der jederzeitigen Abrufbarkeit des Inhalts der Einwilligung durch den Nutzer (§ 13 Abs. 2 Nr. 3 TMG) sowie – die jederzeitige Widerrufbarkeit der Einwilligung (§ 13 Abs. 2 Nr. 4 TMG).1345 1008 Diese Voraussetzungen müssen kumulativ vorliegen. Wird eine der Voraussetzungen nicht erfüllt, ist die Einwilligung unwirksam.1346 1009 Durch § 13 Abs. 2 TMG wird nur eine Abweichung vom Grundsatz der Schriftform nach § 4a Abs. 1 Satz 3 BDSG geregelt. Die sonstigen Wirksamkeitsvoraussetzungen für die Einwilligungserklärung gemäß 4a Abs. 1 BDSG bleiben von § 13 Abs. 2 TMG unberührt. Sie müssen erfüllt werden.1347 1010 Die Kriterien der §§ 4a BDSG und 13 Abs. 2 TMG sind u.a. für die wirksame Ausgestaltung einer Einwilligungserklärung i.R.v. sozialen Netzwerken1348 wie Facebook relevant.1349 Denn solche soziale Netzwerke stellen Telemediendienste i.S.v. § 1 Abs. 1 Satz 1 TMG dar.1350 2.2.3 Sonstige Regelungen 1011 Für die Verwendung personenbezogener Daten wird in § 12 Abs. 2 TMG ein bereichsspezifischer Grundsatz der Zweckbindung vorgeschrieben, der als Regelungsprinzip in verschiedenen Datenschutznormen Berücksichtigung findet (z.B. § 28 Abs. 3 Satz 7 und Abs. 5 BDSG). Hiernach unterliegt die Verwendung personenbezogener Daten für Zwecke, die nicht mit dem der Bereitstellung von Telemedien übereinstimmen, einem dem in § 12 Abs. 1 TMG niedergelegten entsprechenden Verbot mit Erlaubnisvorbehalt (Erlaubnisnorm oder Einwilligung). 1012 Die zentralen Pflichten des Diensteanbieters werden in § 13 Abs. 1 sowie Abs. 3 bis 8 TMG zusammengefasst. Es geht im Einzelnen um die Pflichten zu Unterrichtung (Abs. 1), Hinweis auf das Widerrufsrecht (Abs. 3), Ergreifen von technischen und organisatorischen Maßnahmen (Abs. 4), Hinweis auf eine Weitervermittlung (Abs. 5), Ermöglichung einer anonymen oder pseudonymen Nutzung und Bezahlung und eine flankierende Information des Nutzers (Abs. 6), Ergreifen von Sicherheitsmaßnahmen (Abs. 7) sowie Auskunftserteilung (Abs. 8). Eine wesentliche Informationspflicht im Falle einer rechtswidrigen Kenntniserlangung von Daten, die der allgemeinen Regel des § 42a BDSG entspricht und zwecks Rechtsfolgenanordnung auf diese verweist, wird in § 15a TMG normiert. 1013 Die praktische Wirksamkeit der Datenschutzvorschriften des TMG wird im Wesentlichen über seine Bußgeldvorschriften (§ 16 TMG) sichergestellt.
1344 Taeger/Gabel/Moos, BDSG, § 13 TMG Rz. 17. 1345 Ausführlich zu diesen Voraussetzungen Taeger/Gabel/Moos, BDSG, § 13 TMG Rz. 20 ff.; BeckRTDKomm/Jandt/Schaar/Schulz, § 13 TMG Rz. 72 ff. 1346 Taeger/Gabel/Moos, BDSG, § 13 TMG Rz. 19. 1347 BeckRTD-Komm/Jandt/Schaar/Schulz, § 13 TMG Rz. 68. 1348 Allg. zur informationellen Selbstbestimmung in sozialen Netzwerken Bender, K&R 2013, 218 ff. 1349 Krieg, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, Teil 7 II Rz. 11. 1350 Krieg, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, Teil 7 II Rz. 8.
268
Kosmides
Kundendatenschutz
Rz. 1018
A
2.3 TKG 2.3.1 Anwendungsbereich Der Geltungsbereich der datenschutzrechtlichen Bestimmungen des TKG wird in § 91 TKG definiert.
1014
In den sachlichen Anwendungsbereich fällt ein Umgang mit personenbezogenen Daten i.R.d. geschäftsmäßigen Erbringens von TK-Diensten. Nach § 3 Nr. 24 TKG sind TK-Dienste „in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen“. Insb. unterliegen dem TKG klassische Sprachtelefonie ebenso wie Voice-over-IP-Telefonie über das Internet, Internet-Zugang und sonstige Netzzugangsdienste, IP-Nummern sowie die Transportebene bei E-Mail-Diensten.1351 Das geschäftsmäßige Erbringen von TK-Diensten wird in § 3 Nr. 10 TKG als „das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht“ legal definiert. Was die Legaldefinition der personenbezogenen Daten angeht, so ist § 3 Abs. 1 BDSG maßgeblich. In persönlicher Hinsicht werden einerseits Teilnehmer i.S.v. § 3 Nr. 20 TKG und Nutzer i.S.v. § 3 Nr. 14 TKG (geschützter Personenkreis) und andererseits Unternehmen i.S.v. § 3 Nr. 29 TKG und Personen, „die geschäftsmäßig Telekommunikationsdienste in Telekommunikationsnetzen (…) erbringen oder an deren Erbringung mitwirken“ (Normadressaten) angesprochen.
1015
Anders als das klassische Datenschutzrecht, das ausschließlich auf den Schutz natürlicher Personen beschränkt ist, erstreckt sich der durch §§ 91 ff. TKG gewährte Schutz auf juristische Personen und Personengesellschaften, sofern Angaben vorliegen, die dem Fernmeldegeheimnis unterliegen. Dabei wird vorausgesetzt, dass diese juristische Person oder Personengesellschaft mit der Fähigkeit ausgestattet ist, Rechte zu erwerben oder Verbindlichkeiten einzugehen (§ 91 Abs. 1 Satz 2 TKG). In Anbetracht des § 88 Abs. 1 Satz 1 und 2 TKG fallen etwa in den Schutzbereich des telekommunikationsspezifischen Datenschutzes Angaben über die Beteiligung einer Person an einem Telekommunikationsvorgang sowie erfolglose Verbindungsversuche.1352 2.3.2 Legitimationsgrundlagen für die Datenverwendung Auch im Bereich der TK-Dienste gilt ein Verbot mit Erlaubnisvorbehalt. Der Datenumgang muss entweder aufgrund einer Befugnisnorm (z.B. §§ 95 Abs. 1 Satz 1 und 2, 96 Abs. 1 TKG) oder durch die Einholung einer Einwilligung legitimiert werden.
1016
Im TKG ist keine Regelung für eine wirksame Einwilligung vorgesehen. Es ist insofern auf 1017 das BDSG (§§ 4, 4a BDSG) zurückzugreifen.1353 Daneben ist § 94 TKG zu beachten. Diese Vorschrift stellt das Pendant von § 13 Abs. 2 TMG für das Gebiet der TK-Dienste dar. Sie führt eine Befreiung vom Schriftformerfordernis des § 4a Abs. 1 Satz 3 BDSG in Bezug auf elektronische Einwilligungserklärungen ein. § 94 TKG entspricht wortwörtlich § 13 Abs. 2 TMG. Es kann daher auf die obigen Ausführungen verwiesen werden (Rz. 1006 ff.). Im telekommunikationsspezifischen Datenschutzrecht wird ferner eine Reihe von bereichsspezifischen Pflichten des Diensteanbieters (z.B. § 95 Abs. 3 TKG) normiert.
1351 Plath/Jenny, BDSG/DSGVO, § 91 TKG Rz. 11; Taeger/Gabel/Munz, BDSG, § 91 TKG Rz. 9. 1352 S.a. Taeger/Gabel/Munz, BDSG, § 91 TKG Rz. 13. 1353 OLG Koblenz v. 26.3.2014 – 9 U 1116/13, CR 2014, 716 (718).
Kosmides
269
1018
A Rz. 1019
Datenschutz und IT-Management
2.4 Verhältnis des BDSG zum TMG und TKG 1019 Im Zshg. mit den Rechtsbestimmungen des BDSG und den Datenschutzvorschriften des TMG sowie des TKG stellt sich die grundlegende Frage nach der Abgrenzung deren Anwendungsbereiche. Die Abgrenzung soll nach dem sog. Schichtenmodell erfolgen.1354 Hiernach wird zwischen drei verschiedenen Schichten/Ebenen differenziert: Die erste Ebene betrifft die TK-Dienste. Die Telekommunikationsebene erfasst die Übertragung von Signalen unabhängig von den hiermit verbundenen Inhalten (Transportebene). Auf den Datenumgang i.R.d. Transportebene finden die §§ 91 ff. TKG Anwendung. Auf der zweiten Ebene steht das Verhältnis zwischen Diensteanbieter und Nutzer, im Rahmen dessen diese interagieren (Interaktionsebene).1355 Für die Datenverwendung auf der Interaktionsebene sind die §§ 11 ff. TMG heranzuziehen. Die dritte Ebene ist die Inhaltsebene. Sie umfasst Datenverwendungen, die einen Bezug weder zur Transport- noch zur Interaktionsebene haben, weshalb das BDSG anwendbar ist.1356 1020 In Zshg. mit Telekommunikationsdiensten und Telemediendiensten können sich in manchen Fällen besondere Abgrenzungsschwierigkeiten ergeben. Insb. ist dies bei sog. hybriden Diensten der Fall, die verschiedenartige Dienste (z.B. TK- und Telemediendienst) zu einem einheitlichen Dienst zusammenführen. Bei solchen hybriden Diensten muss ein Schwerpunkt festgestellt werden. Liegt ein hybrider Dienst vor, der überwiegend in der Übertragung von Signalen über Telekommunikationsnetze i.S.v. § 3 Nr. 24 TKG besteht, findet neben dem TKG auch das TMG Anwendung. Besteht hingegen ein hybrider Dienst nicht überwiegend (und freilich auch nicht ganz) in der Übertragung von Signalen über Telekommunikationsnetze, ist kein TK-Dienst anzunehmen, sodass nur das TMG gilt. 1021 Das BDSG stellt gemäß § 1 Abs. 3 BDSG eine subsidiäre Regelung dar,1357 der bereichsspezifische Regelungen wie die §§ 11 ff. TMG und 91 ff. TKG in ihrer Anwendbarkeit vorgehen. Die Frage ist – wie stets – wie weit dies der Fall ist. In Bezug auf Telemediendienste wird dies durch § 12 Abs. 3 Halbs. 1 TMG klargestellt.1358 Dabei wird vorausgesetzt, dass diese Spezialnormen einen mit den BDSG-Vorschriften deckungsgleichen Regelungsgegenstand normieren (Tatbestandskongruenz).1359 Das BDSG fungiert insoweit als Auffanggesetz,1360 das nur soweit eingreift, wie keine Spezialregelungen Vorrang genießen. Es erfüllt dabei eine lückenschließende Funktion.1361 Was also Telemedien- und TK-Dienste angeht, so findet das BDSG neben den entsprechenden bereichsspezifischen Normen des TMG und des TKG ergänzende Anwendung. 1022 In der Tat kommt dem BDSG auch auf den Gebieten der Telemedien- und TK-Dienste eine herausragende Bedeutung zu. Denn das TMG und das TKG regeln nur einige spezifische Fragen des Datenschutzes. Für die sonstigen Fragen ebenso wie die ganz überwiegende Mehrzahl der allgemeinen Begriffe (z.B. der Terminus „personenbezogene Daten“ gemäß § 3 Abs. 1 BDSG) und Grundsätze (z.B. das Gebot der Datenvermeidung gemäß § 3a BDSG) gibt das BDSG das Maß vor.
1354 Plath/Hullen/Roggenkamp, BDSG/DSGVO, § 11 TMG Rz. 12; Heckmann, in: Heckmann, jurisPKInternetrecht, Kap. 9 Rz. 44. 1355 Karg/Fahl, K&R 2011, 453 (456) unterscheiden dabei zwischen Diensten „der Kommunikation“ (TKG) und Diensten „durch Telekommunikation“ (TMG). 1356 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 44. 1357 Simitis/Dix, BDSG, § 1 Rz. 158; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 41. 1358 BeckRTD-Komm/Bizer/Hornung, § 12 TMG Rz. 99. 1359 Taeger/Gabel/Schmidt, BDSG, § 1 Rz. 34. 1360 Gola/Schomerus, BDSG, § 1 Rz. 23 f. 1361 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 41.
270
Kosmides
Kundendatenschutz
Rz. 1026
A
2.5 UWG Das UWG ist zwar nicht auf den Schutz der Persönlichkeit des Einzelnen ausgerichtet. Wie 1023 § 1 UWG klarstellt, ist dieses Gesetz dem Schutz der Mitbewerber, der Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen sowie des Allgemeininteresses an einem unverfälschten Wettbewerb gewidmet.1362 Zwischen Datenschutzund Wettbewerbsrecht sind allerdings gewisse Verbindungslinien auszumachen, die für das Gebiet des Kundenschutzes relevant sind. Datenschutz- und Wettbewerbsvorschriften entfalten in dieser Hinsicht eine Wechselwirkung zueinander. Zum einen stellen bestimmte UWG-Verstöße auch einen BDSG-Verstoß dar. So wird angenommen, dass eine wettbewerbsrechtlich unzulässige Datenerhebung zu einem Anspruch des Betroffenen auf Löschung führen kann.1363
1024
Zum anderen stellt die Verletzung einer Datenschutzvorschrift in manchen Fällen gleichzei- 1025 tig einen UWG-Verstoß dar. Um einen solchen UWG-Verstoß anzunehmen, muss die zur Debatte stehende Datenschutznorm eine Regel bilden, die (auch) eine marktverhaltensregelnde Funktion besitzt1364 und damit den Schutz der Interessen des Betroffenen als Marktteilnehmer bezweckt.1365 Z.B. wird ein Marktbezug in Zshg. mit § 28 BDSG i.V.m. §§ 4 Abs. 1, 4a Abs. 1 BDSG bejaht.1366 Andererseits wird in Bezug auf andere datenschutzrechtliche Regelungen, wie z.B. die §§ 4, 29 BDSG, angenommen, dass sie den Schutz der informationellen Selbstbestimmung des Einzelnen vor Zugriffen Dritter bezwecken (vgl. § 1 Abs. 1 BDSG),1367 aber keine Marktverhaltensregelung zum Schutz der Marktteilnehmer darstellen.1368 Die unterschiedliche Behandlung von § 28 BDSG gegenüber § 29 BDSG leuchtet nicht recht ein. § 28 BDSG regelt in Abs. 3 ff. wesentliche Schranken für den Bereich Marketing, § 29 BDSG adressiert Datenverarbeitung für fremde Zwecke und bezieht sich teils auf § 28 BDSG. Insofern passt genauer eine E. des OLG Stuttgart1369: „Der Erwerb von Kundendaten – deren Weitergabe nach § 28 Abs. 3 BDSG unzulässig ist – hat jedenfalls dann Marktbezug, wenn die Auswirkungen auf den Wettbewerb nicht mehr bloßer Reflex des in der Weitergabe selbst liegenden Rechtsverstoßes sind“.1370
Hinzu kommt, dass die Datenverwendung in bestimmten Bereichen nicht nur datenschutz-, 1026 sondern auch wettbewerbsrechtlichen Rechtmäßigkeitsbedingungen unterliegt,1371 die mittelbar dem Betroffenen- bzw. Kundenschutz dienen. Im Hinblick auf Werbemaßnahmen wird
1362 Zum Schutzzweck des UWG vgl. nur Köhler/Bornkamm/Köhler, UWG, § 1 Rz. 9 ff. 1363 Wie hier Gola/Reif, Kundendatenschutz, Kap. I Rz. 78 f. 1364 Zur wettbewerbsschützenden Funktion von Datenschutzbestimmungen Huppertz/Ohrmann, CR 2011, 449 (451 ff.). 1365 Taeger/Gabel/Schmidt, BDSG, § 1 Rz. 14; Plath/Plath, BDSG/DSGVO, § 1 BDSG Rz. 16. 1366 Vgl. auch Schröder, ZD 2012, 193; Die Frage, ob datenschutzrechtliche Normen Marktverhaltensregelungen i.S.v. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. darstellen, ist in der Rspr. umstritten: Eine marktverhaltensregelnde Funktion bejahend: OLG Köln v. 17.1.2014 – I-6 U 167/13, ZD 2014, 421 bezüglich § 28 Abs. 3 BDSG; OLG Hamburg v. 27.6.2013 – 3 U 26/12, GRUR-RR 2013, 482 bezüglich § 13 TMG; OLG Karlsruhe v. 9.5.2012 – 6 U 38/11, NJW 2012, 3312 m. Anm. Schneider in Bezug auf § 4 Abs. 1, § 28 BDSG; LG Berlin v. 6.3.2012 – 16 O 551/10, CR 2012, 270 (272) in Bezug auf § 4a Abs. 1 BDSG; LG Mannheim v. 9.2.2011 – 22 O 18/10 bezüglich § 4 Abs. 1 und § 28 BDSG; LG Augsburg v. 19.8.2011 – 3 HK O 2827/11, 3 HKO 2827/11, DuD 2012, 60 (61) in Bezug auf § 28 BDSG; eine marktverhaltensregelnde Funktion ablehnend: OLG München v. 12.1.2012 – 29 U 3926/11, CR 2012, 269 hinsichtlich §§ 4, 28 Abs. 1, Abs. 3, 35 Abs. 2, Abs. 3 BDSG; OLG Frankfurt v. 30.6.2005 – 6 U 168/04, CR 2005, 830 hinsichtlich § 4 BDSG. 1367 BVerfG v. 15.12.1983 – 1 BvR 209/83, BVerfGE 65, 1, 43 ff. – Volkszählung. 1368 OLG Frankfurt v. 30.6.2005 – 6 U 168/04, WRP 2005, 1029 (1031). S. a. Zech, WRP 2013, 1434, und (krit.) Schröder, ZD 2012, 193. 1369 OLG Stuttgart v. 22.2.2007 – 2 U 132/06, MMR 2007, 437. 1370 OLG Stuttgart v. 22.2.2007 – 2 U 132/06, MMR 2007, 437, Ls. MIR Dok 108-2007. 1371 Gola/Reif, Kundendatenschutz, Kap. I Rz. 53.
Kosmides
271
A Rz. 1027
Datenschutz und IT-Management
etwa der durch die Datenschutzregelungen gewährte Rechtsschutz durch das UWG, insb. § 7 UWG, komplettiert (s. B Rz. 770 ff.). In diesem Zshg. hatte Schneider in der Vorauflage (4. Aufl. 2009) in B Rz. 1041 f. hervorgehoben: „Datenschutz ist Individual-Schutz. Er genießt Grundrechtsqualität. Das gilt auch für die wirtschaftliche Betätigung, zu der auch die ‚Werbung‘ gehört, wobei im Hinblick auf das Verbot bestimmter Formen (…) durchaus Interpretationsschwierigkeiten bestehen, was genau die in § 7 UWG geregelte unerbetene Werbung umfasst. Bei der Kollision beider bzw. bei Abwägung ist zu berücksichtigen, dass die Regelung des § 7 UWG zum Lauterkeitsrecht gehört. D.h. zum einen, dass die Schutzinteressen auch die Mitbewerber umfassen, insgesamt die Allgemeinheit. Zum anderen ist jeweils zu prüfen, ob bzw. inwieweit die individualschützenden Normen, hier v.a. das BDSG, (auch) Marktrelevanz haben. Es gibt demnach mehrere Schutzbereiche und Schutzobjekte. Allgemeines Persönlichkeitsrecht, Datenschutz und Schutz des eingerichteten und ausgeübten Gewerbebetriebs gehören zum Schutz vor Beeinträchtigung der privaten und beruflichen Sphäre, dem einen Schutzinteresse. Das andere Schutzinteresse gilt dem Schutz vor Beeinträchtigung der Entscheidungsfreiheit. Zu dieser Manipulationsgefahr gibt es keine korrespondierende Position im Schutzsystem und bei den Zwecken des Datenschutzes.“
1027 Gewisse datenschutzspezifische Problembereiche weisen schließlich zugleich eine wettbewerbsrechtliche Relevanz auf. Von Interesse ist in dieser Hinsicht ein Urteil des OLG Düsseldorf. Danach handelt ein Telekommunikationsunternehmen, das in einem Mahnschreiben die Androhung eines gerichtlichen Mahnverfahrens mit dem Hinweis verbindet, „im Falle der Nichtzahlung sei der Gläubiger verpflichtet, die unbestrittene Forderung der SCHUFA mitzuteilen“, unlauter i.S.v. § 4 Nr. 1 UWG a.F. (vgl. nunmehr § 4a UWG n.F.), weil die Verwendung des Begriffs „unbestritten“ beim (juristisch nicht vorgebildeten) Betroffenen den Eindruck erwecke, er müsse bei Nichtzahlung der Forderung mit einer Meldung seiner Daten an die SCHUFA rechnen. Dies war allerdings nicht zutreffend, da man in solchen Fällen die Übermittlung an die SCHUFA durch einfaches Bestreiten der Forderung verhindern kann.1372 2.6 Datenschutz-Grundverordnung (DS-GVO) 1027a Ab dem 25.5.2018 gilt ein unionsweit einheitliches Datenschutzrecht. Das neue Datenschutzrecht ist in der DS-GVO normiert (dazu Rz. 492 ff.). Die DS-GVO ist in allen ihren Teilen verbindlich (Art. 288 Abs. 2 Satz 2 AEUV). Dem mitgliedstaatlichen Gesetzgeber wird insofern grds. kein Ausgestaltungsspielraum gelassen. Die Verordnung besitzt außerdem allgemeine Geltung und gilt unmittelbar in jedem Mitgliedstaat (Art. 288 Abs. 2 Satz 1 und AEUV). Die DS-GVO gilt in allen Mitgliedstaaten (allg. Geltung) und zwar ohne mitgliedstaatlichen Umsetzungsakt, i.e. sie kann bei hinreichender Bestimmtheit mit ihrem Inkrafttreten direkt Rechte verleihen und Pflichten auferlegen (unmittelbare Geltung). 1027b Mit Wirkung vom 25.5.2018 wird die RL 95/46/EG aufgehoben (Art. 94 Abs. 1 DS-GVO). Durch die Bestimmungen der DS-GVO werden die für den Kundendatenschutz relevanten nationalen Datenschutzregeln weitgehend betroffen. Bei Geltung der DS-GVO werden die konfligierenden nationalen Datenschutzbestimmungen grds. unanwendbar bleiben (sog. Anwendungsvorrang der Verordnung). Dies betrifft neben dem BDSG auch den bereichsspezifischen Datenschutz im TMG und TKG (s. im Einzelnen Rz. 492 f., 1268 ff., 1287 ff.). 1027c
Für den Kundendatenschutz relevant sind v.a. neben den in – Kap. 1 enthaltenen allgemeinen Bestimmungen (Art. 1 DS-GVO: Zweck; Art. 2 und 3 DSGVO: Geltungsbereich, dazu Rz. 521 ff.; Art. 4: Legaldefinitionen, vgl. Rz. 501 ff.)
1372 OLG Düsseldorf v. 9.8.2013 – I-20 U 102/12, 20 U 102/12, CR 2013, 579 (Ls. 1).
272 Kosmides
Kundendatenschutz
Rz. 1029
A
– die in Kap. 2 normierten Grundsätze (Art. 5–11 DS-GVO), vgl. Rz. 533 ff., – die in Kap. 3 geregelten Betroffenenrechte (Art. 12-23 DS-GVO), vgl. Rz. 571 ff. – eine Reihe von in Kap. 4 (Art. 24–43 DS-GVO) enthaltenen Rechtsvorschriften, insb. die Pflichten des Verantwortlichen und des Auftragsverarbeiters, – bei einer Datenübermittlung an Drittländer die in Kap. 5 (Art. 44–50 DS-GVO) vorgesehenen Vorschriften, vgl. Rz. 635 ff. sowie – die in Kap. 8 normierten Rechte (Art. 77–84 DS-GVO) für den Fall, dass ein Datenschutzverstoß in Betracht kommt, insb. die Haftung in Art. 82 DS-GVO. Die Prüfung der Zulässigkeit einer Verarbeitung von Kundendaten unter der DS-GVO baut im Ergebnis auf derselben Grundkonzeption wie schon bislang i.R.d. BDSG und der DS-RL auf.1373
1027d
In einem ersten Schritt ist zu prüfen, ob die Kundendaten Personenbezug i.S.d. Art. 4 Nr. 1 DS-GVO aufweisen. Nur wenn ein solcher Personenbezug gegeben ist, kann die Datenverarbeitung der DS-GVO unterstellt werden. Auch i.R.d. DS-GVO gilt für die Verarbeitung personenbezogener Daten das sog. Verbot mit Erlaubnisvorbehalt (vgl. § 4 Abs. 1 BDSG; Art. 7 DS-RL s. Rz. 533, 968). Die Datenverarbeitung ist also nur rechtmäßig, wenn eine Einwilligung des Betroffenen (Art. 6 Abs. 1 Satz 1 lit. a DS-GVO; zur Einwilligung Rz. 539 ff.) oder ein anderer gesetzlicher Rechtfertigungsgrund (z.B. (Art. 6 Abs. 1 Satz 1 lit. b DS-GVO) vorliegt. Im Grundsatz gilt dies sowohl für einfache also auch sensitive Daten i.S.d. Art. 9 Abs. 1 und 10 Satz 1 DS-GVO, wenn auch im letzteren Fall unter verschärften Bedingungen. Da aber für die jeweilige Datenkategorie verschiedene Erlaubnistatbestände in Betracht kommen, ist in einem weiteren Schritt festzustellen, ob einfache oder sensitive Daten des Kunden zur Debatte stehen. Während sich die Zulässigkeitsvoraussetzungen für einfache Daten in erster Linie aus Art. 6 DS-GVO ergeben, sind für sensitive Daten hauptsächlich die Bestimmungen des Art. 9 Abs. 2 bzw. des Art. 10 DS-GVO maßgeblich. Anschließend ist zu prüfen, ob die fragliche Datenverarbeitung den in Art. 5 DS-GVO verankerten allg. Grundsätzen gerecht wird (s. Rz. 534 ff.). 3. Werbung Der Begriff der Werbung ist weit zu verstehen. In Anlehnung an die durch den BGH vor- 1028 genommene Begriffsbildung, die auf Art. 2 lit. a RL 2006/114/EG (Werbe-Richtlinie) gestützt ist, ist als Werbung „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern“, zu definieren.1374 Davon erfasst sind alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Dabei ist gleichgültig, ob eine unmittelbar produktbezogene Werbung oder eine mittelbare Absatzförderung in Betracht kommt.1375 Für die Realisierung einer Werbung werden verschiedene Handlungen benötigt, die datenschutzrechtlich relevant sind und damit dem BDSG sowie Datenschutzbestimmungen in
1373 Zur Prüfungsreihenfolge s.a. Härting, Datenschutz-Grundverordnung, Teil B Rz. 260. 1374 BGH v. 14.1.2016 – I ZR 65/14, Rz. 27 – Freunde finden; v. 15.12.2015 – VI ZR 134/15, CR 2016, 451 (453, Rz. 16); v. 12.9.2013 – I ZR 208/12, CR 2013, 797 (798) – Empfehlungs-E-Mail; v. 20.5.2009 – I ZR 218/07, CR 2009, 733 (734) – E-Mail-Werbung II. 1375 BGH v. 14.1.2016 – I ZR 65/14, Rz. 27 – Freunde finden; v. 15.12.2015 – VI ZR 134/15, CR 2016, 451 (453, Rz. 16).
Kosmides
273
1029
A Rz. 1030
Datenschutz und IT-Management
anderen Regelungen v.a. dem TMG und dem TKG unterliegen.1376 Der werbliche Umgang mit personenbezogenen Daten lässt sich im Einzelnen in folgende Phasen einteilen: – Datenbeschaffung (Rz. 1030 ff.), – Datenverarbeitung zum Zwecke der Optimierung (Rz. 1062 ff.) und – Datennutzung zum Zwecke der Kontaktaufnahme mit dem Kunden (Rz. 1085 ff.). 3.1 Beschaffung von Kundendaten 1030 Werbung ist an (potenzielle bzw. bereits bestehende) Kunden gerichtet. So gesehen muss der Werbetreibende, um eine Werbung überhaupt durchführen zu können, die hierfür benötigten Kundendaten erwerben. Zu den Kundendaten zählen vornehmlich Kontaktadressen sowie sonstige personenbezogene Daten, die das Erfolgspotenzial der Werbung erhöhen sollen, wie etwa Alter, Kaufkraft und vorherige Kaufpräferenzen. 1031 Die Beschaffung von Daten kann in verschiedenen Weisen erfolgen. Als Datenquellen kommen v.a. der Betroffene selbst, sonstige Unternehmen sowie allg. zugängliche Quellen wie Telefonbücher, Adressbücher oder Branchenverzeichnisse in Betracht.1377 Die Daten können sich durch den Werbetreibenden selbst oder durch den Einsatz Dritter beschaffen lassen, wobei eine Erhebung und Speicherung durch den Werbetreibenden vorausgesetzt wird. Werden Kundendaten durch eine andere Stelle bereitgestellt, so lassen sich grds. zwei Beschaffungsarten unterscheiden, die grds. unterschiedlichen Verarbeitungsregeln unterliegen: – Übermittlung eigener Kundendaten an den Werbetreibenden (Rz. 1053 ff.) und – Bereitstellung geschäftsmäßig erhobener Daten an den Werbetreibenden (Rz. 1056 ff.). 3.1.1 Erhebung und Speicherung von Kundendaten durch den Werbetreibenden 1032 Im Ausgangspunkt der für die Durchführung der Werbung notwendigen Handlungen stehen die Erhebung und Speicherung von Kundendaten durch den Werbetreibenden. 1033 Nach § 3 Abs. 3 BDSG beschreibt „Erheben“ das Beschaffen von Daten über den Betroffenen. Für den Begriff des Erhebens wird vorausgesetzt, dass ein willentliches und aktives Tätigwerden der verantwortlichen Stelle vorliegt, durch das die erhebende Stelle Kenntnis über die Daten erlangt und Verfügung über diese begründet.1378 Dabei ist gleichgültig, ob der Werbetreibende die Daten ausschließlich durch eigene Betätigung sich selbst beschafft oder diese von anderen Stellen bezogen werden. Wachsen der verantwortlichen Stelle Daten ohne jedes eigene Zutun zu, ist ein Erheben zu verneinen.1379 Dies ist aber im vorliegenden Kontext in aller Regel nicht der Fall. Bei den i.R.d. Werbung verwendeten Daten handelt es sich nahezu ausnahmsweise um beschaffte Daten, mit der Folge, dass eine Erhebung grds. zu bejahen ist. 1034 Eine Erhebung von Kundendaten durch den Werbetreibenden kann die Erlaubnisnorm des § 28 Abs. 1 Satz 1 BDSG rechtfertigen. Eine zulässige Datenerhebung setzt dabei voraus, dass sie „als Mittel für die Erfüllung eigener Geschäftszwecke“ durchgeführt wird. Mit diesem tatbestandlichen Merkmal ist gemeint, dass die Datenverwendung der Erreichung bestimmter geschäftlicher, beruflicher oder gewerblicher Zwecke dienen soll.1380 Sie soll ein Hilfsmittel
1376 Zu den Vorschriften des Vorschlags für eine EU-Datenschutz-Grundverordnung (KOM (2012), 11 endg.), die auf eine Datenverwendung für Werbezwecke Anwendung finden, Breinlinger/Scheuing, RDV 2012, 64 (69 ff.). 1377 Vgl. auch Gola/Reif, Kundendatenschutz, Kap. II Rz. 86. 1378 Simitis/Dammann, BDSG, § 3 Rz. 102; Plath/Plath/Schreiber, BDSG/DSGVO, § 3 BDSG Rz. 30. 1379 Simitis/Dammann, BDSG, § 3 Rz. 104. 1380 Simitis/Simitis, BDSG, § 28 Rz. 22.
274
Kosmides
Kundendatenschutz
Rz. 1038
A
zur Zweckerreichung bilden.1381 Ein Umgang mit Kundendaten erfolgt für „eigene“ Zwecke, sowohl wenn eine Person Werbung für die eigenen Produkte selbst treibt als auch eine Drittperson mit der Werbung für fremde Produkte beauftragt wird. In § 28 Abs. 1 Satz 1 BDSG werden drei alternative Voraussetzungen abschließend aufgezählt,1382 aufgrund deren eine Datenerhebung für eigene Geschäftszwecke zugelassen werden kann. Diese Tatbestände könnten für eine werbliche Datenerhebung relevant sein. Es handelt sich im Einzelnen um
1035
– § 28 Abs. 1 Satz 1 Nr. 1 BDSG (Begründung, Durchführung, Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnisses) – Eine entsprechende Norm in der DS-GVO findet sich in Art. 6 Abs. 1 Satz 1 lit. b DS-GVO. – § 28 Abs. 1 Satz 1 Nr. 2 BDSG (Wahrung berechtigter Interessen) – Eine entsprechende Norm in der DS-GVO findet sich in Art. 6 Abs. 1 Satz 1 lit. f DS-GVO. – § 28 Abs. 1 Satz 1 Nr. 3 BDSG (allgemein zugängliche Daten) – Eine entsprechende Norm ist in der DS-GVO nicht enthalten. Es ist allerdings mit Härting1383 aus Art. 9 Abs. 2 lit. e DS-GVO zu schlussfolgern, dass die betroffene Person vor dem Hintergrund des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO eine Datenverarbeitung hinnehmen muss, wenn sie die Daten selbst veröffentlicht hat. Nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG muss die Datenerhebung erforderlich sein, um ein 1036 rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis mit dem Betroffenen zu begründen, durchzuführen oder zu beendigen. Typisches Beispiel für ein rechtsgeschäftliches Schuldverhältnis ist der Vertrag und für ein rechtsgeschäftsähnliches Schuldverhältnis die vorvertraglichen Verhandlungen. Werbung, die der Absatzförderung dient, ist per definitionem auf den Abschluss eines Vertrags mit dem angesprochenen Kunden ausgerichtet. Nicht zuletzt in Anbetracht der Bedeutung der Werbung für die Herstellung der Bedingungen für eine informierte Entscheidungsfindung durch den Kunden sowie die Geschäftsförderung ist anzunehmen, dass eine (rechtmäßige) Werbung i.R.d. heutigen freien Marktwirtschaft das Kriterium der Erforderlichkeit zur Begründung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Vertragsverhältnisses in aller Regel erfüllt. § 28 Abs. 1 Satz 1 Nr. 1 BDSG stellt insofern eine tragfähige Rechtsgrundlage für die Legitimation einer Datenerhebung zu Werbezwecken dar.1384 Ist der Tatbestand des § 28 Abs. 1 Satz 1 Nr. 1 BDSG nicht erfüllt, kann eine Datenerhebung 1037 für Werbezwecke aufgrund von § 28 Abs. 1 Satz 1 Nr. 2 oder Nr. 3 BDSG legitimiert werden. § 28 Abs. 1 Satz 1 Nr. 2 BDSG erlaubt eine Datenverwendung, wenn damit berechtigte Inte- 1038 ressen der verantwortlichen Stelle gewahrt werden sollen.1385 Als solches Interesse kann auch die Werbung neuer Kunden angesehen werden.1386 Die Zulässigkeit des Datenumgangs steht unter dem Vorbehalt einer Interessenabwägung.1387 Es muss dabei kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Datenverwendung überwiegt. Ob dies der Fall ist, ist eine Frage, die im Einzelfall zu beantworten ist. Zwingende, jedoch keine ausreichende Bedingung für das Nichtüberwiegen 1381 1382 1383 1384
Taeger/Gabel/Taeger, BDSG, § 28 Rz. 31. Däubler/Klebe/Wedde/Weichert/Wedde, BDSG, § 28 Rz. 14; Simitis/Simitis, BDSG, § 28 Rz. 52. Härting, Datenschutz-Grundverordnung, Teil B Rz. 459. Wohl restriktiver Voigt, K&R 2014, 156, der etwa eine Berufung auf § 28 Abs. 1 Satz 1 Nr. 1 BDSG dann bejaht, wenn Katalog- und Prospektanforderungen durch den Betroffenen vorliegen. Solche Anforderungen stellen nach ihm rechtsgeschäftliche bzw. rechtsgeschäftsähnliche Schuldverhältnisse dar, die insoweit eine Datenerhebung nach dieser gesetzlichen Grundlage erlauben. 1385 Simitis/Simitis, BDSG, § 28 Rz. 98. 1386 Taeger/Gabel/Taeger, BDSG, § 28 Rz. 67. 1387 Simitis/Simitis, BDSG, § 28 Rz. 125.
Kosmides
275
A Rz. 1039
Datenschutz und IT-Management
der Betroffeneninteressen ist, dass die Werbung, den gesetzlichen Anforderungen entspricht. Liegt eine wettbewerbswidrige Werbung vor, ist stets ein berechtigtes Interesse des Werbungsadressaten an dem Ausschluss des Datenumgangs zu bejahen. 1039 Die Erlaubnistatbestände des § 28 Abs. 1 Satz 1 Nr. 1 und Nr. 2 BDSG können u.a. auch dazu verwendet werden, um eine Kundenbefragung über weitere potenzielle Interessenten aus dem Bekanntenkreis des Kunden zu legitimieren.1388 1040 § 28 Abs. 1 Satz 1 Nr. 3 BDSG räumt der verantwortlichen Stelle die Möglichkeit ein, allgemein zugängliche Kundendaten für Werbezwecke zu erheben. Unter allgemein zugänglichen Daten sind Angaben zu verstehen, die von jedermann zur Kenntnis genommen werden können, ohne dass der Zugang zu den Daten rechtlich beschränkt ist.1389 Hierzu zählen insb. Angaben auf Internetseiten (z.B. in elektronischen Personenverzeichnissen, auf Internetplattformen wie ebay oder in Sozialnetzwerken wie Facebook, wenn sie nicht einem eingeschränkten Nutzerkreis zugänglich sind) in Zeitungen, Rundfunk und Fernsehen, Adress- und Telefonverzeichnissen, Dokumentationen und wissenschaftlichen Publikationen.1390 § 28 Abs. 1 Satz 1 Nr. 3 BDSG sieht – ebenso wie § 28 Abs. 1 Satz 1 Nr. 2 BDSG – eine Interessenabwägung vor. Im Vergleich zu Nr. 2 ist aber Nr. 3 insoweit weniger „betroffenenfreundlich“ formuliert, als hier ein schutzwürdiges Interesse des Betroffenen an dem Ausschluss des Datenumgangs offensichtlich überwiegen muss. Ist demnach ein Ausschluss des Datenumgangs aufgrund der schutzwürdigen Interessen des Betroffenen i.R.v. Nr. 2 zu verneinen, so gilt dies erst recht i.R.v. Nr. 3. 1041 Die Erfüllung eines der in § 28 Abs. 1 Satz 1 BDSG vorgesehenen Tatbestände reicht für die Zulässigkeit der Datenerhebung nicht aus. § 28 Abs. 1 Satz 2 BDSG schreibt zudem vor, dass sie nur dann zulässig ist, wenn die verantwortliche Stelle den Verwendungszweck bereits konkret festgelegt hat.1391 1042 Notwendig für die Verwertung der Daten zum Zwecke der Werbung ist neben der Erhebung eine Speicherung der Daten i.S.v. § 3 Abs. 4 Satz 2 Nr. 1 BDSG. Ohne eine Erfassung, Aufnahme und Aufbewahrung der Daten auf einem Datenträger ist deren weitere Verarbeitung oder Nutzung für Werbezwecke praktisch nicht möglich. Die Datenspeicherung stellt eine Sonderform der Datenverarbeitung dar (§ 3 Abs. 4 Satz 1 BDSG). 1043 Die Zulässigkeitsvoraussetzungen für eine Datenverarbeitung für Werbezwecke sind in § 28 Abs. 3 BDSG niedergelegt. § 28 Abs. 3 BDSG regelt eine Datenverarbeitung für Werbezwecke abschließend1392 und verdrängt damit als Spezialregelung die in § 28 Abs. 1 Satz 1 BDSG enthaltenen Erlaubnistatbestände, die ihrem Wortlaut nach anwendbar sein könnten. Dies gilt deshalb, weil ein Datenumgang zu Zwecken der Werbung nach der Regelungsintention des Gesetzgebers strengere Zulässigkeitsbedingungen erfüllen muss.1393 1044 Dementsprechend wird in § 28 Abs. 3 Satz 1 BDSG als Grundsatz für die Zulässigkeit der Datenverarbeitung vorgesehen, dass eine Einwilligung des Betroffenen vorhanden sein muss.1394 Die Einwilligung muss i.d.R. schriftlich erteilt werden. Bei einer nicht schriftlich erteilten Einwilligung ist § 28 Abs. 3a BDSG zu beachten. 1388 1389 1390 1391 1392
So Hoeren, ZD 2013, 530 (531 f.). BGH v. 4.6.2013 – 1 StR 32/13, NJW 2013, 2530 (2533). Simitis/Simitis, BDSG, § 28 Rz. 151; Taeger/Gabel/Taeger, BDSG, § 28 Rz. 82. Simitis/Simitis, BDSG, § 28 Rz. 38. OLG Köln v. 17.1.2014 – I-6 U 167/13, juris Rz. 14 = ZD 2014, 421; LG Augsburg v. 19.8.2011 – 3 HKO 2827/11, 3 HKO 2827/11, DuD 2012, 60 (61). 1393 Wie hier Plath/Plath, BDSG/DSGVO, § 28 BDSG Rz. 100 m.w.N. 1394 BGH v. 22.1.2014 – I ZR 218/12, Rz. 20 = CR 2014, 573 (Ls.) – Nordjob Messe; Simitis/Simitis, BDSG, § 28 Rz. 214; Eisenberg, BB 2012, 2963 (2964); Roßnagel/Jandt, MMR 2011, 86 (88); Voigt, K&R 2013, 371 (372).
276
Kosmides
Kundendatenschutz
Rz. 1050
A
Das in § 28 Abs. 3 Satz 1 BDSG verankerte Einwilligungserfordernis gilt auch für den Ad- 1045 resshandel.1395 Als Ausnahme von diesem Einwilligungserfordernis wird in § 28 Abs. 3 Satz 2 BDSG ein Listenprivileg normiert.1396
1046
Das Gesetz bestimmt verbindlich den sachlichen Anwendungsbereich des Listenprivilegs.1397 § 28 Abs. 3 Satz 2 BDSG ist auf bestimmte Daten, namentlich Angaben über die Zugehörigkeit des Betroffenen zu einer Personengruppe, die Berufs-, Branchen- oder Geschäftsbezeichnung, den Namen, den Titel, den akademischen Grad, die Anschrift und das Geburtsjahr, beschränkt. Weitere Merkmale werden von Satz 2 nicht erfasst. Andere als in § 28 Abs. 3 Satz 2 BDSG genannte Angaben können demnach ohne Einwilligung des Betroffenen für werbliche Zwecke nicht gespeichert werden. In § 28 Abs. 3 Satz 2 BDSG wird zwischen drei Werbungszwecken unterschieden, die abschließend vorgeschrieben werden. Eine Datenspeicherung ist bereits zulässig, wenn einer dieser Zwecke vorliegt.1398 Danach muss eine Datenspeicherung für Zwecke der Werbung
1047
– für eigene Angebote der verantwortlichen Stelle (Nr. 1),1399 – für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen (Nr. 2) oder – für Spendenzwecke (Nr. 3) erfolgen. Eine Werbung für fremde Angebote unter Verwendung von Listendaten kann aufgrund von § 28 Abs. 3 Satz 5 BDSG legitimiert werden.
1048
Das Listenprivileg umfasst nicht die E-Mail-Adresse des Betroffenen. Aus dem Zusammenspiel von § 28 Abs. 3 Satz 3 BDSG und § 7 Abs. 3 UWG ergibt sich allerdings, dass es erlaubt ist, zu den in § 28 Abs. 3 Satz 2 BDSG genannten Listendaten die E-Mail-Adresse des Betroffenen hinzuspeichern und für Follow-Up-Werbung zu nutzen.1400 Eine solche Werbung per E-Mail kann ohne vorherige Einwilligung des Betroffenen erfolgen.1401
1049
Bei Telemedien- und TK-Diensten kann die werbungsbezogene Beschaffung und Speiche- 1050 rung von personenbezogenen Daten eines Nutzers unter den Voraussetzungen der §§ 14 Abs. 1 TMG und 95 Abs. 1 Satz 1 TKG zulässig sein. Personenbezogene Daten können hiernach erhoben und gespeichert werden, soweit sie für die Begründung eines Vertrags zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien bzw. eines Vertrags über die Erbringung von Telekommunikationsdiensten erforderlich sind. Ein solcher Datenumgang ist freilich auch UWG-mäßig zu prüfen.
1395 Simitis/Simitis, BDSG, § 28 Rz. 214; a.A. Drewes, RDV 2011, 18 (21 ff.). 1396 Vgl. auch Eisenberg, BB 2012, 2963 (2964); Drewes, ZD 2012, 115 (117) äußert Bedenken zur Unionsrechtskonformität eines umfassenden Einwilligungserfordernisses in Bezug auf einen Datenumgang für werbliche Zwecke, weil es eine Begrenzung der in Art. 7 f. EG-DSRL vorgesehenen Befugnis darstellen würde. 1397 Drewes, ZD 2012, 115 (117) hält die Begrenzung auf Listendaten gem. § 28 Abs. 3 Satz 2 BDSG und den damit verbundenen Ausschluss einer Verwendung von weitergehenden Daten für europarechtlich problematisch (Art. 7 f. EG-DSRL), weil dadurch der Umfang der Daten, die auf Basis der Interessenabwägungsklausel für Werbezwecke verarbeitet und genutzt werden dürfen, eingeschränkt werde. 1398 Simitis/Simitis, BDSG, § 28 Rz. 238. 1399 Diese Regel gilt für Werbung sowohl gegenüber Kunden als auch gegenüber Fremdkunden. 1400 S.a. Voigt, K&R 2013, 371 (373). 1401 Vgl. auch Faber, GRUR 2014, 337, der die Frage untersucht, ob ein Widerruf des zugrunde liegenden (Kauf-)Vertrags einen „Verkauf einer Ware oder Dienstleistung“ i.S.v. § 7 Abs. 3 Nr. 1 UWG ausschließt und somit eine Auswirkung auf die Zulässigkeit der Versendung dieser E-Mails hat.
Kosmides
277
A Rz. 1051
Datenschutz und IT-Management
1051 Bei Werbung mittels Emails ist auch § 6 TMG zu berücksichtigen.1402 1052 § 28 Abs. 3 BDSG gilt auch für E-Mail-Werbeaktionen, sofern die Werbung nicht den bereichsspezifischen Vorschriften der §§ 11 ff. TMG unterliegt. Dies ist etwa der Fall, wenn die Datenerhebung nicht zur Nutzung des Dienstes, sondern zur Durchführung eines mittels eines Telemediendienstes abgeschlossenen Vertrags erfolgt.1403 1052a In der DS-GVO ist keine Regelung enthalten, die § 28 Abs. 3 BDSG entspricht. Eine Verarbeitung personenbezogener Daten zu Werbezwecken lässt sich i.R.d. Verordnung grds. aufgrund von Art. 6 Abs. 1 Satz 1 lit. a DS-GVO (Einwilligung) oder Art. 6 Abs. 1 Satz 1 lit. f DSGVO (berechtigte Interessen; vgl.a. Erw.grd. 47 Satz 7 DS-GVO) rechtfertigen.1404 3.1.2 Bereitstellung von Kundendaten an den Werbetreibenden durch eine andere Stelle 3.1.2.1 Zurverfügungstellung eigener Kundendaten an den Werbetreibenden 1053 Angaben, die durch ein Unternehmen für Werbezwecke verwendet werden, können aus dem Datenbestand eines anderen Unternehmens entstammen. Insb. im Rahmen eines wechselseitigen Austauschverhältnisses oder eines Kaufvertrags übernehmen Unternehmen die Pflicht, die eigenen Kunden-, Interessenten- oder Mitgliederdateien für Direktwerbezwecke anderer Werbungtreibender bereitzustellen.1405 1054 Die Weitergabe von personenbezogenen Daten stellt eine Übermittlung i.S.d. § 3 Abs. 4 Satz 2 Nr. 3 BDSG dar. Die Zulässigkeit einer solchen Übermittlung ergibt sich grds. aus § 28 Abs. 3, 3a und 3b BDSG.1406 1055 Was die Erhebung und Speicherung der Daten durch den Empfänger angeht, so ist § 28 Abs. 1 BDSG maßgeblich. Der Empfänger ist gemäß § 28 Abs. 3 Satz 7 BDSG dabei verpflichtet, die übermittelten Daten nur für den Zweck zu verarbeiten oder zu nutzen, für den sie übermittelt wurden. 3.1.2.2 Bereitstellung geschäftsmäßig erhobener Daten an den Werbetreibenden 1056 Zu den wichtigsten Datenquellen für Werbezwecke zählen Stellen, welche Daten geschäftsmäßig erheben. Solche Stelle benötigen die Daten nicht als Mittel zur Erfüllung ihrer eigenen Geschäftszwecke. Vielmehr erheben sie die Daten, um diese einem Werbetreibenden zur Verfügung zu stellen. Die Daten bilden dabei einen eigenständigen Geschäftsgegenstand.1407 Informationen wie Postanschriften, Bonitätsdaten, Angaben über das Konsumverhalten, den Familienstand und das Alter des (potenziellen) Kunden haben einen Marktpreis und werden i.d.R. vermietet oder verkauft. 1057 Den Zulässigkeitsrahmen für den geschäftsmäßigen Handel von Kundendaten für Werbezwecke gibt § 29 BDSG vor. In § 29 Abs. 1 BDSG wird auf die Werbung als Verwendungszweck ausdrücklich Bezug genommen. Zur DS-GVO vgl. Rz. 1204a.
1402 1403 1404 1405 1406 1407
Eisenberg, BB 2012, 2963 (2965). Dazu Eisenberg, BB 2012, 2963. Härting, Datenschutz-Grundverordnung, Teil B Rz. 479 ff. Gola/Reif, Kundendatenschutz, Kap. IV Rz. 234. Wie hier Gola/Reif, Kundendatenschutz, Kap. IV Rz. 235. Simitis/Ehmann, BDSG, § 29 Rz. 1.
278
Kosmides
Kundendatenschutz
Rz. 1063
A
In § 29 Abs. 1 Satz 1 Nr. 1 und 2 BDSG finden sich die Rechtsgrundlagen für das geschäfts- 1058 mäßige Erheben, Speichern, Verändern und Nutzen personenbezogener Daten für Werbezwecke. § 29 Abs. 1 Satz 1 Nr. 3 BDSG ist der Tätigkeit von Auskunfteien vorbehalten.1408 Nach § 29 Abs. 1 Satz 1 Nr. 1 BDSG ist ein Datenumgang zulässig, wenn kein Grund zu der 1059 Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dessen Ausschluss hat. Der Tatbestand der Nr. 1 führt im Ergebnis das Gebot einer Abwägung zwischen den berechtigten Interessen der verantwortlichen Stelle und denjenigen des Betroffenen ein.1409 Bei der Verwendung von Daten aus allgemein zugänglichen Quellen sieht § 29 Abs. 1 Satz 1 1060 Nr. 2 BDSG ebenfalls eine Interessenabwägung vor.1410 Dies ergibt sich aus dem Wortlaut dieser Norm („überwiegt“). Die Erlaubnisnorm entspricht § 28 Abs. 1 Satz 1 Nr. 3 BDSG.1411 Hiernach ist das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten nur soweit statthaft, wie das schutzwürdige Interesse des Betroffenen an dem Ausschluss des Datenumgangs nicht offensichtlich überwiegt. Die Übermittlung von geschäftsmäßig erhobenen Kundendaten an den Werbetreibenden 1061 kann über den Erlaubnistatbestand des § 29 Abs. 2 BDSG legitimiert werden. Dabei müssen kumulativ drei Voraussetzungen erfüllt werden (§ 29 Abs. 2 Satz 1 BDSG).1412 Die Datenübermittlung hat, erstens, i.R.d. vor der Speicherung festgelegten werbungsspezifischen Zweckbestimmung zu erfolgen. Der Werbung treibende Empfänger muss, zweitens, ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft darlegen (§ 29 Abs. 2 Satz 1 Nr. 1 BDSG). Es darf, drittens, kein Grund zu der Annahme bestehen, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat (§ 29 Abs. 2 Satz 1 Nr. 2 BDSG). 3.2 Optimierung von Kundendaten I.d.R. besitzen personenbezogene Daten per se einen beschränkten Wertgehalt. Dies gilt 1062 nicht zuletzt in Anbetracht der wachsenden Marktfragmentierung sowie der zunehmenden Individualisierung und Differenzierung des Konsumentenverhaltens.1413 Um die Brauchund Verwertbarkeit der Daten i.R.d. Durchführung von Werbung zu erhöhen und das Erfolgspotenzial der Werbung zu steigern, werden verschiedene Prozesse angewandt, die unter dem Begriff Optimierung zusammengefasst werden. Ihnen ist gemeinsam, dass die Daten derart verarbeitet werden, dass ihre Aussagekraft über die in Rede stehende Entscheidungsfindung höchstmöglich verbessert wird. Dahinter steht der Grundgedanke, nur „erwünschte“ Kunden bzw. Kundengruppen auszuwählen und anzusprechen.1414 Je genauer diese Zielgruppenselektion und -ansprache erfolgt, desto höher sind die Erfolgschancen der Werbung. Eine herausragende Stellung i.R.v. Optimierungsprozessen nehmen sog. Big-Data-Technologien ein,1415 die eine Neuentwicklung von Data-Mining und Data-Warehouse darstellen.1416 Der Begriff Big Data beschreibt eine sehr große Ansammlung möglichst vieler unterschiedlicher Daten, die über das Internet oder anderweitig erhoben werden.1417 Mit Hilfe von 1408 Simitis/Ehmann, BDSG, § 29 Rz. 199. 1409 H.M., vgl. statt vieler Simitis/Ehmann, BDSG, § 29 Rz. 155 ff.; Taeger/Gabel/Taeger, BDSG, § 29 Rz. 28. 1410 Taeger/Gabel/Taeger, BDSG, § 29 Rz. 38. 1411 Simitis/Ehmann, BDSG, § 29 Rz. 191. 1412 S.a. Taeger/Gabel/Taeger, BDSG, § 29 Rz. 48. 1413 So schon Holland, CR 1995, 184 (186). 1414 Ähnlich Gola/Reif, Kundendatenschutz, Kap. V Rz. 249; Zeidler/Brüggemann, CR 2014, 248 (249). 1415 Vgl. auch Zieger/Smirra, MMR 2013, 418; zu einer datenschutzrechtlichen Beurteilung Werkmeister/Brandt, CR 2016, 233 ff. 1416 S.a. Koch, ITRB 2015, 13. 1417 Roßnagel, ZD 2013, 562.
Kosmides
279
1063
A Rz. 1064
Datenschutz und IT-Management
Big-Data-Analysen wird die Auswertung großer Datenmengen ermöglicht und damit deren Verwertbarkeit verbessert.1418 Die Verwendung fremder Inhalte i.R.v. Big-Data-Anwendungen kann urheber- und wettbewerbsrechtliche Implikationen mit sich bringen sowie vertraglichen Nutzungsbeschränkungen zuwiderlaufen.1419 1064 Ein weit verbreitetes Beispiel für ein werbungsbezogenes Optimierungsverfahren stellt die Bewertung von Kundendaten unter Zuhilfenahme von soziodemografischen Daten1420 sowie weiteren Merkmalen wie Verhaltenskriterien und psychographischen Kriterien.1421 Bei solchen Bewertungsverfahren werden individuelle Kundendaten mit i.d.R. anonymisierten und kumulierten Datensätzen1422 verknüpft, mit dem Ziel Adressaten von Werbung nach bestimmten Kriterien in verschiedenen Gruppen (z.B. nach Kaufkraft) einordnen zu lassen.1423 1065 In datenschutzrechtlicher Hinsicht ist die Verknüpfung der Daten und deren Einordnung in bestimmte Kategorien als Datenverarbeitung, konkret Datenveränderung i.S.v. § 3 Abs. 4 Satz 2 Nr. 2 BDSG einzustufen. 1066 Entsprechend dem in § 4 Abs. 1 BDSG normierten Verbot mit Erlaubnisvorbehalt sieht § 28 Abs. 3 Satz 1 BDSG eine Einwilligung des Betroffenen als Legitimationsgrundlage für eine solche Datenveränderung vor. 1067 Alternativ kann die verantwortliche Stelle auf die Erlaubnis des § 28 Abs. 3 Satz 2 BDSG zurückgreifen (sog. Listenprivileg). Listendaten gemäß Satz 2 dürfen zu Werbezwecken nur unter Einhaltung der in § 28 Abs. 3 Satz 4 BDSG vorgeschriebenen Voraussetzungen an Dritte übermittelt werden.1424 Dabei wird vorausgesetzt, dass die Speicheranforderungen des § 34 Abs. 1a Satz 1 BDSG sowie das Transparenzgebot des § 28 Abs. 3 Satz 4 Halbs. 2 BDSG beachtet werden. Zur DS-GVO s. Rz. 1052a. 1068 Die Optimierung von Kundendaten zum Zwecke der Werbung kann u.a. auch aufgrund eines sog. Scoring-Verfahrens erfolgen. In diesem Falle findet die Komplementärvorschrift des § 28b BDSG keine Anwendung. Denn diese Vorschrift ist auf Scoring beschränkt, das zum „Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses“ eingesetzt wird.1425 Dies ist bei Optimierung freilich nicht der Fall. 1069 Was eine Werbung im Bereich der Telemedien angeht, so fragt sich zunächst, ob Optimierungsmaßnahmen über die Erlaubnisnorm des § 14 Abs. 1 TMG zugelassen werden können. Es fragt sich konkret, ob solche Maßnahmen als eine Datenverwendung qualifiziert werden können, die für die Begründung eines Telemedien-Nutzungsvertrags erforderlich sind. Denn eine solche Datenverwendung ist gemäß § 14 Abs. 1 TMG zulässig. Die Optimierung von personenbezogenen Daten wird unproblematisch vom Begriff der Datenverwendung erfasst. 1418 Zu datenschutzrechtlichen Aspekten von Big Data vgl. Weichert, ZD 2013, 251 ff.; Roßnagel, ZD 2013, 562 (564 ff.); Koch, ITRB 2015, 13. 1419 Dazu Zieger/Smirra, MMR 2013, 418 (419 ff.). 1420 Holland, CR 1995, 184 (187); s.a. Gola/Reif, Kundendatenschutz, Kap. V Rz. 250 ff. (allerdings speziell in Bezug auf die Optimierung von Adressmaterial mit Hilfe soziodemografischer Daten). Unter soziodemografischen Daten sind Angaben (z.B. Anschrift, Alter, Geschlecht, berufliche Situation, Einkommen, Haushaltsgröße und Familienstand) zu verstehen, die aufgrund von wissenschaftlichen Methoden der empirischen Sozialforschung gewonnen werden und Aussagen über die Verteilung von Bevölkerungsmerkmalen enthalten. Diese Aussagen werden zur Begründung von wirtschaftlichen oder sonstigen Entscheidungen genutzt. 1421 Holland, CR 1995, 184 (187). 1422 Gola/Reif, Kundendatenschutz, Kap. V Rz. 252. 1423 Vgl. auch Gola/Reif, Kundendatenschutz, Kap. V Rz. 251. 1424 Plath/Plath, BDSG/DSGVO, § 28 BDSG Rz. 133; Wolff, in: Wolff/Brink (Hrsg.), Datenschutzrecht, § 28 BDSG Rz. 134. 1425 Genauso Gola/Reif, Kundendatenschutz, Kap. V Rz. 262.
280
Kosmides
Kundendatenschutz
Rz. 1073
A
Die Anwendbarkeit der Erlaubnisnorm wird allerdings grds. an der tatbestandlichen Voraussetzung der „Erforderlichkeit für die Begründung eines Vertragsverhältnisses“ scheitern.1426 Vor diesem Hintergrund stellt § 14 Abs. 1 TMG grds. keine tragfähige Basis für den Einsatz 1070 von Werbe- bzw. Analyse-Cookies zum Zwecke der Verwendung von Bestandsdaten dar, weil sie nicht für die in dieser Vorschrift genannten Zwecke „erforderlich“ sind. In ähnlichem Kontext hat die spanische Datenschutzbehörde (Agencia Española de Protección de Datos – AEPD) mit Beschluss v. 14.5.20141427 entschieden, dass für die Verwendung von Cookies, die i.R.v. Google-Analytics arbeiteten, sowie Cookies für Zwecke der Schaltung von personalisierten Werbeanzeigen, nach spanischem Recht die Einholung einer Einwilligung notwendig sei, da ein solcher Datenumgang nicht unbedingt erforderlich sei, um den Dienst bereitstellen zu können.1428 Sofern und soweit § 14 Abs. 1 TMG (auch) als im Interesse der Marktteilnehmer marktverhaltensregelnde Vorschrift i.S.v. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. eingestuft wird (s.a.Rz. 1025, 1245), kann in solchen Fällen auch ein Wettbewerbsverstoß bejaht werden.
1071
Nach § 15 Abs. 3 TMG steht es dem Diensteanbieter frei, Nutzungsprofile zu Werbezwe- 1072 cken zu erstellen. Unter Nutzungsprofilen werden systematisch gefasste Nutzungsdaten verstanden, die aufgrund der Nutzung eines bestimmten Telemediendienstes Aussagen über das Nutzerverhalten enthalten1429 und damit Rückschlüsse auf die Gestaltung der Marketingstrategie des Werbungtreibenden ermöglichen. Der Erlaubnistatbestand des § 15 Abs. 3 Satz 1 TMG setzt dabei voraus, dass das Nutzungsprofil unter Pseudonym erstellt wird.1430 Zudem muss der Nutzer keinen Gebrauch von seinem Widerspruchsrecht gemacht haben. Auf dieses Widerspruchsrecht muss der Nutzer i.R.d. Datenschutzerklärung gemäß § 13 Abs. 1 TMG hingewiesen werden. Die DS-GVO enthält keine Regelung, die § 15 Abs. 3 TMG entspricht.1431 § 15 Abs. 3 TMG kommt als Rechtsgrundlage für den Einsatz sog. Webanalyse-Verfahren1432 1073 und die Rechtfertigung eines Datenumgangs i.R.d. sog. Online Behavioral Advertising (OBA) in Betracht.1433 OBA bezeichnet die Auslieferung digitaler Werbung auf der Grundlage des Internetsurfverhaltens des Nutzers. Dabei wird das Internetsurfverhalten der einzelnen Nutzer mit Hilfe von Cookies aufgezeichnet. Anschließend wird der Nutzer zu einer Zielgruppe zugeordnet (z.B. männlich, verheiratet, interessiert an Reisen), für die spezifische Werbemittel vorgesehen werden. OBA-Diensteanbieter stellen Telemediendiensteanbieter i.S.d. § 2 Nr. 1 TMG dar.1434 Der Einsatz von OBA-Diensten ist gemäß § 15 Abs. 3 TMG gestattet, wenn – die Daten Nutzungsdaten i.S.d. § 15 Abs. 1 TMG bilden, – die Datenverarbeitung pseudonymisiert und damit ohne Personenbezug erfolgt und – der Nutzer der Datenverarbeitung nicht widersprochen hat.
1426 Zum Erforderlichkeitserfordernis Taeger/Gabel/Zscherpe, BDSG, § 14 TMG Rz. 28 ff. 1427 Im Internet abrufbar unter www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionado res/ps_2014/common/pdfs/PS-00320-2013_Resolucion-de-fecha-14-05-2014_Art-ii-culo-22.2-LSSI.pdf (abgerufen am 12.8.2016). 1428 Vgl. Piltz, http://www.delegedata.de/2014/05 (abgerufen am 12.8.2016). 1429 Taeger/Gabel/Zscherpe, BDSG, § 15 TMG Rz. 61. 1430 S.a. Taeger/Gabel/Zscherpe, BDSG, § 15 TMG Rz. 66. 1431 Härting, Datenschutz-Grundverordnung, Teil C Rz. 644. 1432 Dazu Hansen-Oest, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, Teil 3 IV Rz. 1 ff. 1433 Vgl. auch Rammos, K&R 2011, 692 (695); LG Frankfurt/M. v. 18.2.2014 – 3-10 O 86/12, CR 2014, 266 (267). 1434 Arning/Moos, ZD 2014, 126 (128).
Kosmides
281
A Rz. 1074
Datenschutz und IT-Management
1074 Der Nutzer muss vor Beginn des Nutzungsvorgangs auf die Widerspruchsmöglichkeit klar und deutlich erkennbar hingewiesen werden. Die gesetzlichen Anforderungen an die Erfüllung der Hinweispflicht werden – nach Ansicht des LG Frankfurt/M. – verletzt, sofern der Hinweis über die Seite „Kontakte“ erreichbar ist, weil der Hinweis nicht „zu Beginn des Nutzungsvorgangs“ erfolge und nicht i.S.v. § 13 Abs. 1 TMG „jederzeit abrufbar“ sei.1435 1075 Die Frage, ob § 15 Abs. 3 TMG (auch) eine marktverhaltensregelnde Vorschrift i.S.d. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. darstellen kann, ist umstritten.1436 1076 I.R.v. Optimierungsprozessen werden öfter Cookies eingesetzt. Solche Cookies stellen „Mittel der Verarbeitung personenbezogener Daten“ i.S.d. RL 95/46/EG (EG-Datenschutzrichtlinie)1437 dar.1438 1077 Eine weitere Frage ist, ob Cookies an sich personenbezogene Daten darstellen. Ein Personenbezug von Cookies ist zum einen anzunehmen, wenn der Internetnutzer für den Diensteanbieter eine bestimmbare Person ist. Denn die durch den Cookie gesammelten Merkmale stellen in diesem Falle personenbezogene Daten dar.1439 Zum anderen ist ein Cookie als personenbezogenes Datum zu qualifizieren, wenn durch ihn Daten übertragen werden, die es ermöglichen, einen Personenbezug herzustellen.1440 1078 Für den Personenbezug reicht wohl die Kenntnis nur der dynamischen IP-Adresse nicht, wohl aber deren Einbeziehung in die Speicherung weiterer Daten zur Person.1441 Die Einbeziehung von Benutzername und statischer IP-Adresse dagegen erzeugt den Personenbezug. Stammen dynamische IP-Adresse und Cookie aus der gleichen Quelle (vom Provider), wird auch der Personenbezug zu bejahen sein, weil die Rückverfolgung relativ einfach ist und nicht mehr unverhältnismäßig.1442 1079 Soweit ein Cookie zur Erstellung von Nutzungsprofilen eingesetzt wird und damit Nutzungsdaten verwendet werden, bildet § 15 Abs. 1 TMG die Rechtsgrundlage für dessen Auslesen („Erhebung“). 1080 Die Voraussetzungen für das Setzen von Cookies wurden durch die Richtlinie 2009/136/EG (Cookie-Richtlinie)1443 in einem wesentlichen Punkt verschärft. Mit ihr wurde Art. 5 Abs. 3 Richtlinie 2002/58/EG (ePrivacy-Richtlinie)1444 dahingehend geändert, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, nur noch zulässig ist, wenn der Nutzer seine Einwilligung erteilt hat (Optin).1445 Daneben muss der Nutzer über die Verwendung von Cookies aufgeklärt werden. 1435 LG Frankfurt/M. v. 18.2.2014 – 3-10 O 86/12, CR 2014, 266 (268) m. Anm. Laue/Nink, CR 2014, 269. 1436 Dafür LG Frankfurt/M. v. 18.2.2014 – 3-10 O 86/12, CR 2014, 266 (268 f.); dagegen Laue/Nink, CR 2014, 269 (Anm. zu LG Frankfurt/M.). 1437 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 v. 23.11.1995, S. 31). 1438 KG v. 24.1.2014 – 5 U 42/12, CR 2014, 319 (323). 1439 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 155. 1440 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 155; Gola/Reif, Kundendatenschutz, Kap. III Rz. 204. 1441 Eckhardt, ITRB 2005, 46 (47); s.a LG Berlin v. 6.9.2007 – 23 S 3/07, ITRB 2007, 246. Zur generellen Diskussion der Personenbeziehbarkeit von IP-Adressen s. Rz. 1153 ff. 1442 Eckhardt, ITRB 2005, 46 (47). 1443 Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates v. 25.11.2009 (ABl. EG Nr. L 337 v. 18.12.2009, S. 11). 1444 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 (ABl. EG Nr. L 201 v. 31.7.2002, S. 37). 1445 A.A. OLG Frankfurt v. 17.12.2015 – 6 U 30/15, CR 2016, 256 (257): Wirksame Einwilligung in die Cookie-Nutzung auch durch Opt-Out.
282
Kosmides
Kundendatenschutz
Rz. 1085
A
Die Cookie-Richtlinie ist in formeller Hinsicht ins deutsche Recht nicht umgesetzt worden. 1081 In materieller Hinsicht wird aber die Richtlinie sowohl von der Bundesregierung als auch der EU-Kommission als umgesetzt erachtet.1446 Was die Aufklärungspflicht für den Einsatz von Cookies angeht, so soll der Umsetzungspflicht durch § 13 Abs. 1 TMG Genüge getan sein. Das Einwilligungserfordernis soll sich wiederum aus § 12 Abs. 1 TMG ergeben. Auf dem Online-Markt werden zunehmend neue Nutzerverfolgungs-Techniken eingesetzt, 1082 welche die eindeutige Identifizierung von Onlinenutzern sowie die Optimierung von Kundendaten zwecks Auslieferung digitaler Werbung ohne die Verwendung von Cookies oder verwandter Techniken ermöglichen. Insb. Browser-Plug-ins wie Java und Flash geben zahlreiche Informationen über das Internetsurfverhalten eines Nutzers preis und ermöglichen, einen sog. Fingerabdruck des Browsers („Browser-Fingerprint“) zu erzeugen.1447 Die Zulässigkeit der Verarbeitung richtet sich nach § 15 TMG, soweit ein Personenbezug von Browser-Fingerprints im Einzelfall zu bejahen ist. In Rede stehen konkret § 15 Abs. 1 TMG in Bezug auf die Datenerhebung und § 15 Abs. 3 TMG in Bezug auf die Erstellung von Nutzungsprofilen.1448 Eine mittlerweile verbreitete Methode zum Online-Tracking stellt Canvas Fingerprinting 1083 dar. Im Gegensatz zur Verwendung von Cookies wird hierbei keine der Wiedererkennung dienende Datei auf dem Endgerät des Nutzers gespeichert. Vielmehr wird beim Seitenbesucher ein spezifischer Fingerabdruck zum Zeitpunkt des Seitenaufrufs erstellt, wodurch der Nutzer dauerhaft wiedererkannt und damit auch das Besucherverhalten beobachtet werden kann.1449 Canvas Fingerprinting fällt – entgegen der weitverbreiteten Bezeichnung der Richtlinie 2009/136/EG als Cookie-Richtlinie – in deren Anwendungsbereich.1450 Es setzt insofern nach europäischem Recht grds. eine umfassende Information sowie eine Einwilligung des Nutzers voraus, bevor Daten ausgelesen und Kennungen erstellt werden.1451 Etwas anderes gilt allerdings auf nationaler Ebene: Mangels eines Personenbezugs unterfällt die reine Verwendung von Canvas Fingerprinting gemeinhin nicht dem Geltungsbereich der datenschutzrechtlichen Bestimmungen des TMG (§§ 11 ff. TMG).1452 Wie § 14 Abs. 1 TMG bzgl. Telemedien-Nutzungsverträge (s. Rz. 1070) stellt § 95 Abs. 1 TKG 1084 grds. keine tragfähige Basis für die Optimierung personenbezogener Daten für telekommunikationsrelevante Werbezwecke dar. Hierfür bietet sich § 95 Abs. 2 TKG. Hier müssen drei Voraussetzungen kumulativ vorliegen.1453 Die Werbung muss, erstens, für eigene Angebote erfolgen. Die Datenverwendung hat, zweitens, erforderlich für die Erreichung der festgelegten Werbezwecke zu sein. Diese Voraussetzung wird im Falle von Optimierungsmaßnahmen i.d.R. erfüllt. Schließlich muss eine Einwilligung des Teilnehmers vorliegen. 3.3 Datenverwendung zwecks Kontaktaufnahme mit dem Kunden 3.3.1 Kundenschutz aufgrund von datenschutzrechtlichen Vorschriften Eine besondere Bedeutung für die erfolgreiche Durchführung von Werbung kommt der Ver- 1085 wendung von Daten zur Kundenadressierung zu. Beim Datenumgang zur Kontaktaufnahme
1446 S. http://www.telemedicus.info/article/2722-Die-Stellungnahme-der-Bundesregierung-zur-CookieRichtlinie.html (abgerufen am 12.8.2016). 1447 Alich/Voigt, CR 2012, 344 (345). 1448 Vgl. auch Alich/Voigt, CR 2012, 344 (348). 1449 S.a. Dieterich, ZD 2015 199 f. 1450 Dieterich, ZD 2015 199 (201). 1451 Dieterich, ZD 2015 199 (201). 1452 Dieterich, ZD 2015 199 (201 ff.). 1453 S.a. Taeger/Gabel/Munz, BDSG, § 95 TKG Rz. 12.
Kosmides
283
A Rz. 1086
Datenschutz und IT-Management
mit dem Kunden handelt es sich um eine Nutzung personenbezogener Daten i.S.v. § 3 Abs. 5 BDSG.1454 1086 Den Zulässigkeitsrahmen für die Datenverwendung zur Kundenadressierung gibt in erster Linie § 28 Abs. 3 BDSG vor.1455 Zur DS-GVO s. Rz. 1052a. 1086a Der Begriff der Werbung in § 28 Abs. 3 BDSG ist weit zu verstehen. Darunter fällt auch die indirekte und unbewusste Kundenansprache.1456 Insoweit sind folgende Aussagen im Schreiben eines Rechtsanwalts an Anleger als Werbung einzustufen1457: – „Die Einschätzung von auf Kapitalanlagen spezialisierten Rechtsanwälten ist folgende“ – „Möchten Sie von der Schutzgemeinschaft beraten/vertreten werden?“ Ein Rechtsanwalt, der die Kontaktdaten von Anlegern im Namen eines Anlegers im Wege eines Auskunftsanspruchs von einer Fondsgesellschaft erworben hat, darf sich nicht mit einem solchen Werbeschreiben an Anleger unter Verwendung dieser Daten wenden, § 28 Abs. 3 BDSG.1458 1087 Nach § 28 Abs. 3 Satz 1 BDSG ist eine Datennutzung für Werbezwecke zulässig, sofern der Betroffene eine Einwilligung erteilt hat. Liegt eine nicht schriftlich erteilte Einwilligung vor, ist § 28 Abs. 3a BDSG anwendbar. Im Falle der Einholung einer Einwilligung wird in § 28 Abs. 3b BDSG ein Koppelungsverbot vorgesehen, auf dessen Beachtung die Wirksamkeit der Einwilligung angewiesen ist.1459 Damit wird der Privatautonomie eine Grenze gezogen.1460 Nach ihm ist das Abhängigmachen eines Vertragsabschlusses von der Erteilung einer Einwilligung nicht gestattet, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. 1088 Ohne eine Einwilligung des Betroffenen ist eine Datennutzung zur Kontaktaufnahme mit dem Kunden nach Maßgabe der in § 28 Abs. 3 BDSG abschließend aufgezählten Tatbestände zulässig: – Werbung für eigene Angebote an Bestandskunden1461 (§ 28 Abs. 3 Satz 2 Nr. 1 Alt. 1 BDSG), – Werbung für eigene Angebote aufgrund allgemein zugänglicher Verzeichnisse (§ 28 Abs. 3 Satz 2 Nr. 1 Alt. 2 BDSG), – Werbung im B2B-Bereich (§ 28 Abs. 3 Satz 2 Nr. 2 BDSG), – Werbung für Spenden (§ 28 Abs. 3 Satz 2 Nr. 3 BDSG), – Werbung für fremde Angebote (§ 28 Abs. 3 Satz 5 BDSG). 1089 Aus § 28 Abs. 4 BDSG ergibt sich als zusätzliche Voraussetzung für die Zulässigkeit der Datennutzung zwecks Kundenadressierung, dass der Betroffene das ihm dadurch eingeräumte 1454 1455 1456 1457 1458 1459 1460 1461
Simitis/Dammann, BDSG, § 3 Rz. 195. Vgl. auch OLG Köln v. 17.1.2014 – I-6 U 167/13, juris Rz. 14 = ZD 2014, 421. OLG Köln v. 17.1.2014 – I-6 U 167/13, juris Rz. 14 = ZD 2014, 421. OLG Köln v. 17.1.2014 – I-6 U 167/13, juris Rz. 14 = ZD 2014, 421. OLG Köln v. 17.1.2014 – I-6 U 167/13, juris Rz. 14 = ZD 2014, 421. Taeger/Gabel/Taeger, BDSG, § 28 Rz. 184. Rohwedder, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, Teil 7 III Rz. 5. Schulz, CR 2012, 686 (689, 691) behauptet, dass Bestandskundenwerbung keiner in zeitlicher Hinsicht wirkenden Beschränkung unterliege, mit der Folge, dass die jeweiligen Erlaubnistatbestände sowohl im BDSG als auch im UWG (§ 7 Abs. 3 UWG) für an Bestandskunden adressierte Werbung unbefristet anwendbar seien.
284
Kosmides
Kundendatenschutz
Rz. 1095
A
Widerspruchsrecht nicht ausgeübt hat. Dieses Widerspruchsrecht gilt ergänzend zu den in § 6 Abs. 1 BDSG aufgezählten Rechten und ist ebenso wie diese Rechte unabdingbar.1462 Nach Inkrafttreten der DS-GVO richtet sich das Widerspruchsrecht des Betroffenen nach Art. 21 DS-GVO. Bei Telemedien-Nutzungsverträgen stellt sich die Frage, ob die Erlaubnisnorm des § 14 Abs. 1 TMG Anwendung finden kann. Vom tatbestandlich vorausgesetzten „Verwenden“ wird auch eine Datennutzung erfasst.1463 Allerdings wird i.d.R. das Kriterium der Erforderlichkeit für den Telemedien-Nutzungsvertrag nicht erfüllt, weshalb eine Anwendung des § 14 Abs. 1 TMG nur in Ausnahmefällen denkbar ist.
1090
Nichts anderes ist im Hinblick auf die korrespondierende Erlaubnisregel des § 95 Abs. 1 1091 TKG anzunehmen. Bei TK-Dienste-Verträgen kann allerdings eine Datennutzung zur Kundenadressierung unter den Bedingungen des § 95 Abs. 2 TKG erfolgen. In diesem Zshg. müssen die in § 95 Abs. 2 Satz 1 TKG vorgeschriebenen Voraussetzungen kumulativ vorliegen (Erforderlichkeit für die Werbezwecke und Einwilligung). Das Vorliegen dieser Voraussetzungen ist entbehrlich im Falle einer Versendung von Text- und Bildmitteilungen an ein Telefon oder an die herkömmliche oder elektronische Postadresse des Teilnehmers zu Werbezwecken, wenn der Diensteanbieter i.R.d. bestehenden Kundenbeziehung rechtmäßig Kenntnis von der Rufnummer oder der Postadresse des Teilnehmers erlangt hat (§ 95 Abs. 2 Satz 2 TKG). Für die Zulässigkeit der Datennutzung wird zudem gefordert, dass der Diensteanbieter seiner Pflicht nachgekommen ist, den Betroffenen gemäß § 95 Abs. 2 Satz 3 TKG auf sein Widerspruchsrecht hinzuweisen und von diesem Recht kein Gebrauch gemacht wird. Um dem Werbungsadressaten die Möglichkeit zu bieten, sich selbst vor unerwünschter 1092 Telefonwerbung zu schützen,1464 sieht § 102 Abs. 2 TKG vor, dass Anrufende bei Telefonwerbung ihre Rufnummernanzeige nicht unterdrücken oder bei dem Diensteanbieter veranlassen dürfen, dass diese unterdrückt wird. Wird das E-Mail-Konto von seinem Inhaber zu werblichen (oder sonstigen) Zwecken unzulässig genutzt, so ist grds. (auch) eine Verletzung des allgemeinen Persönlichkeitsrechts des Empfängers bzw. des Rechts am eingerichteten und ausgeübten Gewerbebetrieb des Unternehmers anzunehmen.1465
1093
3.3.2 Kundenschutz aufgrund von wettbewerbsrechtlichen Vorschriften Neben datenschutzrechtlichen Rechtsnormen können Wettbewerbsregeln herangezogen 1094 werden, um die schutzwürdigen Interessen des Kunden bei einer Werbungsansprache zu wahren. Solche Wettbewerbsregeln finden sich im Wesentlichen im UWG. Im Zentrum der im vorliegenden Zshg. relevanten Rechtsvorschriften steht § 7 UWG, der die unzumutbare Belästigung von Marktteilnehmern verbietet. Zur wettbewerbsrechtlichen Beurteilung von Werbemaßnahmen vgl. B Rz. 717 ff.
1095
Vorab sei darauf hingewiesen, dass aus datenschutzrechtlicher Perspektive die Anforderungen an eine wirksame Einwilligung in Bezug auf Telefon- und E-Mail-Werbung in bestimmten Punkten niedriger im Vergleich zu den Voraussetzungen sind, die durch das UWG aufgestellt werden. Daher sind auch die einschlägigen Bestimmungen des UWG, namentlich § 7 Abs. 2 Nr. 2 und 3 UWG, zu beachten.1466 1462 1463 1464 1465 1466
Taeger/Gabel/Taeger, BDSG, § 28 Rz. 212. Vgl. BeckRTD-Komm/Dix, § 14 TMG Rz. 32. S.a. Taeger/Gabel/Braun, BDSG, § 102 TKG Rz. 10. OLG Frankfurt v. 30.9.2013 – 1 U 314/12, MMR 2014, 115. S.a. Feldmann/Höppner, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, Teil 3 II Rz. 11.
Kosmides
285
A Rz. 1096
Datenschutz und IT-Management
3.4 Exkurs: AuftragsDV 1096 Der Unternehmer kann durch den Abschluss eines Auftragsdatenverarbeitungsvertrags eine andere Stelle mit der Abwicklung einiger oder der Gesamtheit der für eine Werbung vorausgesetzten Datenverarbeitungsvorgänge beauftragen. In diesem Zshg. ist § 11 BDSG relevant. Nach Inkrafttreten der DS-GVO werden Art. 28 und 29 DS-GVO an die Stelle von § 11 BDSG treten.1467 1097 Aus § 3 Abs. 8 Satz 3 BDSG ergibt sich, dass der Auftragnehmer gegenüber dem Auftraggeber – bei Vorliegen der Voraussetzungen, s.a. Rz. 442 – nicht als Dritter zu betrachten ist.1468 Vielmehr werden Auftraggeber und Auftragnehmer vom Gesetz als rechtliche Einheit angesehen.1469 Dies hat zur Folge, dass die Übermittlung von Daten durch den Auftragnehmer an den Auftraggeber von der Anwendbarkeit der Zulässigkeitsnormen freigestellt wird.1470 Was die sonstigen Datenverarbeitungsvorgänge angeht, so gilt das Verbot mit Erlaubnisvorbehalt. 1098 Zusätzlich zu den Vorschriften über die Einwilligung bzw. dem jeweils anwendbaren Erlaubnistatbestand sind die in § 11 BDSG vorgesehenen Regeln über die AuftragsDV zu beachten. 1099 Nach der Rspr. des BGH ist eine Werbeagentur verpflichtet, die ihr vom Auftraggeber überlassenen Kundendaten nach Beendigung des Auftragsverhältnisses herauszugeben.1471 In einer Linie mit dieser Rspr. wurde vom OLG Düsseldorf angenommen, dass personenbezogene Daten, die über die Homepage eines Unternehmens eingegeben werden, um die An- oder Abmeldung eines Kunden beim Newsletter zu ermöglichen, im Falle der Insolvenz des Auftragnehmers, der den Versand des Newsletters übernommen hat, gemäß §§ 667 Alt. 1, 675 BGB i.V.m. § 47 InsO von dem Insolvenzverwalter auszusondern und an das Unternehmen herauszugeben sind.1472 1099a Die Übertragung von Inkassodienstleistungen stellt in aller Regel keine AuftragsDV i.S.d. § 11 BDSG dar, weil das Inkassomanagement über die Wahrnehmung bloßer technischer Hilfsfunktionen hinausgeht.1473 4. Vertragsverhandlungen, -abschluss, -durchführung und -beendigung 4.1 Allgemeiner Rechtsrahmen (BDSG) 1100 Von der Aufnahme der Vertragsverhandlungen bis auf die Beendigung eines wirksam zustande gekommenen Vertrags, kurzum: während der gesamten Lebensdauer eines rechtsgeschäftsähnlichen und rechtsgeschäftlichen Vertragsverhältnisses, ist eine Verwendung personenbezogener Daten ein herausragendes oder gar auch unverzichtbares Mittel, um die mit dessen Abschluss, Durchführung und Beendigung verbundenen Zwecke zu erfüllen. Zum Beispiel werden für den Abschluss und die Abwicklung eines Fernabsatzvertrags über die Lieferung von Alkoholwaren unter anderem der Name, das Geburtsdatum und die Anschrift des Käufers, seine Rufnummer und seine E-Mail-Adresse, die Kreditkartennummer oder die Bankverbindung benötigt. 1101 Der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 1 BDSG lässt sich für die Zulässigkeit einer Erhebung, Speicherung, Veränderung oder Nutzung personenbezogener Daten damit be1467 1468 1469 1470 1471
S.a. Härting, Datenschutz-Grundverordnung, Teil C Rz. 569. Simitis/Dammann, BDSG, § 3 Rz. 244; Taeger/Gabel/Gabel, BDSG, § 11 Rz. 2. Taeger/Gabel/Gabel, BDSG, § 11 Rz. 2. Simitis/Dammann, BDSG, § 3 Rz. 244. BGH v. 17.4.1996 – VIII ZR 5/95, NJW 1996, 2159 (2161); Fortführung: BGH v. 5.2.2015 – VII ZR 315/13. 1472 OLG Düsseldorf v. 27.9.2012 – I-6 U 241/11, CR 2012, 801 (803), BGH v. 29.5.2013 – III ZR 322/12, Nichtzulassungsbeschwerde zurückgewiesen. 1473 OLG Düsseldorf v. 13.2.2015 – I-16 U 41/14, juris Rz. 36.
286
Kosmides
Kundendatenschutz
Rz. 1106
A
gnügen, dass die jeweilige Datenverwendungshandlung „für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist“.1474 I.R.d. Erlaubnistatbestands ist eine Abwägung der berechtigten Interessen der verantwortlichen Stellen mit Interessen des Betroffenen entbehrlich.1475 Das Merkmal des Datenumgangs zur „Erfüllung eigener Geschäftszwecke“ ist problemlos 1102 als erfüllt anzusehen, wenn die Datenverwendung als Hilfsmittel für die Erreichung geschäftlicher, beruflicher oder gewerblicher Ziele i.R.d. zwischen der verantwortlichen Stelle und der von der Datenverwendung betroffenen Person bestehenden vorvertraglichen oder vertraglichen Schuldverhältnisses oder im Vorfeld eines solchen Schuldverhältnisses eingesetzt wird.1476 Im Zentrum des Erlaubnistatbestands steht das Merkmal der Erforderlichkeit des Umgangs 1103 mit den jeweiligen Angaben für die Begründung, Durchführung oder Beendigung eines Schuldverhältnisses. Daraus ergibt sich, dass zwischen dem Datenumgang und dem Geschäftszweck des Schuldverhältnisses ein unmittelbarer sachlicher Zshg. gegeben sein muss.1477 Erforderlich ist ein Datenumgang, wenn ohne ihn die Erfüllung dieses Zwecks unmöglich ist bzw. wenn nur bei seiner Vornahme das Ziel des Schuldverhältnisses erreicht werden kann. Eine bloße Unterstützung bzw. Förderung des Ziels reicht nicht aus. Die Frage, welche Daten verwendet werden dürfen, lässt sich nicht abstrakt beantwor- 1104 ten.1478 Vielmehr handelt es sich um eine Einzelfallfrage. Es kommt insofern maßgeblich auf die Art sowie die Merkmale der konkret-faktischen Vertragsbeziehung an. In diesem Zshg. ist ein objektiver Maßstab anzusetzen.1479 Nur objektiv erforderliche Daten dürfen verwendet werden. Verschiedene Vertragsarten oder Vertragsgegenstände können jedenfalls zum Teil unterschiedliche Datenverwendungen rechtfertigen. So ist etwa eine Altersverifikation und damit eine Verwendung des Geburtsdatums des Kunden nur unter besonderen Umständen erforderlich (z.B. Alkohol- oder Tabakverkauf, Bereitstellung eines Zugangs zu Online-Sexinhalten etc.).1480 Bei den verwendeten Daten geht es im Wesentlichen um persönliche Angaben des Partners 1105 der verantwortlichen Stelle. Denn dieser steht im Mittelpunkt des relevanten Schuldverhältnisses.1481 Verwendbar gemäß § 28 Abs. 1 Satz 1 Nr. 1 BDSG sind aber auch Angaben zu Personen, die an diesem Schuldverhältnis nicht beteiligt sind.1482 Aufgrund von § 28 Abs. 1 Satz 1 Nr. 1 BDSG können u.a. etwa legitimiert werden:
1106
– eine Datenverwendung zu Werbezwecken, – die Datenübermittlung an Versanddienstleister i.R.v. Webshops,1483 – ein Datenumgang zur Beurteilung der Kreditwürdigkeit des Kunden (s. Rz. 1165 ff., 1182 ff.). Ein solcher Datenumgang kann sowohl für den Abschluss als auch die Abwicklung eines Vertrags eingesetzt werden,
1474 BGH v. 22.1.2014 – I ZR 218/12, Rz. 19 = CR 2014, 573 (Ls.) – Nordjob Messe. 1475 Däubler/Klebe/Wedde/Weichert/Wedde, BDSG, § 28 Rz. 15; Taeger/Gabel/Taeger, BDSG, § 28 Rz. 47. 1476 Vgl. auch Simitis/Simitis, BDSG, § 28 Rz. 22; Taeger/Gabel/Taeger, BDSG, § 28 Rz. 33. 1477 Simitis/Simitis, BDSG, § 28 Rz. 57. 1478 Simitis/Simitis, BDSG, § 28 Rz. 60. 1479 Simitis/Simitis, BDSG, § 28 Rz. 69; Taeger/Gabel/Taeger, BDSG, § 28 Rz. 47. 1480 Vgl. auch Taeger/Gabel/Taeger, BDSG, § 28 Rz. 52. 1481 Simitis/Simitis, BDSG, § 28 Rz. 62. 1482 S.a. Simitis/Simitis, BDSG, § 28 Rz. 63. 1483 Vgl. Conrad/Klatte, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 4 Rz. 62 ff.
Kosmides
287
A Rz. 1107
Datenschutz und IT-Management
– die Verwendung von Patientendaten (Angaben zu Identität sowie zum Gesundheitszustand), soweit solche Daten für die korrekte Durchführung der Beratung und Behandlung benötigt werden,1484 – die Verwendung von Gesundheitsdaten im Zshg. mit bschluss und Abwicklung eines Lebens- oder Krankenversicherungsvertrags.1485 Ein Datenumgang in Zshg. mit der Teilnahme des Betroffenen an einem Gewinnspiel kann zwar aufgrund von § 28 Abs. 1 Satz 1 Nr. 1 BDSG legitimiert werden, denn durch die Teilnahme am Gewinnspiel ein rechtsgeschäftsähnliches Schuldverhältnis begründet werden kann. Geht allerdings der Datenumgang über den Umfang hinaus, der für die Durchführung des Gewinnspiels erforderlich ist, scheidet eine Anwendung dieser Legitimationsgrundlage aus.1486 1107 Für Zwecke des Arbeitsverhältnisses ist unstreitig, dass nicht § 28 Abs. 1 Satz 1 Nr. 1 BDSG, obschon Arbeitsverhältnisse rechtsgeschäftliche Schuldverhältnisse sind, sondern vielmehr die Spezialnorm des § 32 BDSG einschlägig ist.1487 Im Detail ist die Frage offen, ob und inwieweit § 28 Abs. 1 BDSG neben § 32 BDSG anwendbar ist, sofern ein Bezug zum Beschäftigungsverhältnis besteht. Insb. ist das Verhältnis zwischen den beiden Vorschriften ungeklärt, wenn sich mehrere Verwendungszwecke überschneiden.1488 1108 Neben § 28 Abs. 1 Satz 1 Nr. 1 BDSG werden in § 28 Abs. 1 Satz 1 BDSG zwei weitere Erlaubnistatbestände vorgesehen, nämlich § 28 Abs. 1 Satz 1 Nr. 2 und Nr. 3 BDSG, auf die sich die verantwortliche Stelle für die Erfüllung eigener Geschäftszwecke berufen kann. 1109 In diesem Zshg. stellt sich die Frage, ob die verantwortliche Stelle zwischen den gesetzlich vorgeschriebenen Zulässigkeitsalternativen beliebig auswählen kann, um eine mit den vorvertraglichen Verhandlungen oder einem bestehenden Vertragsverhältnis verbundene Datenverwendung zu legitimieren. Was das Verhältnis zwischen den drei Tatbeständen angeht, ist der Wortlaut kaum ergiebig. Die Gesetzesformulierung erweckt den Eindruck, dass keine Rangfolge der Zulässigkeitsalternativen vorgesehen ist und die verantwortliche Stelle mithin den rechtfertigenden Anknüpfungspunkt („rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis“ nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG; „überwiegende berechtigte Interessen“ nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG; „allgemeine Zugänglichkeit der Daten“ nach § 28 Abs. 1 Satz 1 Nr. 3 BDSG) für die Datenverwendung nach eigenem Ermessen bestimmen kann.1489 In Anbetracht des Sinns und des Zwecks der Regelung wird allerdings zu Recht angenommen, dass der Tatbestand des § 28 Abs. 1 Satz 1 BDSG primär auf die vertraglichen Beziehungen ausgerichtet ist, mit der Folge, dass seine Nr. 1 eine Sperrwirkung gegenüber § 28 Abs. 1 Satz 1 Nr. 2 und Nr. 3 BDSG entfaltet.1490 Kommt ein Datenumgang in Betracht, der der Zweckbestimmung eines vorvertraglichen oder vertraglichen Schuldverhältnisses dient, so scheidet grds. eine Anwendung von § 28 Abs. 1 Satz 1 Nr. 2 und 3 BDSG aus. 1110 Dies bedeutet allerdings nicht, dass die letzteren Zulässigkeitsalternativen i.R.d. Phase der Vertragsverhandlungen oder der vertraglichen Phase kaum Anwendung finden. Ihnen kommt eine in ihrer Tragweite nicht zu unterschätzende komplementäre Funktion zu.1491
1484 1485 1486 1487
1491
S. Simitis/Simitis, BDSG, § 28 Rz. 81. S. Simitis/Simitis, BDSG, § 28 Rz. 95. BGH v. 22.1.2014 – I ZR 218/12, Rz. 19 = CR 2014, 573 (Ls.) – Nordjob Messe. Däubler/Klebe/Wedde/Weichert/Wedde, BDSG, § 28 Rz. 24; Taeger/Gabel/Taeger, BDSG, § 28 Rz. 13; zum Arbeitnehmerdatenschutz vgl. Rz. 692 ff. Wie hier Taeger/Gabel/Zöll, BDSG, § 32 Rz. 7. Simitis/Simitis, BDSG, § 28 Rz. 53. Simitis/Simitis, BDSG, § 28 Rz. 54; vgl. auch Däubler/Klebe/Wedde/Weichert/Wedde, BDSG, § 28 Rz. 14. Vgl. Simitis/Simitis, BDSG, § 28 Rz. 54.
288
Kosmides
1488 1489 1490
Kundendatenschutz
Rz. 1116
A
Liegt etwa eine Leistungsstörung seitens des Kunden vor, kann sich die Notwendigkeit ei- 1111 ner Mitteilung seines pflichtwidrigen Verhaltens an Personen oder Stellen ergeben, die nicht am Schuldverhältnis beteiligt sind. In solchen Fällen wird die verantwortliche Stelle in aller Regel keine Einwilligung in die Weitergabe einholen können, weshalb der Rückgriff auf eine gesetzliche Erlaubnis erforderlich ist. Um eine solche Datenübermittlung zu legitimieren, kann der Vertragspartner des Kunden auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG zurückgreifen. Der Rückgriff auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG ist denkbar, wenn die Datenübermittlung dazu dienen soll, berechtigte Interessen des Vertragspartners des Kunden zu wahren. In der Praxis werden solche Daten v.a. an einen Rechtsanwalt, ein Gericht oder ein Inkassounternehmen weitergegeben. Die Übermittlung von Angaben zu einem pflichtwidrigen Verhalten des Kunden stellt ein Mittel für die Erfüllung der Geschäftszwecke der verantwortlichen Stelle dar. Sie ist außerdem erforderlich, um überwiegende schutzwürdige Interessen der verantwortlichen Stelle zu wahren. So gesehen sind die Anwendungsvoraussetzungen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG im Falle einer Übermittlung von Angaben zu einer durch den Kunden herbeigeführten Leistungsstörung i.d.R. ohne weiteres zu bejahen. Ist ein Darlehen verjährt, so ist die Veröffentlichung von Negativdaten in Form eines Zahlungsrückstands des Verbraucherdarlehensnehmers durch eine Auskunftei unzulässig.1492 Der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG greift hier nicht ein, weil das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung überwiegt.
1112
Als Empfänger von Angaben zu säumigen Schuldnern kommen auch Auskunfteien (z.B. die SCHUFA)1493 in Betracht. Da die Datenübermittlung hier nicht zur Erfüllung eigener Geschäftszwecke erfolgt, ist nicht der allgemeine Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG einschlägig. Vielmehr findet auf eine solche Datenübermittlung die Sonderregelung des § 28a BDSG Anwendung, die als solche die allgemeine Vorschrift des § 28 Abs. 1 Satz 1 Nr. 2 BDSG verdrängt.1494
1113
Die Erlaubnisnorm des § 28 Abs. 1 Satz 1 Nr. 2 BDSG bietet sich ferner als gesetzliche Grund- 1114 lage für den Abgleich von Kundendaten mit europäischen Listen.1495 Die Rede ist v.a. von den Listen nach der Verordnung (EG) Nr. 2580/2001 über spezifische, gegen bestimmte Personen und Organisationen gerichtete restriktive Maßnahmen zur Bekämpfung des Terrorismus, nach der Verordnung (EG) Nr. 881/2002 über die Anwendung bestimmter spezifischer restriktiver Maßnahmen gegen bestimmte Personen und Organisationen, die mit dem Al-QaidaNetzwerk in Verbindung stehen, sowie nach der Verordnung (EG) Nr. 753/2011 über restriktive Maßnahmen gegen bestimmte Personen, Gruppen, Unternehmen und Einrichtungen angesichts der Lage in Afghanistan.1496 Zum Zwecke der Bekämpfung der Geldwäsche und der Terrorismusfinanzierung kann nach 1115 der Rspr. des EuGH unter bestimmten Bedingungen eine gesetzliche Pflicht von Kreditinstituten vorgesehen werden, personenbezogene Daten unmittelbar der zentralen Meldestelle zu übermitteln.1497 Aufgrund von § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann darüber hinaus ein zivilrechtliches Hausverbot gespeichert werden. Eine Spielbank ist aufgrund der ihr zustehenden Privatautonomie berechtigt, selbst darüber zu entscheiden, ob und mit wem sie geschäftliche Beziehungen unterhalten will, um so bestimmte potenzielle Kunden auszuschließen und damit ihre wirtschaftlichen Interessen zu wahren. Liegt kein Grund zu der Annahme vor, dass das 1492 OLG Frankfurt v. 19.11.2012 – 23 U 68/12, ZD 2013, 134. 1493 OLG Düsseldorf v. 13.2.2015 – I-16 U 41/14, juris Os. 1. 1494 Taeger/Gabel/Mackenthun, BDSG, § 28a Rz. 9; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 70. 1495 Breinlinger, ZD 2013, 267 (269). 1496 Breinlinger, ZD 2013, 267. 1497 Vgl. EuGH v. 25.4.2013 – C-212/11, EuZW 2013, 635 (640) – Jyske Bank Gibraltar.
Kosmides
289
1116
A Rz. 1117
Datenschutz und IT-Management
schutzwürdige Interesse des Betroffenen an dem Ausschluss der Datenspeicherung überwiegt, was im privaten Glücksspielbereich i.d.R. nicht der Fall ist, ist eine solche Datenspeicherung zulässig.1498 1117 Um zur Identifizierung erhöhter Risiken und zur Bekämpfung von Versicherungsbetrug beizutragen, kann ein Versicherungsunternehmen personenbezogene Daten des Kunden an das Hinweis- und Informationssystem (HIS) der deutschen Versicherungswirtschaft weitergeben. Das HIS fungiert dabei als Auskunftei, die Daten kraft § 29 BDSG geschäftsmäßig erheben, verwenden und übermitteln kann.1499 In dieser Hinsicht hat das AG Coburg entschieden, dass die Speicherung der Merkmale eines an einem Verkehrsunfall beteiligten Pkw, nämlich Kfz-Kennzeichen und Fahrzeugidentifizierungsnummer, im HIS gemäß § 29 Abs. 1 Satz 1 Nr. 1 BDSG zulässig ist, da die Versicherungswirtschaft einerseits ein berechtigtes Interesse daran hat, ein von der Rechtsordnung missbilligtes Verhalten einzudämmen (Verhinderung der betrügerischen Mehrfachabrechnung bei fiktiver Schadensabrechnung) und sich die schutzwürdigen Interessen des Betroffenen (Geschädigten) andererseits gegen die Interessen der Versicherungswirtschaft nicht durchsetzen können.1500 Die Übermittlung der Daten an das HIS ist unter den Bedingungen des § 28 Abs. 2 Nr. 2 lit. a BDSG erlaubt.1501 1118 Die Weitergabe von Kundendaten zum Vollzug eines Asset Deals lässt sich grds. auf Basis des § 28 Abs. 2 Nr. 2 lit. a BDSG legitimieren, so dass eine Einwilligung des Betroffenen regelmäßig nicht notwendig ist.1502 Erfasst werden nicht nur Kundendaten hinsichtlich noch nicht erfüllter Vertragsbeziehungen, sondern vielmehr auch gemeinhin Kundenstammdaten.1503 § 28 Abs. 1 Satz 1 Nr. 1 BDSG stellt hingegen i.d.R. keine tragfähige Legitimationsgrundlage für eine solche Datenübermittlung dar.1504 4.2 Telemediendienste (TMG) 1119 Im Anwendungsbereich des TMG sind verschiedene Zulässigkeitstatbestände einschlägig, die der allg. Erlaubnisnormen des § 28 Abs. 1 Satz 1 BDSG als leges speciales vorgehen.1505 Als erste Spezialnorm kommt § 14 Abs. 1 TMG in Betracht. Die Vorschrift entspricht § 28 Abs. 1 Satz 1 Nr. 1 BDSG.1506 Anknüpfungspunkt ist hier die „Begründung, inhaltliche Ausgestaltung oder Änderung“ eines Telemedien-Nutzungsvertrags. Zwischen dem Diensteanbieter und dem Nutzer muss demnach ein Vertragsverhältnis bestehen oder jedenfalls der Abschluss eines solchen Vertragsverhältnisses beabsichtigt werden.1507 1120 Die Gesetzesformulierung weicht von § 28 Abs. 1 Satz 1 Nr. 1 BDSG, und zwar in zweierlei Hinsicht, ab. Zum einen ist § 14 Abs. 1 TMG auf Vertragsverhältnisse beschränkt. Das vorvertragliche Schuldverhältnis wird im Wesentlichen hiervon nicht erfasst. Die telemedienspezifischen Vertragsverhandlungen fallen insofern grds. unter § 28 Abs. 1 Satz 1 Nr. 1 BDSG. Eine Ausnahme bilden nur Datenverwendungen im vorvertraglichen Stadium, die für die Begründung des Telemedien-Nutzungsvertrags benötigt werden.
1498 1499 1500 1501 1502 1503 1504 1505 1506 1507
LG Berlin v. 19.2.2013 – 37 O 262/12, ZfWG 2013, 297. Vgl. auch Taeger/Gabel/Taeger, BDSG, § 28 Rz. 78. AG Coburg v. 7.11.2012 – 12 C 179/12, ZD 2013, 458. Anders AG Hagen v. 20.2.2013 – 15 C 281/11, juris Rz. 16 = VRR 2013, 426 (Ls.), das die Rechtsgrundlage für eine solche Datenweitergabe in § 29 Abs. 2 BDSG sieht. Ausführlich dazu Nebel, CR 2016, 417 ff. Nebel, CR 2016, 417 (424). Nebel, CR 2016, 417 (418). Taeger/Gabel/Zscherpe, BDSG, § 14 TMG Rz. 3, § 15 TMG Rz. 5. Taeger/Gabel/Zscherpe, BDSG, § 14 TMG Rz. 7. Plath/Hullen/Roggenkamp, BDSG/DSGVO, § 14 TMG Rz. 4.
290
Kosmides
Kundendatenschutz
Rz. 1124
A
Zum anderen wird in § 14 Abs. 1 TMG (neben der „Begründung“) auf die „inhaltliche Ausgestaltung“ (bei § 28 Abs. 1 Satz 1 Nr. 1 BDSG: „Durchführung“) sowie „Änderung“ (bei § 28 Abs. 1 Satz 1 Nr. 1 BDSG: „Beendigung“) eines Schuldverhältnisses abgestellt. Die verschiedenen Gesetzesformulierungen deuten zum Teil auf einen unterschiedlichen Regelungsgehalt hin. Der wohl wichtigste Unterschied besteht darin, dass die Vertragserfüllung von § 14 Abs. 1 TMG nicht erfasst wird.1508 Vielmehr ist auf die Bereitstellung von Telemediendiensten § 15 Abs. 1 TMG heranzuziehen.1509 Wie bei § 28 Abs. 1 Satz 1 Nr. 1 BDSG muss der Datenumgang das Kriterium der Erforder- 1121 lichkeit erfüllen. Personenbezogene Daten des Nutzers dürfen nur soweit erhoben und verwendet werden, wie dies erforderlich für die Zweckbestimmung des Telemedien-Nutzungsvertrags ist. Das Merkmal der Erforderlichkeit wird von manchen Stimmen in der Lit. besonders eng ausgelegt. Die Erforderlichkeit sei hiernach gegeben, wenn der Datenumgang für die Begründung, inhaltliche Ausgestaltung oder Änderung unerlässlich sei.1510 Dieser Meinung kann nicht gefolgt werden. Vielmehr ist dieses Tatbestandsmerkmal in einer Linie mit der korrespondierenden Rechtsnorm des § 28 Abs. 1 Satz 1 Nr. 1 BDSG weiter auszulegen. Daten sind nach diesem Verständnis erforderlich, wenn sie in sachlichem Zshg. mit dem Vertragszweck stehen und kein milderes Mittel zur Verfügung steht.1511 Für die Beantwortung der Frage, welche Daten als erforderlich für die Zweckbestimmung 1122 des Telemedien-Nutzungsvertrags zu erachten sind und damit verwendet werden dürfen, kommt es auf das konkrete Vertragsverhältnis an. Solche Daten werden vom Gesetz als Bestandsdaten bezeichnet.1512 Typische Arten von Bestandsdaten sind etwa: Name, Anschrift, Rufnummer, E-Mail-Adresse Geburtsdatum und Teilnehmerkennung des Nutzers, Log-InDaten (Nutzername und Passwort), IP-Adresse, Art der benutzten Hard- und Software, Angaben zum vereinbarten Abrechnungsmodus und zu den vereinbarten Zahlungsmodalitäten (insb. rechnungsrelevante Daten, z.B. Bankverbindung, Kreditkartennummer).1513 Aufgrund von § 14 Abs. 2 TMG wird dem Diensteanbieter eine datenschutzrechtliche Erlaub- 1123 nis für die Weitergabe von Bestandsdaten eingeräumt.1514 Diese Erlaubnis ist eng auszulegen. Eine darüber hinaus gehende Datenübermittlung ohne Einwilligung des Betroffenen ist grds. nicht gestattet.1515 Weitere relevante Erlaubnistatbestände finden sich in § 15 TMG. Diese Vorschrift betrifft 1124 die Verwendung von Nutzungs- und Abrechnungsdaten. Als Nutzungsdaten werden in § 15 Abs. 1 Satz 1 TMG personenbezogene Daten des Nutzers legal definiert, welche erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.1516 Ab-
1508 A.A. Plath/Hullen/Roggenkamp, BDSG/DSGVO, § 14 TMG Rz. 2 (§ 14 Abs. 1 sei auf die „Abwicklung von Verträgen“ anwendbar); Taeger/Gabel/Zscherpe, BDSG, § 14 TMG Rz. 14 f. (Bestandsdaten seien alle Daten, die zur „Durchführung eines Telemedien-Nutzungsvertrages“ erforderlich sind). 1509 Wohl auch LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (57 f.). 1510 So etwa BeckRTD-Komm/Dix, § 14 TMG Rz. 28; a.A. Taeger/Gabel/Zscherpe, BDSG, § 14 TMG Rz. 30. 1511 Taeger/Gabel/Zscherpe, BDSG, § 14 TMG Rz. 30. 1512 Zu Recht kritisch zur Vermischung von Begriffsbestimmung und Zulässigkeitsvoraussetzungen in § 14 Abs. 1 TMG: Taeger/Gabel/Zscherpe, BDSG, § 14 TMG Rz. 14. Um einen Zirkelschluss zu vermeiden, soll es im Rahmen der Begriffsbestimmung nicht auf die Erforderlichkeit, sondern allein auf die abstrakte Eignung ankommen. Die Erforderlichkeit soll erst im Rahmen der Zulässigkeitsvoraussetzungen geprüft werden. 1513 BeckRTD-Komm/Dix, § 14 TMG Rz. 22; Taeger/Gabel/Zscherpe, BDSG, § 14 TMG Rz. 16. 1514 S.a. Taeger/Gabel/Zscherpe, BDSG, § 14 TMG Rz. 42. 1515 Vgl. auch LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (59). 1516 Genau wie bei § 14 Abs. 1 TMG werden in § 15 Abs. 1 TMG die Zulässigkeitsbedingungen mit der Legaldefinition vermengt. Dies ist regelungstechnisch problematisch; kritisch dazu auch Plath/Hullen/Roggenkamp, BDSG/DSGVO, § 15 TMG Rz. 4.
Kosmides
291
A Rz. 1125
Datenschutz und IT-Management
rechnungsdaten stellen eine Sonderkategorie von Nutzungsdaten dar.1517 Sie sind gemäß § 15 Abs. 4 TMG auf die Abrechnung mit dem Nutzer ausgerichtet. Aus der Legaldefinition der Nutzungsdaten ergibt sich, dass für die Anwendbarkeit der in § 15 TMG vorgesehenen Tatbestände kein Vertragsverhältnis zwischen dem Diensteanbieter und dem Nutzer vorausgesetzt ist.1518 1125 Als Beispielsfälle von Nutzungsdaten werden in § 15 Abs. 1 Satz 2 TMG genannt:1519 – Merkmale zur Identifikation des Nutzers wie z.B. Nutzername, Passwort, E-Mail-Adresse und IP-Adresse (§ 15 Abs. 1 Satz 2 Nr. 1 TMG).1520 – Angaben über Beginn und Ende sowie Umfang der jeweiligen Nutzung wie z.B. das in Anspruch genommene Datenvolumen im Rahmen eines Content-Download-Vertrags (§ 15 Abs. 1 Satz 2 Nr. 2 TMG). – Angaben über die vom Nutzer in Anspruch genommenen Telemedien (§ 15 Abs. 1 Satz 2 Nr. 3 TMG). 1126 In § 15 Abs. 1 Satz 1 TMG ist der allgemeine Erlaubnistatbestand betreffend die Erhebung und Verwendung von Nutzungsdaten niedergelegt. Zentraler Bestandteil dieser Erlaubnis ist – ebenso wie bei § 14 Abs. 1 TMG – das Merkmal der Erforderlichkeit. Der Umgang mit Nutzungsdaten muss, soweit keine Einwilligung vorliegt, entweder zur Ermöglichung der Inanspruchnahme oder zur Abrechnung von Telemedien notwendig sein.1521 Unter Inanspruchnahme von Telemedien ist die Erfüllung der entsprechenden Dienste zu verstehen. § 15 Abs. 1 TMG gibt demnach die Befugnis, personenbezogene Daten zu erheben und zu verarbeiten, die zur Erbringung einer (ggf., jedoch nicht notwendigerweise vertraglich vereinbarten) Telemedien-Leistung erforderlich sind. 1127 Für die Ausfüllung des unbestimmten Rechtsbegriffs der Erforderlichkeit kann im Wesentlichen auf die entsprechenden Ausführungen zu § 14 Abs. 1 TMG verwiesen werden (Rz. 1121 f.). Maßgeblich ist dabei das konkret-faktische Nutzungsverhältnis.1522 Allerdings sind bestimmte Daten stets für die Ermöglichung der Inanspruchnahme des Telemediums notwendig. Zum Beispiel ist in der Speicherung der IP-Adresse des Nutzers für die Dauer des Kommunikationsvorgangs eine rechtmäßige Datenverwendung zu sehen, da ansonsten eine Übermittlung der vom Nutzer angeforderten Daten nicht möglich ist.1523 Im Gegensatz dazu wurde vom AG Berlin die Speicherung einer im Zshg. mit der Nutzung eines Internetportals übertragenen dynamischen IP-Adresse über das Ende des jeweiligen Nutzungsvorgangs hinaus als rechtswidrig erachtet.1524 1128 Während sich § 15 Abs. 1 TMG auf eine Erhebung und Verwendung zum Zwecke der Inanspruchnahme der Leistung bezieht, sind für die Zulässigkeit eines Datenumgangs zu anderen Zwecken als die reine Vertragserfüllung und -abwicklung die Tatbestände des § 15 Abs. 2 bis 8 TMG maßgeblich.1525 Diese Tatbestände weisen (auch) eine gewisse vertragsspezifische Relevanz auf. Es geht im Einzelnen um folgende Themenbereiche:
1517 1518 1519 1520 1521
1525
Plath/Hullen/Roggenkamp, BDSG/DSGVO, § 15 TMG Rz. 31. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 352. S.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 355. Taeger/Gabel/Zscherpe, BDSG, § 15 TMG Rz. 17. LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (57); Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 360 f. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 362; Plath/Hullen/Roggenkamp, BDSG/DSGVO, § 15 TMG Rz. 15; Taeger/Gabel/Zscherpe, BDSG, § 15 TMG Rz. 32. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 362. LG Berlin v. 6.9.2007 – 23 S 3/07, juris Os. 2 und Rz. 17; s.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 362. S.a. Taeger/Gabel/Zscherpe, BDSG, § 15 TMG Rz. 30.
292
Kosmides
1522 1523 1524
Kundendatenschutz
A
Rz. 1133
– Umgang mit Nutzungs- und Abrechnungsdaten zu Abrechnungszwecken (§ 15 Abs. 2, 4, 5, 6 und 7 TMG), – Erstellung von Nutzungsprofilen zur bedarfsgerechten Gestaltung des Dienstes (§ 15 Abs. 3 TM) und – Verwendung von Nutzungs- und Abrechnungsdaten zum Schutz des Anbieters vor Missbrauch seitens des Kunden (§ 15 Abs. 8 TMG). Das TMG ist u.a. auch für eine Datenverwendung i.R.v. sozialen Netzwerken relevant.1526
1129
Dafür wird freilich vorausgesetzt, dass die datenschutzrelevante Tätigkeit des Diensteanbieters dem deutschen Datenschutzrecht unterliegt. OVG Schleswig hat in diesem Zshg. entschieden, dass deutsches Datenschutzrecht auf Facebook keine Anwendung findet, weil es seine Niederlassung im EU-Ausland (Irland) hat.1527 Im Allgemeinen ist die Anwendung deutschen Datenschutzrechts ausgeschlossen, wenn eine verantwortliche Stelle, die in einem Mitgliedstaat der E.U. oder des EWR niedergelassen ist, personenbezogene Daten im Rahmen ihrer Tätigkeit in der BRD erhebt, verarbeitet oder nutzt. Der Betreiber einer Fanpage bei einem sozialen Netzwerk stellt einen Diensteanbieter i.S.d. 1130 § 2 Satz 1 Nr. 1 TMG dar. Nach richtiger Ansicht des VG Schl.-Holst. ist aber ein solcher Betreiber keine verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG.1528 So gesehen sei er für die Erhebung und Verwendung personenbezogener Daten durch den Betreiber des sozialen Netzwerkes nicht (mit-)verantwortlich.1529 I.R.d. Erbringung von Cloud-Diensten werden nahezu ausnahmsweise auch personenbezo- 1131 gene Daten des Nutzers in die Wolke verlagert. Somit werden die entsprechenden Datenverarbeitungen datenschutzrelevant. In aller Regel stellen Cloud-Dienste keine TK-Dienste dar,1530 weshalb die Anwendung der Datenschutzvorschriften des TKG ausscheidet. Im Gegenteil liegt hier grds. ein Telemediendienst vor, mit der Folge, dass die §§ 11 TMG als Sonderregeln Vorrang vor den BDSG-Vorschriften genießen.1531 In einer Mehrzahl von Fällen ist die Einholung einer Einwilligung im Rahmen eines Cloud- 1132 Dienste-Vertrags kaum sinnvoll. Insb. ist dies in Zshg. mit bereits bestehenden Kundenbeziehungen anzunehmen, da hier eine Einwilligung nachträglich erteilt werden müsste.1532 In solchen Fällen ist eine datenschutzrechtliche Legitimation aufgrund eines gesetzlichen Erlaubnistatbestands vonnöten. Als solcher könnte § 28 Abs. 1 Satz 1 Nr. 1 BDSG in Betracht kommen, soweit der Datenumgang für die Durchführung des Vertragsverhältnisses zwischen dem Cloud-Anbieter und Cloud-Nutzer erforderlich ist. Was den Umgang mit Bestands- und Nutzungsdaten angeht, so sind die §§ 14 und 15 TMG maßgeblich. Denkbar wäre für die Parteien auch, einen Auftragsdatenverarbeitungsvertrag zu schlie- 1133 ßen.1533 Dafür wird vorausgesetzt, dass der konkret-faktische Cloud-Dienst als AuftragsDV ausgestaltet ist.1534 Ein Auftragsverhältnis ist stets anzunehmen, wenn der Cloud-Nutzer tatsächlich durch Weisungen an den Cloud-Anbieter über Zweck und Mittel der Datenverwen1526 S.a. Karg/Fahl, K&R 2011, 453 (457 f.); LG Düsseldorf v. 9.3.2016 – 12 O 151/15, CR 2016, 372: Datenschutzrechtlicher Verstoß durch Nutzung des Facebook-„Like“-Buttons auf der Webseite eines Onlineshops. 1527 OVG Schleswig v. 22.4.2013 – 4 MB 11/13, CR 2013, 536 (538); ebenso die Vorinstanz: VG Schl.Holst. v. 14.2.2013 – 8 B61/12, juris Rz. 31 ff. 1528 VG Schl.-Holst. v. 9.10.2013 – 8 A 218/11, DuD 2014, 120 (122). 1529 VG Schl.-Holst. v. 9.10.2013 – 8 A 218/11, DuD 2014, 120 (122); vgl. auch LG Düsseldorf v. 9.3.2016 – 12 O 151/15, CR 2016, 372 (374). 1530 Ebenso Heidrich/Wegener, MMR 2010, 803 (805). 1531 Vgl. auch Boos/Kroschwald/Wicker, ZD 2013, 205 (206). 1532 Rath/Rothe, K&R 2013, 623 (624). 1533 Vgl. Rath/Rothe, K&R 2013, 623 (624 f.). 1534 Simitis/Petri, BDSG, § 11 Rz. 30.
Kosmides
293
A Rz. 1134
Datenschutz und IT-Management
dung entscheiden kann.1535 In diesem Fall ist der Cloud-Nutzer als Auftraggeber eine verantwortliche Stelle.1536 Mit dem Abschluss eines solchen Vertrags entfällt das Erfordernis einer gesetzlichen Legitimation für die Weitergabe der Daten an den Cloud-Anbieter, weil er als Auftragnehmer keinen Dritten darstellt.1537 Da Cloud-Anbieter (Auftragnehmer) und CloudNutzer (Auftraggeber) eine rechtliche Einheit bilden, bedarf es auch keiner gesetzlichen Legitimation für die Erhebung und Verarbeitung der Nutzerdaten. 1134 Anders ist die Rechtslage zu beurteilen, wenn sich die Wolke außerhalb des Gebiets der EU oder des Europäischen Wirtschaftsraums befindet. In diesem Falle gilt der Cloud-Anbieter gemäß § 3 Abs. 8 Satz 3 BDSG als Dritter, weshalb die Datenweitergabe an den Anbieter als Übermittlung anzusehen ist. Bei einer solchen Datenübermittlung sind u.a. die §§ 4b und 4c BDSG zu beachten.1538 1135 Liegt der durch den Cloud-Anbieter vorgenommene Datenumgang außerhalb der Weisungen des Cloud-Nutzers, ist dieser Datenumgang freilich nicht vom Auftragsverhältnis erfasst. Der Anbieter ist in Bezug auf eine solche eigenmächtige Datenverarbeitung als verantwortliche Stelle einzustufen.1539 Für sie greift das Verbot mit Erlaubnisvorbehalt. 1136 Die telemedienspezifischen Datenschutzvorschriften sind für einen Datenumgang, der durch Anwendungen für mobile Endgeräte wie Smartphones und Tablets („Apps“) vorgenommen wird, besonders relevant. Das Herunterladen und das Installieren einer App auf einem mobilen Endgerät führt dazu, dass eine Vielzahl an personenbezogenen Daten des Nutzers von AppStore-Betreibern ebenso wie App-Anbietern erhoben und verarbeitet werden. Dabei handelt es sich sowohl um automatisiert erhobene Daten als auch um Daten, die vom Nutzer übermittelt werden.1540 1137 Die Produkte von App-Stores werden über das Internet angeboten. Demzufolge stellen AppStore-Anbieter Diensteanbieter von Telemedien i.S.d. § 2 Nr. 1 TMG dar.1541 Gleiches gilt grds. auch für App-Anbieter, da bei der Mehrzahl der Apps Inhalte auf dem Gerät des Nutzers bereitgestellt werden und somit die App-Funktionen nicht auf die Transportebene (TKDienste, TKG) beschränkt sind.1542 Vielmehr steht hier das Verhältnis zwischen Diensteanbieter und Nutzer i.S.d. oben beschriebenen Interaktionsebene (Rz. 1119) im Mittelpunkt. 1138 Die Rechtmäßigkeit der Erhebung und Verwendung von Daten für die Begründung, inhaltliche Ausgestaltung und Änderung eines App-Vertrags (Bestandsdaten) ergibt sich aus § 14 Abs. 1 TMG.1543 Was Daten angeht, die Art und Weise der Nutzung des Dienstes betreffen (Nutzungsdaten), so richtet sich der Datenumgang nach § 15 TMG.1544 1139 Von den Nutzungs- sind sog. Inhaltsdaten zu unterscheiden. Inhaltsdaten werden zu anderen Zwecken als die Bereitstellung von Telemedien (hier: von Apps) erhoben und verwendet, weshalb sie nicht dem Anwendungsbereich der §§ 11 ff. TMG unterliegen.1545 Sie werden lediglich mit Hilfe eines Telemediendienstes transportiert und dienen insb. dazu, die Abwicklung eines durch den Telemediendienst zustande gekommenen Vertrags zu ermögli-
1535 1536 1537 1538 1539 1540 1541 1542 1543 1544 1545
Funke/Wittmann, ZD 2013, 221 (227). Kroschwald, ZD 2013, 388 (392). So zutreffend Rath/Rothe, K&R 2013, 623 (625). Simitis/Petri, BDSG, § 11 Rz. 30. Kroschwald, ZD 2013, 388 (392). Vgl. auch Lober/Falker, K&R 2013, 357. Lober/Falker, K&R 2013, 357 (360). Lober/Falker, K&R 2013, 357 (360). Vgl. auch Sachs/Meder, ZD 2013, 303 (304). Lober/Falker, K&R 2013, 357 (360). Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 172.
294
Kosmides
Kundendatenschutz
Rz. 1144
A
chen.1546 Die Erhebung und Verarbeitung von Inhaltsdaten zum Zwecke der Vertragserfüllung unterfällt dem Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 1 BDSG.1547 Die obigen Erlaubnistatbestände, nämlich § 15 TMG für Nutzungsdaten oder § 28 Abs. 1 1140 Satz 1 Nr. 1 BDSG für Inhaltsdaten, kommen auch zum Tragen, soweit durch eine App Standortdaten erhoben und verarbeitet werden.1548 Zur Verwendung von Standortdaten durch TK-Anbieter s. Rz. 1163. Nach Auffassung des LG Berlin kann der in folgender Klausel in der von Google verwendeten Datenschutzerklärung beschriebene Datenumgang nicht aufgrund von § 15 TMG legitimiert werden, weil er nicht ausschließlich zum Zwecke der Erfüllung der vom Verbraucher gewünschten Dienste erfolge, sondern vielmehr dem Wortlaut zufolge (auch) dazu dienen solle, den Nutzern bessere Dienste zur Verfügung zu stellen.1549
1141
„Wir erfassen möglicherweise Informationen über die von Ihnen genutzten Dienste und die Art und Weise, wie Sie diese nutzen, beispielsweise wenn Sie eine Website besuchen, auf der unsere Werbedienste verwendet werden oder wenn Sie unsere Werbung und unsere Inhalte ansehen und damit interagieren … Wir nutzen die im Rahmen unserer Dienste erhobenen Informationen zur Bereitstellung, zur Instandhaltung, zum Schutz sowie zur Verbesserung dieser Dienste, zur Entwicklung neuer Dienste und zum Schutz von … und unseren Nutzern.“
Das LG Berlin hat darüber hinaus einen Verstoß gegen § 15 TMG in Bezug auf folgende 1142 Klauseln festgestellt: „Wir erfassen möglicherweise gerätespezifische Informationen (beispielsweise das von Ihnen verwendete Hardware-Modell, die Version des Betriebssystems, eindeutige Gerätekennungen und Informationen über mobile Netzwerke, einschließlich Ihrer Telefonnummer). … verknüpft Ihre Gerätekennungen oder Telefonnummer gegebenenfalls mit Ihrem …-Konto.“
Der vorgesehene Datenumgang sei einerseits zu beanstanden, weil die verwendeten Daten nicht ausschließlich für die Inanspruchnahme des Dienstes notwendig seien.1550 Andererseits führe die Verknüpfung von Nutzungsdaten mit Angaben zum Konto des Kunden zu einer unangemessenen Benachteiligung des Betroffenen, da die erhobenen Daten nicht anonymisiert werden.1551 Für den in folgender Klausel beschriebenen Umgang mit Geo-Daten biete nach Ansicht des LG Berlin § 15 TMG keine tragfähige Rechtsgrundlage. Somit bedürfe es der wirksamen Einwilligung des Verbrauchers.1552
1143
„Bei der Nutzung standortbezogener …-Dienste erheben und verarbeiten wir möglicherweise Informationen über Ihren tatsächlichen Standort, wie zum Beispiel die von einem Mobilfunkgerät gesendeten GPS-Signale. Darüber hinaus verwenden wir zur Standortbestimmung verschiedene Technologien, wie zum Beispiel Sensordaten Ihres Geräts, die beispielsweise Informationen über nahegelegene WLAN-Zugänge oder Sendemasten enthalten können.“
Eine Einwilligung ist nach Ansicht des LG Berlin auch für das Erheben und Speichern von personenbezogenen Daten auf dem Nutzergerät aufgrund der Nutzung von Webspeichern des Browsers des Nutzers und Applikationsdaten-Caches notwendig.1553
1546 1547 1548 1549 1550 1551 1552 1553
Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 172. Lober/Falker, K&R 2013, 357 (360). Lober/Falker, K&R 2013, 357 (360 f.). LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (57). LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (58). LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (58). LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (58). LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (58).
Kosmides
295
1144
A Rz. 1145
Datenschutz und IT-Management
1145 Was die Verwendung von Cookies und anonymen Kennungen angeht, so scheitert die Rechtmäßigkeit des Datenumgangs nach Auffassung des LG Berlin daran, dass aus dem Wortlaut der Datenschutzerklärung nicht deutlich hervorgehe, die Datenerhebung erfolge lediglich in anonymisierter Form unter Pseudonym.1554 4.3 TK-Dienste (TKG) 1146 Bei Verträgen über die Erbringung von Telekommunikationsdiensten ist für die Erhebung von personenbezogenen Daten des Kunden in erster Linie § 95 TKG von Bedeutung. In § 95 Abs. 1 TKG finden sich die Grundregeln für die Verwendung von Bestandsdaten.1555 Unter Bestandsdaten sind nach der Legaldefinition des § 3 Nr. 3 TKG personenbezogene Daten des Teilnehmers zu verstehen, die „für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden.“ Typische Bestandsdaten stellen etwa der Name, das Geburtsdatum, die Adresse, die Anschlussnummer sowie sonstige Merkmale des Anschlusses, Tarifmerkmale und Zahlungsart, z.B. Bankverbindung oder Kreditkartennummer, dar.1556 1147 Nach der Erlaubnisnorm des § 95 Abs. 1 Satz 1 TKG wird die Zulässigkeit des Umgangs mit Bestandsdaten von dessen Erforderlichkeit für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Telekommunikationsdienste-Vertrags abhängig gemacht. § 95 Abs. 1 Satz 1 TKG entspricht § 14 Abs. 1 TMG. Die beiden Regelungen sind in Wirklichkeit inhaltsgleich. 1148 Wie das LG München klargestellt hat, enthält § 95 Abs. 1 Satz 1 TKG eine Befugnis, jedoch keine Verpflichtung des TK-Diensteanbieters zu einer Erhebung und Speicherung von Bestandsdaten.1557 1149 § 95 Abs. 1 Satz 2 TKG betrifft einen Umgang mit Bestandsdaten im Rahmen eines Vertragsverhältnisses zwischen TK-Diensteanbietern. Der Datenumgang muss dabei, um erlaubt zu sein, erforderlich zur Abwicklung dieses Vertragsverhältnisses sein. Der Erlaubnistatbestand kommt v.a. bei Call-by-call-Diensten zum Tragen, die nicht vom Call-by-call-Diensteanbieter in Rechnung gestellt werden, sondern vom Diensteanbieter, bei dem der Kunde seinen Anschluss hat.1558 1150 Im Rahmen eines Vertrags über die Erbringung von TK-Diensten kann sich der Diensteanbieter auf § 95 Abs. 2 Satz 1 TKG berufen, um insb. eine Verwendung von Bestandsdaten zu Zwecken der Beratung des Kunden oder der Mitteilung von individuellen Gesprächswünschen anderer Nutzer legitimieren zu lassen. Eine solche Datenverwendung ist nur mit Einwilligung des Kunden erlaubt. Hinzu muss kommen, dass der Datenumgang für die genannten Zwecke erforderlich ist. Die beiden Voraussetzungen müssen kumulativ vorliegen.1559 Von § 95 Abs. 2 Satz 1 TKG, der die Grundregel in Form einer Opt-in-Regelung bildet, sieht § 95 Abs. 2 Satz 2 TKG eine Ausnahme vor.1560 Greift Satz 2 ein, ist keine Einwilligung des Kunden erforderlich (Opt-out-Regelung). In diesem Falle ist das Transparenzgebot des § 95 Abs. 3 Satz 3 TKG zu beachten. 1151 Die Vorschrift des § 95 Abs. 5 TKG enthält eine Konkretisierung des allgemeinen Freiwilligkeitsgebots (§ 4a Abs. 1 Satz 1 BDSG), indem sie ein eingeschränktes Koppelungsverbot begründet. Hiernach ist eine Einwilligung unwirksam, wenn die Erbringung von TK-Diensten 1554 1555 1556 1557 1558 1559 1560
LG Berlin v. 19.11.2013 – 15 O 402/12, K&R 2014, 56 (58). Plath/Jenny, BDSG/DSGVO, § 95 TKG Rz. 2. S.a. Taeger/Gabel/Munz, BDSG, § 95 TKG Rz. 6. LG München v. 12.1.2012 – 17 HK O 1398/11, 17 HKO 1398/11, CR 2012, 603 (604). Plath/Jenny, BDSG/DSGVO, § 95 TKG Rz. 3. Taeger/Gabel/Munz, BDSG, § 95 TKG Rz. 12. Plath/Jenny, BDSG/DSGVO, § 95 TKG Rz. 7.
296
Kosmides
Kundendatenschutz
Rz. 1155
A
von einer Einwilligung des Teilnehmers in die Verwendung von Bestandsdaten über die in § 95 Abs. 1 genannten Zwecke hinaus abhängig gemacht wird.1561 Dies ist dann der Fall, „wenn dem Teilnehmer ein anderer Zugang zu diesen Telekommunikationsdiensten ohne die Einwilligung nicht oder in nicht zumutbarer Weise möglich ist“. § 95 Abs. 5 TKG flankiert im Ergebnis § 28 Abs. 3b BDSG.1562 Von zentraler Bedeutung im Rahmen eines TK-Dienste-Vertrags ist ferner der Umgang mit 1152 Verkehrsdaten. Die Rechtsgrundlagen sind in § 96 TKG niedergelegt. Die Begriffsbestimmung der Verkehrsdaten findet sich in § 3 Nr. 30 TKG. Hiernach geht es um „Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden“. So wichtig es ist, Verkehrs- von Bestandsdaten abzugrenzen, um v.a. die maßgebliche Erlaubnisnorm festzulegen, so schwer kann es im Einzelfall fallen, eine solche Abgrenzung vorzunehmen. Entscheidend ist dabei, ob die Daten der Zweckbestimmung eines TK-Dienste-Vertrags dienen. Bejahendenfalls handelt es sich um Bestandsdaten. Ein besonderes Problem ist in diesem Zshg., ob IP-Adressen zu den Bestands- oder den Ver- 1153 kehrsdaten zu rechnen sind. Der Antwort auf diese Frage soll die Frage vorausgehen, ob IPAdressen überhaupt personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG darstellen. Dies wird kontrovers diskutiert.1563 Die entsprechende Diskussion ist allerdings auf den Personenbezug von dynamischen IP-Adressen fokussiert, da bei statisch vergebenen IP-Adressen stets angenommen wird, dass sie einen Personenbezug aufweisen.1564 Statische IP-Adressen werden einem bestimmten Anschlussinhaber fest zugewiesen, wohingegen bei der dynamischen Adressierung der Anschlussinhaber bei jeder neuen Verbindung mit dem Netz eine neue IP-Adresse erhält. Nach der wohl h.M., die von einem relativen Verständnis des Personenbezugs ausgeht,1565 sind dynamische IP-Adressen nur soweit personenbezogene Daten, wie der Personenbezug durch die jeweils verantwortliche Stelle hergestellt werden kann. Nach anderer Ansicht, die ein absolutes Verständnis des Personenbezugs verfolgt, reicht es für die Bejahung des Personenbezugs aus, dass er generell, objektiv irgendwie durch irgendwelche Person hergestellt werden kann. Da bei dynamischen IP-Adressen die Möglichkeit bestehe, einen Personenbezug durch den Access-Provider herzustellen, seien solche IP-Adressen stets als personenbezogene Daten anzusehen.1566
1154
Die Frage, ob und wann es sich bei IP-Adressen um personenbezogene Daten im datenschutz- 1155 rechtlichen Sinne handelt, ist in der Rspr. noch nicht geklärt. So folgt das LG Berlin dem relativen Ansatz.1567 Die Revision ist vor dem 6. Senat des BGH anhängig,1568 der entschieden hat,
1561 Plath/Jenny, BDSG/DSGVO, § 95 TKG Rz. 14. 1562 Plath/Jenny, BDSG/DSGVO, § 95 TKG Rz. 14. 1563 Zu einem Überblick über die verschiedenen Meinungen vgl. BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109 (110 f., 24 f.) m. Anm. Schleipfer und Eckhardt sowie Zeidler/Brüggemann, CR 2014, 248 (252 f.) m.N. aus Lit. und Rspr. 1564 Vgl. Simitis/Dammann, BDSG, § 3 Rz. 63; anders Gerlach, CR 2013, 478 (479 ff.), der einen generellen Personenbezug von statischen IP-Adressen verneint; ebenso Meyerdierks, MMR 2013, 705 (708), der den Personenbezug hinsichtlich einer einzelnen statischen IP-Adresse, die für eine natürliche Person bei einer Internet Registry registriert wurde und von einem Betreiber einer Webseite verarbeitet wird, ablehnt, weil der Aufwand, der zu betreiben wäre, um diese IP-Adresse unter den sonstigen IP-Adressen zu finden, dazu führe, dass die Person nicht als bestimmbar anzusehen sei. 1565 Vgl. etwa Gola/Schomerus, BDSG, § 3 Rz. 10; Plath/Plath/Schreiber, BDSG/DSGVO, § 3 BDSG Rz. 15; Simitis/Dammann, BDSG, § 3 Rz. 32, 63; Eckhardt, CR 2011, 339 (344). 1566 Vgl. nur Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 3 Rz. 14. 1567 LG Berlin v. 31.1.2013 – 57 S 87/08, CR 2013, 471 (473); genauso LG Bamberg v. 24.5.2012 – 3 S 44/12, juris Os. 1. 1568 S.a. Hoeren/Buchmüller, MMR-Beil. 2014, 1 (39).
Kosmides
297
A Rz. 1156
Datenschutz und IT-Management
das Verfahren auszusetzen und eine Vorlagefrage1569 hierzu an den EuGH zu richten. Der Senat will konkret wissen, ob eine IP-Adresse „die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt“.1570 Der 1. Senat hat wiederum in einem aktuellen Urteil die Personenbeziehbarkeit von IP-Adressen bejaht.1571 1156 I.R.d. DS-GVO scheint die Frage, ob IP-Adressen als personenbezogene Daten gelten, einfacher zu beantworten zu sein. Art. 4 Nr. 1 DS-GVO geht von einem weiten Begriff des Personenbezugs aus, so dass der objektive Maßstab leichter vertretbar, als die gem. § 3 Abs. 1 BDSG der Fall ist.1572 Es sei somit – so Härting1573 – zu erwarten, dass die Aufsichtsbehörden jede „Kennung“ – ob Autokennzeichen, Steuernummer, IP-Adresse oder Cookie – per se als personenbezogenes Datum beurteilen werden. 1157 Nach dem 3. Senat des BGH stellen dynamische IP-Adressen personenbezogene Verkehrsdaten dar.1574 IP-Adressen werden hingegen vom 1. Senat als Bestandsdaten angesehen.1575 Eine Qualifizierung als Bestandsdatum kommt v.a. dann in Betracht, wenn eine statische IPAdresse dazu geeignet ist, der Zweckbestimmung eines TK-Dienstevertrags zu dienen. 1158 Typische Beispiele für Verkehrsdaten können § 96 Abs. 1 Satz 1 TKG entnommen werden. In dieser Vorschrift werden die Verkehrsdaten bzw. Verkehrsdatenarten abschließend aufgezählt, welche erhoben und verwendet werden dürfen.1576 Das sind die folgenden: – die Nummer oder Kennung der beteiligten Anschlüsse oder der Endeinrichtung (Nr. 1), – personenbezogene Berechtigungskennungen (Nr. 1), – die Kartennummer, wenn eine Kundenkarte verwendet wird (Nr. 1), – die Standortdaten bei mobilen Anschlüssen (Nr. 1), – der Beginn und das Ende einer Verbindung und das übermittelte Datenvolumen, soweit es für die Entgeltberechnung entscheidend ist (Nr. 2), – der vom Nutzer in Anspruch genommene TK-Dienst (Nr. 3), – die Endpunkte, der Beginn und das Ende von festgeschalteten Verbindungen und das übermittelte Datenvolumen, soweit es für die Entgeltberechnung entscheidend ist (Nr. 4),
1569 BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109 m. Anm. Schleipfer und Eckhardt; wohl auch offen gelassen von BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 178; s.a. Lorenz, jurisPR-ITR 15/2011 Anm. 2, C II. 1570 BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109 (Ls. 1) m. Anm. Schleipfer und Eckhardt. 1571 BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (204, Rz. 77) m. Anm. Kremer/Telle. 1572 So Härting, Datenschutz-Grundverordnung, Teil B Rz. 279 ff. 1573 So Härting, Datenschutz-Grundverordnung, Teil B Rz. 280. 1574 Vgl. BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 178 (180); so im Ergebnis auch BGH v. 19.4.2012 – I ZB 80/11, CR 2012, 600 – „Alles kann besser werden“; anders BGH v. 12.5.2010 – I ZR 121/08, CR 2010, 458 (460 f.) – Bestandsdaten. 1575 Vgl. etwa BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (205, Rz. 79) m. Anm. Kremer/Telle; v. 12.5.2010 – I ZR 121/08, CR 2010, 458 (461, Rz. 29) m. Anm. Hornung = ITRB 2010, 151 – Sommer unseres Lebens. 1576 Wie hier Taeger/Gabel/Munz, BDSG, § 96 TKG Rz. 5; a.A. Plath/Jenny, BDSG/DSGVO, § 96 TKG Rz. 2, der mit Blick auf § 96 Abs. 1 Nr. 5 TKG („sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung notwendige Verkehrsdaten“) die Meinung vertritt, die Aufzählung sei nicht abschließend. Dass in § 96 Abs. 1 Nr. 5 TKG ein Auffangtatbestand enthalten ist, ändert nichts an dem abschließenden Charakter der Aufzählung. Denn dieser erlaubt den Umgang nur mit bestimmten Verkehrsdatenarten.
298
Kosmides
Kundendatenschutz
Rz. 1162
A
– sonstige Verkehrsdaten, die zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung erforderlich sind (Nr. 5). Aufgrund von § 96 Abs. 1 Satz 1 und 2 i.V.m. Abs. 2 TKG wird deutlich, dass ein Umgang mit Verkehrsdaten nur in den durch die in Abs. 1 begründeten Zwecke (insb. Erbringung eines TKDienstes (vgl. § 3 Nr. 30 TKG), Entgeltermittlung und Entgeltabrechnung (vgl. § 97 TKG), Beseitigung von Störungen und Bekämpfung eines Missbrauchs von TK-Diensten (vgl. § 100 TKG)1577 vorgezeichneten Grenzen zulässig ist.
1159
§ 96 Abs. 3 TKG stellt klar, dass eine Verwendung von Verkehrsdaten zum Zwecke der Ver- 1160 besserung des Leistungsangebots oder der Bereitstellung von Diensten mit Zusatznutzen nur mit Einwilligung des Betroffenen gestattet ist. In Bezug auf die Einholung einer Einwilligung des Teilnehmers in die Verwendung von Verkehrsdaten gemäß § 96 Abs. 3 Satz 1 TKG werden in § 96 Abs. 4 TKG besondere Anforderungen an seine Information festgelegt.1578 Nach § 96 Abs. 4 Satz 1 TKG muss der Teilnehmer darüber informiert werden, „welche Datenarten für die in § 96 Absatz 3 Satz 1 TKG genannten Zwecke verarbeitet werden sollen und wie lange sie gespeichert werden sollen“. Mit § 96 Abs. 4 Satz 2 TKG wird eine Hinweispflicht im Hinblick auf die Widerrufbarkeit der Einwilligung statuiert. In den §§ 97–107 TKG ist eine Reihe weiterer Regeln enthalten, die im Rahmen eines TKDienstevertrags relevant sein können. Zur Debatte stehen vornehmlich Zulässigkeitstatbestände (z.B. § 97 Abs. 1 TKG über die Verwendung von Verkehrsdaten zur Entgeltermittlung und Entgeltabrechnung, § 98 Abs. 1 TKG über den Umgang mit Standortdaten sowie § 107 Abs. 1 TKG über die Verarbeitung von Nachrichteninhalten bei Diensten, für deren Durchführung eine Zwischenspeicherung vorausgesetzt ist) sowie verschiedene Pflichten des Anbieters (z.B. Bereitstellung eines Einzelverbindungsnachweises gemäß § 99 Abs. 1 Satz 1 TKG, Hinweis auf die Mitteilung der gespeicherten Verkehrsdaten bei Verwendung einer Kundenkarte gemäß § 99 Abs. 3 Satz 1 TKG).1579
1161
In Bezug auf Art. 6 Abs. 2 und 5 RL 2002/58/EG (Datenschutzrichtlinie für elektronische 1162 Kommunikation), die durch § 97 Abs. 1 Satz 3 und 4 TKG umgesetzt werden, hat der EuGH entschieden, dass sie eine tragfähige Rechtsgrundlage dafür bilden können, dass ein TKDiensteanbieter (Access-Provider) betreffend die Einziehung seiner Forderungen Verkehrsdaten an einen Zessionar dieser Forderungen weitergeben darf.1580 Insofern werden von der Befugnis des § 97 Abs. 1 Satz 3 TKG – entgegen einer in der Rspr. vertretenen Ansicht1581 – nicht nur Verträge erfasst, die nur eine Einzugsermächtigung oder eine treuhänderische Inkassozession zum Gegenstand haben, also die Forderung rechtlich oder aufgrund des fiduziarisch ausgestalteten Innenverhältnisses zwischen Zedenten und Zessionar wirtschaftlich im Vermögen ihres ursprünglichen Inhabers belassen.1582 Eine Verarbeitung dieser Daten durch den Zessionar ist nur zulässig, sofern er auf Weisung des TK-Diensteanbieters handelt und die Verarbeitung auf die Daten beschränkt ist, die für die Einziehung dieser Forderungen erforderlich sind.1583 Dies könne nach dem BGH insb. dadurch gewährleistet werden, dass 1577 Nach Ansicht des OLG Frankfurt v. 28.8.2013 – 13 U 105/07, CR 2013, 710 (711) ist die anlasslose, jedoch auf sieben Tage begrenzte Speicherung der jeweils genutzten IP-Adressen, erlaubt, wenn ihre technische Erforderlichkeit für die Zwecke des § 100 Abs. 1 TKG vorhanden ist; s.a. OLG Köln v. 14.12.2015 – 12 U 16/13, CR 2016, 369 (370, Ls. 4): 4-tägige Speicherung von IP-Adressen nach Beendigung der Internetverbindung rechtlich unbedenklich und zur Störungsabwehr erforderlich. 1578 Plath/Jenny, BDSG/DSGVO, § 96 TKG Rz. 10b. 1579 Zur Verwertung von Standortdaten und Bewegungsprofilen durch TK-Diensteanbieter vgl. Mantz, K&R 2013, 7 ff.; s.a. Rz. 1163. 1580 EuGH v. 22.11.2012 – C-119/12, CR 2013, 25 (26) – Probst/mr. Nexnet. 1581 So etwa AG Bremen v. 20.10.2011 – 9 C 430/11, juris Rz. 9 ff.; AG Hamburg-Altona v. 8.8.2006 – 316 C 59/06, CR 2007, 238 f. 1582 BGH v. 7.2.2013 – III ZR 200/11, CR 2013, 160 (161). 1583 EuGH v. 22.11.2012 – C-119/12, CR 2013, 25 (26) – Probst/mr. nexnet; vgl. auch BGH v. 7.2.2013 – III ZR 200/11, CR 2013, 160 (162).
Kosmides
299
A Rz. 1163
Datenschutz und IT-Management
zwischen Diensteanbieter und Zessionar eine vertragliche Vereinbarung besteht, welche die Rechtmäßigkeit der Datenverarbeitung durch den Zessionar sicherstelle und es dem Diensteanbieter erlaube, sich von der Einhaltung dieser Vereinbarung zu überzeugen.1584 1163 Die Inanspruchnahme von mobilen TK-Diensten ermöglicht es dem Anbieter, Standortdaten des Kunden zu erheben und zu verarbeiten. Solche Daten sind in verschiedener Hinsicht von großer Bedeutung für den Anbieter sowie Dritte, wie v.a. etwa für die Ermöglichung der Erbringung von Location-Based-Services. Die Rechtsgrundlage für einen Umgang mit Standortdaten i.R.v. TK-Diensten findet sich in § 98 TKG.1585 Dabei wird nach § 98 Abs. 1 Satz 1 TKG vorausgesetzt, dass ein Dienst mit Zusatznutzen i.S.d. § 3 Nr. 5 TKG vorliegt und die Daten im zur Bereitstellung dieses Dienstes erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden. Als weitere Voraussetzung wird eine Anonymisierung der Daten oder eine Einwilligung vorgesehen. 4.4 DS-GVO 1163a I.R.d. DS-GVO ist für einen Umgang mit Kundendaten, der im Zshg. mit einem Vertragsverhältnis steht, in erster Linie Art. 6 Abs. 1 Satz 1 lit. b DS-GVO von Bedeutung. Hiernach muss die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich sein. Der Vertrag bzw. das vorvertragliche Verhältnis stellt insoweit einen eigenständigen Erlaubnistatbestand dar. Unter diesen Erlaubnistatbestand fallen – trotz der bestehenden tatbestandlichen Unterschiede1586 – im Wesentlichen jene Datenverarbeitungen, für die bislang § 28 Abs. 1 Satz 1 Nr. 1 BDSG bzw. §§ 14 und 15 TMG gelten. 1163b Die „berechtigten Interessen“ des Verantwortlichen oder eines Dritten sind eine weitere Legitimationsgrundlage, Art. 6 Abs. 1 Satz 1 lit. f DS-GVO, auf die Unternehmen bei der Verarbeitung von Kundendaten setzen können. Der Erlaubnistatbestand der berechtigten Interessen ist nach geltendem Recht u.a. in § 28 Abs. 1 Satz 1 Nr. 2 BDSG normiert.1587 5. Bonitätsbewertung 1164 Der Erwerb von Informationen über die Zahlungsfähigkeit und die Zahlungsmoral eines Kunden stellt, seitdem es Handel gibt, eines der wichtigsten Interessen der anderen Vertragsseite dar.1588 Die Bonitätsprüfung wurde in den letzten Jahrzehnten ein unverzichtbares Mittel zur Risikoabschätzung in den Händen der kreditgebenden Wirtschaft. Ihre Bedeutung geht allerdings deutlich über die Beurteilung von Kreditanträgen hinaus. Die Bonitätsbewertung wird in der heutigen Wirtschaft zur Einschätzung des kreditorischen Risikos beim Abschluss von Verträgen jeglicher Art eingesetzt.1589 Daneben kommt ihr eine wichtige Rolle bei der Durchführung oder der Beendigung eines Vertrags zu. Zum Beispiel kann die Aktualisierung der bereits bei den Vertragsverhandlungen erlangten Daten des Kunden dazu führen, dass der Zinssatz bei einem Darlehensvertrag herabgesetzt bzw. dieser – in den Grenzen des Vertrags und des Gesetzes – erhöht wird oder sogar der Vertrag gekündigt wird.1590 Die positive Wirkung der Prüfung der Kreditwürdigkeit wird vom BGH ausdrücklich anerkannt, wenn er konkret zu Negativeintragungen in Auskunfteien ausführt, dass sie dem Schutz der Kredit1584 1585 1586 1587
BGH v. 7.2.2013 – III ZR 200/11, CR 2013, 160 (162). Mantz, K&R 2013, 7 (8 ff.). Dazu Härting, Datenschutz-Grundverordnung, Teil B Rz. 420. Zu den Unterschieden zwischen § 28 Abs. 1 Satz 1 Nr. 2 BDSG und Art. 6 Abs. 1 Satz 1 lit. f DSGVO s. Härting, Datenschutz-Grundverordnung, Teil B Rz. 426. 1588 Ebenso Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 53; vgl. auch Born, ZD 2015, 66. 1589 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 29 Rz. 33; zustimmend Kosmides, in: Forgó/ Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 54. 1590 So Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 54.
300
Kosmides
Kundendatenschutz
Rz. 1168
A
wirtschaft vor zahlungsunfähigen oder -unwilligen Schuldnern diene. Nutzen entfalte sie nicht für jenen Gläubiger, der die Negativeintragung veranlasst hat und mithin um die fehlende Zahlungsfähigkeit oder -willigkeit weiß, sondern auch für Dritte.1591 Die Verwendung von bonitätsrelevanten Daten, insb. Negativmerkmalen (s.a. Rz. 1176), kann in der Praxis vom Gläubiger als Druckmittel genutzt werden, um den Schuldner zur Begleichung der entsprechenden Forderung zu veranlassen.1592 Nicht zuletzt deshalb, weil solche Forderungen im Einzelfall fragwürdig sein können, wird allerdings eine entsprechende Funktion der Legitimationsgrundlagen für derartige Datenverwendungen vom BGH ausdrücklich verweigert: Die gesetzliche sowie die rechtsgeschäftliche Gestattung der Verwendung solcher Daten bezwecke nur, der Kreditwirtschaft zu ermöglichen, das Risiko einer zukünftigen Kreditvergabe realistisch einzuschätzen.1593 Diese Beurteilung des BGH kann i.R.d. (teleologischen) Auslegung und Anwendung von gesetzlichen ebenso wie vertraglichen Rechtfertigungstatbeständen relevant sein und dabei herangezogen werden.
1164a
Die Beurteilung der Kreditwürdigkeit einer Person setzt den Umgang mit ihren personenbezogenen Daten voraus. Die entsprechenden Datenverwendungshandlungen können entweder durch den Kundenpartner selbst oder durch eine Auskunftei vorgenommen werden.
1165
Der EuGH hat entschieden, dass es unionsrechtskonform (konkret: vereinbar mit Art. 8 Abs. 1 RL 2008/48/EG)1594 ist, die Bonitätsbewertung eines Verbrauchers ausschließlich auf Basis der von ihm erteilten Daten vorzunehmen, sofern diese Daten ausreichend sind und einfachen Angaben des Verbrauchers Belege beigefügt sind. In diesem Fall ist der Kreditgeber nicht verpflichtet, systematisch zu prüfen, ob die vom Verbraucher mitgeteilten Daten richtig sind.1595 Unter Bezugnahme auf Simitis/Ehmann, BDSG, 6. Aufl., § 29 Rz. 731596 wird im Gesetzes- 1166 entwurf zur Änderung des BDSG v. 10.10.2008 eine Auskunftei als ein Unternehmen definiert, „das unabhängig vom Vorliegen einer konkreten Anfrage geschäftsmäßig bonitätsrelevante Daten über Unternehmen oder Privatpersonen sammelt, um sie bei Bedarf seinen Geschäftspartnern für die Beurteilung der Kreditwürdigkeit der Betroffenen gegen Entgelt zugänglich zu machen“.1597 Typisches Beispiel für eine Auskunftei stellt die SCHUFA Holding AG dar.1598 Je nachdem, ob der der Bonitätsbewertung dienende Datenumgang durch den Kundenpartner 1167 selbst oder eine Auskunftei geschäftsmäßig durchführt wird, kommen grds. unterschiedliche Zulässigkeitstatbestände zum Tragen.1599 5.1 Datenumgang durch den Kundenpartner Was eine Verwendung bonitätsrelevanter Daten durch den Kundenpartner angeht, so ist in erster Linie § 28 Abs. 1 Satz 1 Nr. 1 BDSG von Bedeutung. Diese Erlaubnisnorm gibt die Be1591 BGH v. 12.4.2016 – VI ZB 48/14, Rz. 8, ZD 2016, 328. 1592 BGH v. 12.4.2016 – VI ZB 48/14, Rz. 9, ZD 2016, 328; v. 19.3.2015 – I ZR 157/13, CR 2016, 135 (137, Rz. 25). 1593 So für § 28a BDSG: BGH v. 12.4.2016 – VI ZB 48/14, Rz. 9 = ZD 2016, 328; vgl. auch v. 19.3.2015 – I ZR 157/13, CR 2016, 135 (137, Rz. 25). 1594 Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates v. 23.4.2008 über Verbraucherkreditverträge (ABl. L 133, S. 66, berichtigt in ABl. 2009, L 207, S. 14, ABl. 2010, L 199, S. 40 und ABl. 2011, L 234, S. 46). 1595 EuGH v. 18.12.2014 – C-449/13, Rz. 50 – CA Consumer Finance SA. 1596 Ausführlich zum Begriff der Auskunftei in aktueller Aufl. Simitis/Ehmann, BDSG, § 29 Rz. 81 ff. 1597 BT-Drs. 16/10529, S. 9. 1598 OLG Düsseldorf v. 13.2.2015 – I-16 U 41/14, juris Os. 1; v. 12.9.2014 – I-16 U 7/4, juris Ls. 2 = ZD 2015, 89. 1599 Dazu auch Born, ZD 2015, 66, 67 ff.
Kosmides
301
1168
A Rz. 1169
Datenschutz und IT-Management
fugnis, eine bonitätsspezifische Datenverwendung für eigene Zwecke vorzunehmen, wenn sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses zwischen der verantwortlichen Stelle und dem Betroffenen notwendig ist. Ein typischer Fall ist die Verarbeitung von Bonitätsdaten durch ein Kreditinstitut i.R.d. Vertragsverhandlungen, um eine Entscheidung über die Abschlussmöglichkeit zu treffen.1600 Eine entsprechende Regelung ist in Art. 6 Abs. 1 Satz 1 lit. b DS-GVO enthalten. 1169 Außerhalb des Anwendungsbereichs von § 28 Abs. 1 Satz 1 Nr. 1 BDSG, soweit der eigentliche Anlass für den Datenumgang nicht der Abschluss oder die Abwicklung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses ist, kann sich die verantwortliche Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG berufen. Dieser Erlaubnistatbestand bietet sich insb. an, um die Übermittlung von Bonitätsdaten an eine Auskunftei durch ein angeschlossenes Unternehmen zu legitimieren.1601 Die Vorschrift ist soweit anwendbar, als die Sonderregelung des § 28a BDSG nicht eingreift. Von § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann auch der Austausch bonitätsspezifischer Daten zwischen Unternehmen oder die einfache Weitergabe solcher Daten von einem Unternehmen an ein anderes Unternehmen, das keine Auskunftei ist, erfasst werden. I.R.d. Erlaubnis ist eine Abwägung zwischen den „berechtigten Interessen“ der verantwortlichen Stelle und den „schutzwürdigen Interessen“ des Betroffenen vorzunehmen.1602 Ist diese Interessenabwägung vor einer Datenübermittlung an die SCHUFA unterblieben, ist die Datenübermittlung unzulässig.1603 Bei einer Bonitätsprüfung, die dazu dient, das typische Kreditausfallsrisiko einzuschätzen bzw. diesem vorzubeugen, sind ohne weiteres überwiegende berechtigte Interessen der verantwortlichen Stelle anzunehmen.1604 Eine entsprechende Regelung ist in Art. 6 Abs. 1 Satz 1 lit. f DS-GVO vorgesehen. 1170 Die Weitergabe von bonitätsrelevanten Kundendaten kann ferner aufgrund von § 28 Abs. 2 Nr. 1 i.V.m. Abs. 1 Satz 1 Nr. 2 BDSG legitimiert werden. Der Unterschied gegenüber der einfachen Berufung auf § 28 Abs. 1 Satz 1 Nr. 2 besteht darin, dass die Datenübermittlung nicht „als Mittel für die Erfüllung eigener Geschäftszwecke“, sondern vielmehr für einen „anderen Zweck“ zu erfolgen hat. Während also die erstgenannte Vorschrift eine Zweckbindung des Datenumgangs vorschreibt, sieht die zweitgenannte Regel eine Zweckentfremdung vor.1605 So gesehen ist die Datenweitergabe aufgrund von § 28 Abs. 2 Nr. 1 i.V.m. § 28 Abs. 1 Satz 1 Nr. 2 BDSG nicht auf einen zuvor definierten Zweck strikt begrenzt.1606 1171 Eine Datenübermittlung für einen anderen Zweck kann darüber hinaus aufgrund von § 28 Abs. 2 Nr. 2 lit. a BDSG gerechtfertigt werden. Dabei wird vorausgesetzt, dass sie „zur Wahrung berechtigter Interessen eines Dritten“ notwendig ist und „kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat“. Diese Erlaubnisnorm ist insoweit für den Bereich des Umgangs mit bonitätsrelevanten Daten relevant, als der Empfänger der Daten (etwa eine Auskunftei oder ein sonstiges Unternehmen) Dritter i.S. dieser Vorschrift ist. Seine berechtigten Interes1600 S.a. Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 66. 1601 Vgl. Beckhusen, Der Datenumgang innerhalb der SCHUFA, S. 116 ff.; Becker, Datenschutzrechtliche Fragen des SCHUFA-Auskunftsverfahrens, S. 284 f., 321 ff.; Kosmides, in: Forgó/Helfrich/ Schneider, Teil VIII Kap. 2 B. Rz. 67. 1602 Gola/Schomerus, BDSG, § 28 Rz. 24 ff.; Simitis/Simitis, BDSG, § 28 Rz. 125 ff.; Beckhusen, Der Datenumgang innerhalb der SCHUFA, S. 123 ff.; Becker, Datenschutzrechtliche Fragen des SCHUFAAuskunftsverfahrens, S. 284 f., 321 ff.; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 67. 1603 LG Düsseldorf v. 5.5.2008 – 14d O 39/08, MMR 2009, 138. 1604 Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 67. 1605 Simitis/Simitis, BDSG, § 28 Rz. 168. 1606 Vgl. auch Simitis/Simitis, BDSG, § 28 Rz. 168.
302
Kosmides
Kundendatenschutz
Rz. 1176
A
sen werden gerade dadurch gewahrt, dass es ihm aufgrund der Übermittlung der Daten ermöglicht wird, eine Bonitätsprüfung vorzunehmen.1607 Datenverarbeitungen, die aufgrund von § 28 Abs. 2 Nr. 2 lit. a BDSG legitimiert werden, werden unter Geltung der DS-GVO am Maßstab des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO gemessen werden. Eine Sonderregelung für die Übermittlung an Auskunfteien ist in § 28a BDSG enthalten.1608
1172
In der DS-GVO ist keine entsprechende Norm enthalten. Unter Geltung der DS-GVO werden sich die Zulässigkeitsvoraussetzungen insofern aus den allgemeinen Erlaubnistatbeständen ergeben. Im Mittelpunkt steht dabei Art. 6 DS-GVO. Vom Erlaubnistatbestand des § 28a Abs. 1 Satz 1 BDSG werden nur personenbezogene Daten über Forderungen i.S.v. § 241 Abs. 1 Satz 1 BGB erfasst.1609 § 28a Abs. 1 Satz 1 BDSG setzt dabei voraus, dass die geschuldete Leistung trotz Fälligkeit nicht erbracht wurde.1610 Die Frage, ob eine geschuldete Leistung fällig ist, lässt sich nach Maßgabe von § 271 BGB beantworten.1611
1173
Eine Datenübermittlung ist nach § 28a Abs. 1 Satz 1 BDSG nur zulässig, wenn sie „zur Wah- 1174 rung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist“. Hier geht es um das berechtigte Interesse der übermittelnden oder der empfangenden Stelle.1612 Im Rahmen dieses Tatbestandsmerkmals soll ausschließlich auf die Interessenlage der verantwortlichen Stelle und/oder Dritter abgestellt werden. Auf die Interessen des Betroffenen kommt es hier nicht an. Eine Interessenabwägung findet demnach nicht statt.1613 Insgesamt betrachtet hat i.R.v. § 28a Abs. 1 Satz 1 BDSG keine Prüfung entgegenstehender Interessen des Betroffenen stattzufinden.1614 Das berechtigte Interesse i.S.d. § 28a Abs. 1 Satz 1 BDSG folgt bereits aus der Beteiligung der 1175 übermittelnden Stelle an einem Warnsystem der Kreditwirtschaft wie die SCHUFA. Die SCHUFA stellt wiederum die empfangende Stelle dar, dessen Interesse sich aus der ihren Geschäftsbetrieb ausmachenden Möglichkeit zur Auskunftserteilung ergibt.1615 In Anbetracht der Bedeutung der Tätigkeit von Auskunfteien für den Schutz der kreditgebenden Wirtschaft vor der Vergabe von Krediten an zahlungsunfähige oder -unwillige Schuldner sowie gemeinhin für den Schutz der Anbieter von Waren und Dienstleistungen vor dem Abschluss eines Vertrags mit kreditunwürdigen Personen1616 ist eine Datenübermittlung immer als erforderlich einzustufen, wenn den Angaben eine eindeutige Aussage über die Bonität des Betroffenen entnommen werden kann.1617 Das Fehlen einer Interessenabwägung gibt der Erlaubnisnorm des § 28a Abs. 1 Satz 1 BDSG einen „datenverarbeiterfreundlichen“ Ausschlag.
1607 Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 68; vgl. auch Beckhusen, Der Datenumgang innerhalb der SCHUFA, S. 139 f. 1608 Vgl. OLG Frankfurt v. 5.9.2014 – 10 W 39/14, juris Rz. 12 = ZD 2015, 529. 1609 Vgl. auch Elgert, K&R 2013, 288, 289. 1610 OLG Frankfurt v. 5.9.2014 – 10 W 39/14, juris Rz. 18 = ZD 2015, 529; Kosmides, in: Forgó/Helfrich/ Schneider, Teil VIII Kap. 2 B. Rz. 70. 1611 Simitis/Ehmann, BDSG, § 28a Rz. 19. 1612 OLG Düsseldorf v. 13.2.2015 – I-16 U 41/14, juris Rz. 28. 1613 Simitis/Ehmann, BDSG, § 28a Rz. 24; OLG Frankfurt v. 16.3.2011 – 19 U 291/10, ZD 2011, 35. 1614 OLG Frankfurt v. 16.3.2011 – 19 U 291/10, DuD 2011, 494 (496); Däubler/Klebe/Wedde/Weichert/ Weichert, BDSG, § 28a Rz. 4; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 70. 1615 OLG Düsseldorf v. 13.2.2015 – I-16 U 41/14, juris Rz. 28; OLG Frankfurt v. 16.3.2011 – 19 U 291/10, ZD 2011, 35. 1616 S.a. BT-Drs. 16/10529, S. 9. 1617 Taeger/Gabel/Mackenthun, BDSG, § 28a Rz. 8.
Kosmides
303
1176
A Rz. 1176a
Datenschutz und IT-Management
Den schutzwürdigen Interessen des Betroffenen wird andererseits durch den in § 28a Abs. 1 Satz 1 BDSG vorgesehenen „Fünferkatalog“ Rechnung getragen.1618 In § 28a Abs. 1 Satz 1 Nr. 1 bis 5 BDSG werden die Fälle abschließend aufgezählt,1619 in denen Daten über eine Forderung rechtmäßig übermittelt werden können. Die Rede ist von sog. Negativmerkmalen.1620 Es handelt sich im Einzelnen um: – eine Forderung, die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt wurde oder durch einen Schuldtitel nach § 794 ZPO belegt ist (Nr. 1) ; – eine Forderung, die nach § 178 InsO festgestellt und vom Schuldner im Prüfungstermin nicht bestritten wurde (Nr. 2); – eine vom Schuldner ausdrücklich anerkannte Forderung (Nr. 3); – eine Forderung, welche den in Nr. 4 lit. a bis d aufgestellten Bedingungen entspricht (Vorliegen einer qualifizierten Mahnung bei nicht bestrittener Forderung)1621; – eine Forderung, die einem Vertragsverhältnis zugrunde liegt, das aufgrund von Zahlungsrückständen fristlos gekündigt werden kann (Nr. 5).1622 1176a Wird eine Forderung durch ein Inkassounternehmen eingetragen, so braucht dieses Unternehmen nach Ansicht des OLG Düsseldorf nicht darauf hinzuweisen, dass es nicht Forderungsinhaber ist.1623 Auch bei fehlendem Hinweis darauf ist der Eintrag richtig. Denn dem verständigen objektiven Betrachter sei klar, dass ein Inkassounternehmen nicht zwangsläufig Forderungsinhaber ist, sondern Forderungen auf der Grundlage eines Inkassomandates mit dem tatsächlichen Forderungsinhaber übermittelt.1624 1177 Die in § 28a Abs. 1 Satz 1 Nr. 1 bis 3 BDSG normierten Tatbestände betreffen sog. harte Negativmerkmale, während sich die Tatbestände des § 28a Abs. 1 Satz 1 Nr. 4 und 5 BDSG auf sog. weiche Negativmerkmale beziehen.1625 1177a Die in § 28a Abs. 1 Satz 1 Nr. 4 BDSG vorgesehenen Übermittlungsbedingungen sind darauf ausgerichtet, sicherzustellen, dass die betroffene Person vor der Meldung der Forderung an eine Auskunftei ausreichende Gelegenheit erhält, die Forderung zu begleichen oder das Bestehen der Forderung zu bestreiten.1626 Vor diesem Hintergrund ist ein in der Mahnung eines Mobilfunkunternehmens erfolgter Hinweis auf die bevorstehende Weitergabe der Daten
1618 OLG Frankfurt v. 16.3.2011 – 19 U 291/10, DuD 2011, 494 (496); Simitis/Ehmann, BDSG, § 28a Rz. 28. 1619 OLG Celle v. 19.12.2013 – 13 U 64/13, juris Rz. 14 = ZD 2014, 198; vgl. auch Däubler/Klebe/Wedde/ Weichert/Weichert, BDSG, § 28a Rz. 4. 1620 S.a. Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 70. 1621 S. Simitis/Ehmann, BDSG, § 28a Rz. 43 ff.; vgl. auch OLG Celle v. 19.12.2013 – 13 U 64/13, juris Rz. 14 = ZD 2014, 198; LG Darmstadt v. 16.10.2014 – 27 O 133/14, juris Rz. 18: „Bei einer bereits bestrittenen Forderung ist die Inaussichtstellung einer Datenübermittlung an die Schufa unzulässig“. 1622 Vgl. OLG Frankfurt v. 5.9.2014 – 10 W 39/14, juris Rz. 18 ff. = ZD 2015, 529. 1623 OLG Düsseldorf v. 13.2.2015 – I-16 U 41/14, juris Rz. 32; bestätigt LG Krefeld v. 30.1.2014 – 5 O 224/13. 1624 OLG Düsseldorf v. 13.2.2015 – I-16 U 41/14, juris Rz. 32. 1625 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 29 Rz. 34; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 70; zu Beispiel Kreditkündigung als „weich“ s. OLG Frankfurt v. 18.6.2008 – 23 U 221/07, und – in Fortführung – OLG Frankfurt v. 9.1.2012 – 16 U 126/11 zum Fall, dass der Kunde beachtliche Einwendungen gegen die Kündigung geltend macht; zur unberechtigten Kündigung und damit auch Übermittlung an SCHUFA s. a. OLG Düsseldorf v. 12.9.2014 – I-16 U 7/14; zur Differenzierung hart/weich s. schon BGH v. 7.7.1983 – III ZR 159/82, NJW 1984, 436; vgl. auch AG Hamm v. 14.10.2008 – 16 C 127/08, RDV 2009, 124. 1626 BGH v. 12.4.2016 – VI ZB 48/14, Rz. 9 = ZD 2016, 328; v. 19.3.2015 – I ZR 157/13, CR 2016, 135 (137, Rz. 25).
304
Kosmides
Kundendatenschutz
Rz. 1182
A
des Schuldners an die SCHUFA nur dann mit § 28a Abs. 1 Satz 1 Nr. 4 BDSG vereinbar, wenn nicht verschleiert wird, dass ein Bestreiten der Forderung durch den Schuldner selbst ausreichend ist, um eine Weitergabe der Schuldnerdaten zu verhindern.1627 Neben § 28a Abs. 1 Satz 1 BDSG, der eine Rechtsgrundlage für Datenübermittlungen an Auskunfteien für alle verantwortlichen Stellen bietet, sieht § 28a Abs. 2 Satz 1 BDSG einen speziellen Tatbestand vor, der ausschließlich auf die Übermittlung durch Kreditinstitute i.S.v. § 1 Abs. 1 Satz 1 KWG beschränkt ist.1628
1178
Ein weiterer Unterschied zwischen § 28a Abs. 2 Satz 1 und Abs. 1 Satz 1 BDSG besteht da- 1179 rin, dass der Anwendungsbereich der ersteren Vorschrift nur Bankgeschäften nach § 1 Abs. 1 Satz 1 Nr. 2 (Kreditgeschäfte), Nr. 8 (Garantiegeschäfte) oder Nr. 9 (Girogeschäfte) KWG eröffnet ist.1629 Außerdem geht es nicht um Negativmerkmale i.S.d. § 28a Abs. 1 Satz 1 Nr. 1 bis 5 BDSG, sondern vielmehr um Angaben zur Begründung, ordnungsgemäßen Durchführung und Beendigung eines Vertrags. In Rede stehen kurzum sog. Vertragsdaten1630 oder – nach der in der Gesetzesbegründung verwandten Terminologie1631 – „das Vertragsverhältnis beschreibende Daten“. Insb. sind als Vertragsdaten zu verstehen: Angaben zum Datum des Vertragsschlusses, den am Vertrag beteiligten Personen, der Vertragslaufzeit sowie der ordnungsgemäßen Erbringung der geschuldeten Leistungen (v.a. der Leistung der geschuldeten Zahlungen).1632 Voraussetzung für die Übermittlung von Vertragsdaten ist, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten nicht offensichtlich überwiegt.1633 Nach der Gesetzesbegründung kann dies etwa der Fall sein, wenn eine offensichtlich bedrohte Person vermeiden möchte, dass im Rahmen einer Kontoeröffnung ihre aktuellen Adressdaten in den Datenbestand einer Auskunftei gemeldet werden und von dort einer ihr drohenden Person zur Kenntnis gelangen können.1634 Aus der Gesetzesformulierung („es sei denn …“) lässt sich der Schluss ziehen, dass zwischen der Datenweitergabe und den berechtigten Interessen des Betroffenen an deren Ausschluss ein Regel/Ausnahmeverhältnis besteht.1635 Die Übermittlung von Vertragsdaten an eine Auskunftei ist demnach i.d.R. zulässig. Die verantwortliche Stelle hat eine solche Datenübermittlung nur dann zu unterlassen, wenn es dem Betroffenen gelingt, sein entgegenstehendes Interesse substantiiert darzulegen und zu beweisen.1636
1180
In § 28a Abs. 3 BDSG werden eine Nachübermittlungs- (Satz 1) sowie eine Löschberichtspflicht (Satz 2) begründet.1637
1181
Die Einschätzung der Bonität eines (potenziellen) Kunden kann u.a. mittels sog. Scoringverfahren ermöglicht werden. Scoringverfahren sollen auf Basis einer systematischen, mathematisch-statistischen Analyse von Erfahrungswerten aus der Vergangenheit einer Person eine
1182
1627 BGH v. 19.3.2015 – I ZR 157/13, CR 2016, 135 (Ls.). 1628 S.a. Simitis/Ehmann, BDSG, § 28a Rz. 78; Taeger/Gabel/Mackenthun, BDSG, § 28a Rz. 27; Elgert, K&R 2013, 288, 289. 1629 Simitis/Ehmann, BDSG, § 28a Rz. 81. 1630 S.a. Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 70. 1631 BT-Drs. 16/10529, S. 15. 1632 Simitis/Ehmann, BDSG, § 28a Rz. 87. 1633 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 28a Rz. 12. 1634 BT-Drs. 16/10529, S. 15; s.a. Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 28a Rz. 12; Simitis/ Ehmann, BDSG, § 28a Rz. 99. 1635 Ebenso Simitis/Ehmann, BDSG, § 28a Rz. 101; Taeger/Gabel/Mackenthun, BDSG, § 28a Rz. 33. 1636 S.a. Taeger/Gabel/Mackenthun, BDSG, § 28a Rz. 33. 1637 S.a. Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 70.
Kosmides
305
A Rz. 1183
Datenschutz und IT-Management
Bonitätsnote vergeben, der eine Prognose über ihr zukünftiges kreditwürdigkeitsrelevantes Verhalten („Wahrscheinlichkeitswert“) zugrunde liegt.1638 1183 Um die Kreditwürdigkeit zu berechnen, werden bestimmte Berechnungsmethoden (sog. Scoreformeln) verwendet. Wird der Scorewert durch die verantwortliche Stelle für eigene Zwecke berechnet, so handelt es sich um internes Scoring. Den Gegenpol bildet externes Scoring (s. Rz. 1202 ff.).1639 Dabei wird die Scorewertberechnung durch einen Dritten angeliefert, der zumeist als Kreditauskunftei tätig ist.1640 1184 Scorewerte, die die wirtschaftlichen Verhältnisse natürlicher Personen zum Gegenstand haben, bilden personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG.1641 Denn sie enthalten eine Prognose über das zukünftige wirtschaftliche Verhalten einer bestimmten Person. Die Prognose wird dadurch ermöglicht, dass diese Person einer Personengruppe zugeordnet wird, die bestimmte Eigenschaften aufweist, und ihr damit die Eigenschaften der Personengruppe zugerechnet werden.1642 Ein scoringbezogener Datenumgang unterliegt insofern den Zulässigkeitsvoraussetzungen des BDSG. 1185 Eine mit internem Scoring verbundene Datenverwendung muss grds. unter Einhaltung der in § 28 Abs. 1 Satz 1 Nr. 1 BDSG begründeten Zulässigkeitsvoraussetzungen erfolgen.1643 Internes Scoring stellt eine Datenverarbeitung zur Erfüllung eigener Geschäftszwecke dar.1644 Es wird vorwiegend als Hilfsmittel für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses i.S. dieser Erlaubnisnorm eingesetzt. 1186 Bei internem Scoring kommt § 28 Abs. 1 Satz 1 Nr. 2 BDSG alternativ in Betracht.1645 Er kann nur eingreifen, wenn der Datenumgang nicht der Zweckbestimmung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses dienen soll. Ein Beispiel ist die Speicherung eines Scorewertes für die Beurteilung eines Vertragsangebots, das der Kunde evtl. in der Zukunft machen wird. Anknüpfungspunkt ist hier die Erforderlichkeit für die Wahrung berechtigter Interessen der verantwortlichen Stelle. Dabei muss kein entgegenstehendes schutzwürdiges Interesse des Betroffenen an dem Ausschluss des Scoringverfahrens überwiegen. I.R.v. § 28 Abs. 1 Satz 1 Nr. 2 BDSG hat demnach eine Interessenabwägung zu erfolgen. Sofern die allgemeinen gesetzlichen Anforderungen an einen zulässigen Datenumgang (z.B. Richtigkeit der Daten, Datenvermeidung und Datensparsamkeit gemäß § 3a BDSG, Zulässigkeitsvoraussetzungen gemäß § 28b BDSG) erfüllt werden, ist grds. anzunehmen, dass ein Marktteilnehmer berechtigt sein soll, sich mit Hilfe eines Scorewertes über mögliche Ausfallrisiken seiner Vertragspartner zu informieren, um so eine seinen Interessen entsprechende rechtsgeschäftliche Entscheidung treffen zu können.1646 Eine mit Scoring zusammenhängende Datenverwendung zählt zu den Bedingungen für die Herstellung informierter Entscheidungsfreiheit und ist damit aufgrund von § 28 Abs. 1 Satz 1 Nr. 2 BDSG grds. gestattet. 1187 Bei einer Übermittlung oder Nutzung von scoringrelevanten Daten, die nicht an einem zuvor definierten Zweck streng orientiert ist, ist der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 1638 Vgl. Simitis/Ehmann, BDSG, § 28b Rz. 20 ff.; Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 28b Rz. 1; Taeger/Gabel/Mackenthun, BDSG, § 28b Rz. 6; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 73. 1639 Zur Differenzierung s. Simitis/Ehmann, BDSG § 28b Rz. 57 ff. 1640 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 28b Rz. 1a; Taeger/Gabel/Mackenthun, BDSG, § 28b Rz. 2. 1641 Simitis/Ehmann, BDSG, § 28b Rz. 49; Wäßle/Heinemann, CR 2010, 410 (411). 1642 ULD, Scoringsysteme zur Beurteilung der Kreditwürdigkeit, S. 67. 1643 Vgl. auch Wäßle/Heinemann, CR 2010, 410 (414); Taeger/Gabel/Mackenthun, BDSG, § 28b Rz. 2. 1644 Wäßle/Heinemann, CR 2010, 410 (414). 1645 Vgl. auch Wäßle/Heinemann, CR 2010, 410 (414); Taeger/Gabel/Mackenthun, BDSG, § 28b Rz. 2. 1646 Ähnlich Wäßle/Heinemann, CR 2010, 410 (414).
306
Kosmides
Kundendatenschutz
Rz. 1191
A
Nr. 2 BDSG einschlägig, jedoch über die Regel des § 28 Abs. 2 Nr. 1 BDSG. Ferner kann eine entsprechende Datenverwendung für einen anderen Zweck aufgrund von § 28 Abs. 2 Nr. 2 lit. a BDSG legitimiert werden. Anknüpfungspunkt sind hier die berechtigten Interessen eines Dritten. Seit der BDSG-Novelle I im Jahre 2009 enthält das BDSG eine eigene Regelung zum Scoring, 1188 nämlich § 28b BDSG. Diese Regelung formuliert Zulässigkeitsvoraussetzungen in Bezug auf eine mit der Durchführung von Scoringverfahren verbundene Datenverarbeitung, die der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen dient.1647 Die Ergebnisse des Scoringverfahrens müssen demnach für die Entscheidung über einen Vertrag genutzt werden.1648 § 28b BDSG legt keinen eigenständigen Zulässigkeitstatbestand für den Einsatz von Scoringverfahren fest. Vielmehr geht es um eine Komplementärvorschrift, die neben den §§ 28 und 29 BDSG zur Anwendung gelangt.1649 Ob § 28b BDSG ein Schutzgesetz i.S.v. § 823 Abs. 2 BGB darstellt, ist unklar.1650 Die DS-GVO enthält keine Regelung, die § 28b BDSG entspricht.1651 Die in § 28b BDSG aufgestellten Voraussetzungen müssen kumulativ erfüllt werden.1652 1189 Dabei kommt als erste Voraussetzung in Betracht, dass ein wissenschaftlich anerkanntes mathematisch-statistisches Verfahren für die Ermittlung des Wahrscheinlichkeitswerts eingesetzt werden muss. Die zur Berechnung dieses Wahrscheinlichkeitswerts verwendeten Daten müssen darüber hinaus nachweisbar erheblich für die Durchführung der Prognose über das bestimmte Verhalten sein (§ 28b Nr. 1 BDSG). Nach § 28b Nr. 2 BDSG sind im Falle von internem Scoring die Bedingungen einer zulässigen Datennutzung gem. § 28 BDSG zu beachten. § 28b Nr. 3 BDSG sieht als zusätzliche Zulässigkeitsbedingung vor, dass die Berechnung des Scorewertes nicht ausschließlich auf Anschriftendaten beruhen darf. Hinzu kommt, dass die verantwortliche Stelle bei Nutzung von Anschriftendaten der in § 28b Nr. 4 BDSG vorgeschriebenen Informations- und Dokumentationspflicht nachkommen muss. Im Zshg. mit Scoring wird in § 34 Abs. 4 Satz 1 Nr. 4 BDSG ein besonderer Auskunftsan- 1190 spruch vorgesehen.1653 Danach hat die verantwortliche Stelle den Betroffenen über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in einer für den Laien verständlichen Weise zu informieren. Dabei ist nach Ansicht des LG Berlin dem Auskunftsberechtigten auch die zugrunde liegende Datenbasis mitzuteilen.1654 Dieser Beurteilung steht die Rspr. des BGH entgegen, Rz. 1192. Die Rspr. wird dem Interesse des Kunden, wie genau seine Scorewerte zustande kommen, 1191 bislang nicht gerecht. Das OLG Nürnberg hat in dieser Hinsicht entschieden, dass diesen Anforderungen Genüge getan ist, wenn aus der Auskunft erkennbar wird, welches „bestimmte künftige Verhalten des Betroffenen“ i.S.d. § 28b BDSG der Scorewert betrifft (z.B. ordnungsgemäße Rückzahlung eines Kredits), und wie sich die einzelnen Datenarten ausgewirkt haben.1655 Vor diesem Hintergrund wurde angenommen, dass die SCHUFA ihre entsprechende Verpflichtung erfüllt hat.1656 1647 Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 74. 1648 Taeger/Gabel/Mackenthun, BDSG, § 28b Rz. 17. 1649 Simitis/Ehmann, BDSG, § 28b Rz. 1; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 74. 1650 OLG Frankfurt v. 7.4.2015 – 24 U 82/14, juris Rz. 22. 1651 Härting, Datenschutz-Grundverordnung, Teil C Rz. 641. 1652 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 28b Rz. 5; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 74. 1653 LG Berlin v. 1.11.2011 – 6 O 479/10, juris Rz. 25 = ZD 2012, 74. 1654 LG Berlin v. 1.11.2011 – 6 O 479/10, juris Rz. 25 = ZD 2012, 74. 1655 OLG Nürnberg v. 30.10.2012 – 3 U 2362/11, juris Rz. 5. 1656 OLG Nürnberg v. 30.10.2012 – 3 U 2362/11, juris Rz. 6.
Kosmides
307
A Rz. 1192
Datenschutz und IT-Management
1192 Die Scoreformel wird als Geschäftsgeheimnis angesehen.1657 Insoweit besteht keine entsprechende Offenbarungspflicht i.R.d. Auskunftsanspruchs nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG.1658 Jedoch soll „dem Betroffenen … – nicht zuletzt nach dem Willen des Gesetzgebers – die Möglichkeit an die Hand gegeben werden, die in das Scoringergebnis eingeflossenen Lebenssachverhalte, also die Datengrundlage, nachzuvollziehen (vgl. Meents/Hinzpeter in Taeger/Gabel, aaO Rn. 32 f.; Simitis/Dix, BDSG, 7. Aufl., § 34 Rn. 33) und gegenüber der über eine Kreditvergabe entscheidenden Stelle bestimmte Abweichungen – etwa in der Kredithistorie – plausibel durch bei ihm vorliegende atypische Lebenssachverhalte erklären zu können (vgl. Plath/Kamlah, aaO Rn. 43)“.1659 Ob nicht die Gewichtung mitzuteilen bzw. transparent zu machen ist, wird streitig diskutiert, vom BGH abgelehnt.1660 1193 Die pauschale Einordnung der Scoreformel als Geschäftsgeheimnis ist problematisch. Im Beweisfalle müsste die Auskunftei beweisen, dass eine Methodik verwendet wird, bei der „zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind“ (§ 28b Nr. 1 BDSG), wäre insoweit die also die Methodik offen zu legen. 1193a Die Bonitätsbewertung eines Unternehmens, die auf einer unzutreffenden Tatsachengrundlage beruht, ist grds. als Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb anzusehen.1661 Dementsprechend stellt ein negatives Scoring über ein Unternehmen, das auf einer unzureichenden Tatsachengrundlage basiert und ein hohes Zahlungsausfallrisiko wiedergibt, einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar. Eine solche Tatsachengrundlage ist nach OLG Frankfurt anzunehmen, wenn als einziger Umstand für den schlechten Wahrscheinlichkeitswert der Umstand herangezogen wurde, dass das Unternehmen ein eingetragener Kaufmann und nicht eine Kapitalgesellschaft ist.1662 5.2 Datenumgang durch eine Auskunftei 1194 Die Voraussetzungen für einen zulässigen Umgang mit bonitätsrelevanten personenbezogenen Daten durch eine Auskunftei (z.B. die SCHUFA) werden in § 29 BDSG niedergelegt. Dies ergibt sich aus dem klaren Wortlaut des § 29 Abs. 1 Satz 1 BDSG, der auf die Tätigkeit von Auskunfteien ausdrücklich Bezug nimmt. 1195 § 29 BDSG regelt, wie schon in der Überschrift zum Ausdruck gebracht wird, die geschäftsmäßige Datenverwendung. Von der geschäftsmäßigen Datenverwendung werden Fälle erfasst, in denen die Daten einen eigenständigen Geschäftsgegenstand bilden.1663 Auskunfteien verwenden gerade personenbezogene Daten nicht als Mittel für die Erfüllung eines eigenen Geschäftszwecks, wie es für den Kundenpartner der Fall ist. Die Datenverarbeitung ist vielmehr auf die Übermittlung der Daten an Dritte und deren wirtschaftliche Verwertung, also die Vermarktung der Daten als Ware, ausgerichtet.1664 1657 BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235; vgl. auch OLG Frankfurt v. 7.4.2015 – 24 U 82/14, juris Rz. 28. 1658 BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235, bestätigt OLG Nürnberg v. 30.10.2012 – 3 U 2362/11 (Rz. 23). 1659 BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235, Rz. 20. 1660 BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235, Rz. 24 f. m.w.N. zur Ablehnung dieser Meinung. 1661 BGH v. 22.2.2011 – VI ZR 120/10, Ls. 2; OLG München v. 12.3.2014 – 15 U 2395/13, juris Rz. 86 = ZD 2014, 570. 1662 OLG Frankfurt v. 7.4.2015 – 24 U 82/14, juris Rz. 22 ff., 44 ff. 1663 Simitis/Ehmann, BDSG, § 29 Rz. 1. 1664 Vgl. auch Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 29 Rz. 1; Simitis/Ehmann, BDSG, § 29 Rz. 1.
308
Kosmides
Kundendatenschutz
Rz. 1201
A
Was die Zulässigkeitsvoraussetzungen eines Datenumgangs durch eine Auskunftei angeht, 1196 so differenziert das Gesetz zwischen einer Erhebung, Speicherung, Veränderung und Nutzung zum Zwecke der Übermittlung einerseits (§ 29 Abs. 1 BDSG) und andererseits der Übermittlung von Daten an sich (§ 29 Abs. 2 BDSG). Für die Rechtfertigung einer Erhebung, Speicherung, Veränderung und Nutzung personenbe- 1197 zogener Daten durch eine Auskunftei bietet sich in erster Linie die Legitimationsgrundlage des § 29 Abs. 1 Satz 1 Nr. 1 BDSG.1665 Nach ihr ist die Datenverwendung zulässig, wenn kein Grund zu der Annahme besteht, dass „der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat“. Denkbar ist ferner, dass die Daten aus allgemein zugänglichen Quellen wie etwa aus amtli- 1198 chen Bekanntmachungen entnommen werden. In diesem Fall greift der Erlaubnistatbestand des § 29 Abs. 1 Satz 1 Nr. 2 BDSG ein. Hiernach ist eine Datenverwendung nur dann zulässig, wenn kein offensichtlich überwiegendes schutzwürdiges Interesse des Betroffenen an dem Ausschluss der Datenverwendung besteht.1666 Nr. 2 erlaubt grds. einer Auskunftei, Daten über die Erteilung der Restschuldbefreiung zu erheben und zu speichern. Denn die Entscheidung über die Restschuldbefreiung ist nach § 300 Abs. 4 Satz 1 InsO einerseits öffentlich bekanntzumachen und kann damit einer allgemein zugänglichen Quelle entnommen werden und andererseits überwiegt das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Datenverwendung nicht.1667 Sowohl bei § 29 Abs. 1 Satz 1 Nr. 1 BDSG als auch bei § 29 Abs. 1 Satz 1 Nr. 2 BDSG ist eine Abwägung der entgegengesetzten Interessen der Beteiligten erforderlich.
1199
Anders verhält es sich beim Zulässigkeitstatbestand des § 29 Abs. 1 Satz 1 Nr. 3 BDSG. Die- 1200 ser Tatbestand stellt auf die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 BDSG ab. Werden demnach personenbezogene Daten unter Einhaltung von § 28a Abs. 1 oder 2 BDSG an eine Auskunftei übermittelt, müssen keine zusätzlichen Zulässigkeitsvoraussetzungen erfüllt werden.1668 I.R.v. § 29 Abs. 1 Satz 1 Nr. 3 BDSG wird allerdings keine Interessenabwägung vorausgesetzt. Damit geht im Ergebnis eine Abschwächung der Rechtsstellung des Betroffenen einher.1669 Die Rechtmäßigkeit der Übermittlung von bonitätsrelevanten Daten durch eine Auskunftei 1201 an ihre Vertragspartner (Beauskunftung) lässt sich am Maßstab des § 29 Abs. 2 BDSG beurteilen. Diese Erlaubnisnorm sieht zwei Voraussetzungen vor, die kumulativ vorliegen müssen. Zum einen hat derjenige, dem die Daten übermittelt werden, „ein berechtigtes Interesse an ihrer Kenntnis glaubhaft“ darzulegen (§ 29 Abs. 2 Satz 1 Nr. 1 BDSG). Zum anderen muss es kein schutzwürdiges Interesse des Betroffenen an dem Ausschluss der Übermittlung geben (§ 29 Abs. 2 Satz 1 Nr. 2 BDSG). Das berechtigte Interesse des Dritten wird insoweit dem schutzwürdigen Interesse des Betroffenen gegenübergestellt.1670 Die Zulässigkeit der Datenübermittlung ergibt sich aus einer Interessenabwägung.1671
1665 Vgl. auch Beckhusen, Der Datenumgang innerhalb der SCHUFA, S. 187 ff.; Kosmides, in: Forgó/ Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 71. 1666 Vgl. auch Beckhusen, Der Datenumgang innerhalb der SCHUFA, S. 203 f.; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 71. 1667 OLG Frankfurt v. 10.12.2012 – 4 U 190/11, juris Os. 1 und 2; KG v. 7.2.2013 – 10 U 118/12, juris Rz. 8 = ZD 2013, 189; AG Wiesbaden v. 13.1.2011 – 93 C 107/11, DuD 2011, 364. 1668 Simitis/Ehmann, BDSG, § 29 Rz. 199. 1669 Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 71. 1670 Simitis/Ehmann, BDSG, § 29 Rz. 217. 1671 Vgl. Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 29 Rz. 49b ff.; Simitis/Ehmann, BDSG, § 29 Rz. 217 ff.; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 72.
Kosmides
309
A Rz. 1202
Datenschutz und IT-Management
1202 Wie angedeutet wird ein Scoringverfahren nicht selten durch eine Auskunftei durchgeführt. In Zshg. mit diesem sog. externen Scoring1672 kommen verschiedene Zulässigkeitstatbestände in Betracht. Hier ist grds. zwischen vier verschiedenen Phasen zu unterscheiden: – Datenübermittlung an die Auskunftei: § 28 Abs. 1 Satz 1 Nr. 1 bzw. Nr. 2 BDSG oder, sofern Forderungsdaten vorliegen und die geschuldete Leistung trotz Fälligkeit nicht erbracht wurde, § 28a Abs. 1 bzw. Abs. 2 BDSG. – Datenerhebung und -speicherung durch die Auskunftei: § 29 Abs. 1 Satz 1 Nr. 1 oder Nr. 3 BDSG. – Scoreberechnung durch die Auskunftei: § 29 Abs. 1 Satz 1 Nr. 1 oder Nr. 3 BDSG. – Anlieferung des Scorewerts an den Empfänger: § 29 Abs. 2 BDSG. 1203 Genauso wie bei internem Scoring ist ergänzend zu den obigen Tatbeständen § 28b BDSG zu berücksichtigen. 1204 Sofern i.R.v. Scoringverfahren aggregierte personenbezogene Daten zum Zwecke der Übermittlung in anonymisierter Form geschäftsmäßig erhoben und gespeichert werden, findet § 30 BDSG Anwendung.1673 1204a In der DS-GVO sind keine Regelungen enthalten, die §§ 29 und 30 BDSG entsprechen. Unter Geltung der DS-GVO werden sich die Zulässigkeitsvoraussetzungen daher aus den allgemeinen Erlaubnisnormen ergeben. Im Mittelpunkt steht dabei Art. 6 DS-GVO. 6. Markt- und Meinungsforschung 1205 Die Zulässigkeit einer Datenverwendung zum Zwecke der Markt- und Meinungsforschung ist seit der BDSG-Novelle II aufgrund einer Sonderregelung, nämlich § 30a BDSG, zu beurteilen. Mit der Schaffung einer eigenständigen Regelung wollte der Gesetzgeber den Besonderheiten der Markt- und Meinungsforschung ggü. der Werbung Rechnung tragen.1674 Diese Besonderheiten bilden gerade den rechtfertigenden Grund dafür, dass der geschäftsmäßige Datenumgang für Zwecke der Markt- und Meinungsforschung anderen rechtlichen Bedingungen als der geschäftsmäßige Datenumgang für Werbezwecke (§ 29 BDSG) unterliegt. 1206 Für die Anwendbarkeit des § 30a BDSG kommt es maßgeblich auf die Abgrenzung zwischen Werbung und Marktforschung an. Diese Abgrenzung kann im Einzelfall schwerfallen.1675 Eine Definition des Begriffs der Markt- und Meinungsforschung ist im Gesetz nicht vorhanden. Ausgehend von der Begründung zu § 30a BDSG sind sie darauf ausgerichtet, mittels wissenschaftlicher Methoden und Techniken notwendige Informationen als empirische Grundlage und zur Unterstützung wirtschaftlicher, gesellschaftlicher und politischer Entscheidungen zur Verfügung zu stellen.1676 Demgegenüber dient Werbung dazu, Informationen in der Öffentlichkeit oder an bestimmte Adressaten bzw. Adressatenkreise zu verbreiten, v.a. mit dem Ziel den Absatz von Produkten zu fördern. So gesehen ist keine Marktforschung anzunehmen, wenn eine Befragung für Zwecke der Verkaufsförderung eingesetzt wird, insb. wenn Verbrauchergewohnheiten im Zshg. mit Produkten und Dienstleistungen der Auftraggeber erfragt werden.1677
1672 S.a. Wäßle/Heinemann, CR 2010, 410 (414 f.). 1673 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 30 Rz. 1a; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 75. 1674 BT-Drs.16/13657, S. 19; dazu Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 30a Rz. 1. 1675 Däubler/Klebe/Wedde/Weichert/Weichert, BDSG, § 30a Rz. 2. 1676 BT-Drs.16/13657, S. 20. 1677 Vgl. LG Hamburg v. 30.6.2006 – 309 S 276/05, CR 2006, 752; OLG Stuttgart v. 17.1.2002 – 2 U 95/01, GRUR 2002, 457 (458).
310
Kosmides
Kundendatenschutz
Rz. 1212
A
§ 30a BDSG sieht in Abs. 1 Satz 1 zwei Befugnisnormen vor. Wörtlich übereinstimmend mit § 29 Abs. 1 Satz 1 Nr. 1 BDSG ist gemäß § 30a Abs. 1 Satz 1 Nr. 1 BDSG ein Datenumgang (Erheben, Verarbeiten oder Nutzen) für Zwecke der Markt- oder Meinungsforschung erlaubt, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat.
1207
Gegenüber der ersteren Erlaubnisnorm schreibt die zweite Erlaubnisnorm (§ 30a Abs. 1 Satz 1 Nr. 2 BDSG) eine Erleichterung zugunsten der verantwortlichen Stelle vor.1678 Hiernach können aus allgemein zugänglichen Quellen entnommene Daten verwendet werden, sofern das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Datenverwendung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt. Für einen Umgang mit Nutzungsdaten für Zwecke der Marktforschung im Telemedien-Bereich ist § 15 Abs. 3 TMG einschlägig.
1208
Bei TK-Diensten ist wiederum in diesem Zshg. § 95 Abs. 2 TKG anwendbar.
1209
Die DS-GVO kennt keine Spezialvorschriften für die Datenverwendung zum Zwecke der Markt- und Meinungsforschung. Unter Geltung der DS-GVO werden für die Zulässigkeitsvoraussetzungen die allgemeinen Erlaubnisnormen maßgeblich sein (vgl. Art. 6 DS-GVO).
1209a
7. Videoüberwachung von Kunden In öffentlich zugänglichen Räumen wie Verkaufsräumen und Hotelfluren werden öfter op- 1210 tisch-elektronische Einrichtungen eingesetzt, um insb. die Interessen eines Unternehmens vor rechtswidrigen Handlungen eines Kunden (etwa Diebstahl und Vandalismus) zu schützen.1679 Der Einsatz der vorausgesetzten Videoüberwachungstechnik lässt sich am Maßstab des § 6b BDSG rechtlich beurteilen, der den Schutz in einer speziellen Regelung vorverlagert.1680 Demnach ist eine Prüfung, ob überhaupt die Anwendungsvoraussetzungen der §§ 1, 4, 27 ff. BDSG vorliegen, nicht erforderlich. In § 6b Abs. 1 BDSG werden die Zulässigkeitsbedingungen für eine Beobachtung mit einer 1211 Videokamera im öffentlich zugänglichen Raum normiert. Eine Kundenüberwachung kann nach dieser Rechtsbestimmung entweder unter Berufung auf das Hausrecht (§ 6b Abs. 1 Nr. 2 BDSG) oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke (§ 6b Abs. 1 Nr. 3 BDSG) erfolgen.1681 Für die Zulässigkeit der Videoüberwachung genügt dies jedoch nicht. Vielmehr hat in beiden Fällen eine Interessenabwägung stattzufinden.1682 Die Videoüberwachung ist nur dann zulässig, wenn keine Anhaltspunkte bestehen, dass schutzwürdige Interessen des Betroffenen überwiegen. Dient die Videoüberwachung dazu, Sicherheitsinteressen der verantwortlichen Stelle wahrzunehmen, sind überwiegende Interessen des Betroffenen grds. zu verneinen. Anders ist die Rechtslage zu beurteilen, wenn eine Videoüberwachung zu kommerziellen 1212 Zwecken, etwa zur Durchführung individualisierter Werbung in Verkaufsräumen der verantwortlichen Stelle eingesetzt wird.1683 Hier wiegen die schutzwürdigen Interessen des Betroffenen in aller Regel schwerer als diejenigen des Werbetreibenden, weshalb eine Rechtfertigung der visuellen Kundenerfassung auf der Basis von § 6b Abs. 1 Nr. 3 BDSG grds. ausscheidet.
1678 S.a. Taeger/Gabel/Munz, BDSG, § 30a Rz. 19. 1679 Vgl. auch Gola/Reif, Kundendatenschutz, Kap. X Rz. 681 f. 1680 Plath/Becker, BDSG/DSGVO, § 6b BDSG Rz. 1: Anknüpfung an Tatbestände, die einer Datenerhebung oder -verarbeitung vorgelagert sein können. 1681 Wie hier Gola/Reif, Kundendatenschutz, Kap. X Rz. 684. 1682 Vgl. Simitis/Scholz, BDSG, § 6b Rz. 92. 1683 Allg. zu dieser Problematik Sreball/Hermonies, RDV 2012, 18 ff.
Kosmides
311
A Rz. 1213
Datenschutz und IT-Management
1213 Liegen neben der Beobachtung auch eine Aufzeichnung sowie sonstige Verarbeitungshandlungen oder eine Nutzung vor, kommt § 6b Abs. 3 BDSG zum Tragen.1684 Dass eine Beobachtung zulässig ist, bedeutet demnach nicht gleichzeitig, dass die weitere Verwendung der durch die Beobachtung erhobenen Daten rechtmäßig ist.1685 Vielmehr muss jede einzelne Verwendungshandlung die in § 6b Abs. 3 Satz 1 BDSG festgelegten Voraussetzungen erfüllen. Das sind die Erforderlichkeit des Datenumgangs für das Erreichen des verfolgten Zwecks sowie das Fehlen von Anhaltspunkten, dass schutzwürdige Interessen des Betroffenen überwiegen. 1213a In der DS-GVO sind keine Spezialvorschriften für die Videoüberwachung zu finden. Die Zulässigkeit der Videoüberwachung ist im Rahmen dieser Verordnung am Maßstab des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO zu beurteilen.1686 8. Die Kunden- bzw. Betroffenenrechte (BDSG, DS-GVO) 1214 Um die Durchsetzung der Datenschutzmaßnahmen zu unterstützen, die Rechtsposition des Betroffenen zu stärken und gemeinhin die Effizienz des Datenschutzes zu erhöhen, wird dem Betroffenen eine Reihe von Rechten zuerkannt. Zu den zentralen Rechten des Kunden zählen die in § 6 Abs. 1 BDSG aufgezählten, nämlich die Rechte auf Auskunft (§ 34 BDSG), Berichtigung, Löschung und Sperrung (§ 35 BDSG). Diese Rechte sind laut § 6 Abs. 1 BDSG unabdingbar.1687 Gleiches gilt für das Recht auf Benachrichtigung (§ 33 BDSG). Die Rechtepalette des Kunden wird durch weitere Rechte ergänzt wie das allg. Widerspruchsrecht, das auch indisponibel ist, sowie spezielle Rechte, die sich vorwiegend im BDSG (z.B. § 28 Abs. 4 BDSG), aber auch in sonstigen Gesetzen, v.a. im TMG und TKG, verstreut finden. 1215 Bei Scoring ist der Auskunftsumfang limitiert: Der Betroffene „hat gemäß § 34 Abs. 4 Satz 1 Nr. 4 BDSG einen Anspruch auf Auskunft darüber, welche personenbezogenen, insb. kreditrelevanten Daten dort gespeichert sind und in die den Kunden der Beklagten mitgeteilten Wahrscheinlichkeitswerte (Scorewerte) einfließen“, nicht jedoch Anspruch auf die Mitteilung der sogenannten „Scoreformel, also die abstrakte Methode der Scorewertberechnung“.1688 1216 Ist der Hersteller oder Lieferant vertraglich verpflichtet, die ihm vom Vertragshändler überlassenen Kundendaten bei Vertragsbeendigung zu sperren, ihre Nutzung einzustellen und auf Verlangen des Vertragshändlers zu löschen, scheidet ein Ausgleichsanspruch des Vertragshändlers, gestützt auf eine analoge Anwendung des § 89b HGB, aus.1689 1216a Ein Berichtigungsanspruch nach § 35 Abs. 1 Satz 1 BDSG besteht nur, wenn die Daten falsch sind.1690 Bei richtigen Daten besteht ein Löschungsanspruch gem. § 35 Abs. 2 Satz 2 BDSG nicht, sofern die Löschungsfrist des § 35 Abs.2 Satz 2 Nr. 4 BDSG nicht abgelaufen ist.1691 Was die Speicherung der Daten über die Aufhebung des Insolvenzverfahrens angeht, so wird die in § 35 Abs. 2 Satz 2 Nr. 4 BDSG vorgesehene Prüffrist nicht durch die Aufhebung des Insolvenzverfahrens nach § 258 InsO verkürzt.1692
1684 1685 1686 1687 1688 1689 1690 1691 1692
Gola/Reif, Kundendatenschutz, Kap. X Rz. 685. So zutreffend Simitis/Scholz, BDSG, § 6b Rz. 113. Härting, Datenschutz-Grundverordnung, Teil B Rz. 448. Simitis/Dix, BDSG, § 6 Rz. 3; Kosmides, in: Forgó/Helfrich/Schneider, Teil VIII Kap. 2 B. Rz. 76. BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, 1235; s. schon zur Scoreformel als Geschäftsgeheimnis Taeger, K&R 2008, 513 und Rz. 1183 f., 1192 f. BGH v. 5.2.2015 – VII ZR 315/13, CR 2015, 355 (Ls.). OLG Karlsruhe v. 3.6.2014 – 12 U 24/14, juris Rz. 29 = ZD 2014, 474. OLG Karlsruhe v. 3.6.2014 – 12 U 24/14, juris Rz. 34 = ZD 2014, 474. OLG Frankfurt v. 19.3.2015 – 7 U 187/13, ZD 2015, 377.
312
Kosmides
Kundendatenschutz
Rz. 1219
A
Den Rechten des Betroffenen ist in der DS-GVO ein eigenes Kap. 3 gewidmet (Art. 12–23 1216b DS-GVO). Entsprechend der Zielsetzung der Verordnung, einen unionsweiten effizienten Datenschutz zu schaffen (Erw.grd. 11 DS-GVO), werden die Betroffenenrechte gegenüber der DS-RL bzw. dem BDSG in bestimmten Punkten gestärkt bzw. ausgeweitet.1693 Zu nennen sind insb. – das Auskunftsrecht nach Art. 15 DS-GVO (vgl. § 34 BDSG), – das Recht auf Berichtigung nach Art. 16 DS-GVO (vgl. § 35 Abs. 1 BDSG), – das Recht auf Löschung bzw. Vergessenwerden nach Art. 17 DS-GVO1694 (vgl. § 35 Abs. 2 BDSG), – das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO (vgl. § 35 Abs. 3 ff. BDSG), – das (völlig neue) Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO, – das Widerspruchsrecht nach Art. 21 DS-GVO (vgl. § 28 Abs. 4 BDSG) sowie – das Recht auf Unterlassung einer automatisierten Einzelentscheidung nach Art. 22 DSGVO (vgl. 6a BDSG). 9. Schadensersatzansprüche des Kunden (BDSG, TKG, BGB, DS-GVO) In Anbetracht der Ausgleichs- sowie der Präventionsfunktion der Haftung1695 kommt Schadensersatzansprüchen, die im Falle eines rechtswidrigen Datenumgangs begründet werden, große Bedeutung für den Schutz des Kunden zu.
1217
Im Zentrum der datenschutzrechtlichen Haftungsnormen steht § 7 BDSG. Er begründet eine eigenständige deliktsrechtliche Anspruchsgrundlage.1696 Diese Schadensersatzregelung stellt auf „eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung“ ab (§ 7 Satz 1 BDSG). Der Datenschutzverstoß reicht aber nicht aus, um die Haftung zu begründen. § 7 Satz 2 BDSG räumt der verantwortlichen Stelle die Möglichkeit ein, sich zu exkulpieren, sofern sie die im Verkehr erforderliche Sorgfalt beachtet hat.1697 Im Umkehrschluss aus dieser Vorschrift ergibt sich, dass die Haftung nur ein schuldhaft erfolgter Datenschutzverstoß auslösen lässt.1698 Als haftungsauslösendes Moment gilt demnach ein verschuldetes Unrecht.1699
1218
Die verantwortliche Stelle hat – will sie sich entlasten – den Beweis zu erbringen, dass sie 1219 die im konkret-faktischen Fall erforderliche Sorgfalt beachtet hat. Diese Beweislastumkehr zugunsten des Geschädigten wird zwar nicht ausdrücklich in § 7 Satz 2 BDSG angeordnet. Dafür sprechen allerdings die Struktur von § 7 BDSG sowie Art. 23 Abs. 2 EG-DSRL, der eine Beweislastumkehr zulasten des „für die Verarbeitung Verantwortlichen“ für jeden haftungsmindernden oder -befreienden Umstand vorsieht.1700
1693 1694 1695 1696 1697 1698 1699 1700
Härting, Datenschutz-Grundverordnung, Teil D Rz. 648 f. Vgl. i.R.d. DS-RL EuGH v. 13.5.2014 – C-131/12, CR 2014, 460, (466 f., 468, Rz. 81, 97). S.a. Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 4 m.w.N. Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 7 Rz. 1; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 9. Taeger/Gabel/Gabel, BDSG, § 7 Rz. 12. Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 15. Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 9. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 23 Rz. 9; Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße, S. 89, 122.
Kosmides
313
A Rz. 1220
Datenschutz und IT-Management
1220 Dabei geht es um eine Haftung aus vermutetem Verschulden bzw. eine Verschuldenshaftung mit Beweislastumkehr für das Verschuldenselement.1701 1221 § 7 Satz 1 BDSG verpflichtet zunächst zum Ersatz sämtlicher dem Betroffenen entstandener materieller Schäden.1702 Demgegenüber wird nach h.M. der immaterielle Schaden von § 7 BDSG nicht erfasst.1703 Dieser Meinung kann nicht gefolgt werden. Im Lichte von Art. 23 Abs. 1 EG-DSRL, der sowohl den materiellen als auch den immateriellen Schaden mit einbezieht,1704 ist anzunehmen, dass i.R.v. § 7 BDSG auch der immaterielle Schaden ersatzfähig ist (richtlinienkonforme Auslegung).1705 1222 Die weitere datenschutzrechtliche Haftungsnorm des BDSG ist in § 8 BDSG enthalten. Die Vorschrift erfasst eine eigenständige deliktsrechtliche Anspruchsgrundlage, die als haftungsrechtliche Spezialnorm konzipiert ist.1706 Sie ist auf den öffentlichen Bereich beschränkt und betrifft nur eine automatisierte Datenverwendung. 1223 Nach § 8 Abs. 1 BDSG ist der Träger einer verantwortlichen öffentlichen Stelle unabhängig von einem Verschulden zu Schadensersatz verpflichtet, wenn diese Stelle dem Betroffenen durch eine nach dem BDSG oder nach anderen datenschutzrechtlichen Vorschriften unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zufügt. Die Haftung wird durch eine rechtswidrige automatisierte Datenverwendung ausgelöst. Anders als bei § 7 BDSG ist hier die Haftung von einem Verschulden der verantwortlichen Stelle abgekoppelt. Ein weiterer Unterschied gegenüber § 7 BDSG besteht darin, dass eine automatisierte Datenverarbeitung i.S.v. § 3 Abs. 2 Satz 1 BDSG vorliegen muss. 1224 Anders als in der Lit. einhellig vertreten, begründet § 8 Abs. 1 BDSG keine Gefährdungshaftung,1707 sondern vielmehr eine verschuldensunabhängige Unrechtshaftung. Denn § 8 Abs. 1 BDSG stellt auf einen gesetzeswidrigen (automatisierten) Datenumgang ab, wohingegen eine Gefährdungshaftung keine Rechtswidrigkeit erfordert.1708 1225 Die Rechtsfolge der Haftung wird in § 8 Abs. 1 und 2 BDSG geregelt. Der Schädiger hat sämtliche materielle Schäden auszugleichen (§ 8 Abs. 1 BDSG). Daneben sind nach § 8 Abs. 2 BDSG immaterielle Schäden zu ersetzen. Der Anspruch auf Ersatz des immateriellen Schadens kann allerdings nicht in jedem Fall geltend gemacht werden. Er wird vielmehr vom Grad der Beeinträchtigung abhängig gemacht. Nur eine schwere Verletzung des Persönlichkeitsrechts berechtigt zu einem Ersatz des Nichtvermögensschadens.1709
1701 BT-Drs. 14/4329, S. 38; vgl. auch Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 7 Rz. 1; Gola/ Schomerus, BDSG, § 7 Rz. 8 f.; Simitis/Simitis, BDSG, § 7 Rz. 21; Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, S. 228; Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 301 f.; Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 245 f.; Beckhusen, Der Datenumgang innerhalb des Kreditinformationssystems der SCHUFA, S. 314; Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße, S. 294; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 9. 1702 Simitis/Simitis, BDSG, § 7 Rz. 30; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 16; Kosmides, in: Conrad/Grützmacher, § 36 Rz. 38. 1703 So Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 7 Rz. 19 f.; Gola/Schomerus, BDSG, § 7 Rz. 12; Simitis, BDSG, § 7 Rz. 32; Taeger/Gabel/Gabel, BDSG, § 7 Rz. 10; im Ergebnis auch Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, S. 289 f. 1704 Eingehend dazu Kosmides, Haftung für Datenschutzverstöße, S. 104 ff., 111; Kosmides, in: Conrad/ Grützmacher, § 36 Rz. 40 ff. m.w.N. 1705 Vgl. Kosmides, in: Conrad/Grützmacher, § 36 Rz. 49 ff. mit ausführlicher Begründung. 1706 Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 24. 1707 So etwa Simitis/Simitis, BDSG, § 8 Rz. 2; Gola/Schomerus, BDSG, § 8 Rz. 4 ff.; Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 8 Rz. 1; Taeger/Gabel/Gabel, BDSG, § 8 Rz. 5. 1708 Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße, S. 62 f., 183 f. 1709 LG Berlin v. 26.7.2005 – 27 O 301/05, NJW-RR 2005, 1565.
314
Kosmides
Kundendatenschutz
Rz. 1231
A
Die Pflicht auf Ersatz des erlittenen materiellen und immateriellen Schadens wird ferner in zweierlei Hinsicht durch § 8 Abs. 3 BDSG eingeschränkt. Zum einen legt § 8 Abs. 3 Satz 1 BDSG eine Haftungshöchstgrenze (130.000 Euro) fest.1710 Zum anderen bestimmt § 8 Abs. 3 Satz 2 BDSG, dass diese Höchstgrenze nicht den individuellen Schaden, sondern den schadensstiftenden Verarbeitungsvorgang betrifft.1711 Sind mehrere Haftungsgläubiger aufgrund desselben Ereignisses anzunehmen, so ist jeder von ihnen zu einem anteiligen Betrag berechtigt.
1226
Um den Betroffenen vor langwieriger Forschung nach der konkreten die Schädigung zu ver- 1227 antwortenden Stelle sowie Verweisungen von der einen Stelle an die andere Stelle zu bewahren,1712 begründet § 8 Abs. 4 BDSG eine gesamtschuldnerische Haftung aller an einem vernetzten oder zentralisierten Verarbeitungssystem (sog. Datenpool) beteiligten Stellen gegenüber dem Betroffenen (§§ 421 ff. BGB).1713 Diese Rechtsnorm betrifft ausschließlich das Außenverhältnis, d. h. das Verhältnis zwischen dem Betroffenen und den verantwortlichen Stellen. Hingegen bleibt das Innenverhältnis der verantwortlichen Stellen, also der Gesamtschuldner, untereinander hiervon unberührt.1714 In § 8 Abs. 5 und 6 BDSG sind Verweisregeln enthalten, denen eine Klarstellungsfunktion zu- 1228 kommt. § 8 Abs. 5 BDSG betrifft das Mitverschulden und verweist auf § 254 BGB. § 8 Abs. 6 BDSG bestimmt, dass die aus § 8 Abs. 1 und 2 BDSG abgeleiteten Schadensersatzansprüche nach den „für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs“ verjähren (s. Rz. 1238). Der Regelungsgehalt von § 8 Abs. 5 und 6 BDSG ist gleichermaßen auf die Schadensersatzansprüche gemäß § 7 BDSG anwendbar.
1229
Eine weitere deliktsrechtliche Anspruchsgrundlage, die aber speziell auf datenschutzrelevan- 1230 te Schädigungen auf dem Gebiet der Telekommunikation Anwendung findet, ist § 44 Abs. 1 Satz 1 i. V. m. Satz 4 TKG. Hiernach ist ein Unternehmen, das vorsätzlich oder fahrlässig gegen das TKG, eine aufgrund des TKG erlassene Rechtsverordnung, eine aufgrund des TKG in einer Zuteilung auferlegte Verpflichtung oder eine Verfügung der Bundesnetzagentur verstößt, verpflichtet, den Schaden zu ersetzen, der auf diesen Verstoß zurückzuführen ist. In Betracht kommt eine verschuldensabhängige Unrechtshaftung. Denn als haftungsauslösendes Moment gilt ein verschuldeter Normverstoß.1715 Die Schadensersatzpflicht des Anbieters von Telekommunikationsdiensten wird gesetzlich 1231 eingeschränkt. Dabei ist gleichgültig, ob die Anspruchsgrundlage § 44 Abs. 1 Satz 1 i.V.m. Satz 4 TKG oder eine andere Haftungsnorm ist.1716 In Anbetracht der „ansonsten kaum abschätzbaren wirtschaftlichen Risiken“,1717 die mit einem uneingeschränkten Schadensersatzanspruch gegenüber dem schädigenden Unternehmen verbunden sind, legt § 44a TKG konkret Höchstsummen für die Pflicht des Anbieters auf Ersatz des materiellen Schadens fest. § 44a Satz 1 TKG begrenzt die Haftung auf höchstens 12.500 Euro je Endnutzer (Einzelbegrenzung). § 44a Satz 2 TKG schreibt wiederum eine Gesamtbegrenzung vor, indem er die Schadenersatzpflicht unbeschadet der Begrenzung in Satz 1 in der Summe auf höchstens 10 Mio. Euro beschränkt, soweit die Schadenersatzpflicht durch eine einheitliche Handlung 1710 Simitis/Simitis, BDSG, § 8 Rz. 20; Taeger/Gabel/Gabel, BDSG, § 8 Rz. 9; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 34. 1711 Simitis/Simitis, BDSG, § 8 Rz. 22. 1712 Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 37. 1713 Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 8 Rz. 7a; Simitis/Simitis, BDSG, § 8 Rz. 26; Taeger/Gabel/Gabel, BDSG, § 8 Rz. 10; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 36. 1714 Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 37. 1715 Vgl. Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 42. 1716 BeckTKG-Komm/Ditscheid/Rudloff, § 44a Rz. 7. 1717 BT-Drs. 15/5213, S. 21.
Kosmides
315
A Rz. 1232
Datenschutz und IT-Management
oder ein einheitliches schadenverursachendes Ereignis gegenüber mehreren Endnutzern besteht. Die Haftungsbeschränkungen gemäß § 44a Satz 1 und 2 TKG greifen nicht ein, wenn der Schaden vorsätzlich verursacht wurde. Mit § 44a Satz 3 TKG wird eine Quotierung der Haftungssumme herbeigeführt. Bei Endnutzern, die keine Verbraucher sind, kann die Höhe der Haftung frei durch einzelvertragliche Vereinbarung normiert werden (§ 44a Satz 5 TKG). 1232 Auch aus den allg. Regeln des BGB über unerlaubte Handlungen kann eine Schadensersatzposition zugunsten des Kunden, der infolge einer Datenschutzverletzung einen Schaden erlitten hat, abgeleitet werden. 1233 Die Rede ist zunächst von § 823 Abs. 1 BGB (i.d.R. i.V.m. §§ 30, 31, 89 BGB bei einem Fehlverhalten der Organe des Unternehmens1718 bzw. i.V.m. § 831 BGB bei einem Fehlverhalten nachgeordneter Personen1719 wie etwa einzelner Beschäftigter aber auch des Beauftragten für den Datenschutz). Bei einem Datenschutzverstoß handelt es sich um eine Verletzung des allgemeinen Persönlichkeitsrechts bzw. der informationellen Selbstbestimmung des Betroffenen. Ein solcher Normverstoß kann insofern als widerrechtliche Verletzung eines sonstigen Rechts eines anderen i.S.v. § 823 Abs. 1 BGB qualifiziert werden und im Falle der Erfüllung der Tatbestandsvoraussetzungen dieser Haftungsnorm, v.a. des Verschuldenselements, eine Haftung begründen. Wird die Bonität eines Unternehmens aufgrund von unzutreffenden oder unzureichenden Tatsachengrundlagen beurteilt, so dass ein Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb zu bejahen ist, kommen ebenfalls Schadensersatzansprüche aus § 823 Abs. 1 BGB in Betracht.1720 1234 Ein schuldhafter Verstoß gegen eine Vorschrift des BDSG sowie eine Datenschutzbestimmung einer anderen Regelung wie etwa des TMG und des TKG kann darüber hinaus einen Schadensersatzanspruch gemäß § 823 Abs. 2 BGB auslösen.1721 Denn eine solche datenschutzrechtliche Vorschrift stellt ein den Schutz eines anderen bezweckendes Gesetz i.S. dieser Anspruchsgrundlage dar.1722 1235 Des Weiteren ist als Anspruchsgrundlage § 824 BGB denkbar.1723 Die Vorschrift kommt in Fällen zum Tragen, in denen eine widerrechtliche Datenverwendung die Gefährdung des Kredits eines anderen oder sonstige Nachteile für dessen Erwerb oder Fortkommen herbeiführen kann.1724 Insb. ist § 824 BGB auf dem Gebiet des Umgangs mit bonitätsrelevanten Daten von Bedeutung. 1236 Erfüllt ein Datenschutzverstoß das Tatbestandsmerkmal der Sittenwidrigkeit, kann sich der Geschädigte auf § 826 BGB berufen, um den erlittenen Schaden ersetzt zu bekommen.1725 1718 Simitis/Simitis, BDSG, § 7 Rz. 59; Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 7 Rz. 29; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 48. 1719 Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 7 Rz. 29; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 48. 1720 BGH v. 22.2.2011 – VI ZR 120/10, Ls. 2; OLG München v. 12.3.2014 – 15 U 2395/13, juris Rz. 86 = ZD 2014, 570. 1721 Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 49. 1722 Vgl. OLG Köln v. 27.11.2007 – 15 U 142/07, MMR 2008, 101 (105); Däubler/Klebe/Wedde/Weichert/ Däubler, BDSG, § 7 Rz. 33; Simitis/Simitis, BDSG, § 7 Rz. 68; Taeger/Gabel/Gabel, BDSG, § 7 Rz. 27; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 49. 1723 Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 7 Rz. 33; Simitis/Simitis, BDSG, § 7 Rz. 68; Taeger/Gabel/Gabel, BDSG, § 7 Rz. 28; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 50. 1724 Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße, S. 280; Kosmides, in: Forgó/Helfrich/ Schneider, Teil XII Kap. 3 Rz. 50. 1725 Vgl. auch Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 7 Rz. 33; Simitis/Simitis, BDSG, § 7 Rz. 68; Taeger/Gabel/Gabel, BDSG, § 7 Rz. 28; Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße, S. 279; Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 51.
316
Kosmides
Kundendatenschutz
Rz. 1238d
A
Besteht zwischen der schädigenden verantwortlichen Stelle und dem Betroffenen ein Vertragsverhältnis, kann als Anspruchsgrundlage (auch) § 280 Abs. 1 BGB herangezogen werden. Bei einer unter Verstoß gegen § 28a BDSG vorgenommenen Übermittlung von Negativdaten durch den Vertragspartner des Betroffenen an die SCHUFA wurde vom AG Halle ein Schadensersatzanspruch zugunsten des Betroffenen aus § 280 Abs. 1 i.V.m. § 241 Abs. 2 BGB abgeleitet.1726
1237
Für die Verjährung von datenschutzrechtlichen Schadensersatzansprüchen gilt die regel- 1238 mäßige Verjährungsfrist von drei Jahren (§ 195 BGB).1727 Für den Fristbeginn ist § 199 BGB maßgeblich. Diese Regeln gelten für alle Schadensersatzansprüche, unabhängig von der jeweiligen Anspruchsgrundlage. Datenschutzrechtlich relevant ist v.a. das Kriterium, wann „der Gläubiger von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt oder ohne grobe Fahrlässigkeit erlangen müsste“, § 199 Abs. 1 Nr. 2 BGB. Die DS-GVO enthält eigene Schadensersatzregelungen in Art. 82. Hierzu zählen zwei eigen- 1238a ständige Anspruchsgrundlagen jeweils gegen den Verantwortlichen und den Auftragsverarbeiter. Im Anwendungsbereich der DS-GVO sind Schadensersatzansprüche gegenüber diesen Personen, die auf einen Datenschutzverstoß zurückzuführen sind, ab dem Zeitpunkt ihrer Anwendbarkeit (Rz. 492) in erster Linie aus Art. 82 DS-GVO abzuleiten. Die §§ 7 und 8 BDSG werden insoweit grds. unanwendbar bleiben. Weitere allgemeine Anspruchsgrundlagen (z.B. § 823 BGB) bleiben hingegen von der unionalen Haftungsregelung unberührt. In Anbetracht der Unmittelbarkeit der Geltung der DS-GVO können die Haftungsregeln in Art. 82 direkt gerichtlich eingeklagt werden, d.h. ohne Transformationserfordernis und ohne konkreten Vollzugsbefehl.
1238b
Mit Art. 82 Abs. 1 i.V.m. Abs. 2 Satz 1 DS-GVO wird eine Haftung des Verantwortlichen sta- 1238c tuiert. Nach Art. 82 Abs. 2 Satz 1 DS-GVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Gegen den Verantwortlichen hat die natürliche Person, der wegen eines Verstoßes gegen diese Verordnung ein Schaden entstanden ist, gemäß Art. 82 Abs. 1 DS-GVO Anspruch auf Schadensersatz. Ein Schadensersatzanspruch setzt insoweit voraus: – eine der Datenschutz-Grundverordnung nicht entsprechende Verarbeitung personenbezogener Daten, – einen Schaden – die Ursächlichkeit der rechtswidrigen Datenverarbeitung für den eingetretenen Schaden (Kausalzusammenhang). Dem Verantwortlichen wird aufgrund von Art. 82 Abs. 3 DS-GVO eine Exkulpationsmöglichkeit eingeräumt. Will sich der Verantwortliche von der Haftung befreien, so hat er dazulegen und zu beweisen, dass „er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Der haftungsausschließende Umstand ist unklar und somit problematisch. Denn die Nichtverantwortlichkeit stellt einen unbestimmten Rechtsbegriff dar. Je nachdem, wie dieser Begriff präzisiert wird, kann es zu einem unterschiedlichen Ergebnis hinsichtlich der Haftungsvoraussetzungen und damit der Rechtsnatur der Haftung kommen. Ist etwa eine Nichtverantwortlichkeit bei fehlendem Verschulden des Verantwortlichen anzunehmen, so ist davon auszugehen, dass der europäische Gesetzgeber die gemäß Art. 82 Abs. 1, Abs. 2 Satz 1 DS-GVO statuierte Haftung für unverschuldetes Unrecht aufgibt und über die Hintertür des Art. 82 Abs. 3 DS-GVO zu einer Verschul1726 AG Halle (Saale) v. 28.2.2013 – 93 C 3289/12, juris Rz. 20. 1727 Kosmides, in: Forgó/Helfrich/Schneider, Teil XII Kap. 3 Rz. 59.
Kosmides
317
1238d
A Rz. 1238e
Datenschutz und IT-Management
denshaftung, konkret einer Haftung aus vermutetem Verschulden kommt.1728 Dies entspricht der bisherigen Rechtslage (§ 7 BDSG). Die Verantwortlichkeit i.R.v. Art. 82 Abs. 3 DS-GVO und damit die Zurechnung der rechtswidrigen Datenverarbeitung an den Verantwortlichen ist allerdings – wie in § 276 Abs. 1 Satz 1 BGB – nicht unbedingt mit einem Verschulden des Verantwortlichen gleichzusetzen. Wird i.R.v. Art. 82 Abs. 3 DS-GVO (nur) auf einen Umstand abgestellt, der sich nicht auf das Verhalten des Schuldners bezieht und insoweit mit dem Verschulden des Schädigers nicht verbunden ist (z.B. ein Fehlverhalten des Geschädigten), bleibt es bei der Haftung für unverschuldetes Unrecht gemäß Art. 82 Abs. 1, Abs. 2 Satz 1 DS-GVO. 1238e Was die Haftung des Auftragsverarbeiters angeht, so ist in erster Linie Art. 82 Abs. 2 Satz 2 DS-GVO relevant. Hiernach haftet der Auftragsverarbeiter für den durch eine Verarbeitung verursachten Schaden, wenn er seine speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht beachtet hat oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. In diesem Fall kann er von der natürlichen Person, der wegen dieses Datenschutzverstoßes ein Schaden zugefügt ist, gemäß Art. 82 Abs. 1 DS-GVO in Anspruch genommen werden. 1238f Die Haftung des Auftragsverarbeiters setzt insofern voraus: – Verarbeitung personenbezogener Daten; – Fehlverhalten des Auftragsverarbeiters; – Schaden sowie – Ursächlichkeit der insoweit rechtswidrigen Datenverarbeitung für den eingetretenen Schaden (Kausalzusammenhang). 1238g Ebenso wie der Verantwortliche kann sich der Auftragsverarbeiter nach Art. 82 Abs. 3 DSGVO exkulpieren, wenn er nachweist, dass er für den Umstand durch den der Schaden eingetreten ist, nicht verantwortlich ist (Rz. 1238d). 1238h Ganz gleich, ob eine Haftung des Verantwortlichen oder des Auftragsverarbeiters in Frage kommt, steht dem Geschädigten bei Erfüllung der jeweiligen Haftungsvoraussetzungen ein Anspruch auf Schadensersatz zu (Art. 82 Abs. 1 DS-GVO). Geschuldet wird Ersatz für den gesamten Schaden. Der Schadensersatz schließt dabei sowohl den materiellen als auch den immateriellen Schaden ein. 1238i Art. 82 Abs. 4 DS-GVO bestimmt, wie die mehreren Schädiger, die nach 82 Abs. 1-3 DSGVO anspruchsverpflichtet sind, dem Geschädigten nach außen haften (Außenhaftung). Bei einer Haftung Mehrerer gemäß Art. 82 Abs. 1-3 VO 2016/679 haften die Schädiger als Gesamtschuldner (vgl. § 840 Abs. 1 BGB). Sie schulden insoweit die Schadensersatzleistung in der Weise, dass jeder die ganze Leistung zu bewirken verpflichtet ist (Erw.grd. 146 Satz 7 DSGVO). Erfüllt einer der Schuldner, wirkt dies auch für den anderen Schuldner. Der Haftungsgläubiger kann demnach Schadensersatz nur einmal verlangen. 1238j Im Anschluss an Art. 82 Abs. 4 VO 2016/679 regelt Art. 82 Abs. 5 DS-GVO das Haftungsverhältnis der Schädiger untereinander, wie sich also der Schaden unter dem mehreren Schädigern nach innen verteilt (Innenhaftung). Hat sich der Haftungsgläubiger an einen Verantwortlichen oder Auftragsverarbeiter gewandt und von diesem gemäß Art. 82 Abs. 1-4 DS-GVO den vollständigen Schadensersatz erhalten, so wird dem Verantwortlichen oder Auftragsverarbeiter, der den ganzen Schadensersatz bewirkt hat, aufgrund von Art. 82 Abs. 5 DS-GVO ein Regressanspruch gegen die Übrigen eingeräumt (Erw.grd. 146 letzter Satz DS-GVO). Der Ver-
1728 So auch Härting, Datenschutz-Grundverordnung, Teil A Rz. 234.
318
Kosmides
Kundendatenschutz
Rz. 1240c
A
antwortliche oder Auftragsverarbeiter ist hiernach berechtigt, von den übrigen an derselben Verarbeitung Beteiligten den Teil des Schadensersatzes zurückzufordern, der unter den in Art. 82 Abs. 2 DS-GVO festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht. Art. 82 Abs. 6 DS-GVO regelt die Gerichtsbarkeit in Bezug auf das Verfahren im Hinblick auf die Inanspruchnahme des Schadensersatzanspruchs.
1238k
10. Anspruch auf Beseitigung und Unterlassung Für den Bereich der Telekommunikation werden im Falle einer Rechtswidrigkeit ein Anspruch auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung durch § 44 Abs. 1 Satz 1 TKG ausdrücklich vorgesehen.
1239
Außerhalb des Telekommunikationsbereichs steht dem Betroffenen der im Wege der Rechts- 1240 analogie anerkannte allgemeine Anspruch auf Beseitigung und Unterlassung zu.1729 Dieser Beseitigungs- und Unterlassungsanspruch wird in der Rspr. i.d.R. aus §§ 823 Abs. 1, 1004 Abs. 1 BGB i.V.m. der einschlägigen Datenschutznorm, gegen die verstoßen wird, abgeleitet. Zum Beispiel wurde dem Betroffenen ein Anspruch auf Beseitigung in Form eines Widerrufs 1240a einer negativen SCHUFA-Mitteilung gemäß §§ 823, 1004 BGB wegen Verstoßes gegen § 28 BDSG zuerkannt.1730 Jeder vom BDSG oder eine andere Datenschutzregelung nicht gedeckte Umgang mit personenbezogenen Daten stellt eine Verletzung des allgemeinen Persönlichkeitsrechts dar, die zur Begründung eines Beseitigungsanspruchs führen kann.1731 Im Gegensatz dazu steht dem Betroffenen nach Ansicht des OLG Düsseldorf bei einem offensichtlichen Schreibfehler bei der Übermittlung des Datums des Vollstreckungstitels, der am sachlichen Gehalt der Mitteilung nichts ändert, kein Anspruch auf Widerruf der unrichtigen SCHUFA-Meldung, sondern nur ein Anspruch auf deren Berichtigung zu.1732 Das OLG Köln hat einen vorbeugenden Unterlassungsanspruch gegen eine Videokamera auf 1240b einem Nachbargrundstück nach § 6 BDSG, §§ 823 Abs. 1, 1004 Abs. 1 BGB bejaht. Denn ernsthafte und greifbare tatsächliche Anhaltspunkte sprachen dafür, der Anspruchsgegner werde sich in naher Zukunft rechtswidrig verhalten.1733 Eine unzutreffende Bonitätsauskunft, die basierend auf einem Scoring entsprechend § 28a BDSG erteilt wurde, verletze nach Ansicht des LG München das Persönlichkeitsrecht des Betroffenen, sodass ein Unterlassungsanspruch zu bejahen sei.1734 Einen Unterlassungsanspruch des Darlehennehmers gegen die kreditgewährende Bank hat ferner das OLG Frankfurt aus § 824 i.V.m. § 1004 BGB für den Fall abgeleitet, dass die Bank den Beendigungstatbestand der fristlosen Kündigung der Geschäftsbeziehung wegen Zahlungsrückständen aus Darlehensverträgen an eine Auskunftei übermittelt.1735 Datenschutzbelange des Einzelnen können freilich auch unter unmittelbarer Berufung auf 1240c das allgemeine Persönlichkeitsrecht wahrgenommen werden. So hat das OLG Hamburg entschieden, dass die ungenehmigte Veröffentlichung einer privaten Nachricht im Internet, z.B. in einem sozialen Netzwerk, eine Beeinträchtigung des allgemeinen Persönlichkeitsrechts des Verfassers (Art. 1 Abs. 1, Art. 2 Abs. 1 GG) darstellt, wenn kein das Interesse des Verfassers an der Wahrung seiner Privatsphäre überwiegendes öffentliches Informationsinteresse
1729 1730 1731 1732 1733 1734 1735
Vgl. allg. nur Larenz/Canaris, Schuldrecht BT, Bd. II/2, § 86, S. 672 ff. und § 87, S. 704 ff. AG Wedding v. 4.11.1998 – 6b C 243/98, NJW-RR 2000, 715. OLG Düsseldorf v. 12.9.2014 – I-16 U 7/4, juris Ls. 1 = ZD 2015, 89. OLG Düsseldorf v. 13.2.2015 – I-16 U 41/14, juris Rz. 31. OLG Köln v. 30.10.2008 – 21 U 22/08, NJW 2009, 1827. LG München v. 8.8.2012 – 25 O 13635/12, ZD 2013, 135. OLG Frankfurt v. 5.9.2014 – 10 W 39/14, juris Rz. 16 = ZD 2015, 529.
Kosmides
319
A Rz. 1240d
Datenschutz und IT-Management
vorhanden ist.1736 In diesem Fall steht dem Betroffenen ein Unterlassungs- bzw. Beseitigungsanspruch gemäß §§ 823, 1004 BGB zu. 1240d Werden von einer Haftpflichtversicherung zwecks Abwicklung eines Verkehrsunfalls (z.B. Prüfung eines Schadensgutachtens) personenbezogene Daten des Anspruchstellers an ein drittes Unternehmen übermittelt, so scheidet nach Ansicht des OLG Oldenburg ein Anspruch des Betroffenen auf Unterlassung der Übermittlung seiner Daten nach § 1004 Abs. 1 Satz 2 BGB i.V.m. § 823 Abs. 1 BGB mangels Wiederholungsgefahr i.S.d. § 1004 Abs. 1 Satz 2 BGB aus, sofern die Datenübermittlung lediglich der Abwicklung eines einmaligen Unfallereignisses dient.1737 Bei Datenschutzwidrigkeit der Datenübermittlung kann der Betroffene aber freilich auf seine Rechte nach dem BDSG zurückgreifen. 1241 Die allgemeinen Ansprüche auf Beseitigung und Unterlassung werden von der DS-GVO nicht tangiert. Sie werden demnach unter ihrer Geltung bestehen bleiben. 1242 Im Falle eines Wettbewerbsverstoßes kann ein Anspruch auf Beseitigung und Unterlassung aus §§ §§ 823, 1004 BGB1738 sowie aus § 8 Abs. 1 UWG abgeleitet werden. Die Anspruchsberechtigten i.R.d. UWG-rechtlichen Anspruchs werden in § 8 Abs. 3 UWG abschließend aufgezählt. Kann der Verletzte wegen mangelnder Anspruchsberechtigung gemäß § 8 Abs. 3 UWG keinen Beseitigungs- bzw. Unterlassungsanspruch geltend machen, so kann er sich ggf. auf den allgemeinen Anspruch (z.B. wegen eines Eingriffs in seinen eingerichteten und ausgeübten Gewerbebetrieb) berufen. 1243 Auf den allgemeinen Beseitigungs- und Unterlassungsanspruch finden die Verjährungsregeln der §§ 195, 199 BGB Anwendung. 1244 Der Beseitigungs- und Unterlassungsanspruch nach § 8 Abs. 1 UWG verjährt in sechs Monaten ab der Entstehung des Anspruchs und der Kenntnis oder grob fahrlässigen Unkenntnis des Gläubigers (Verletzten) von den anspruchsbegründenden Umständen und der Person des Schuldners (§ 11 UWG). 1245 Nach dem UKlaG steht den anspruchsberechtigten Stellen nach § 3 Abs. 1 Satz 1 UKlaG ein kollektiver Unterlassungsanspruch gem. § 1 UKlaG gegen einen Unternehmer zu, dessen AGB, die er gegenüber Verbrauchern verwendet, gegen datenschutzrechtliche Vorschriften verstoßen. Werden allerdings datenschutzrechtliche Vorschriften in anderer Weise verletzt, so ist strittig, ob die anspruchsberechtigten Stellen einen Anspruch auf Unterlassung gem. § 2 UKlaG haben. Denn ein solcher Unterlassungsanspruch ist nur denkbar, wenn die verletzten datenschutzrechtlichen Bestimmungen als Verbraucherschutzgesetze anzusehen sind, was von den zuständigen Zivilgerichten überwiegend verneint wird.1739 Zwar bietet das Wettbewerbsrecht die Möglichkeit der kollektiven Rechtsdurchsetzung bei Verstößen gegen Datenschutzregeln, sofern sie marktverhaltensregelnden Charakter i.S.v. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. besitzen. Diese Möglichkeit ist allerdings begrenzt, weil nicht alle Datenschutzvorschriften Marktverhaltensregelungen sind (zur Frage der Einordnung von Datenschutzbestimmungen als Marktverhaltensregelungen s. Rz. 1025 und B Rz. 884 ff.).1740 Hinzu kommt, dass der marktverhaltensregelnde Charakter mehrerer Datenschutzbestimmungen in Lit. und Rspr. umstritten ist (vgl. B Rz. 884 ff.),1741 was zu Rechtsunsicherheit führt. 1736 OLG Hamburg v. 4.2.2013 – 7 W 5/13, CR 2013, 601. 1737 OLG Oldenburg v. 23.12.2014 – 13 U 66/14, CR 2015, 288. 1738 Vgl. etwa BGH v. 20.5.2009 – I ZR 218/07, CR 2009, 733 (734) – E-Mail-Werbung II; OLG München v. 27.9.2012 – 29 U 1682/12, CR 2012, 799 (800); zur Reichweite des Unterlassungsanspruchs aus §§ §§ 823, 1004 BGB analog bei unzulässiger E-Mail-Werbung Eckhardt, MMR 2014, 213 ff. 1739 Vgl. BR-Drs. 55/15, S. 2; BT-Drs.18/4631, S. 2. 1740 Vgl. etwa KG v. 29.4.2011 – 5 W 88/11, CR 2011, 468 (Ls. 2), bestätigt LG Berlin v. 14.3.2011 – 91 O 25/11: § 13 Abs. 1 TMG stellt keine Marktverhaltensvorschrift dar; a.A. LG Düsseldorf v. 9.3.2016 – 12 O 151/15, CR 2016, 372 (Ls. 2). 1741 Vgl auch Basten, ZD-Aktuell 2015, 04571.
320
Kosmides
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1248
A
Vor diesem Hintergrund hat die Bundesregierung einen erheblichen Mangel an Möglichkei- 1246 ten einer effektiven Rechtsdurchsetzung auf dem Gebiet von verbraucherschützenden Vorschriften des Datenschutzes festgestellt.1742 Unter der Annahme, dass „die besten datenschutzrechtlichen Regelungen wenig“ nutzen, „wenn sie nicht wirksam durchgesetzt werden können“,1743 wurde im Zuge des Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts v. 17.2.20161744 in das UKlaG eine Neuregelung, nämlich § 2 Abs. 2 Satz 1 Nr. 11 UKlaG, eingeführt.1745 Hierin wird nunmehr ausdrücklich vorgeschrieben, dass datenschutzrechtliche Vorschriften, welche die Zulässigkeit des Umgangs mit Verbraucherdaten durch einen Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln, Verbraucherschutzgesetze i.S.d. § 2 Abs. 1 Satz 1 UKlaG darstellen.1746 Somit können anspruchsberechtigte Stellen i.S.v. § 3 Abs. 1 Satz 1 UKlaG gegen eine insoweit unzulässige Datenverwendung mit den in § 2 Abs. 1 Satz 1 UKlaG vorgesehenen Ansprüchen auf Unterlassung und Beseitigung vorgehen. Bei einem solchen Gesetzesverstoß richtet sich der Beseitigungsanspruch nach den entsprechenden datenschutzrechtlichen Vorschriften, § 2 Abs. 1 Satz 3 UKlaG. Eine Verbandsklagebefugnis speziell für das Gebiet der Telekommunikation sieht § 44 1247 Abs. 2 TKG vor. „Wer in anderer Weise als durch Verwendung oder Empfehlung von AGB gegen Bestimmungen des TKG oder Vorschriften einer aufgrund des TKG erlassenen Rechtsverordnung verstößt, die dem Schutz der Verbraucher dienen, kann gem. § 44 Abs. 2 Satz 1 TKG „im Interesse des Verbraucherschutzes von den in § 3 UKlaG genannten Stellen in Anspruch genommen werden“.
V. Datenschutz im Internet bei Telemedien und Telekommunikation 1. TMG und TKG TMG und TKG haben je unterschiedliche Rahmenbedingungen hinsichtlich der EU-Vor- 1248 gaben. Dies wird sich v.a. bei der Wirkung des DS-GVO bemerkbar machen. Der Datenschutz im TMG basiert wesentlich auf der DS-RL, im TKG wesentlich auf speziellen Richtlinien, die nicht von der DS-GVO tangiert werden. Erwähnt sei noch, dass bei manchen Diensten eine Abgrenzung gegenüber Rundfunk vorzunehmen ist.1747 § 2 Abs. 3 RStV enthält einen Negativkatalog der Dienste, die nicht Rundfunk sind. Dazu gehören u.a. Sendungen, die jeweils gegen Einzelentgelt freigeschaltet werden“ (Nr. 4). Das weitere Zusammenwachsen über On-demand-Dienste, internetfähige TV-Endgeräte (Connected TV/Smart TV) und weitere Entwicklungen wird die Unterscheidung TM/TK/Rundfunk auf Dauer kaum mehr haltbar erscheinen lassen, außer vielleicht über das Kriterium der journalistisch-redaktionellen Gestaltung.1748 Vor dem Hintergrund von Art. 5 GG kann eine „Abgrenzung 1742 1743 1744 1745
Vgl auch Basten, ZD-Aktuell 2015, 04571. BR-Drs. 55/15, S. 7; BT-Drs. 18/4631, S. 11. BGBl. I, S. 233. Zur Verbandsklagebefugnis bei Datenschutzverstößen für Verbraucherverbände Elbrecht/Schröder, K&R 2015, 361 ff.; vgl. auch Groh, GRUR 2015, 551 ff., der angesichts des bestehenden Vollzugsdefizits eine Entwicklung der aktuell noch privatrechtlich geprägten Durchsetzung im Bereich der unerwünschten E-Mail-Werbung hin zu einem flankierenden Behördenmodell befürwortet. 1746 BT-Drs.18/4631, S. 8. 1747 Gem. § 2 Abs. 1 Satz 1 RStV ist nun Rundfunk „ein linearer Informations- und Kommunikationsdienst; er ist die für die Allgemeinheit bestimmte und zum zeitgleichen Empfang bestimmte Veranstaltung und Verbreitung von Angeboten in Bewegtem Bild oder Ton entlang eines Sendeplans unter Benutzung elektromagnetischer Schwingungen.“ 1748 Zur Entwicklung neuer Medienangebote und Geschäftsmodelle s. z.B. Holznagel, in: Hoeren/Sieber/ Holznagel, Teil 3, Rz. 8-11. Zum Kriterium zeitgleichen Empfangs aus Nutzerperspektive s. Holznagel, in: Spindler/Schuster, RStV § 2 Rz. 16.
Schneider
321
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1248
A
Vor diesem Hintergrund hat die Bundesregierung einen erheblichen Mangel an Möglichkei- 1246 ten einer effektiven Rechtsdurchsetzung auf dem Gebiet von verbraucherschützenden Vorschriften des Datenschutzes festgestellt.1742 Unter der Annahme, dass „die besten datenschutzrechtlichen Regelungen wenig“ nutzen, „wenn sie nicht wirksam durchgesetzt werden können“,1743 wurde im Zuge des Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts v. 17.2.20161744 in das UKlaG eine Neuregelung, nämlich § 2 Abs. 2 Satz 1 Nr. 11 UKlaG, eingeführt.1745 Hierin wird nunmehr ausdrücklich vorgeschrieben, dass datenschutzrechtliche Vorschriften, welche die Zulässigkeit des Umgangs mit Verbraucherdaten durch einen Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln, Verbraucherschutzgesetze i.S.d. § 2 Abs. 1 Satz 1 UKlaG darstellen.1746 Somit können anspruchsberechtigte Stellen i.S.v. § 3 Abs. 1 Satz 1 UKlaG gegen eine insoweit unzulässige Datenverwendung mit den in § 2 Abs. 1 Satz 1 UKlaG vorgesehenen Ansprüchen auf Unterlassung und Beseitigung vorgehen. Bei einem solchen Gesetzesverstoß richtet sich der Beseitigungsanspruch nach den entsprechenden datenschutzrechtlichen Vorschriften, § 2 Abs. 1 Satz 3 UKlaG. Eine Verbandsklagebefugnis speziell für das Gebiet der Telekommunikation sieht § 44 1247 Abs. 2 TKG vor. „Wer in anderer Weise als durch Verwendung oder Empfehlung von AGB gegen Bestimmungen des TKG oder Vorschriften einer aufgrund des TKG erlassenen Rechtsverordnung verstößt, die dem Schutz der Verbraucher dienen, kann gem. § 44 Abs. 2 Satz 1 TKG „im Interesse des Verbraucherschutzes von den in § 3 UKlaG genannten Stellen in Anspruch genommen werden“.
V. Datenschutz im Internet bei Telemedien und Telekommunikation 1. TMG und TKG TMG und TKG haben je unterschiedliche Rahmenbedingungen hinsichtlich der EU-Vor- 1248 gaben. Dies wird sich v.a. bei der Wirkung des DS-GVO bemerkbar machen. Der Datenschutz im TMG basiert wesentlich auf der DS-RL, im TKG wesentlich auf speziellen Richtlinien, die nicht von der DS-GVO tangiert werden. Erwähnt sei noch, dass bei manchen Diensten eine Abgrenzung gegenüber Rundfunk vorzunehmen ist.1747 § 2 Abs. 3 RStV enthält einen Negativkatalog der Dienste, die nicht Rundfunk sind. Dazu gehören u.a. Sendungen, die jeweils gegen Einzelentgelt freigeschaltet werden“ (Nr. 4). Das weitere Zusammenwachsen über On-demand-Dienste, internetfähige TV-Endgeräte (Connected TV/Smart TV) und weitere Entwicklungen wird die Unterscheidung TM/TK/Rundfunk auf Dauer kaum mehr haltbar erscheinen lassen, außer vielleicht über das Kriterium der journalistisch-redaktionellen Gestaltung.1748 Vor dem Hintergrund von Art. 5 GG kann eine „Abgrenzung 1742 1743 1744 1745
Vgl auch Basten, ZD-Aktuell 2015, 04571. BR-Drs. 55/15, S. 7; BT-Drs. 18/4631, S. 11. BGBl. I, S. 233. Zur Verbandsklagebefugnis bei Datenschutzverstößen für Verbraucherverbände Elbrecht/Schröder, K&R 2015, 361 ff.; vgl. auch Groh, GRUR 2015, 551 ff., der angesichts des bestehenden Vollzugsdefizits eine Entwicklung der aktuell noch privatrechtlich geprägten Durchsetzung im Bereich der unerwünschten E-Mail-Werbung hin zu einem flankierenden Behördenmodell befürwortet. 1746 BT-Drs.18/4631, S. 8. 1747 Gem. § 2 Abs. 1 Satz 1 RStV ist nun Rundfunk „ein linearer Informations- und Kommunikationsdienst; er ist die für die Allgemeinheit bestimmte und zum zeitgleichen Empfang bestimmte Veranstaltung und Verbreitung von Angeboten in Bewegtem Bild oder Ton entlang eines Sendeplans unter Benutzung elektromagnetischer Schwingungen.“ 1748 Zur Entwicklung neuer Medienangebote und Geschäftsmodelle s. z.B. Holznagel, in: Hoeren/Sieber/ Holznagel, Teil 3, Rz. 8-11. Zum Kriterium zeitgleichen Empfangs aus Nutzerperspektive s. Holznagel, in: Spindler/Schuster, RStV § 2 Rz. 16.
Schneider
321
A Rz. 1249
Datenschutz und IT-Management
zum Rundfunk … nur im Sinne eines funktionalen Rundfunkbegriffs anhand des publizistisch-redaktionellen Einflusses des Mediums auf den öffentlichen Meinungsbildungsprozess erfolgen“.1749 Im Folgenden werden nur noch die TK- und TM-Aspekte im Hinblick auf die jeweiligen Datenschutzregeln verfolgt. Entsprechende Datenschutzregeln enthalten §§ 47 ff. RStV. 1.1 TKG 1249 Nach der Datenschutzrichtlinie 95/46/EG wurde 2002 die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) verabschiedet.1750 Gem. Erw.grd. 2 RL 2002/58/EG (EK-DSRL) ist Ziel dieser Richtlinie die Achtung der Grundrechte. Gem. Satz 2 soll mit dieser Richtlinie insb. „gewährleistet werden, dass die in den Artikeln 7 und 8 jener Charta niedergelegten Rechte uneingeschränkt geachtet werden“. Lt. Erw.grd. 5 RL 2002/58/EG hängt die erfolgreiche grenzüberschreitende Entwicklung dieser Dienste hängt zum Teil davon ab, „inwieweit die Nutzer darauf vertrauen, dass ihre Privatsphäre unangetastet bleibt“. Erw.grd. 6 RL 2002/58/EG weist auf das Internet und die mit öffentlichen Kommunikationsnetzen über das Internet eröffneten neuen Möglichkeiten für die Nutzer, aber ebenso auch die neuen Risiken in Bezug auf ihre personenbezogenen Daten und ihre Privatsphäre hin. Diese RL, die also zentral (auch in weiteren Erw.grd., z.B. 24 und 46, und gemäß Art. 1 RL 2002/58/EG) auf „Privatsphäre“ abstellt und diese als Schutzgut propagiert, wird auch nach Geltung der DS-GVO weiter wirken. 1250 Art. 89 Abs. 1 DS-GVO nimmt in gewissem Sinne die TK bzw. den TK-Datenschutz aus, zumindest soweit dieser auf der RL 2002/58/EG (EK-DSRL) beruht1751: Es sollen durch die DS-GVO „natürlichen oder juristischen Personen in Bezug auf die Verarbeitung personenbezogener Daten i.V.m. der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“ keine zusätzlichen Pflichten auferlegt werden, soweit die genannten Personen besonderen in der RL 2002/58/EG (EK-DSRL) festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.1752 1251 Wesentliche Maßgaben der EK-DSRL sind die „Sicherheit der Verarbeitung“ (Art. 4 DSRL) und die „Vertraulichkeit der Kommunikation“ (Art. 5 EK-DSRL) sowie spezielle tenschutzregeln für Verkehrsdaten (Art. 6 EK-DSRL), Einzelgebührennachweis (Art. 7 DSRL), Rufnummernunterdrückung (Art. 8 EK-DSRL) und „Andere Standortdaten Verkehrsdaten“ (Art. 9 EK-RL). Zum Datenschutz gem. TKG (Überblick) s. Rz. 1336 f.
EKDaEKals
1252 Für die Abgrenzung zu Telemedien kommt u.a. die Definition in § 3 Nr. 24 TKG zum Tragen, die allerdings zunehmend Schwierigkeiten bei individualisierten Diensten über das Internet bereitet.1753 „Telekommunikationsdienste“ sind „in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen“.
1749 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 1 Rz. 49 und Rz. 50 mit weiteren Kriterien. 1750 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), oft EK-DSRL genannt. 1751 S. Nebel/Richter, ZD 2012, 407 (408). 1752 Schmitz, in: Hoeren/Sieber/Holznagel, Teil 16.2 Rz. 36. Diese Vorschriften sollen nicht verdrängt werden. 1753 Dazu am Beispiel der sog. OTT – Angebote Grünwald/Nüßing, MMR 2016, 91.
322
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1257
A
1.2 TMG Der Rechtsrahmen der EU1754, den das TKG umzusetzen bzw. zu berücksichtigen hatte, hat- 1253 te beim Erlass des TMG die Vorgaben der maßgeblichen EU-Richtlinien zu berücksichtigen. Grundlegend ist zunächst die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Warenverkehr vom 24.10.1995 – DS-RL. Das TMG hatte in der Ursprungsfassung für den Bereich der Telemediendienste bereits viele der Grundsätze der RL 95/46/EG aufgenommen.1755 Die sog. E-Commerce-RL (RL 2000/31/EG v. 8.6.2000) ergab u.a. durch die Maßgabe des „Her- 1254 kunftslandprinzips“ Änderungsbedarf, der zu den Änderungen des TDG und des TDDSG durch das EGG v. 14.12.20011756 führte. Das TMG entstand dann als Zusammenlegung von TDG und TDDSG (26.2.2007)1757 und wurde nochmals durch Art. 4 IT-SicherheitsG1758 und sodann durch die TMG-Novelle 20161759 geändert. Die Datenschutzregeln des TMG sind im Lichte der DS-RL 95/46/EG zu interpretieren und 1255 insofern ist die Entscheidung des EuGH1760 als „Konkretisierung hinsichtlich der Datenverarbeitung im Internet durch Suchmaschinen“ heranzuziehen, also die verbindlichen Vorgaben, unter welchen Bedingungen ein Suchmaschinenanbieter Ergebnisse betreffend eine natürliche Person löschen bzw. bei der Anzeige der Ergebnisliste sperren muss.1761 Entspr. EuGH sind die Interessen beim Recht auf Vergessen anhand der Richtlinie 95/46/EG abzuwägen. Wenn die Datenschutz-Grundverordnung ab 25.5.2018 gelten wird, betrifft dies unmittelbar 1256 das BDSG, aber auch das TMG, soweit nicht Öffnungs- bzw. Bereichsausnahmen greifen. Beim TKG wird es sich voraussichtlich anders verhalten, soweit für die Datenschutzregeln dort andere, nicht von der DS-GVO betroffene RL (EK-DSRL, s. Rz. 1249, 1288) gelten bzw. umgesetzt wurden. Anders als für den TK-Datenschutz gibt es also für das TMG keinen teilweise bestehenden „Bestandsschutz“, da die Datenschutzregeln des TMG auf der EG-DSRL beruhen, sodass diese durch die DS-GVO ersetzt werden dürften.1762 Das könnte, je nach der Reaktion des Bundesgesetzgebers zu an sich unerwünschten Diver- 1257 genzen führen. Die DS-GVO soll die unionsweite Harmonisierung der Datenschutzbestimmungen bewirken.1763 Die DS-GVO bedeutet zugleich das Ende des Rechts auf informationelle Selbstbestimmung, da dieses nicht zur Interpretation der Grundlage, Art. 7 und 8 GRCh, herangezogen werden kann. Entsprechendes gilt auch für das evtl. noch wesentlich geeignetere Institut, dem Datenschutz zu praktischer Wirkung zu verhelfen, das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.1764 1754 Schmitz, in: Hoeren/Sieber/Holznagel, Teil 16.2 Rz. 29 ff. 1755 S.a. zu TDG, TDDSG und SigG (als Teile des IuKDG) Spindler/Schmitz/Geis, TDG Kommentar, 2004; G.-Begründung BT-Drs. 13/7385 v. 9.4.1997, mit Hinweis auf BDSG und DS-RL, S. 22. 1756 S.a. Nordmeier, in: Spindler/Schuster, § 3 TMG. 1757 I.R.d. Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste, ElGVG, BGBl I S. 179, in Kraft getreten am 1.3.2007. 1758 IT-SicherheitsG v. 17.7.2015, BGBl I 1324; s.a. Rz. 1358. 1759 Zweites Gesetz zur Änderung des Telemediengesetzes v. 21.7.2016, BGBl I 1766 mit dem neuen § 8 Abs. 3 TMG, wonach die Absätze 1 und 2 auch für Diensteanbieter nach Absatz 1, die Nutzern einen Internetzugang über ein drahtloses lokales Netzwerk zur Verfügung stellen, gelten, also WLAN-Betreiber aller Art, s. Franz/Sakowski, CR 2016, 525. 1760 EuGH v. 13.5.2014 – C-131/12 – Google Spain; s.a. Rz. 588 f. 1761 Schmitz, in: Hoeren/Sieber/Holznagel, Teil 16.2 TMG Rz. 30. 1762 S.a. Schmitz, in: Hoeren/Sieber/Holznagel, Teil 16.2 Rz. 36. 1763 Zum Entwurf v. 25.1.2012, KOM(2012) wurde dies von der Kommission und vom EP propagiert, Entschließung des Europäischen Parlaments vom 6.7.2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union (2011/2025(INI), Punkt 9; ebenso nun Albrecht, CR 2016, 88 (90). 1764 S. dazu Hauser, Das IT-Grundrecht. Schnittfelder und Auswirkungen, 2015, und Rz. 36 ff.
Schneider
323
A Rz. 1258
Datenschutz und IT-Management
1258 Abzugrenzen vom TKG und dessen Datenschutzregeln gelten für Telemedien gemäß TMG spezielle Datenschutzregeln. Gem. § 1 Abs. 1 Satz 1 TMG gilt dieses für alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 TKG sind. Insoweit erfolgt eine Art negative Definition der Telemedien durch Abgrenzung von TK-Diensten. Als Telemedien werden somit „alle“ elektronischen Informations- und Kommunikationsdienste definiert, soweit sie nicht „reine“ Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk darstellen. Die wesentliche Abgrenzung erfolgt positiv durch das das Erfordernis eines elektronischen Informations- und Kommunikationsdienstes, negativ über die Merkmale, dass kein – „reiner“ Telekommunikationsdienst, – telekommunikationsgestützter Dienst oder – Rundfunk vorliegt.1765 1259 § 2 Nr. 5 TMG definiert zusammen mit Beispielen für Dienste als „kommerzielle Kommunikation jede Form der Kommunikation, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren, Dienstleistungen oder des Erscheinungsbilds eines Unternehmens, einer sonstigen Organisation oder einer natürlichen Person dient, die eine Tätigkeit im Handel, Gewerbe oder Handwerk oder einen freien Beruf ausübt“. Gemäß § 2 Satz 1 Nr. 5 TMG stellt „die Übermittlung der folgenden Angaben […] als solche keine Form der kommerziellen Kommunikation dar: a) Angaben, die unmittelbaren Zugang zur Tätigkeit des Unternehmens oder der Organisation oder Person ermöglichen, wie insbesondere ein Domain-Name oder eine Adresse der elektronischen Post, b) Angaben in Bezug auf Waren und Dienstleistungen oder das Erscheinungsbild eines Unternehmens, einer Organisation oder Person, die unabhängig und insbesondere ohne finanzielle Gegenleistung gemacht werden.“
1260 Content-Provider, die Inhalte auf eigenen Rechnern speichern, sind Diensteanbieter i.S.d. § 2 Satz 1 Nr. 1 TMG, ebenso aber auch, wenn die Speicherung auf fremden Rechnern erfolgt.1766 Diensteanbieter sind etwa die Portalbetreiber (z.B. für Internetauktionen und Shopping-Portal), aber auch derjenige, der auf dem durch einen Dritten betriebenen Portal (Verkaufsplattform) sein gewerbliches Angebot präsentiert.1767 Weniger beachtet wird, dass auch das Mitglied im sozialen Netzwerk (Facebook, Xing, Twitter) durch seine Präsentation dort, „wenn diese nicht ausschließlich persönlichen Zwecken“ dient, Diensteanbieter ist.“1768 Auch WLAN-Betreiber sind durch die TMG-Novelle 2016 in den Kreis der nach § 8 TMG privilegierten Anbieter aufgenommen worden.1769 Damit soll die Rechtsunsicherheit bei der Störerhaftung beseitigt bzw. verringert werden.1770 1765 S. zu dieser Auffächerung ein positives und drei negative Tatbestandsmerkmale Ricke, in: Spindler/ Schuster, TMG § 1 Rz. 3 und Rz. 4 mit 12. 1766 Ricke, in: Spindler/Schuster, TMG § 2 Rz. 2 m.w.N. 1767 Ricke, in: Spindler/Schuster, TMG § 2 Rz. 2 unter Hinweis u.a. auf Föhlisch in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 53; LG München I v. 3.2.2005 – 7 O 11682/04, WRP 2005, 1042; LG Memmingen v. 23.6.2004 – 1 H O 1016/04, MMR 2004, 769. 1768 Ricke, in: Spindler/Schuster, TMG § 2 Rz. 2 m. Hinweis u.a. auf LG Aschaffenburg v. 19.8.2011 – 2 HK O 54/11, MMR 2012, 38; Dramburg/Schwenke, K&R 2011, 811. 1769 § 2 Satz 1 Nr. 2a TMG definiert dazu das drahtlose lokale Netzwerk als ein Drahtloszugangssystem mit geringer Leistung und geringer Reichweite sowie mit geringem Störungsrisiko für weitere, von anderen Nutzern in unmittelbarer Nähe installierte Systeme dieser Art, welches nicht exklusive Grundfrequenzen nutzt. 1770 Skeptisch: Spindler, NJW 2016, 2449, u.a. im Hinblick auf die ausstehende E. des EuGH – McFadden (Vorlage: LG München I v. 18.9.2014 – 7 O 14719/12, GRUR Int. 2014, 1166); dazu Schlussanträge (C-484/14) zur Haftung von Betreibern öffentlicher WLAN-Netze, EuGH, Pressemitt. 28/16 v. 16.3.2016.
324
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1261
A
1.3 Einzelne Dienste Im Hinblick auf die derzeit noch und wohl auch zukünftig bei Geltung der DS-GVO erforderliche Unterscheidung (s. Rz. 1258) zwischen Telemediendienst und TK-Dienst ist die erste Frage, um was für eine Art von Dienst es sich genau handelt, um diesen dann entsprechend einzuordnen. Dies ist nicht immer einfach, weshalb im Folgenden eine beispielhafte Auflistung erfolgt mit Beispielen, die in der Vergangenheit als Telemediendienst eingeordnet wurden. Einige der Einordnungen sind sicher nicht ganz unkritisch. Dies hängt auch mit jüngeren Entscheidungen zusammen, darunter v.a. VG Köln.1771 – Generell werden Internetangebote als Telemediendienst angesehen.1772 Neben den Meinungsforen spielen wohl die Onlineangebote von Waren bzw. Dienstleistungen mit unmittelbarer Bestellmöglichkeit bzw. Abrufen eine rein volumenmäßig große Rolle. Dabei wird häufig genauer zu unterscheiden sein zwischen dem Onlinedienst als solchem oder der Onlinenutzung zum Zwecke der Besichtigung oder auch der Nutzung eines solchen Dienstes einerseits und der durch die Nutzung ausgelösten und i. V. damit hergestellten Bestellung eines irgendwie gearteten Content, der dann ggf. auch online zugesandt wird, aber nicht Telemediendienst ist. Dies kann sich etwa auf den Bezug von Software, Datenbanken, das Eingehen von Abonnements, die Bestellung von Karten u.Ä. beziehen. – Dementsprechend werden die Abrufe von aktuellen Informationsdiensten bezüglich Börse, Wetter, Verkehr, Radioprogramm u.Ä. als Telemedien angesehen.1773 Die Meinungsäußerungs-Plattformen bzw. Blogs und sog. Wikis und genereller Networks werden ebenfalls als Telemedien angesehen. Dies gilt auch für Online-Games. Online-Games enthalten möglicherweise ganz erheblichen Zündstoff im Hinblick auf den Datenschutz, als dabei Daten in einer Situation abgerufen werden, bei der der Nutzer auf völlig andere Dinge konzentriert ist. Letztlich lassen sich die Daten, die bei Online-Games abgegeben werden, nahezu unmittelbar mit solchen Daten vergleichen, die bei Reparables abgegeben werden, also eigentlich schon im Gesundheitsbereich liegen.1774 – Wie angedeutet gelten generell auch Mails und dabei auch die Werbemails als Telemediendienste, was aber derzeit als offen gelten könnte.1775 Das allgemeine Verständnis vom Telemediendienst ist, dass der Nutzer eine natürliche Person ist und die Nutzung für private bzw. seine eigenen Zwecke vornimmt. Das ist natürlich nicht immer der Fall. Vielmehr werden Telemediendienste auch in beiden Bereiche für Firmen bzw. Unternehmen angeboten und von diesen genutzt. Dennoch ist für den Bereich des Datenschutzes bzw. genauer gesagt für das Anbieter-Nutzerverhältnis in § 11 ff. TMG der Nutzer nur derjenige, der eine natürliche Person ist, die die Telemedien nutzt. Daraus ergibt sich auch indirekt nochmals eine Definition im Hinblick auf Telemedien, nämlich „insbesondere um Informationen zu erlangen oder zugänglich zu machen“. – Nach § 11 Abs. 1 TMG gelten die Vorschriften dieses Abschnitts 4 des TMG zum Datenschutz nicht für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien, soweit die Bereitstellung solcher Dienste im Dienst- oder Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken oder innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlich dann ausschließlich zur Störung von Arbeits- oder Geschäftsprozessen erfolgt (§ 11 Abs. 1 Nr. 1 u. 2 TMG). Von größerer Bedeutung ist die 1. Alternative, dass die Dienste im Dienst- und Arbeitsverhältnis zu aus1771 VG Köln v. 11.11.2015 – 21 K 450/15, CR 2016, 131 hatte entschieden, dass Google-Mail als E-MailDienst ein Telekommunikationsdienst i.S.d. TKG sei; s.a. Kühling/Schall, CR 2016, 185 u. andererseits Schuster, CR 2016, 173; ebenfalls kritisch zu VG Grünwald/Nüßing, MMR 2016, 91; s.a. Rz. 1268. 1772 Ricke, in: Spindler/Schuster, TMG § 2 Rz. 2. 1773 Ricke, in: Spindler/Schuster, Teil 12 Rz. 11. 1774 Zum Datenschutzpotential s. a. Backu, ZD 2012, 58 (62). 1775 S. a. Ricke, in: Spindler/Schuster, Teil 12, § 3 TKG Rz. 41; VG Köln v. 11.11.2015 – 21 K 450/15, CR 2016, 131.
Schneider
325
1261
A Rz. 1262
Datenschutz und IT-Management
schließlich beruflichen oder dienstlichen Zwecken erfolgen. Damit sind v.a. Intranets, genannt auch Mitarbeiter-Portale, oder einzelne innerhalb des Betriebs vorgesehene Informationsverbreitungen wie ein elektronisches „schwarzes Brett“ zwar Telemediendienste, werden aber nicht von den Datenschutzvorschriften des TMG erfasst.1776 – Access-Provider werden zwar v. BGH als Telekommunikationsunternehmen bezeichnet, sind aber Diensteanbieter i.S.d. §§ 2 Nr. 1, 8 Abs. 1 Satz 1 TMG. Sie vermitteln „den Zugang zu einem Kommunikationsnetz, weil sie es über die von ihr bereitgestellten Internetzugänge Dritten ermöglichen, von deren Endgeräten aus auf das Internet zuzugreifen.1777 1262 Auch sog. Location Based Services im Zshg. mit der Steuerung der eigenen Fahrzeugflotte wie auch sonstige Logistik-Überwachung und -Steuerung, auch der elektronische Dienst für die Übermittlung der entsprechenden Auftragsdaten, also der gesamte Bereich der elektronischen Geschäfts- und Steuerungsprozesse unterfällt nicht den Datenschutzvorschriften des TMG. Schwierigkeiten bereitet allerdings die Abgrenzung, sobald entweder auch private Geräte benutzt werden oder aber v.a. die dienstlichen Geräte auch in der Freizeit genutzt werden, so etwa Dienstwagen, die den LBS unterliegen. 1263 Eine Folge der in Rz. 1260 angedeuteten Trennung von Onlinedienst und ggf. erworbenen oder eingestellten Inhalt/Content führt dazu, dass die Befreiung von den datenschutzrechtlichen Vorschriften für den Content nicht gilt.1778 Der Content ist also nach den Allgemeinen Grundsätzen zu beurteilen und unterliegt somit im Wesentlichen dem BDSG. Dementsprechend sind etwa E-Mail-Listen, die per E-Mail-Dienst verstreut werden, ihrerseits nicht nach dem TMG zu beurteilen, sondern nach dem BDSG.1779 Das Haupt-Argument, warum die Inhaltsdaten nicht dem Spezial-TMG-Datenschutz unterliegen ist, dass sie nicht für die Inanspruchnahme des Dienstes erforderlich sind. Besonders schwierig könnte die Aufteilung aber bei sog. Social Media bzw. Social Networks werden. Dort ist u. U. gerade als Inhalt das umzulegen, was wiederum die Online-Nutzung ausmacht, also das Beziehungsgefüge. Die Daten, die dieses Beziehungsgefüge widerspiegeln bzw. repräsentieren, wären demnach TM-Daten. Im Kern wird es so sein, dass die Speicherung der IT-Adresse des jeweiligen WebService-Nutzers zu den Telemediendaten gehört und i.Ü. sämtliche weiteren Daten, auch solche, die durch Zusatzeinrichtungen wie die mit eingestellten Content entstehen, den allgemeinen Vorschriften, also BDSG. 1264 Dies soll auch für die sog. Social Plug-Ins und dabei wiederum insb. für den Facebook „LikeButton“ gelten.1780 Diese Einrichtung ist nach Ansicht der Verbraucherzentrale im Hinblick auf § 15 Abs. 3 TMG bei Personenbezug rechtswidrig,1781 wobei anzumerken ist, dass nicht die Verpflichtung zur Anonymisierung besteht, sondern nur zur Pseudonymisierung. 1265 Einer der Hauptunterschiede in der Beurteilung liegt eigentlich weniger in der Schutzqualität seitens des Datenschutzes selbst, als vielmehr in den Voraussetzungen im Hinblick auf den Schutz der betroffenen Person, nämlich der Einwilligung. Diese ist beim TMG unter erleichterten Bedingungen, s. Rz. 1284, einholbar. Hier stellt sich allenfalls die Frage, die bei zu kleinem Display oder zu umfangreichen Darstellungen durch die Unklarheit bzw. Un-
1776 Zu dieser Ausnahme für dienstliche Telemediennutzungen s.a. Heidrich/Moos, in: Forgó/Helfrich/ Schneider, Teil VII. Kap. 1 Rz. 22 ff. (23). 1777 S. z.B. BGH v. 26.11.2015 – I ZR 3/14, MMR 2016, 188; v. 26.11.2015 – I ZR 174/14 – Goldesel mit Verweis auf Hoffmann, in: Spindler/Schuster, § 8 TMG Rz. 17, im Kontext der Sperrverfügungsproblematik, dazu Rz. 1310. 1778 S. a. Nink/Spindler, in: Spindler/Schuster, TMG § 11 Rz. 9. 1779 Zu den entsprechenden Abgrenzungsschwierigkeiten zwischen den Telemedien-Daten und den sog. Inhaltsdaten s.a. Spindler/Schuster, § 15 Rz. 3. 1780 S. a. Nink/Spindler, in: Spindler/Schuster, TMG § 15 Rz. 7 m.w. Beispielen u. Nachweisen. 1781 S. Meyer, Bericht in MMR FOKUS 5/2016, VIII.
326
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1269
A
übersichtlichkeit entstehen können (oder auch, wenn die entsprechende Erklärung zu versteckt angelegt sind).1782 Die in Rz. 1257 angedeuteten Schwierigkeiten bei der Unterscheidung verschiedener Dienste im Hinblick auf die Einordnung als Telemedien- oder TK-Dienst oder auch zwischen TMDienst und den Online-erforderlichen Daten und im allgemeinen dem BDSG unterliegenden Inhalt werden im Bereich der sog. Web.2.0-Dienste noch erheblich größer. Für die Einordnung als TM-Dienst ist entscheidend, ob er „ganz in der Übertragung von Signalen über Telekommunikationsnetze“ besteht (erste Variante, § 1 Abs. 1 Satz 1, wonach es sich dann um einen Telekommunikationsdienst nach § 3 Nr. 24 TKG handelt). Hawellek hat hierzu die möglichen Konstellationen wie folgt aufgestellt:1783
1266
„1. Der Dienst ist reiner Telemediendienst, wenn er nicht ganz oder überwiegend in der Übertragung von Signalen über Kommunikationsnetze besteht und nicht Rundfunk oder Telekommunikations-gestützter Dienst ist. 2. Der Dienst ist reiner Telekommunikationsdienst (und kein Telemediendienst), wenn er ganz in der Übertragung von Signalen über Telekommunikationsnetze besteht.“ 3. Es handelt sich sowohl um einen Telemediendienst als auch einen Telekommunikationsdienst, „wenn er überwiegend, aber nicht ganz in der Übertragung von Signalen über Telekommunikationsnetze besteht“. 4. „Der Dienst ist Telekommunikations-gestützter Dienst und damit kein Telemediendienst, wenn die Voraussetzungen des § 3 Nr. 25 TKG vorliegen.“ 5. „Der Dienst ist Rundfunk und damit kein Telemediendienst, wenn die Voraussetzungen des § 1 RStV vorliegen.“
Und nun das Problem: Sog. interne Nachrichten- und Chat-Dienste sind wohl einerseits als Plattform und von der Art der Nutzung her Telemediendienst, zugleich aber auch telekommunikationsrechtlich relevant. Die Unterscheidung bzw. die Kombination führt dazu, dass z. B. das Beladen mit dem Content (Fotos, Videos u.Ä.) als TK-Dienst zu sehen ist, evtl. die Nutzung als Telemediendienst, also die Bereitstellung i.R.d. TMG beurteilt wird und insofern dann auch die Nutzerdaten sich nach dem TMG beurteilen.
1267
1.4 Potentielle Wirkung der DS-GVO Es ist zu erwarten, dass die §§ 11 ff. TMG bei Geltung der DS-GVO nicht mehr anwendbar 1268 sind und insofern ein telemedienspezifischer Datenschutz nicht mehr gegeben ist.1784 Dies wird wohl auch für die TK-Dienste gelten, also §§ 91 ff. TKG, möglicherweise auch für viele weitere Einzel-Datenschutz-Vorschriften und -Komplexe, so etwa solche im SGB. Der große Vorteil, der damit verbunden ist, könnte darin gesehen werden, dass die bisherigen Abgrenzungs-Schwierigkeiten, die zum Teil künstlich schienen, entfallen. Zu diesen AbgrenzungsSchwierigkeiten bei manchen Diensten s. z.B. den Streit um die Entscheidung des VG Köln, die E-Mail-Dienste als Telekommunikationsdienste qualifizierte.1785 Konkret ging es um den Google-Mail-Dienst, der als gewerblich öffentlich zugänglicher Telekommunikationsdienst i.S.v. § 6 Satz 1 TKG qualifiziert wurde. Offensichtlich auch auf Basis einer Spezial-Einschätzung hatte z.B. auch der EGMR einen Messenger Dienst zu beurteilen gehabt und dabei die Rechte des Arbeitgebers zur Beobachtung des Mitarbeiters als gegeben angesehen. Die Frage wäre, wie vergleichbar eine Ent1782 S. LG Frankfurt/M. v. 10.6.2016 – 2-03 O 364/15 zu 56 Bildschirmseiten Datenschutzbestimmungen für Samsung-TV). 1783 Hawellek, in: Forgó/Helfrich/Schneider, Teil VII. Kap. 2 Rz. 17. 1784 S. a. Keppeler, MMR 2015, 779 (noch zum Entwurf der DS-GVO). 1785 VG Köln v. 11.11.2015 – 21 K 450/15, CR 2016, 131 u. dazu Kühling/Schall, CR 2015, 641 einerseits (bejahend) u. Schuster, CR 2016, 143 andererseits (kritisch verneinend).
Schneider
327
1269
A Rz. 1270
Datenschutz und IT-Management
scheidung der deutschen Richter allein von ihrer Zuständigkeit her gesehen worden wäre.1786 Insofern ist es auch verständlich, dass die zu erwartende „Verdrängung“ der Anwendbarkeit des Datenschutzes bei TMG u. TKG, soweit hierzu nicht noch spezielle Regelungen getroffen werden können, eher zu einer positiv zu bewertenden Vereinheitlichung führt und zu einem Ende des sog. Datenschutz-Fleckenteppiches.1787 Dazu gehört auch die Priorisierung der diversen Geheimnisse.1788 Vereinheitlichung hätte hat auch den Vorteil, dass manche der bisherigen Differenzierungen, die noch dazu bereichsspezifisch unterschiedlich waren, aufgegeben werden müssen und auch können, so etwa die Aufteilung in Bestands-, Nutzungs- und Inhaltsdaten. Im Hinblick auf die Skandalisierungspflicht, aber auch die evtl. Bußgeldtatbestände ist diese Einheitlichkeit wohl eher zu begrüßen. 1270 Ob sich evtl. andererseits durch eine evtl. sehr langsame Abwicklung des VereinheitlichungsKohärenzmechanismusses über eine längere Zeit hin Unsicherheiten aufgrund regionaler Unterschiede ergeben, ist zu erwarten bzw. zu befürchten. Daran lässt sich allenfalls durch die geeignete Vorbereitung, bevor die DS-GVO unmittelbar Wirkung entfaltet, etwas präventiv tun. 2. Datenschutz im TMG 2.1 Adressaten und Verbotsprinzip speziell für Telemedien 1271 § 11 TMG regelt die Geltung der Datenschutzvorschriften negativ über das Verhältnis Anbieter/Nutzer und damit den Anwendungsbereich, Abs. 1: „(1) Die Vorschriften dieses Abschnitts gelten nicht für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien, soweit die Bereitstellung solcher Dienste 1. im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken oder 2. innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt.“
Gem. § 11 Abs. 2 TMG ist Nutzer in diesem Sinne „jede natürliche Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen.“ Für Telemedien, „die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen“, gelten nur § 15 Abs. 8 TMG und § 16 Abs. 2 Nr. 4 TMG. 1272 Gem. § 12 Abs. 1 TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Dies fokussiert die strukturell vergleichbare, allgemeine Regel des Verbots mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) auf Telemedien.§ 14 Abs. 1TMG erlaubt Erhebung und Verwendung der Bestandsdaten (Rz. 1276), soweit dies erforderlich ist, § 15 Abs. 1 TMG erlaubt entsprechend Erhebung und Verwendung der Nutzungsdaten (Rz. 1278). Bezogen auf die Zulässigkeit der Verwendung der für die Bereitstellung von Telemedien erhobenen personenbezogenen Daten gelten jeweils für andere Zwecke spezielle Voraussetzungen. 1273 Die Geltung des BDSG i.Ü. („soweit nichts anderes bestimmt ist“) wird in § 12 Abs. 3 TMG ausdrücklich geregelt und zwar auch für den Fall, dass die Daten nicht automatisiert verarbeitet werden.
1786 EGMR v. 12.1.2016 – 61496/08, CRi 216, 56, wobei es um das Messenger-Account des Arbeitnehmers ging. Dazu s.a. Rz. 701. 1787 Keppeler, MMR 2015, 779 (782). 1788 Z.B. zum Vorrang des Fernmeldegeheimnisses nach Art. 10 GG s. Schmitz, in: Hoeren/Sieber/Holznagel, Teil 16.2 Rz. 27f.
328
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1277
A
2.2 Pflichten des Anbieters (§ 13 TMG) Neben der Einwilligung (dazu Rz. 1284) regelt § 13 TMG eine Reihe von Unterrichtungspflichten (Allgemein in Abs. 1 und speziell zur Einwilligung in Abs. 3) und von Pflichten zur Gestaltung des Dienstes mit technischen und organisatorischen Vorkehrungen (Abs. 4). Hervorzuheben sind zu Abs. 4 v.a. die Pflichten der Sicherstellung
1274
– Jederzeitige Beendigung der Nutzung (§ 13 Abs. 4 Satz 1 Nr. 1 TMG), – Löschung bzw. Sperrung1789 von Daten „über den Ablauf des Zugriffs oder der sonstigen Nutzung“ unmittelbar nach deren Beendigung (§ 13 Abs. 4 Satz 1 Nr. 2 TMG), – Daten nach § 15 TMG (Nutzungsdaten) nur für Abrechnungszwecke zusammenführbar (§ 13 Abs. 4 Satz 1 Nr. 5 TMG), und – Nutzungsprofile nach § 15 Abs. 3 TMG nicht zusammenführbar mit Angaben zu Identifikation des Trägers des Pseudonyms. Nach § 13 Abs. 6 TMG ist andererseits ausdrücklich die Nutzung und die Bezahlung der Telemedien anonym oder pseudonym zu ermöglichen, allerdings nur soweit das „technisch möglich und zumutbar“ ist. Nach § 13 Abs. 7 TMG sind auch speziell für Telemedien technische und organisatorische Vorkehrungen gegen unerlaubten Zugriff einzurichten und diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, zu sichern.1790 I.R.d. Informationspflichten spielen die Informationspflichten als Marktverhaltensregeln eine Rolle, sodass im Kontext UWG die Online- bzw. „Kontaktformulare“ geprüft und ggf. abgemahnt werden, wenn die datenschutzrechtlichen Hinweispflichten nicht eingehalten sind.1791
1275
2.3 Bestandsdaten (§ 14 TMG) Gem. § 14 Abs. 1 TMG darf der Diensteanbieter „personenbezogene Daten eines Nutzers 1276 nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten)“. Dieses Spektrum ist abschließend aufgrund des Verbotsprinzips, auch hier durch „nur“ ausgedrückt, aber schwammig, weil es zugleich auf die Erforderlichkeit ankommt.1792 Der Anbieter hat es gewissermaßen in der Hand, über die Art der Vertragsgestaltung das Datenspektrum zu steuern. Erst über allgemeine Prinzipien wie Datenminimierung nur schwach, in Zukunft aber i.R.d. DSGVO durch privacy by design (s.a. Rz. 599) wird diese Möglichkeit begrenzt. Jedenfalls variieren die Daten, die zu den Bestandsdaten zählen, je nach Art des Diens- 1277 tes.1793 Nach § 14 Abs. 2 TMG darf der Diensteanbieter auf Anordnung der zuständigen Stellen Auskunft erteilen.
1789 Gem. § 13 Abs. 4 Satz 2 TMG: soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. (5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen. 1790 § 13 Abs. 7 TMG wurde eingefügt i.R.d. IT-SicherheitsG; s.a. Rz. 1406 ff., v.a. Rz. 1419. 1791 OLG Köln v. 11.3.2016 – 6 U 121/15; dabei wird vom OLG angenommen, dass die der EZ-DSRL (s.a.) zugrundeliegenden Erwägungen auch „dem Schutz der Verbraucherinteressen bei der Marktteilnahme … dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen“, mit Verweis auf Köhler/Bornkamm, UWG, 29. Aufl. 2011, Rz. 11.35d zu § 4. 1792 S. a. zu dieser Vermischung Nink/Spindler, in: Spindler/Schuster, TMG § 14 Rz. 2. 1793 Nink/Spindler, in: Spindler/Schuster, TMG § 14 Rz. 3.
Schneider
329
A Rz. 1278
Datenschutz und IT-Management
2.4 Nutzungsdaten (§ 15 TMG) 1278 Bei den Nutzungsdaten gilt auch das Erforderlichkeitsprinzip, wird aber durch Beispiele konkretisiert: Gem. § 15 Abs. 1 Satz 1 TMG darf der Diensteanbieter „personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)“. Gem. § 15 Abs. 1 Satz 2 TMG sind Nutzungsdaten „insbesondere“ 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Welche Daten konkret erforderlich sind, hängt auch wieder von der Art des Dienstes ab. Jedenfalls geht es um Leistungsspezifikation (was zur „Ermöglichung“ des Dienstes erforderlich ist) und um Abrechnungsdaten. Strittig ist z.B., ob sog. Plug-Ins Nutzungsdaten sind. Sie werden aber nicht als „erforderlich“ zu erachten sein.1794 1279 Nicht dazu gehören die Inhaltsdaten. Allerdings kann die Abgrenzung schwierig sein, die wiederum wichtig ist, weil sich die Inhaltsdaten ggf. nach BDSG beurteilen.1795 Etwa könnten die Angaben zur eigenen Person zwar (schon) Inhaltsdaten sein, sind bei Social Media andererseits aber Teil des Dienstes. Abzugrenzen bzw. nicht zu den Nutzungsdaten gehören die Verbindungsdaten, die sich nach TKG beurteilen.1796 Strittig bzw. in gewissem Sinne offen ist aber die Beurteilung der IP-Adressen.1797 1280 Nach § 15 Abs. 2 TMG darf der Diensteanbieter „Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist“. Insoweit gilt also das Trennungsgebot nicht.1798 Ein solches gilt aber wiederum speziell für die Profile mit Pseudonymen gem. § 15 Abs. 3 Satz 3 TMG. 1281 § 15 Abs. 3 TMG gilt als Ausprägung des „Systemdatenschutzes“, Datenschtz durch Technikgestaltung,1799 und erlaubt für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Profilbildung, allerdings für Nutzungsprofile mit Pseudonymen. Diese dürfen wie erwähnt gem. § 15 Abs. 3 Satz 3 TMG nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.1800 Probleme bereitet der Personenbezug bei dem „Facebook Like-Button“ bzw. der zugrunde liegenden Funktion:1801 „Der Anbieter der Website, auf der das Facebook-Plug-In integriert werden soll, müsste also vorab jeden Besucher der Website aufklären und dürfte das Plug-In erst dann ausführen, wenn der Besucher ausdrücklich eingewilligt hat. Eine solche Lösung dürfte kaum sinnvoll umgesetzt werden können. Sinnvoller ist dagegen der Einsatz einer Zwei-Klick-Lösung, bei der eine Verbindung zu Facebook erst hergestellt wird, wenn eine ausdrückliche Aktivierung durch
1794 S. z.B. zu Like Button Piltz, CR 2011, 657 (660) mit Verweis auf Gennen/Kremer, ITRB 2011, 59 (62). 1795 Nink/Spindler, in: Spindler/Schuster, TMG § 15 Rz. 3. 1796 Nink/Spindler, in: Spindler/Schuster, TMG § 14 Rz. 5. 1797 Ob diese überhaupt personenbezogen sind, ist ebenfalls str., s. dazu BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109 m. Anm. Schleipfer/Eckhardt, Vorlage beim EuGH – 582/14 – Patrick Breyer v Germany. 1798 Speziell § 15 Abs. 4 und Abs. 5 (enthalten Ausnahmen für Abrechnungszwecke) und Abs. 6 TMG. 1799 Hullen/Roggenkamp, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 15 TMG, Rz. 26. 1800 S. Arning/Moos, ZD 2014, 126. 1801 Meyer, MMR FOKUS 5/2016, VIII. S.a. LG Düsseldorf: Facebook Like-Button nicht ohne vorherige Einwilligung nutzbar (LG Düsseldorf v. 9.3.2016 – 12 O 151/15, MMR 2016, 328).
330
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1286
A
den Besucher erfolgt1802. Zuvor bleibt der Gefällt-mir-Button inaktiv und übermittelt auch keine Daten an Facebook.“ Online Behavioral Advertising macht es ebenfalls erforderlich, dass der Provider, der zwecks „Programmatic Buying“ keinen Zugriff zu den personenbezogenen Daten hat.1803
1282
§ 15 Abs. 7 TMG regelt die Speicherfrist (höchstens bis zum Ablauf des 6. Monats nach Versendung der Rechnung). § 15 Abs. 8 TMG gewährt dem Diensteanbieter demgegenüber aber Verlängerung bei konkreten (und zu dokumentierenden) Anhaltspunkten von Missbrauch durch Nutzer. Die längeren Speicherfristen gelten für die Zeit der Rechtsverfolgung bzgl. der Beitreibung des Entgelts für den in Anspruch genommenen Dienst und dies, soweit dafür die betreffenden Daten erforderlich sind. Gem. § 15 Abs. 8 Satz 2 TMG greift die Löschungspflicht, wenn die Voraussetzungen nach Satz 1 entfallen oder die Daten nicht mehr benötigt werden.
1283
2.5 Einwilligung Die Einwilligung ist eine der beiden Säulen für datenschutzrechtliche Zulässigkeit der Verarbeitung. Während das BDSG unpraktisch hohe Anforderungen stellt (s. Rz. 539 ff.), sind diese für Telemediendienste in § 13 Abs. 2 TMG abgesenkt:
1284
„??(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, (…) 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.“ (dazu s. Rz. 188) „(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend.“ (§ 13 Abs. 1 Satz 3 TMG verlangt die jederzeitige Abrufbarkeit.)
Eine Vereinheitlichung und Vereinfachung gegenüber den Anforderungen bei BDSG wird es durch die DS-GVO geben.1804 Deren Regelung ist näher an der des § 13 Abs. 2 TMG. Dieser enthält bestimmte Formanforderungen für die datenschutzrechtlichen Einwilligungserklärungen bei Telemedien. Die Schriftform, wie dies § 4a BDSG vorschreibt, ist hier nicht gefordert. Dafür muss, ähnlich wie bei der Sonderregelung für Werbung aus § 28 Abs. 4 Satz 2 BDSG, nach § 13 Abs. 2 TMG ein Hinweis auf das Widerspruchsrecht erfolgen. Die Formerfordernisse für eine Einwilligung nach der DS-GVO bleiben in allen Entwürfen 1285 hinter dem Standard aus § 4a BDSG zurück. Insb. wird die Schriftform in Art. 7 DS-GVO nicht verlangt. 2.6 § 15a TMG, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Die Skandalisierungspflicht gilt gem. § 15a TMG entsprechend (§ 42a BDSG). Diese greift, 1286 wenn der Diensteanbieter feststellt, „dass bei ihm gespeicherte Bestands- oder Nutzungsdaten unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers“.
1802 LG Düsseldorf v. 9.3.2016 – 12 O 151/15 zum Einsatz der Social Plugins allenfalls mit 2-Klick-Lösung (und diese angezweifelt). 1803 S. zu Big Data Anwendung bei Arning/Moos, ZD 2014, 241 (243) mit Erläuterung der Funktionsweise des real time advertising. 1804 Keppeler, MMR 2015, 779; zur Einwilligung nach der DS-GVO s. Rz. 539.
Schneider
331
A Rz. 1287
Datenschutz und IT-Management
3. Einzelne Dienste und DS-GVO 3.1 TMG, TKG und DS-GVO 1287 Mit Geltung der DS-GVO wird der bereichsspezifische Datenschutz im TMG große Änderungen erfahren. Zwar beruht dieser Datenschutz in §§ 11 ff. TMG nicht auf der EG-DSRL, sondern ist eine Zusammenführung der datenschutzrechtlichen Vorschriften aus TDDSG und MDStV. Aber auch diese Spezialregelungen basierten auf keiner speziellen RL, sondern, soweit überhaupt, inhaltlich auf der EG-DSRL. Diese wird gemäß Art. 94 Abs. 1 DS-GVO aufgehoben werden. Nicht unwesentlich komplexer verhält es sich beim TKG, das in weiten Teilen eine Umsetzung der Richtlinie 2002/58/EG darstellt. Art. 95 DS-GVO regelt das Verhältnis der DS-GVO zur RL 2002/58/EG und bestimmt, dass den Anbietern elektronischer Telekommunikationsdienste keine zusätzlichen Pflichten auferlegt werden sollen, soweit sie besonderen Pflichten aus der Datenschutzrichtlinie für elektronische Kommunikation unterliegen (s. Rz. 1250). Dieser Anwendungsvorrang der in der Richtlinie normierten Pflichten hat allerdings nicht zwangsläufig zur Folge, dass die nationalen Ausführungsvorschriften des Telekommunikationsgesetzes vollständig anwendbar bleiben. Lediglich dort, wo der TKG-Datenschutz die Richtlinie 2002/58/EG umsetzt, bleibt es bei der Anwendung der TKG-Vorschriften und die DS-GVO ist nicht anwendbar. Wo das TKG über die Regelungen der Richtlinie hinausgeht, wird es zur Anwendung der DS-GVO kommen. 1288 Da aber die Datenschutzregeln des TKG (teilweise) über die RL hinausgehen, sind sie insoweit von der DS-GVO betroffen. Insofern ist jetzt für die Übergangszeit bis zum 25.5.2018 noch die bisherige Aufteilung im Verhältnis TMG/TKG relevant, wird ab 25.5.2018 statt der §§ 11 ff. TMG die DS-GVO gelten, soweit nicht einzelne deutsche Neu-Regelungen noch die DS-GVO insoweit für TM-Dienste ausfüllen (können). Für TK-Dienste könnte die DSGVO gelten, soweit die Datenschutzvorschriften nicht auf RL 2002/58/EG beruhen.1805 1289 Wenn das wirklich so erfolgt, entsteht durch das Nebeneinandergelten der Rechtsordnungen (denn es gibt „nur“ den Anwendungs- und nicht den Geltungsvorrang) eine hohe Wahrscheinlichkeit einer großen Rechtsunsicherheit – trotz einer Verdrängung kollidierender nationaler Vorschriften. Roßnagel hat diese unter Verweis auf den als „Unklarheiten tatsächlicher Art“ beschrieben,1806 weil die Normadressaten bezüglich der Möglichkeit, sich auf Unionsrecht zu berufen, in einem Zustand der Ungewissheit gelassen werden. Diese könnten einen Bedarf an nationalen Regelungen begründen, „die sie beseitigen“, weshalb ein Anpassungsgesetz erforderlich ist.1807 3.2 Cookies 1290 Es besteht Unsicherheit hinsichtlich der Umsetzung der „Cookie-RL“ (ePrivacy-RL 2009/136/EG).1808 Im Mai 2011 ist die Umsetzungsfrist abgelaufen, ein Gesetzentwurf des Bundesrats (BR-Drs. 156/11) wurde von der Bundesregierung abgelehnt (Gegenäußerung der
1805 S. Nebel/Richter, ZD 2012, 407 zum Datenschutz bei Internetdiensten im Kommissionsentwurf; Roßnagel/Nebel/Richter, ZD 2013, 103 mit Vorschlägen zum Internetdatenschutz in der DS-GVO, und kritisch zum Ergebnis der DS-GVO Roßnagel, https://www.bundestag.de/blob/409512/4af c3a566097171a7902374da77cc7ad/a-drs-18-24-94-data.pdf (abgerufen am 23.8.2016). 1806 Stellungnahme vom 19.2.2016 zum Fachgespräch zur DS-GVO im BT-Ausschuss Digitale Agenda. http://www.computerundrecht.de/Stellungnahme_Rossnagel_zum_Ausschusses_Digitale_Agenda_ v._19.2.2016.pdf (abgerufen am 23.8.2016) mit Verweis u.a. auf EuGH v. 15.7.1964 – C-6/64, Costa/ ENEL, Slg. 1964, 1251, Ls. 3. 1807 Roßnagel, Stellungnahme vom 19.2.2016 zum Fachgespräch zur DS-GVO im BT-Ausschuss Digitale Agenda. http://www.computerundrecht.de/Stellungnahme_Rossnagel_zum_Ausschusses_Digitale_ Agenda_v._19.2.2016.pdf (abgerufen am 23.8.2016). 1808 S. Rauer/Ettig, ZD 2014, 27.
332
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1293
A
Bundesregierung v. 3.8.2011).1809 Hier soll die Entscheidung des OLG Frankfurt zur Einwilligung in Cookies insofern behandelt werden, als strittig scheint, ob die sog. „Opt-out“-Einwilligung in die Cookie-Nutzung mit den Regelungen des TMG und BDSG – insb. vor dem Hintergrund der Cookie-RL 2002/58/EG sowie der ePrivacy-RL 2009/136/EG1810 – vereinbar ist.1811 Das OLG Frankfurt ließ im Zshg. mit der Teilnahme an einem kostenlosen Gewinnspiel als Einwilligung eines Verbrauchers in die Cookie-Nutzung genügen, dass der Nutzer einer vorformulierten Erklärung „durch Entfernen eines voreingestellten Häkchens widersprechen kann („Opt-out“)“.1812 Ausdrücklich betont das OLG, dass die Anforderungen seitens BDSG und TMG „nach Ablauf der Umsetzungsfrist für die Neuregelung des Art. 5 Abs. 3 RL 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation) durch Art. 2 Nr. 5 RL 2009/136/EG (ePrivacy- Richtlinie) am 25.5.2011 (vgl. Art. 4 Abs. 1 der RL 2009/136/EG) richtlinienkonform auszulegen sind“.1813 Zwar sind Informationspflichten bezüglich der Funktion der Cookies zu beachten,1814 aber hinsichtlich des Opt-Out ist kein weiterer Hinweis erforderlich, da „der durchschnittliche Internetnutzer heute weiß, dass er ein solches Häkchen durch Anklicken des Ankreuzfeldes entfernen und damit seine Einwilligung verweigern kann“.1815 Anders verhält es sich also hinsichtlich der Funktion der Cookies, die in den Grundzügen richtig herauszustellen ist, wie auch die Zusammenhänge bei der Setzung und Nutzung von Cookies im Einzelnen detailliert zu erläutern sind.1816 Es lassen sich Nutzungsprofile anhand von Cookies erstellen,1817 was im Hinblick auf § 15 TMG,1818 demnächst DS-GVO zu Profilen (Rz. 92 f., 553 ff.) relevant ist. Mittels Cookies können Nutzer identifiziert und ihr Nutzungsverhalten zugeordnet, aggre- 1291 giert und analysiert werden. Entgegen dem OLG Frankfurt besagt die RL 2009/136/EG (sog. ePrivacy-Richtlinie), dass der Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung vor dem Setzen gegeben haben muss,1819 also eine Opt-in-Lösung gilt. Deshalb reicht die Beibehaltung von Standardeinstellungen des Internet-Browsers nicht.1820 Ohne explizite Umsetzung der Richtlinie 2009/136/EG in deutsches Recht allerdings richte- 1292 te sich die Cookie-Datenverarbeitung nach der Opt-out-Lösung des TMG. Danach ist ausreichend, dass der Nutzer über die Verwendung von Cookies in der Datenschutzerklärung informiert wird (§ 13 TMG) und die Möglichkeit hat, der Erhebung und Verarbeitung seiner personenbezogenen Daten zu widersprechen. An mehreren Stellen regelt das TMG, dass der Nutzer über die Vorgänge, die mit seinen Daten 1293 bzw. seinem Nutzungsvorgang geschehen, zu informieren ist. U.a. besagt § 13 Abs. 1 Satz 2 TMG, dass der Nutzer zu Beginn des Versands bereits zu unterrichten ist, wenn in einem auto1809 S. Moos/Arning, ZD-Aktuell 2011, 124 im Kontext eines Vorschlags der ICC zur Umsetzung der „Cookie-Richtlinie“ 2009/136/EG, ZD-Aktuell 2011, 124. 1810 Zur Perspektive: The European Commission published on 10/06/2015 a study on the „ePrivacy Directive: assessment of transposition, effectiveness and compatibility with proposed Data Protection Regulation“ (SMART 2013/0071). S. Aldhouse/Upton v. 29.4.2016 http://www.twobirds.com/en/ news/articles/2016/uk/the-future-of-the-e-privacy-directive (abgerufen am 23.8.2016). 1811 OLG Frankfurt v. 17.12.2015 – 6 U 30/15, CR 2016, 256, dazu Starnecker/Wessels, jurisPR-ITR 5/2016 Anm. 2. 1812 OLG Frankfurt v. 17.12.2015 – 6 U 30/15, CR 2016, 256, aus Ls. 1. 1813 OLG Frankfurt v. 17.12.2015 – 6 U 30/15, CR 2016, 256 (257). 1814 Zur Funktion: Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 154; s.a. Starnecker/ Wessels, jurisPR-ITR 5/2016 Anm. 2. 1815 OLG Frankfurt v. 17.12.2015 – 6 U 30/15, CR 2016, 256, aus Ls. 1. 1816 OLG Frankfurt v. 17.12.2015 – 6 U 30/15, CR 2016, 256, Ls. 2. 1817 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rz. 75 ff., 154 ff., 265 ff. 1818 Rauer/Ettig, ZD 2015, 255 zum rechtskonformen Einsatz. 1819 S. Vorlage BVerwG v. 25.2.2016 – 1 C 28/14, BeckRS 2016, 44371, zu Einschaltung Facebook und fehlender Vorabinformation bei Fanpages. 1820 Dazu Art. 29-Gruppe v. 8.12.2011, WP 188.
Schneider
333
A Rz. 1294
Datenschutz und IT-Management
matisierten Verfahren eine spätere Identifizierung möglich ist und eine Erhebung oder Verwendung personenbezogener Daten so vorbereitet wird. Hierbei geht es um die IP-Adressen und um Cookies. Indirekt wird damit die Verwendung von Cookies als zulässig unterstellt, sofern nur eine geeignete Information zuvor erfolgt. Es wird also dem Nutzer überlassen, was er mit dem Dienst, der solche Cookies einsetzt, macht, ob er ihn weiter nutzt oder nicht. Ob dem Nutzer dann allerdings klar ist, wenn er die Cookies zulässt, dass dann Profile über ihn erstellt werden (können), darf bezweifelt werden. Jedenfalls enthält die Regelung einen Ansatz, dass der Nutzer selbst präventiv tätig werden kann, indem er die Cookies ablehnt. 1294 Somit erweist sich als besonders problematische Frage, ob es bei diesen technischen Mitteln auf die Sachherrschaft bzw. Eigentumslage ankommt. Verneint man dies, wäre keine relevante Erhebung gegeben, wenn über das Equipment fremder Provider die Daten per Internet an die Stelle im Drittland gelangen. Dies ist etwa anzunehmen, wenn eine Website im Drittland vom Inland aus aufgerufen wird. Anders soll es sich aber verhalten, wenn auf dem fremden Gerät im Inland eigene Einrichtungen des im Drittland gelegenen Anbieters genutzt werden, so etwa ein vom Anbieter gesteuertes automatisiertes Verfahren, das ggf. auch direkt dem Nutzer zur Verfügung gestellt wird, einschließlich der so genannten Cookies. 1295 Demnach müsste man im Einzelfall genau untersuchen, ob etwa eine gezielte Übermittlung mittels entsprechender Einrichtungen, die ein im Drittland gelegener Anbieter beigesteuert hat, erfolgt und ob er das Verfahren selbst steuert, oder ob tatsächlich nur eine vom Nutzer aus gesteuerte Verbindung ins Drittland etwa über das Internet hergestellt wird.1821 1296 Besonders krass kann das Übermittlungsproblem werden, wenn in den USA privat ermittelt wird (Discovery, mit Unterstützung des Gerichts) und sich dies auf personenbezogene Daten in Europa, etwa im Wege sog. eDiscovery, bezieht.1822 Ähnliche Divergenzen treten auch bei Maßnahmen nach Whistleblowing auf (s.a. Rz. 1395, 1400). Ob die DS-GVO dem einen Riegel vorschieben konnte, wird sich erst noch zeigen müssen.1823 3.3 Profile 1297 Im Zshg. mit den IP-Adressen stellt sich bei § 15 TMG die Frage, die nun der EuGH zu beantworten hat,1824 ob die Erforderlichkeit nach § 15 Abs. 1 TMG mit Art. 7 DS-RL vereinbar ist und ob nicht § 15 Abs. 1 TMG so auszulegen ist, dass er die Speicherung der IP-Adressen der Website-Besucher erlaubt.1825 1298 Allerdings wird in Zukunft § 15 Abs. 3 TMG entfallen, wonach pseudonymisierte Benutzerprofile für Werbezwecke erstellt werden dürfen. Auf Basis dieser Regelung werden im Internet Daten über Benutzer gesammelt, um diesen personalisierte, auf ihre Interessen zugeschnittene Werbung zukommen zu lassen. § 15 Abs. 3 TMG knüpfte diese Möglichkeit in keiner Weise an eine Interessenabwägung oder eine Einwilligung. Dies wird in Zukunft nicht mehr möglich sein, wenn nicht die Möglichkeit gem. Art. 22 Abs. 2 b DS-GVO ergriffen wird, eine Zulässigkeitsnorm zu schaffen.1826 1821 S. Duhr/Naujock/Schaar, MMR 7/2001, XVII mit Hinweis auf Dammann, in: Simitis u.a., § 3 BDSG Rz. 108. 1822 S. zu Spannungsverhältnis, unterschiedlichen Ansätzen im Datenschutz Spies/Schröder, MMR 2008, 275, 276. 1823 Zur Abwägung vor Safe Harbor Ende und Privacy Shield Diskussion: Deutlmoser/Filip, in: Hoeren/ Sieber/Holznagel, 34. EL Stand 4/2013, Teil 16.6 Rz. 60; zu DS-GVO s. Rz. 492. 1824 https://www.delegedata.de/2016/05/generalanwalt-datenschutzvorschriften-des-deutschen-teleme diengesetzes-verstossen-gegen-eu-recht/ (abgerufen am 23.8.2016) „Breyer“ (C-582/14) Schlussantrag v. 12.5.2016; betr. BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109 zu IP-Adressen. 1825 BGH v. 28.10.2014 – VI ZR 135/13, CR 2015, 109 m. Anm. Schleipfer/Eckhardt. 1826 S. Härting, DS-GVO, 2016, Rz. 644 f, der zugleich (Rz. 646) Zweifel anmeldet, ob Art. 22 DS-GVO auf Nutzungsprofile anwendbar ist, was voraussetzt, dass sie erheblich beeinträchtigen, s.a. Rz. 196, 554.
334
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1302
A
Da die Darstellung von Werbung für die Nutzung eines Telemediums nicht „erforderlich“ 1299 ist, kann die Erstellung von Werbeprofilen nicht über Art. 6 Abs. 1 lit. b DS-GVO gerechtfertigt werden. Soweit keine entsprechende Einwilligungserklärung vorliegt, wird in Zukunft in den meisten Fällen Art. 6 Abs. 1 lit. f DS-GVO als einzige Rechtfertigungsmöglichkeit verbleiben. Nach dieser Norm wird eine Datenverarbeitung gerechtfertigt, soweit ein legitimes Interesse an der Datenverarbeitung besteht und kein überwiegendes Interesse des Betroffenen gegen die Datenverarbeitung spricht. Es obliegt daher in Zukunft den Datenschutzaufsichtsbehörden und den Gerichten zu entscheiden, welches Maß an Nutzerprofilen für legitim gehalten wird. Dies ist zwar aus Sicht des Schutzes der Daten des Individuums zu begrüßen – eine ausufernde Datensammlung, wie sie etwa von Google betrieben wird, kann in Zukunft in Deutschland leichter als unrechtmäßig angesehen werden –, führt aber auf der anderen Seite zu einer starken Rechtsunsicherheit. Zudem kann die Erhebung eines besonderen personenbezogenen Datums gem. Art. 9 DS-GVO nicht durch ein „legitimes Interesse“ gerechtfertigt werden. Nutzerprofile dürfen sich also in Zukunft – ohne Einwilligung – auf keinen Fall auf gesundheitsrelevante Daten oder Religions- oder Glaubenszugehörigkeit o.Ä. beziehen. 3.4 VPN „Virtual Private Networks“ (VPN) werden als Telekommunikationsdienst eingeordnet: der Dienst besteht „ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze“ (§ 3 Nr. 24 TKG).1827 Das ergibt sich über das typische Kriterium, dass die Funktionsherrschaft über die Telekommunikationsdienstleitung beim Anbieter liegt und dieser aufgrund dessen das Routing beeinflussen kann.1828
1300
4. Bewertungen, Portale 4.1 Online-Auktion, Bewertungen, Sperrung EBay bietet den Beteiligten ein Bewertungssystem, in das diese nach Abwicklung des Vertrags ihre Bewertung eingeben können. Der Bewertete kann seinerseits die ihm geltende Bewertung kommentieren. Die Bewertungen sind öfters Gegenstand von Rechtsstreitigkeiten.1829 Im Hinblick darauf, dass die typische Schutzposition des Bewerteten dessen allgemeines Persönlichkeitsrecht ist, liegt es nahe, mit der sonstigen Rechtsprechung zwischen Tatsachenbehauptungen und Werturteilen zu unterscheiden.1830
1301
Dies ist insofern nicht einfach, als eBay ein Zwei-Schrittverfahren anbietet. Der erste Schritt ist schematisiert. Die Bewertung erfolgt in einer Auswahl von negativ, neutral oder positiv. Diese Einordnung kann sodann im zweiten Schritt bewertet bzw. kommentiert (also begrün- 1302 det) werden.1831 Für Verkäufer gibt es noch (seit Mai 2007) das Schema Detaillierte Verkäuferbewertungen1832: Zusätzlich zur allgemeinen Beurteilung und zum Bewertungskommentar können Käufer eine detaillierte Verkäuferbewertung in vier Kriterien mit 1 bis 5 Sternen analog Hotelkategorien abgeben: Artikel wie beschrieben, Kommunikation, Versandzeit, Versand- und Verpackungsgebühren.1833 1827 1828 1829 1830
Schmitz in: Hoeren/Sieber/Holznagel, 40. EL 12/2014, Teil 16.2 TMG Rz. 79. Schmitz in: Hoeren/Sieber/Holznagel, 40. EL 12/2014, Teil 16.2 TMG Rz. 79. S. z.B. zur Übersicht Hoeren, CR 2005, 498; Ballhausen/Roggenkamp, K&R 2008, 403. S.a. Ladeur, eBay-Bewertungssystem und staatlicher Rechtsschutz von Persönlichkeitsrechten, K&R 2007, 85. 1831 S. Hoeren, CR 2005, 498 (499). 1832 http://pages.ebay.de/help/feedback/detailed-seller-ratings.html und http://verkaeuferportal.ebay.de/ automatische-5-sterne-bewertung (abgerufen am 22.8.2016). 1833 Dazu hieß es: „Die detaillierten Bewertungen, die ein einzelner Käufer pro Transaktion abgibt, können vom Verkäufer nicht eingesehen werden. Verkäufer sehen lediglich einen Gesamtdurchschnitt aller abgegebenen detaillierten Bewertungen. Sie sollten daher als Käufer ehrlich bewerten und kei-
Schneider
335
A Rz. 1303
Datenschutz und IT-Management
„Ein eBay-Verkäufer kann die Löschung einer negativen Bewertung verlangen, sofern es sich bei der Aussage um eine unzutreffende oder auf Grund der verkürzten Form irreführende Tatsachenbehauptung handelt.“1834
Aber „Beschwerde: Nie wieder! So etwas habe ich bei über 500 Punkten nicht erwartet!! Rate ab!!“ soll kein Verstoß gegen die AGB des Internetversteigerers, keine unsachgemäße Schmähkritik sein.1835 Wenn die Äußerung zu allg. ist wie die Bewertung: „Ein Freund und ich würden hier nicht mehr kaufen.“, soll dies zu einem Löschungsanspruch führen.1836 2008 wurden die eBay-Regelungen zur Bewertung überarbeitet: Seit Mai 2008 basiert das Bewertungsprofil nur noch auf den zurückliegenden 12 Monaten.1837 Der Verkäufer muss daher nicht mehr fürchten, dass ihm eine negative Bewertung dauerhaft anhaftet, sondern bekommt spätestens nach 12 Monaten, bei sonstigem Wohlverhalten, wieder eine „saubere Weste“. Zudem werden negative oder neutrale Bewertungen von gesperrten Mitgliedern gelöscht. Die Neuregelung ist jedoch mit einem Wermutstropfen versehen: mehrfache Bewertungen desselben eBay-Mitglieds, die auf den zurückliegenden 12 Monaten basieren, werden nunmehr auch mehrfach gezählt. 1303 Der Schutz des Anbieters besteht gegenüber unrichtigen Bewertungen nach einer OnlineAuktion in einem Anspruch auf Löschung der unwahren Tatsachenbehauptung nach § 1004 Abs. 1 BGB analog,1838 etwa auch bei persönlichkeitsverletzender unwahrer Tatsachenbehauptung „nimmt nicht ab“1839 und bei unsachlicher Bewertung,1840 nicht bei berechtigter Meinungsäußerung.1841 1304 Die grundlose Bewertung „Vorsicht: Spaßbieter“ soll eine Beleidigung und Verunglimpfung darstellen.1842 Die Bewertung „Bietet erst und zahlt dann nicht“ ist eine unwahre Tatsachenbehauptung, wenn der Kläger die Ware gezahlt hatte und die Versandkosten nicht zahlen
1834 1835 1836 1837 1838
1839 1840
1841 1842
336
ne Angst vor Rachebewertungen haben.“ http://pages.ebay.de/services/forum/feedback.html?_trks id=m40, 20.11.2007 (abgerufen am 23.8.2016). LG Bad Kreuznach v. 13.7.2006 – 2 O 290/06, MMR 2006, 823, kein Unterlassungsanspruch nach negativer Bewertung. AG Koblenz v. 2.4.2004 – 142 C 330/04, 72. Zu Negativkommentaren als Schmähkritik i.S. dieser AGB s. Petershagen, NJW 2008, 953 (954 m.w.N.). AG Erlangen v. 26.5.2004 – 1 C 457/04, CR 2004, 780. Krüger/Peintinger, in: Martinek/Semler/Flohr, Handbuch des Vertriebsrechts, 4. Aufl. 2016, Rz. 173 mit Hinweis auf http://pages.ebay.de/help/feedback/allaboutfeedback.html (abgerufen am 22.8.2016). AG Eggenfelden v. 16.8.2004 – 1 C 196/04, CR 2004, 858. Schutz des Anbieters gegen unrichtige Bewertungen nach Online-Auktion; Löschungsanspruch der unwahren Tatsachenbehauptung nach 1004 Abs. 1 BGB analog. AG Dannenberg v. 13.12.2005 – 31 C 452/05 (I), 31 C 452/05, ITRB 2006, 277: Anspruch auf Zustimmung zur Rücknahme der Bewertung bei eBay. S.a. AG Peine v. 15.9.2004 – 18 C 234/04, NJW-RR 2005, 275 zur Rücknahmepflicht bei eBay-Bewertung zu wahrheitswidrigen Tatsachenbehauptungen unter Verweis auf LG Düsseldorf v. 18.2.2004 – 12 O 6/04, CR 2004, 623, und zur Beweislast LG Dresden v. 29.8.2014 – 3 O 709/14, MMR 2015, 40 (Beweis der Unwahrheit nicht erbracht für „Leider nicht gepasst, keine Rückerstattung bekommen! Schuhe weg. Geld weg!“; zur Charakteristik als Werturteil OLG München v. 12.2.2015 – 27 U 3365/14; s. aber BGH v. 1.3.2016 – VI ZR 34/15 zur Prüfpflicht seitens eines Ärztebewertungsportals. OLG Oldenburg v. 3.4.2006 – 13 U 71/05, CR 2006, 694. AG Hamburg-Wandsbek v. 22.12.2005 – 712 C 465/05, CR 2006, 424: Eskalation von Wertung und Gegenbewertung. S.a. AG Detmold v. 10.11.2006 – 8 C 338/06, MMR 2007, 472: Der Kläger berief sich auf AG Hamburg-Wandsbek v. 20.12.2005 – 712 C 465/05 und hinsichtlich der Obliegenheiten jedes eBay-Nutzers auf AG Erlangen v. 26.5.2004 – 1 C 457/04, MMR 2004, 635. S.a. schon OLG Hamburg v. 3.7.2003 – 3 U 211/02, CR 2004, 540 zu wettbewerbswidrigen, weil geschäftsschädigenden Äußerungen in Internet-Kommunikationsforen zu eigenen Wettbewerbszwecken. AG Dannenberg v. 13.12.2005 – 31 C 452/05, MMR 2006, 567, anders bei in pauschalierter Form falschen Äußerungen. AG Koblenz v. 21.6.2006 – 151 C 624/06, ITRB 2006, 278; zur Haftung bei Spaß-Angeboten B Rz. 555.
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1307
A
musste.1843 Gerade wegen des „guten Rufs“, der mit den Bewertungen gegenüber auch den Bietern auf dem Spiel steht bzw. ausgenutzt werden könnte, liegt bei den Onlineauktionen kein Handeln im fremden Namen vor.1844 4.2 „Hausrecht“, Account-, Zugangssperren Die Frage nach der Ausübung eines „Hausrechts“ durch den Betreiber berührt die Grundfrage nach der Art des Verhältnisses zum Nutzer. Durch die Nutzerregistrierung (unter richtigem Namen und mit dem Nutzer gehörender E-Mail-Adresse) und Bestätigung der Anmeldung kommt ein Vertrag, hier zur Abgabe von Forum-Beiträgen, zustande.1845 Über die Nutzungsbedingungen kann der Betreiber sein „Hausrecht“ ausgestalten.1846 Dieses (virtuelle) Hausrecht gilt auch ohne zugrunde liegende Nutzungsbedingungen, allerdings im Rahmen sachlicher Gründe wie etwa Störung des Betriebsablaufs oder „nicht übliche Nutzung“.1847 Insofern kann der Betreiber Nutzer-Accounts sperren bzw. Nutzer ausschließen.1848 Dies kann bei einem betrieblichen Internetforum mit arbeitsvertraglichen Ansprüchen kollidieren, insb. Mitbestimmungsrechten.1849
1305
Erfolgt keine separate Freischaltung der Nutzer und deren Beiträge, soll v.a. dann kein Vertrag vorliegen, wenn ausdrücklich die Nutzung anonym gestattet wird.1850 Dazu ist anzumerken, dass der Gesetzgeber diese Art der Nutzungsmöglichkeit gerade gebietet, § 13 Abs. 6 TMG. Es geht um den Vertragsbindungswillen, abzugrenzen von einer Gefälligkeit, ggf. auch zu anonymem Nutzer,1851 oder um das Konstrukt eines Geschäfts für den, den es angeht.1852 Wenn ein Nutzer Beiträge einstellt, wird ein entsprechender Beitragsbindungswille vorhanden sein. Ob dies der Betreiber entsprechend akzeptieren muss, ist unklar.1853 Bejaht man das Hausrecht, v.a. auf vertraglicher Grundlage, stellt sich bei Ablehnung eines Nutzers bzw. bei dessen Aussperrung eine Reihe von Grenzen, deren Missachtung evtl. für den Betreiber unliebsam sein kann. Neben dem Diskriminierungsverbot (§ 19 AGG) kommt v.a. das Verbot widersprüchlichen Verhaltens in Betracht bzw. zum Tragen.1854
1306
Das „Hausverbot“ kann sich auch gegen Wettbewerber richten, wenn durch deren – intensive 1307 – Art der Nutzung (gehäuftes Aufsuchen des Internetshops zu Testzwecken) Betriebsstörungen entstehen.1855 Es wäre eine gezielte Behinderung des Wettbewerbers, Testmaßnahmen
1843 AG Koblenz v. 21.6.2006 – 151 C 624/06, ITRB 2006, 278. Zum Problem des Versendungskaufs bzw. zum Abbedingen der Holmöglichkeit und zu Versandkosten s. B Rz. 553. 1844 OLG München v. 5.2.2004 – 10 U 5114/03, CR 2004, 845; zur Problematik der Identität des Bestellers s. B Rz. 556 ff. 1845 LG München I v. 25.10.2006 – 30 O 119073/05, CR 2007, 264; insoweit bestätigend OLG München v. 26.6.2007 – 18 U 2067/07, jur-pc 147/2007 (Heise-Meldung 93828). 1846 LG München I v. 25.10.2006 – 30 O 119073/05, CR 2007, 264. S. aber Conraths/Krüger, MMR 2016, 310, zum virtuellen Hausrecht des Online-Spiel-Betreibers mit Rechtsschutzmöglichkeit abseits des Vertragsrechts. 1847 LG Bonn v. 16.11.1999 – 10 O 457/99, CR 2000, 245; OLG Köln v. 25.8.2000 – 19 U 2/00, CR 2000, 843. 1848 Feldmann/Heidrich, CR 2006, 406; s.a. Anm. Redeker zu LG München I v. 25.10.2006 – 30 O 119073/05, CR 2007, 264 (265). 1849 Zum Entzug der Schreibberechtigung s. etwa Hess. LAG v. 5.11.2007 – 17 SaGA 1331/07, jur-pc 96/2008. i.V. mit „Netiquette“ (hat keinen Regelungscharakter, gibt nur wieder, was sich aus arbeitsvertraglichen Regelungen ergibt). 1850 S. Maume, MMR 2007, 620 (621). 1851 So Maume, MMR 2007, 620 (621). 1852 Feldmann/Heidrich, CR 2006, 406 (410). 1853 LG München I v. 25.10.2006 – 30 O 119073/05, CR 2007, 264 stellte auf Schutzbedarf des Nutzers ab; s.a. OLG München v. 26.6.2007 – 18 U 2067/07; Maume, MMR 2007, 620 (621). 1854 Dazu Maume, MMR 2007, 620 (624 f.). 1855 OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597 (MIR 2007, 294).
Schneider
337
A Rz. 1308
Datenschutz und IT-Management
wie Testkäufe, Testgespräche oder Testfotos zu verhindern.1856 Dies überträgt die Rspr. auch auf Internetshops und deren virtuelles Hausrecht. Dessen Ausübung darf also nicht zu einem praktischen Ausschluss über eine Erschwerung des Zugangs führen.1857 Andererseits muss der Anbieter nicht Betriebsstörungen durch ungewöhnliche (intensive) Nutzung („Aufrufe“) hinnehmen.1858 Es soll für die Ausübung des Hausrechts genügen, dass eine Gefahr der Betriebsstörung besteht.1859 Die Angebote können Rechte Dritter verletzen. Insofern droht dem Betreiber die Inanspruchnahme aufgrund der „Störerhaftung“, bzw. „Täterhaftung“.1860 1308 Trotz der gem. BGH gegenüber Markenverletzungen entstehenden Prüfungspflichten gegenüber drohenden Wiederholungen1861 oder sogar vorbeugend1862 ist der Betreiber („Anbieter“) der Internetversteigerung nach Ansicht des OLG Bdb. nicht verpflichtet, den Handel mit jugendgefährdender Ware, hier DVD, zu unterbinden, noch dazu, ein Altersverifikationssystem zur präventiven Prüfung einzurichten.1863 Nach § 4 Abs. 2 Jugendmedienschutz-StV sind Angebote des für Jugendliche unzulässigen Inhalts zulässig, „wenn von Seiten des Anbieters sichergestellt ist, dass sie nur Erwachsenen zugänglich gemacht werden (geschlossene Benutzergruppe)“. Die Anforderungen an Altersverifikationssysteme sind wesentlich höher, als bislang praktiziert: Die Prüfung der Ausweisnummer reicht als Zugangshürde nicht aus, da diese Nummern von Dritten aus dem Familien- oder Bekanntenkreis leicht erlangbar sind und zudem die Umgehung auch ohne Ausweis-Angaben möglich ist, da die Postleitzahlen mit zugehörigen Behördenkennziffern über Internet verfügbar sind.1864 1309 Die Annahme einer (generellen) Pflicht zur inhaltlichen Überprüfung aller eingestellten Beiträge – unabhängig von der Kenntnis konkreter rechtswidriger Beiträge Dritter – scheidet nach Ansicht z.B. des LG Berlin für den Betreiber eines Onlineportals aus.1865 Er muss allerdings umgehend nach Abmahnung prüfen und ggf. unverzüglich entfernen.1866 Diese Ansicht wird sich nicht halten lassen vor dem Hintergrund der sich verfestigenden BGH-Rechtsprechung zu proaktiven, über die einzelne konkrete Verletzung hinausgehenden Prüfungspflichten.1867 1310 Häufig stellt sich die Frage umgekehrt, ob der Plattformanbieter den Teilnehmer sperren darf, wie dies etwa die eBay-AGB vorsehen (s. B Rz. 675 f.). Dazu bedarf es der Auswertung 1856 BGH v. 25.4.1991 – I ZR 283/89, GRUR 1991, 843 (844), worauf OLG Hamburg v. 18.4.2007 – 5 U 190/06 (MIR 2007, 294) hinweist. 1857 OLG Hamburg v. 18.4.2007 – 5 U 190/06 (MIR 2007, 294). 1858 OLG Hamm v. 23.10.2007 – 4 U 99/07, MMR 2008, 175. 1859 OLG Hamburg v. 18.4.2007 – 5 U 190/06 (MIR 2007, 294). 1860 S. BGH v. 12.7.2007 – I ZR 18/04, MMR 2007, 634 – Jugendgefährdende Medien bei eBay, und dazu Köhler, GRUR 2008, 1 (5). 1861 BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 – Internet-Versteigerung I. S.a. beschränkt auf das konkret beanstandete Verhalten: BGH v. 30.4.2008 – I ZR 73/05 – Internet-Versteigerung III. S. dazu B Rz. 1132. 1862 BGH v. 19.4.2007 – I ZR 35/04, K&R 2007, 392 – Internet-Versteigerung II. „Vorsorge“ durch „Kontrollmaßnahmen“ erforderlich, dass es nicht zu weiteren Markenverletzungen kommt: BGH v. 30.4.2008 – I ZR 73/05 – Internet-Versteigerung III. S.a. B. Rz. 1082 ff. Zu Prüfpflichten wegen Persönlichkeitsrechtsverletzungen s. BGH v. 1.3.2016 – VI ZR 34/15, zur Prüfpflicht bei Ärztebewertungsportal. 1863 OLG Bdb. v. 13.6.2006 – 6 U 114/05, ITRB 2006, 175. Zur Pflicht vorbeugender Prüfung nach Kenntnis von Markenverletzungen s. Rz. 1238 ff.; s.a. zu BGH v. 12.7.2007 – I ZR 18/04, MMR 2007, 634 – Jugendgefährdende Medien bei eBay; LG Frankfurt/M. v. 2.1.2008 – 3-08 O 143/07, MIR 2008, 165 (TK-Unternehmen mit Werbung auf der Website). 1864 BGH v. 18.10.2007 – I ZR 102/05, CR 2008, 386 – ueber18.de (zu OLG Düsseldorf v. 24.5.2005 – I-20 U 143/04, 20 U 143/04, MMR 2005, 611); s.a. BGH v. 18.10.2007 – I ZR 165/05 (zu OLG Düsseldorf v. 30.8.2005 – I-20 U 42/05, 20 U 42/05, MMR 2006, 559). 1865 LG Berlin v. 31.5.2007 – 27 S 2/07, MeinProf.de, CR 2007, 742. 1866 LG Berlin v. 31.5.2007 – 27 S 2/07, MeinProf.de, CR 2007, 742. 1867 Insb. BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 728 – Jugendgefährdende Medien bei eBay – m. krit. Anm. Härting, 734, dazu B Rz. 1084 ff., B Rz. 1217.
338
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1313
A
bzw. Verwendung der Daten mit den Sperrvermerken.1868 Dies betrifft die allgemeine Frage, ob die Speicherung bestimmter Daten, die über die Notwendigkeiten der einzelnen Transaktion hinausgehen, erforderlich ist. Besonders bekannt wurde dazu der Streit um die IP-Adressen-Speicherung.1869 Zeitweise ging es um die Berechtigung zu Sperrverfügungen seitens der Verwaltung wegen strafbarer Inhalte.1870 Die Sperrpflicht kann sich auch über UWG ergeben.1871 Ein Dilemma für den Plattformbetreiber stellt der Wunsch nach einem „virtuellen Haus- 1311 recht“ einerseits1872 und sein Anliegen andererseits dar, Prüfungspflichten bzw. Störerhaftung aufgrund Verletzung von Prüfungspflichten zu vermeiden.1873 V.a., wenn der Anbieter einen Vertrag mit dem User schließt, kann er auch die Beendigungsmöglichkeiten autonom (innerhalb AGB-rechtlicher Wirksamkeit) regeln und steuern.1874 Die Sperrung einer bestimmten IP-Adresse als Ausschluss kann im Verhältnis bzw. gegen- 1312 über Wettbewerbern unzulässig sein, wenn hierdurch der Wettbewerber daran gehindert wird, Zugriff zur Webseite des Betreibers zu nehmen. Jedoch kann im Hinblick auf die Gefahr von Betriebsstörungen, Überlastung, etwa wegen denial of service – Attacken, die Sperrung im Einzelfall auch gegenüber Wettbewerbern zulässig sein.1875 Einen gewissen Abschluss hat die Problematik bzw. die Lösung des Spannungsverhältnisses 1313 zwischen den „Haftungsprivilegierungen“ der E-Commerce-Richtlinie (Art. 12 ff. RL 2000/ 31/EG) zu den in Art. 8 Abs. 3 Richtlinie zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft (RL 2001/29/ EG) enthaltenen Bestimmung gefunden, da Art. 8 Abs. 3 RL 2001/29/EG vorsieht, dass „Ver-
1868 S. zur Frage der Sperrungsberechtigung ohne Datenschutz-Aspekte LG Berlin v. 28.12.2004 – 14 O 482/04, CR 2005, 372 und KG v. 5.8.2005 – 13 U 4/05, CR 2005, 818. LG Potsdam v. 21.7.2004 – 2 O 49/04, CR 2005, 380: Sperrung einer eBay-Mitgliedschaft wegen zu vieler negativer Bewertungen. 1869 S. zu RP-Darmstadt v. 14.1.2003 – II 21.4-3v-04/03-043/02, MMR 2003, 213, Moos, CR 2003, 385; LG Darmstadt v. 7.12.2005 – 25 S 118/05, K&R 2006, 290: Datenspeicherung bei volumenabhängigen DSL-Flatrate-Verträgen nur zu Abrechnungszwecken erlaubt; zur Löschungspflicht unmittelbar nach Ende der jeweiligen Verbindung s. LG Darmstadt v. 25.1.2006 – 25 S 118/2005, CR 2006, 249 und dazu BGH v. 26.10.2006 – III ZR 40/06, MMR 2007, 37 m. Anm. Kazemi. 1870 Zu Sperr(ungs)verfügungen v.a. der BezReg Düsseldorf s. Greiner, CR 2002, 620; VG Düsseldorf v. 9.12.2002 – 15 L 4148/02, CR 2003, 384; OVG NW v. 19.3.2003 – 8 B 2567/02, CR 2003, 361: rechtmäßig; krit. Vassilaki, CR 2003, 367; Sperrung rechtsextremer Website: VG Arnsberg v. 26.11.2004 – 13 K 3173/02, CR 2005, 301; Sperrungsverfügung gegen Access Provider hins. im Ausland bereitgehaltener Inhalte: VG Düsseldorf v. 10.5.2005 – 27 K 5968/02, CR 2005, 885 m. Anm. Volkmann; Zulässigkeit gegenüber Access Provider bei Verstoß gegen MDStV/JMDStV und Unerreichbarkeit des Urhebers VG Köln v. 3.3.2005 – 6 K 7151/02, CR 2006, 201. 1871 LG Frankfurt/M. v. 17.10.2007 – 2-06 O 477/07; s. zur „Arcor“-Sperre Schnabel, K&R 2008, 26. 1872 Zum Virtuellen Hausrecht des Betreibers des Internetforums: LG Bonn v. 16.11.1999 – 10 O 457/99, CR 2000, 245; OLG Köln v. 25.8.2000 – 19 U 2/00, CR 2000, 843; zum Ausschluss von Usern aus Internetforum s. Feldmann/Heidrich, CR 2006, 406; LG München I v. 25.10.2006 – 30 O 11973/05, CR 2007, 264; OLG München v. 26.6.2007 – 18 U 2067/07 Hausrecht ja, aber Link auf Website mit Foto verletzt das Persönlichkeitsrecht des Abgebildeten. S.a. B Rz. 1176 ff. zum virtuellen Hausrecht. 1873 S. zur Haftung bei Jugendgefährdenden Medien bei eBay i.V.m. UWG: BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 728 mit Prüfungspflicht, a) gegenüber weiteren gleichartigen Fällen, b) gegenüber anderen Angeboten des Versteigerers; dazu B Rz. 1221 ff. 1874 S. z.B. KG v. 5.8.2005 – 14 U 4/05, 818 m. Anm. Spindler; s.a. Feldmann/Heidrich, CR 2006, 406 (408). 1875 OLG Hamburg v. 18.4.2007 – 5 U 190/06, MIR 2007, 294. Der Betreiber hatte per IP-Sperrung dafür gesorgt, dass ein Wettbewerber keinen Zugang zur Internetseite bekam, der nachweislich innerhalb eines Tages insgesamt 71 Mal Zugriff genommen hatte. Dies wiederum löste die systemeigene Spamabwehr und damit die Sperre aus. Zum Schutz vor „Vorab-Zensur“ unterstellt das AG Frankfurt/M. v. 16.7.2008 – 31 C 2575/07-17, CR 2009, 60, Blogs der Meinungsäußerungsfreiheit.
Schneider
339
A Rz. 1314
Datenschutz und IT-Management
mittler“ zu entsprechenden Anordnungen herangezogen werden könnten“.1876 Der EuGH verlangt im Hinblick auf das Grundrecht der Internetnutzer auf Informationsfreiheit (Art. 11 Abs. 1 GRCh, Art. 5 Abs. 1 Satz 1 GG), „dass Sperrmaßnahmen streng zielorientiert sind, indem sie die Urheberrechtsverletzung beenden, ohne Internetnutzern die Möglichkeit zu nehmen, rechtmäßig Zugang zu Informationen zu erlangen“.1877 Das OLG Hamburg hatte sich klar gegen die Möglichkeit und Zumutbarkeit technischer Sperren positioniert.1878 Gem. BGH ist eine Sperrung „nicht nur dann zumutbar, wenn ausschließlich rechtsverletzende Inhalte auf der Internetseite bereitgehalten werden, sondern bereits dann, wenn nach dem Gesamtverhältnis rechtmäßige gegenüber rechtswidrigen Inhalten nicht ins Gewicht fallen.“1879 Von einer solchen Sperre werden „auch für Dritte geschützte Schutzgegenstände erfasst, zu deren Geltendmachung der Rechteinhaber nicht ermächtigt ist“, was aber gem. BGH der Zumutbarkeit der Sperre nicht entgegensteht.1880 1314 Erst allmählich entwickelt sich als eine Art Gegenrecht zum „Hausrecht“ die Rechtsposition der Erben bezüglich des digitalen Nachlasses. Wem „gehört“ der Account nach dem Tode des Berechtigten und welche Rechte bestehen am Content bzw. gegenüber dessen Offenbarung und Weitergabe? Bezüglich Facebook gab das LG Berlin eine stark diskutierte Antwort, die aber unter sehr spezifischen Voraussetzungen erfolgte. Danach erhält der Erbe, „der zugleich Sorgeberechtigter eines 15-jährigen Kindes war, Zugang zu dessen NetzwerkAccount, wobei „Weder Vorschriften des Datenschutzes noch Persönlichkeitsrechte Dritter … dem entgegen stehen.“1881 4.3 Lifestyle, Blogs 1315 Die Selbstentäußerung i.R.d. Fernsehens hat eine Entsprechung i.R.d. Internet erhalten, so insb. durch Blogs. Unter Blogs werden Informationen verstanden, „die jeder Nutzer mittels einer bestimmten Software (ähnlich leicht wie eine E-Mail über das E-Mail-Programm) uploaden und ins Netz einstellen kann“.1882 1316 Ähnlich wie in Wikipedia u.ä. offenen Plattformen kann nicht nur der Autor des Blogs selbst, sondern auch jeder andere den Inhalt kommentieren oder ergänzen. Zudem lassen sich, worauf auch Koch ausdrücklich hinweist, die Blogs verschiedener Autoren über Links miteinander verknüpfen bzw. ergänzen und anreichern. Für solche Blogs hat sich eine Art Markt auch im Bereich der Suchmaschinen entwickelt, etwa über Yahoo „Flickr“ oder Sammlungen zu Videos, privaten Bildern u.Ä. Diese Blogs bleiben aber nicht privat, sondern gehen zum Teil auch Wege, sich zu finanzieren, v.a. in der Werbung. 1317 Es gibt aber auch Blogs innerhalb der Unternehmen. Unternehmen setzen diese Methodik ein, die zunächst auf das Intranet beschränkt bzw. dafür gedacht war, um nach außen zu
1876 Spindler, GRUR 2016, 451, insb. zu BGH v. 26.11.2015 – I ZR 174/14 Störerhaftung des Access-Providers – Goldesel. 1877 BGH v. 26.11.2015 – I ZR 3/14, MMR 2016, 188, referiert EuGH v. 27.3.2014 – C-314/12 (UPC Telekabel), GRUR 2014, 468. 1878 OLG Hamburg v. 21.11.2013 – 5 U 68/10, MMR 2014, 625: „Der Einsatz technischer Mittel zur Sperrung des Zugriffs auf eine Internetseite bringt die Gefahr vielfältiger Eingriffe in Grundrechtspositionen eines betroffenen Internetproviders sowie Dritter wie z.B. eines Eingriffs in das Fernmeldegeheimnis mit sich, weshalb Sperrmaßnahmen ohne gesetzliche Grundlage schon aus diesem Grunde nicht zuzumuten sind.“, dagegen BGH v. 26.11.2015 – I ZR 3/14, MMR 2016, 188. 1879 BGH v. 26.11.2015 – I ZR 174/14, Ls. 4 Satz 1 – Goldesel; v. 26.11.2015 – I ZR 3/14, MMR 2016, 188. 1880 BGH v. 26.11.2015 – I ZR 174/14, Ls. 4 Satz 2 – Goldesel. 1881 LG Berlin v. 17.12.2015 – 20 O 172/15, MDR 2016, 165 (anhängig KG, Az: 21 U 9/16); dazu Kuhls, jurisPR-ITR 6/2016 Anm. 2; zum digitalen Nachlass Leeb, K&R 2016, 139. 1882 S. Koch, ITRB 2006, 260 u. Hinw. auf www.today.net, wo sich jedermann registrieren lassen und binnen Minuten einen Webblog einrichten lassen kann.
340
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1321
A
kommunizieren. Diese Blogs sind zum Teil themenspezifisch. Koch erwähnt etwa Blogs für Kundenanfragen, reine Werbeplattformen.1883 Eine Zeit lang spielte naturgemäß eine Rolle die Frage, ob es sich um einen Tele- oder Medi- 1318 endienst handelt. Diese Frage ist durch das TMG bzw. das Inkrafttreten erledigt.1884 Solche Blogs sind ein Telemediendienste.1885 Allerdings bleibt die Frage, ob und inwieweit nicht auch im Hinblick auf die kommunikativen Aspekte Ähnlichkeiten zu E-Mails dann bestehen, wenn nur Individual-Kommunikation angestrebt wird. Es darf auch unterstellt werden, dass dies i.d.R. nicht der Fall ist, sondern die Wendung nach außen bzw. an die Öffentlichkeit ohne den allein individuellen Bezug gewünscht ist. Infolgedessen ist die Abgrenzung eher gegenüber Rundfunk zu bewerkstelligen. Das Auslesen der Blogs ist gerade der Zweck, wofür der Autor sie einstellt. Infolge dessen 1319 kann man grds. davon ausgehen, dass auch die dort wiederauffindbaren personenbezogenen Daten des Autors keines besonderen Schutzes bedürfen, vielmehr im Verhältnis zu Dritten aus „allgemein zugänglichen Quellen“ stammen.1886 Allenfalls käme in Betracht, dass die besondere Anordnung des Inhalts als Text, evtl. auch die Bilder Sonderschutz genießen (bei Bildern insb. über KunstUrhG) und infolge dessen die Weiterverwertung einer besonderen Bewilligung bedürfte, während das Lesen bzw. die bloße Nutzung erlaubt wäre. Bei den Daten Dritter jedoch wird sogar diese Nutzung schon problematisch im Hinblick auf die Frage, ob der Autor zu Recht deren Daten ausgestellt hat. I.R.v. Familien-Darstellungen kann man dies noch annehmen. Wenn dagegen die Fotos mit Text von der Betriebsfeier ausgestellt sind, wird es i.d.R. an der entsprechenden Zustimmung aller fehlen. Infolgedessen stellen diese Sammlungen mit ausgiebigen Darstellungen über Urlaube, Familienfeiern u.Ä. häufig unzulässige Verarbeitungen (Speicherung und Übermittlung) von personenbezogenen Daten Dritter, die mit abgebildet bzw. mit dargestellt sind, dar. Ob und inwieweit hierauf die Rechtsprechung ähnlich wie zum „Beiwerk“ im Zshg. mit dem KunstUrhG1887 angewandt werden kann, ist fraglich, jedenfalls liegt der Vergleich nahe. Nach § 57 UrhG ist bei „Unwesentlichem Beiwerk“ dessen Vervielfältigung, Verbreitung 1320 und öffentliche Wiedergabe zulässig. Dies wird i.R.v. Bildern, Texten u.Ä. greifen können, nicht jedoch bei den Daten i.R.d. Datenschutzes. § 23 Abs. 1 Nr. 2 KunstUrhG bezieht sich allerdings, anders als § 57 UrhG, nur auf Personen als Beiwerk von Landschaftsbildern und Bildern sonstiger Örtlichkeiten.1888 Die Suche nach dem richtigen Adressaten für gezielte Werbung bedient sich einerseits der 1321 Techniken wie CRM (Customer Relationship Management), unterstützt durch geeignete Programme, insb. auch in Vertriebssystemen, und bei der Datenbank-Methodik des Data Mining bzw. Data Warehouse. Das Wichtige für diese zielgenaue Ansprache ist der Kontext, aus dem heraus die objektivierten bzw. objektivierbaren Daten wie Name, Adresse, Geburtsdatum u.Ä. stehen. Es geht um Interessen, Vermögensverhältnisse, gesundheitliche Bedingungen u.Ä., also zum Teil intime Daten. Diese werden – zunehmend bzw. immer noch – durch Preisrätsel u.Ä. „abgefragt“. Es werden also Belohnungen im Zshg. mit Umfragen bzw. Angaben versprochen oder auch getätigt, die dazu führen, dass die Betroffenen die entsprechenden Daten „freiwillig“ abgeben. Besonders bekannt geworden ist dies im Zshg. mit der 1883 1884 1885 1886
Koch, ITRB 2006, 260. Zur Differenzierung s. Koch, ITRB 2006, 260 (262 m.w.N.). Micklitz/Schirmbacher, in: Spindler/Schuster, § 5 TMG Rz. 16. S. zu dieser Voraussetzung: Rz. 156, 224, 340; s. aber zur Haftung bei Link aus redaktionellem Teil auf Bilder im Internet im Kontext anwaltlicher Tätigkeit des Abgebildeten: OLG München v. 26.6.2007 – 18 U 2067/07, K&R 2007, 531 und dazu B Rz. 1176. Zum Verlust des Privatsphärenschutzes LG Berlin v. 25.10.2007 – 27 O 602/07, CR 2008, 402 (Ls.). 1887 S. etwa Engels, in: Ahlberg/Götting, BeckOK Urheberrecht, 13. Edition, Stand: 1.7.2016, § 23 KunstUrhG Rz. 13. 1888 S.a. als Blog: www.law-blog.de/251/fotorecht-teil-12 (abgerufen am 23.8.2012).
Schneider
341
A Rz. 1322
Datenschutz und IT-Management
„Haushaltsumfrage“, in der auch die Daten des Partners hinsichtlich der Interessenlagen mit eingetragen wurden und die aber keine schriftliche Einwilligung enthielten.1889 1322 Die Reaktion auf die evtl. auch noch nicht individuell hinterlegten Vorlieben/Interessen erfolgt in vielen Fällen und heute bereits durch die Kontext-sensitiven AdWords bzw. über die Keywords, sodass bei Internet-Recherchen häufig neben den eigentlichen Suchergebnissen die entsprechenden Werbe-Banner auftauchen. Die Verbindung zu den Blogs ist, dass dort die Vorlieben im Einzelnen vom Betroffenen selbst publiziert werden, sodass daraus – entsprechende Mühewaltung vorausgesetzt – das Material auch für die Lifestyle-Profile ermittelt werden könnte. Die Frage bleibt also aktuell, ob Blogs auf eine entsprechende Einwilligung zur Weiterverwendung und Verarbeitung schließen lassen.1890 Andererseits lassen die Ansätze zu „Personensuchmaschinen“1891 das Gegenteil vermuten, was die Praxis betrifft.1892 Die Veröffentlichung eigener Fotos auf der Internetseite besagt für die Weiter-Veröffentlichung, dass hinsichtlich dieser Fotos darin die (konkludente) Erklärung liegt, „mit der Wiedergabe bzw. dem Erscheinen dieser Fotografie in Ergebnisanzeigen von Personensuchmaschinen einverstanden zu sein“.1893 Nach Auffassung des OLG Köln gibt der „Abgebildete seine (konkludente) Einwilligung in einen Zugriff durch Personensuchmaschinen dann, wenn er sein Bildnis in einer öffentlichen Internetplattform einstellt und von der ihm eingeräumten Möglichkeit der Sperre in Bezug auf Suchmaschinen keinen Gebrauch macht“.1894 Zur Haftung der Provider allg. s. B Rz. 1009 ff. 4.4 Online-Anwalt 1323 Neben berufsrechtlichen Argumenten sprach auch eine Reihe von datenschutzrechtlichen Überlegungen gegen eine Zulässigkeit der Online-Anwälte. Des Weiteren ergeben sich abrechnungstechnische und kollisionsrechtliche Probleme. Das datenschutzrechtliche Problem besteht darin, ob – etwa vergleichbar mit dem Datenschutz bei einem Mandatswechsel – die Übermittlung der Daten an den jeweiligen Anwalt zulässig ist. Eng damit hängt die Frage zusammen, ob das Anwaltsgeheimnis genügend gewahrt ist: Die Organisation, Institution bzw. Unternehmung, die der Mandant per Telefon oder E-Mail anspricht, ist eine datenschutzrechtlich eigenständige „Stelle“, die die Daten an den RA übermittelt, indem sie das Gespräch weiterleitet. Zu diesem Gespräch erfasst der Betreiber die erhöhten Telefonkosten bzw. erhält diese vom TK-Betreiber.1895 Der Online-Plattform-Betreiber ist nicht RA, unterliegt dem Datenschutz, aber nicht dem Anwaltsgeheimnis und darf nicht beraten.1896 1324 Dennoch hat sich als Ergebnis im Laufe die Rechtsprechung so entwickelt, dass zum einen ein Anwalt, der sich an einer solchen Anwalts-Hotline beteiligt bzw. über diese tätig wird,
1889 S. zur Wirksamkeit gleichwohl OLG Frankfurt v. 13.12.2000 – 13 U 204/98, CR 2001, 294 rechtskräftig, BGH v. 15.12.2001 – I ZR 47/01, zu den wettbewerbsrechtlichen Aspekten B Rz. 848. 1890 LG Berlin v. 15.12.2006 – 15 O 389/06, auch Blogs lassen nicht einfach Einwilligung vermuten, s. aber LG Berlin v. 25.10.2007 – 27 O 602/07, CR 2008, 402 (Ls.) mit entsprechendem Verlust der Privatsphäre bzw. deren Schutzes und zur konkludenten Zustimmung; s. aber zu „Einwilligung“: BGH v. 11.11.2014 – VI ZR 9/14, ZD 2015, 180 bei Bildveröffentlichung einer nichtprominenten Partyteilnehmerin, s. Rz. 175. 1891 S. Seidel/Nink, CR 2009, 666, zum Überblick über die Probleme. 1892 Zur Praxis s. etwa Ott, MMR 2009, 158. Das Thema „Vergessen“ spielt nun vor dem Hintergrund der EuGH-Entscheidung und der DS-GVO eine größere Rolle und muss als Funktion berücksichtigt werden, dazu s. z.B. Kühn/Karg, ZD 2015, 61 und Rz. 365 ff., 588 f. 1893 Hoeren, in: Hoeren/Sieber/Holznagel, Teil 18.2, Rz. 41 zu LG Hamburg v. 16.6.2010 – 325 O 448/09 (Berufung zurückgewiesen: OLG Hamburg v. 13.3.2012 – 7 U 89/10, ZUM-RD 2013, 608). 1894 Hoeren, in: Hoeren/Sieber/Holznagel, Teil 18.2, Rz. 41 zu OLG Köln v. 9.2.2010 – 15 U 107/09, ZUM 2010, 706 (zu Facebook), wobei die AGB diese Opt-out-Möglichkeit boten. 1895 Zum Geschäftsprozess bei Anrufweiterleitung s. BGH v. 20.7.2006 – IX ZR 94/03, CR 2007, 18 (19). 1896 Zum Rechtsdienstleistungsgesetz s. Römermann, NJW 2006, 3025.
342
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1326
A
nicht gegen berufsrechtliche Verbote verstößt.1897 Demnach ist weder die Vereinbarung einer nach Gesprächsminuten berechneten Zeitvergütung berufswidrig,1898 noch liegt in der Beteiligung notwendig ein Verstoß gegen das Verbot der Vertretung widerstreitender Interessen. Auch das Online-Rechtsberatungsangebot im Internet ist kein Verstoß gegen das Verbot der Einzelfallwerbung bei Kostenvoranschlag.1899 Allenfalls die „versteckte“ Werbung über AdWords könnte problematisch sein.1900 Ein Datenschutzproblem kann gleichwohl durch die konkrete Ausgestaltung der Organisati- 1325 on auftreten: die Mitarbeiter, die den Anruf entgegennehmen, sind nicht Berufshelfer eines einzelnen Anwalts. Sie sind vergleichbar mit einem Help Desk als Angestellte des Unternehmens für eine Vielzahl von nicht in Sozietät befindlichen Anwälten tätig. Sowohl bei dieser Gelegenheit als auch dann durch Dokumentation der Telefonate u.Ä. können Daten entstehen, die nicht beim Rechtsanwalt, der konkret beraten hat, liegen. Damit würde eine datenschutzrechtlich problematische Auslagerung erfolgen.1901 Dies gilt zumindest, soweit der Betroffene nicht eingewilligt hat. Damit stellt sich zusätzlich zum Datenschutzproblem die Frage der „Beschlagnahmefestigkeit“.1902 I.V.m. Ranking-Werken, Awards für die „besten“ Kanzleien u.Ä. ist auch die Mandanten- 1326 nennung, z.T. die Nennung der Parteien mit Details des Verfahrens üblich geworden.1903 Grds. bedarf eine solche Nennung der Einwilligung der Betroffenen.1904 Dies gilt auch für die Homepage des Anwalts, der mit Prozessparteien im Internet wirbt. Zwar ist die Verhandlung grds. öffentlich, sind die Parteien und ihre Vertreter am Gerichtssaal „ausgehängt“. Dies ist jedoch kein Freibrief für die weitere Publikation. Das Informationsinteresse von Fachkreisen rechtfertigt nicht, die breite Öffentlichkeit unter Namensnennung über den Ausgang des Rechtsstreits der anderen Prozesspartei gegen den Mandanten eines Rechtsanwalts zu informieren. Dies gilt umso mehr, als die insoweit betroffene Partei nicht selbst im Licht der Öffentlichkeit steht.1905 Es wird einmal eine Abwägung der Interessen stattzufinden haben (Öffentlichkeitsinteresse gegen Persönlichkeitsrecht bei natürlichen Personen, Geschäftsinteresse der juristischen Personen). Zum anderen wird wettbewerbsrechtlich zu prüfen sein, inwieweit der Anwalt sich etwa die Bekanntheit der Gegenpartei (gegen die er vorgeht), zunutze macht bzw. ausnutzt, v.a. wenn die Information systematisch und durch Dritte auswertbar in einer Datenbank erfolgt.1906 1897 Zur Zulässigkeit einer Rechtsberatungs-Hotline v.a. BGH v. 26.9.2002 – I ZR 102/00, 44/00, CR 2003, 424 und dazu v. 20.7.2006 – IX ZR 94/03, CR 2007, 18. S.a. OLG München v. 2.3.2000 – 29 U 4401/99, CR 2000, 441; OLG Frankfurt v. 5.11.1998 – 6 U 130/98, CR 1999, 233; AnwGH NW v. 15.1.1999 – 1 ZU 49/98, CR 1999, 433; OLG München v. 23.7.1998 – 29 U 4042/98, CR 1999, 25. 1898 S.a. BGH v. 9.6.2005 – I ZR 135/02, CR 2006, 254. 1899 OLG Braunschweig v. 12.9.2002 – 2 U 24/02, CR 2003, 611; zur anwaltlichen Beratung per Internet unter Aspekten des Fernabsatzes (Widerrufsrecht) s. Etzkorn/Kremer, K&R 2008, 273 und AG Hildesheim v. 8.8.2014 – 84 C 9/14. 1900 LG München I v. 26.10.2006 – 7 O 16794/06, MMR 2007, 125; LG München I v. 26.10.2006 – 7 O 16794/06, K&R 2007, 44: AdWords bei Werbung eines RA kann den Rahmen der sachlichen Unterrichtung über das Dienstleistungsangebot überschreiten. Zu AdWords s. B Rz. 1287 ff. 1901 Rückgabe würde nicht reichen; s. allg. zu Rückgabe von bei der DATEV gespeicherten Steuerberaterdaten nach Ende des Mandats BGH v. 11.3.2004 – IX ZR 178/03, CR 2004, 889: Anspruch des Auftraggebers auf Weitergabe der Datev-Daten von einem Steuerberater an einen anderen Steuerberater. 1902 Generell zur Durchsuchung von Datenträgern bei RA/StB BVerfG v. 12.4.2005 – 2 BvR 1027/02, CR 2005, 777; zur unzulässigen Überwachung der Telekommunikation eines Rechtsanwalts s. BVerfG v. 30.4.2007 – 2 BvR 2151/06, CR 2007, 633 (Rz. 121); zur Beschlagnahmefestigkeit der Daten in der Anwaltskanzlei s. Rz. 409. 1903 Zu den Rankings s. BVerfG v. 7.11.2002 – I BvR 580/02, Veröffentlichung von Ranking-Listen von Anwaltskanzleien zulässig, Untersagung verstieße gegen Art. 5 Abs. 1 Satz 1 GG. 1904 § 203 StGB; § 43b BRAO, § 6 BORA. 1905 KG v. 30.1.2007 – 9 U 131/06, MIR 339-2007, Ls. 2. 1906 KG v. 30.1.2007 – 9 U 131/06, MIR 339-2007 zum Werbecharakter und zur Abwägung bei Nennung der Gegenparteien.
Schneider
343
A Rz. 1327
Datenschutz und IT-Management
1327 Unter Aspekten des TMG ist die Impressumspflicht für Kanzleieinträge in einem OnlineAnwaltsverzeichnis zu prüfen. Bei Veröffentlichung im Rahmen eines Internetportals ist Diensteanbieter nicht nur der Plattformbetreiber, sondern – je nach Lage des Einzelfalls – auch der einzelne Anbieter (hier: ein Rechtsanwalt), der eine eigene Internet-Veröffentlichung in das Portal einstellt.1907 Nach Meinung des LG Stuttgart verstößt ein Rechtsanwalt (in der Folge) bei der Veröffentlichung seines Profils auf der Internet-Plattform in spürbarer Weise gegen die Marktverhaltensregelung des § 5 Abs. 1 Nr. 5 und 6 TMG, wenn er es unterlässt, ein Impressum vorzuhalten. Eine derartige Veröffentlichung stellt einen Verstoß gegen die gesetzlichen Informationspflichten dar, da hierdurch Pflichtangaben nicht leicht erkennbar verfügbar gehalten werden.“1908 Das OLG Stuttgart erachtete das Personenprofil bei XING offensichtlich nicht als ein eigenständiges Telemedium und hob die Entscheidung auf.1909 4.5 Datenbevorratung, Abrechnung 1328 Grds. ist Datenbevorratung unzulässig. Konkrete Zwecke und Erforderlichkeit sind nicht ersichtlich. Es bedarf besonderer Grundlagen dafür. Im betrieblichen Bereich wird sich der Arbeitgeber die Einwilligung holen, um die Daten zu verarbeiten, die der Förderung und der Planung des Einsatzes des Mitarbeiters dienen.1910 1329 Im öffentlichen Bereich kommen nur Gesetze als Grundlage der Zulässigkeit (und die Einwilligung) in Betracht. Diese müssen hinreichend genau den Zweck, die Art der Daten und den Umfang der erforderlichen Nutzung bestimmen. Streitfragen hierzu betreffen etwa die Richtlinie Vorratsdatenspeicherung bei der TK.1911 Diese war am 3.5.2006 in Kraft getreten. Sie ist umstritten und gilt als europarechtswidrig.1912 Das BVerfG hat allerdings die „sechsmonatige, vorsorglich anlasslose Speicherung von TK-Verkehrsdaten durch private Diensteanbieter, wie sie die RL 2006/24/EG … vorsieht“, als „nicht schlechthin“ mit Art. 10 GG unvereinbar gesehen; weshalb es auf einen etwaigen Vorrang dieser RL nicht ankommt.1913 Das BVerfG hat aber zugleich zur Auffüllung des „nicht schlechthin“-Diktums einen massiven Anforderungskatalog aufgestellt, der zur Rechtmäßigkeit einzuhalten ist.1914 Der EuGH hat die RL 2014 aufgehoben.1915 1330 Mit der RL (EU) 2016/680 v. 27.4.2016 ergeben sich für den ansonsten als schwach angesehenen Grundrechtsschutz über die Charta neue Möglichkeiten.1916 Der deutsche Gesetzgeber hat mit dem Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten (v. 10.12.2015, BGBl. I S. 2218) u.a. das TKG geändert. § 113b TKG regelt als Pflichten zur Speicherung von Verkehrsdaten nunmehr:
1907 LG Stuttgart v. 24.4.2014 – 11 O 72/14, (zu „www.kanzlei-seiten.de“). 1908 LG Stuttgart v. 27.6.2014 – 11 O 51/14, K&R 2014, 607 m. Anm. Schirmbacher (zu XING). 1909 OLG Stuttgart v. 20.11.2014 – 2 U 95/14; zu der Begründung s. Blog des Klägers: http://www.recht zweinull.de/archives/1660-olg-stuttgart-beendet-xinggate-keine-impressumspflicht-bei-xing.html (abgerufen am 23.8.2016). Zur Impressumspflicht TMG s. B Rz. 455 ff. 1910 Allg. zur Vorratsdatenspeicherung in Unternehmen s. Klug/Reif, RDV 2008, 89. 1911 Bei der fernvermittelten elektronischen Kommunikation aufgrund der RL 2006/24/EG, Vorratsspeicherungs-RL, v. 15.3.2006, Abl. EG Nr. L 105 v. 13.4.2006, 54 ff. 1912 S. BT-Drs. 15/4597 und 15/4748 und Gietl, K&R 2007, 545 m.w.N. in Fn. 3. Zum RegE zur Umsetzung (BR-Drs. 275/07) s. Gietl, K&R 2007, 545; Brinkel/Lammers, ZUM 2008, 11. Zu BVerfG v. 11.3.2008 – 1 BvR 256/08 s.a. Jenny, CR 2008, 282. 1913 BVerfG v. 2.3.2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, aus Ls. 1. 1914 S. Eckhardt/Schütze, CR 2010, 225; Wollenschläger/Krönke, NJW 2016, 906. 1915 EuGH v. 8.4.2014 – C-293/12, C-592/12, NJW 2014, 2169 – Digital Rights Ireland Ltd. 1916 Wollenschläger/Krönke, NJW 2016, 906 (910).
344
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1333
A
„Daten wie folgt im Inland zu speichern: 1. Daten nach den Absätzen 2 und 3 für zehn Wochen, 2. Standortdaten nach Absatz 4 für vier Wochen“.
Die verdachtsunabhängige Speicherung von Verkehrsdaten ist die Vorstufe zu verbotener 1331 Totalerfassung und Rasterfahndung. Unter Aspekten der Gesamtbeaufschlagung ist neben der einzelnen Regelung, hier TK, die Wirkung auf Gesellschaft und Einzelnen zu berücksichtigen und am besten zu „messen“.1917 Diesem Erfordernis könnte die DS-GVO allenfalls dienen, wenn man die Regeln zur Datenschutz-Folgenabschätzung (s. Rz. 513, 570) in diesem Sinne interpretieren würde. 4.6 Whois-Daten Ein (internationaler) Streit betrifft die Handhabung der Whois-Daten mit umgekehrten Vor- 1332 zeichen: die zwischenzeitlichen Beschränkungen für die Veröffentlichung ausführlicher Informationen sollen nach einigen Stimmen abgebaut, nach anderen eher gestärkt werden. Studien zur Nutzung und zum Missbrauch sollen zur Klärung verhelfen.1918 Die datenschutzrechtliche Situation in den einzelnen Staaten ist sehr unterschiedlich. In Großbritannien können Kunden per Opt-out persönliche Daten gänzlich aus der öffentlich zugänglichen Whois-Datenbank entfernen lassen.1919 Die VO (EG) 874/2004 zur Domäne oberster Stufe „.eu“ enthält keine entsprechende Regelung.1920 4.7 Bewertungsportale und Meinungsfreiheit, Prüfpflichten Datenschutzrechtlich beurteilen sich die Betreiber von Bewertungsportalen nach § 29 Abs. 1 1333 Satz 1 Nr. 1 und 2 BDSG und sind auf dieser Basis zur Datennutzung berechtigt.1921 Im konkreten Fall einer abfälligen Lehrerbewertung nahm der BGH eine Abwägung vor zwischen dem Schutz des Rechts auf informationelle Selbstbestimmung der klagenden Lehrerin nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG und dem Recht auf Kommunikationsfreiheit nach Art. 5 Abs. 1 GG des Betreibers.1922 Entsprechend fiel die Entscheidung zu Ungunsten eines Arztes aus.1923 „Die dargestellten Beeinträchtigungen der berechtigten Interessen des Kl. wiegen nicht schwerer als das Recht der Bekl. auf Kommunikationsfreiheit.“1924
1917 S. zur „gesellschaftlichen Gesamtrechnung“ Roßnagel, NJW 2010, 1238; s.a. Knierim, ZD 2011, 17; zur Gesamtbeaufschlagung auch des Einzelnen s. Härting/Schneider, CR 2015, 819 (825). 1918 S. heise.de v. 23.6.2008, 109804, zu einer Stellungnahme des Regierungsbeirats GAC der ICANN. Die Hürde in Deutschland ist schwach, aber immerhin: „…, veröffentlicht die DENIC nur die Daten, die für die beschriebenen Zwecke unbedingt nötig sind oder deren Ausgabe der Domaininhaber ausdrücklich zugestimmt hat. Das bedeutet insb., dass für den Domaininhaber und den administrativen Ansprechpartner nur die Adresse, nicht jedoch die Telefonnummer und die E-Mail-Adresse angegeben werden, … Anders hingegen … beim technischen Ansprechpartner und beim Zonenverwalter …, die gerade in technischen Notfällen umgehend erreichbar sein müssen. … So genannte inverse Abfragen, mit denen sich etwa alle Domains ermitteln lassen, die für einen bestimmten Inhaber registriert sind, stellt die DENIC nicht zur Verfügung.“ DENIC.de Hinweise zum Datenschutz, 23.6.2008. 1919 heise.de v. 23.6.2008, 109804. 1920 Verordnung(EG) Nr. 874/2004 der Kommission v. 28.4.2004 zur Festlegung von allgemeinen Regeln für die Durchführung und die Funktionen der Domäne oberster Stufe „.eu“ und der allgemeinen Grundregeln für die Registrierung. 1921 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593, Rz. 23 ff. – spickmich.de; BVerfG v. 16.8.2010 – 1 BvR 1750/09. 1922 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593, Rz. 27. 1923 BGH v. 23.9.2014 – VI ZR 358/13, Rz. 25 – Ärztebewertungsportal II, wobei noch ergänzt wurde, dass bei der Abwägung „auch die mittelbare Drittwirkung des beiden Parteien zustehenden Grundrechts aus Art. 12 I GG zu berücksichtigen ist“. 1924 BGH v. 23.9.2014 – VI ZR 358/13, Rz. 38 – Ärztebewertungsportal II.
Schneider
345
A Rz. 1334
Datenschutz und IT-Management
1334 Kritisch bzw. anders verhält es sich unter den Aspekten der Haftung des Betreibers, wenn genügender Anlass besteht, an der eingestellten Information zu zweifeln und Recherchen anzustellen bzw. nachzufragen, was insb. bei konkreten Beanstandungen der Fall ist. Das ist dann der Fall, „wenn der Rechtsverstoß auf der Grundlage der Behauptung des Betroffenen unschwer bejaht werden kann“, sodass dann „eine Ermittlung und Bewertung des gesamten Sachverhalts unter Berücksichtigung einer etwaigen Stellungnahme des für den beanstandeten Beitrag Verantwortlichen erforderlich“ ist.1925 1335 Die Bewertungen in den Portalen werden meist als Meinungsäußerungen qualifiziert, daher die Abwägung. Es gibt aber auch Informationen, die eingestellt werden und als (falsche) Tatsachen qualifiziert werden. In diesem Falle hat der Betroffene einen Anspruch auf Berichtigung, Löschung bzw. Hinwirken auf Löschung im Internet abrufbarer falscher Tatsachenbehauptungen.1926 Der BGH bejahte die sog. Störerhaftung des beklagten Rechtsanwalts, weil dieser die maßgebliche Ursache für die beanstandeten Veröffentlichungen gesetzt habe. Es sei eine internettypische Gefahr, dass Meldungen von Dritten verlinkt oder kopiert werden. Vom ihm kann zwar nicht verlangt werden, dass er die Löschung solcher Drittveröffentlichungen bewirkt. Dem Verletzten steht „lediglich ein Anspruch darauf zu, dass der Beklagte i.R.d. ihm Möglichen und Zumutbaren bei den Betreibern der Internetplattformen, auf denen die angegriffenen Äußerungen noch abrufbar sind, auf eine Löschung hinwirkt“.1927 5. TK-Datenschutz 5.1 Spezielle Regeln, Datenarten 1336 Der Datenschutz ist für die Telekommunikation spezialgesetzlich in den §§ 91 ff. TKG geregelt.1928 Der Anwendungsbereich ist der Schutz der personenbezogenen Daten von Teilnehmern und Nutzern von Telekommunikation bei der Erhebung und Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig Telekommunikationsdienste in Telekommunikationsnetzen erbringen und an deren Erbringung mitwirken (§ 91 Abs. 1 Satz 1 TKG). Deren Begriff des Telekommunikationsdienstes definiert § 3 Nr. 24 TKG. Es geht um i.d.R. gegen Entgelt erbrachte Dienste, die ganz überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschl. Übertragungsdiensten in Rundfunknetzen. „Geschäftsmäßiges Erbringen“ von TK-Diensten ist in § 3 Nr. 10 TKG definiert und zwar als nachhaltige Angebote von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht. Parallel zum Datenschutz in der Telekommunikation ist noch das Fernmeldegeheimnis1929 zu beachten bzw. zu berücksichtigen, § 88 TKG. 1337 Die weite Definition des Telekommunikationsdienstes bringt es mit sich, dass zum Adressatenkreis auch solche Unternehmen gehören, die ihren Kunden Corporate-Networks (inkl. Telefon-Nebenstellen-Anlagen) zur Verfügung stellen, sowie Unternehmen, die dies für ihre Mitarbeiter auch zur privaten Nutzung i.R.d. betrieblichen Infrastruktur ermöglichen und erlauben.1930 § 91 TKG umfasst auch den Schutz von Telekommunikationsdiensten, die sich nicht allein auf Telefondienste beschränken, sondern Übertragungsdienste sind.1931 1925 BGH v. 1.3.2016 – VI ZR 34/15 – Ärztebewertungsportal III. 1926 BGH v. 28.7.2015 – VI ZR 340/14, CR 2015, 671. 1927 BGH v. 28.7.2015 – VI ZR 340/14, CR 2015, 671, Rz. 38. S.a. zum „Recht auf Vergessen“ und dessen Konsequenzen B Rz. 588 f. 1928 ZUR „EK-RL“ Rz. 1249. 1929 Zur Differenzierung gegenüber Datenschutz und Recht auf informationelle Selbstbestimmung s. BVerfG v. 24.1.2012 – 1 BvR 1299/05, wonach in der Zuordnung von TK-Nummern zu ihren Anschlussinhabern ein Eingriff in das Recht auf informationelle Selbstbestimmung liegt, wohingegen in der Zuordnung von dynamischen IP-Adressen ein Eingriff in Art. 10 Abs. 1 GG liegt. 1930 S. Schoof, in: Forgó/Helfrich/Schneider, Teil VII. Kap. 4, Rz. 4. 1931 S. Schoof, in: Forgó/Helfrich/Schneider, Teil VII. Kap. 4, Rz. 6 m. Hinw. a. Scheurle/Mayen/Büttgen, TKG, § 91, Rz. 17.
346
Schneider
Datenschutz im Internet bei Telemedien und Telekommunikation
Rz. 1342
A
Wie schon oben dargestellt ist die Abgrenzung zwischen Teledienst und Telemediendienst u.U. schwierig. Aus jüngerer Zeit ist v.a. die E. des VG Köln bekannt geworden, wonach der E-Mail-Dienst Google nicht zu den Telemedien zählte, sondern zu den Telekommunikationsdiensten.1932 Das TKG ist spezialgesetzliche Regelung gegenüber dem BDSG, das insoweit sich selbst 1338 auch als subsidiär erklärt. Doch ist dann das BDSG hinsichtlich der Bereiche, die aus dem Gesamtkomplex des Datenschutzes nach BDSG nicht geregelt sind, auch nicht negativ, das BDSG zu berücksichtigen. Dies betrifft z. B. die Bestellung eines betrieblichen Datenschutzbeauftragten. Das TKG sieht insofern spezielle Rechte für den Betroffenen und spezielle Differenzierun- 1339 gen für die Daten vor. Nach § 93 TKG hat der Diensteanbieter Informationspflichten gegenüber den Teilnehmern bei Vertragsabschluss, die nur zum Teil allerdings datenschutzrechtliche, zu einem anderen Teil auch vertragsrechtliche Funktion haben, nämlich über Umfang, Ort und Zweck der Erhebung und Verwendung personenbezogener Daten zu unterrichten, wobei die Teilnehmer auch auf die zulässigen Wahl- und Gestaltungsmöglichkeiten hinzuweisen sind (letzteres nach § 93 Abs. 1 Satz 2 TKG). Die Nutzer sind vom Diensteanbieter durch allgemein zugängliche Informationen über die Erhebung und Verwendung personenbezogener Daten zu unterrichten. Daneben besteht das Auskunftsrecht gem. BDSG, da § 93 Abs. 1 Satz 4 TKG erklärt, dass dieses „unberührt“ bleibt. Besonders interessant unter Aspekten der Neuerungen durch die DS-GVO ist die Informationspflicht gem. § 93 Abs. 2 TKG. Danach hat der Diensteanbieter die Teilnehmer über ein besonderes Risiko der Verletzung der Netzsicherheit hinzuweisen und zudem, „wenn das Risiko außerhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Maßnahme liegt, über mögliche Abhilfen, einschließlich der für sie voraussichtlich entstehenden Kosten, zu unterrichten“. Wie auch das TMG hat das TKG eine spezielle Vorschrift für die Einwilligung Online („im 1340 elektronischen Verfahren“), § 94 TKG. Wenn hier Voraussetzungen bzw. Bedingungen geschaffen werden, kann die Einwilligung auch elektronisch erklärt werden. Dazu ist sicherzustellen u. a., dass der Teilnehmer oder Nutzer seine Einwilligung bewusst und eindeutig erteilt hat und zweitens die Einwilligung protokolliert wird. Weiter muss sichergestellt sein, dass der Teilnehmer oder Nutzer den Inhalt der Einwilligung jederzeit abrufen kann (Nr. 3) und dass der Teilnehmer oder Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann (Nr. 4). § 95 TKG regelt unter dem Stichwort „Vertragsverhältnisse“ den Bereich der sog. Bestandsdaten, also den vertragsrelevanten Daten, die nicht i.R.d. jeweiligen Nutzung anfallen, die dann als Verkehrsdaten in § 96 TKG geregelt sind. Darüber hinaus gibt es noch die Standortdaten, § 98 TKG.
1341
Bei den Bestandsdaten wird in § 95 Abs.1 TKG zunächst der Bereich des Umgangs mit den 1342 Daten geregelt, der mit der vertraglichen Handhabung zu tun hat und ggf. auch zur Erfüllung von Daten der Teilnehmer eines anderen Diensteanbieters, wenn dies zur Erfüllung des Vertrags erforderlich ist. Eine Übermittlung der Bestandsdaten an Dritte ist grds. nur zulässig, wenn die Einwilligung des Teilnehmers dafür vorliegt (§ 95 Satz 3 TKG). Die Bestandsdaten dürfen aber nach Abs. 2 zur Werbung für eigene Angebote zur Marktforschung und zur Unterrichtung über einen individuellen Gesprächswunsch eines anderen Nutzers verwendet werden, allerdings „nur“, soweit dies für diese Zwecke erforderlich ist und der Teilnehmer eingewilligt hat (§ 95 Abs. 2 Satz 1 TKG).
1932 VG Köln v. 11.11.2015 – 21 K 450/15, MMR 2016, 141, dazu Rz. 1261.
Schneider
347
A Rz. 1343
Datenschutz und IT-Management
1343 Bei den Verkehrsdaten, § 96 TKG folgt die genauere Spezifizierung, wie damit umzugehen ist, in § 97 TKG, Entgeltermittlung und Entgeltabrechnung. § 96 TKG regelt also das Spektrum der Verkehrsdaten immer unter dem Aspekt, dass diese jeweils erforderlich sind, § 97 TKG die Ermittlung und Abrechnung. Zusätzlich zu berücksichtigen sind noch die Regeln nach § 99 TKG, Einzelverbindungsnachweis. Das Gesetz zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten ist am 18.12.2015 in Kraft getreten. Erbringer öffentlich zugänglicher Telekommunikationsdienste müssen spätestens ab dem 1.7.2017 die Verkehrsdaten ihrer Kunden zwischen vier und zehn Wochen speichern.1933 1344 § 98 TKG, Standortdaten, betrifft eine Regelung, die zwar v.a., aber nicht nur Mobilfunknetze betrifft, wonach grds. die Standortdaten zu anonymisieren sind. 5.2 Teilnehmerdaten, Inverssuche 1345 Bei der Behandlung der Teilnehmerdaten zeigen sich prinzipielle Unterschiede in der Ausgestaltung des Datenschutzes. Im Datenschutz gilt zumeist eine Einwilligungslösung. Bei Verwendung für Werbezwecke gilt dies allerdings nicht, s. § 28 BDSG. Aber auch nach § 105 Abs. 3 TKG gilt eine Widerspruchslösung. In der Folge ist der Teilnehmernetzbetreiber „nicht berechtigt, die ‚Freigabe‘ der Inverssuche von der Einwilligung seiner Kunden abhängig zu machen“.1934 „Er ist vielmehr im Verhältnis zu den Auskunftsdienstbetreibern zur Anwendung der Widerspruchslösung des § 105 Abs. 3 TKG 2004 verpflichtet“.1935 1346 Die Inverssuche von Kundendaten anhand von Telefonnummern soll jedoch nach den „Mindestvorgaben“ des TKG nicht zwingend im Opt-out-Verfahren durchzuführen sein, ein höherer Schutz durch Opt-in (gegenüber dem einzelnen Teilnehmer) soll immer möglich sein.1936 Die darin enthaltene Wertung passt nicht zu der vorzitierten BGH-Entscheidung, die im Verhältnis der Betreiber untereinander das TKG als Maximalschutz sieht.1937 1347 I.Ü. sind Teilnehmerdaten i.S.v. § 47 Abs. 2 TKG nur Daten, „die dem TK-Diensteanbieter auf Grund der mit den Teilnehmern geschlossenen TK-Dienstverträge bekannt sind und die nach §§ 45m und 104 TKG (Teilnehmerverzeichnisse) zu veröffentlichen sind, nicht aber solche Daten, die er durch eigenständige Ermittlungen erlangt, die unabhängig von den Zugriffsmöglichkeiten sind, die ihm als Teilnehmernetzbetreiber zur Verfügung stehen oder die er durch die Veröffentlichung von Kundendaten für fremde Telefondiensteanbieter hat“.1938 Die sog. Verlegerdaten sind also ausgenommen.1939
1933 Zur Bewertung der generellen Speicherpflicht nach EuGH und EGMR s. Boehm/Andrees, CR 2016, 146. S.a. Grünwald/Nüßing, MMR 2015, 378 zur Vorratsdatenspeicherung“, s. Rz. 62, 1328 ff. 1934 BGH v. 5.7.2007 – III ZR 316/06, CR 2007, 567 – Inversauskunft. § 105 regelt die Auskunftserteilung, § 47 die Breitstellung von Teilnehmerdaten. 1935 BGH v. 5.7.2007 – III ZR 316/06, CR 2007, 567 – Inversauskunft. 1936 LG München I v. 13.9.2005 – 33 O 4087/05, MMR 2006, 564; zur Erforderlichkeit Opt-in für § 7 Abs. 2 UWG s. BGH v. 16.7.2008 – VIII 348/06 – Payback, s.a. Rz. 838. 1937 BGH v. 5.7.2007 – III ZR 316/06, CR 2007, 567. 1938 BGH v 5.11.2009 – III ZR 224/08, MMR 2010, 124; s.a. zur Herausgabeverpflichtung bei Teilnehmerdaten an Betreiber von Telefonauskunftsdiensten gem. EK-RL Vorlage BVerwG v. 28.10.2009 – 6 C 20.08, MMR 2010, 130, und EuGH v. 5.5.2011 – C-543/09, Ls. 2, wonach Art. 12 EK-RL der nationalen Regelung zur Teilnehmerdatenweitergabe für die Zwecke der Verzeichniserstellung nicht entgegensteht, wenn die Teilnehmer „vor der ersten Aufnahme ihrer Daten in ein öffentliches Teilnehmerverzeichnis über dessen Zweck bzw. Zwecke sowie über die Tatsache, dass diese Daten an einen anderen Telefondienstanbieter übermittelt werden könnten, informiert wurden und sofern zum anderen gewährleistet ist, dass die betreffenden Daten nach ihrer Weitergabe nicht für andere Zwecke als diejenigen verwendet werden, für die sie im Hinblick auf ihre erste Veröffentlichung erhoben wurden“. 1939 S. dazu Anm. Mehari zu BGH v. 5.11.2009 – III ZR 224/08, MMR 2010, 124 (127).
348
Schneider
IT-Sicherheit
Rz. 1351
A
VI. IT-Sicherheit 1. Einführung IT-Sicherheit ist primär keine juristische Thematik. Sie wird dazu aber über Regelungen zu 1348 Datenschutz (etwa § 9 BDSG) und Compliance, dabei auch über Vertragskonstellationen, allen voran AuftragsDV i.S.v. § 11 BDSG (s. A Rz. 226 ff., 440 ff., 628 ff., 927 ff., 1096 ff., 1508 ff.) und Providing-Verträge (s. W Rz. 22 ff.) sowie schließlich über Haftung.1940 Aber auch in scheinbar abgelegenen Materien taucht die Thematik auf, etwa im Urheberrecht im Kontext „wirksamer technischer Maßnahmen“ gem. § 95a UrhG oder bei Sicherheitsanforderungen gem. SigG bzw. SigV. Über „privacy by design“ wird die IT-Sicherheit mit dem Datenschutz verknüpft zum Gegenstand rechtspolitischer Technikgestaltung.1941 Schließlich ist IT-Sicherheit inzwischen Gegenstand des IT-Sicherheitsgesetzes.1942 Damit zeigen sich drei verschiedene Interessenssphären, die letztlich aber über die jeweilige 1349 IT-Infra- und Sicherheitsstruktur zu berücksichtigen und umzusetzen sind: – Interesse des Unternehmens – Interesse des Betroffenen (Datenschutz) und – Interesse des Staates/der Gesellschaft (Schutz der Integrität und Funktionsfähigkeit). Datenskandale in den vergangenen Jahren waren häufig zugleich Sicherheitsskandale. Iden- 1350 titätsdiebstähle in ungeheurer Größenordnung wurden mehrfach gemeldet.1943 Auslesen spezieller Datenbestände bei Facebook („Datenklau“)1944 und bei Apple1945 offenbarte typische Lücken. BYOD ist u.a. eine Kategorie der Gefährdung der IT-Sicherheit.1946 Die Integrität der IT-Infrastruktur wird gefährdet, die betriebliche IT-Sicherheitsarchitektur bzw. -policy ist mit BYOD nicht mehr gewährleistet, sodass evtl. Zertifikate verfallen. Die für Sicherheit notwendige Kontrollierbarkeit scheitert schon an der Zuständigkeit, Mitarbeiter und deren privates Gerät und dessen Software und Onlinedienste zu prüfen.
1940 S. Spindler, CR 2016, 297 zum Zshg. zwischen IT-Sicherheit und zivilrechtlicher Haftung. 1941 Zu Datenschutz durch IT s. Herberger, in: Weth/Herberger/Wächter (Hrsg.), Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2014, Teil A. Allgemeiner Teil XIII. Datenschutz durch IT Rz. 1 – 26; zum Entwurf der DS-GVO Rossnagel, ZD 2013, 562; Hornung, ZD 2011, 51 (auch zu Privacy enhanced Technology); ENISA Report Ende 2014: http://www.enisa.europa.eu/media/news-items/ deciphering-the-landscape-for-privacy-by-design (abgerufen am 22.8.2016). Report zu Big Data; Lagebericht zur IT-Sicherheit 2015 (abrufbar unter: https://www.bsi-fuer-buerger.de/SharedDocs/ Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2015.pdf?__blob=publicationFile&v=3, abgerufen am 25.8.2016). 1942 S. Rz. 1406 ff. 1943 S. zu Botnetzen Roos/Schumacher, MMR 2014, 377 mit Hinweisen auf „Klau“ von E-Mail-Adressen mitsamt zugehörigen Passwörtern von mehreren Mio. Internetnutzern und dazu Meldungen des BSI v. 21.1.2014 und 7.4.2014; die Gefahr war u.a, dass kriminelle Dritte auf Kosten der Betroffenen in Online-Shops einkaufen und dass Dritte die Daten zu Zwecken des Spamming nutzen. 1944 6.8.2014: „1,2 Milliarden Profile gestohlen“, http://www.focus.de/digital/internet/das-muessensie-jetzt-tun-groesster-datenklau-aller-zeiten-ja-sie-sind-betroffen_id_4041528.html (abgerufen am 22.8.2016). 1945 Zur Reaktion: „Nach dem skandalträchtigen iCloud-Leak diverser privater Aufnahmen prominenter Nutzer des Dienstes hatte Apple seine Sicherheitsvorkehrungen hochgefahren. (…)“ https://curved. de/news/apple-vs-icloud-hack-update-schliesst-sicherheitsluecke-195389 (abgerufen am 22.8.2016). 1946 Bring Your Own Device, s. Conrad/Schneider, ZD 2011, 153; Jandt/Steidle, CR 2013, 338; Seel, MDR 2014, 69.
Schneider/Kahlert
349
1351
A Rz. 1352
Datenschutz und IT-Management
1352 Apps stellen sowohl für den Datenschutz als auch die IT-Sicherheit ein erhebliches Risiko dar.1947 Apps, die die Mitarbeiter einbringen bzw. nutzen, sind sowohl für den Arbeitgeber als auch den Mitarbeiter selbst, v.a. datenschutzrechtlich ein großes Risiko (u.a. hinsichtlich Missbrauch, Transparenz).1948 1353 Cloud stellt eine besondere Herausforderung dar. Einerseits sind die Standardmaßnahmen beim Provider (evtl. sogar vor Ort, s.a. Rz. 232, 235) zu prüfen und sicherzustellen (§ 11 BDSG). Andererseits besteht kein Schutz gegenüber fremd-staatlichem Zugriff, etwa gegenüber USA.1949 Zum einen ergaben sich Verbesserungen durch die Bemühungen und Verhandlungen zu Privacy Shield als Nachfolger für Safe Harbor, s. Rz. 404 ff., etwa der Redress-Act.1950 Zum anderen entstand in den USA verstärkt Sensibilität gegenüber der Schutzwürdigkeit der Daten auch gegenüber staatlichen Stellen.1951 1354 Durch das Aufeinandertreffen der technischen Möglichkeiten von Big Data und der Datenschutzprobleme bei Social Media sowie der Totalausspähung durch Geheimdienste1952 mit den Bedrohungen des Cyberterrorismus ist das Thema IT-Sicherheit mehr in den Fokus von Gesellschaft und Wirtschaft gerückt als je zuvor. Es werden hohe und weiter steigende Umsätze mit Software und Services zur IT-Sicherheit generiert (für 2015 wurde ein Anstieg des Umsatzes um 6,5 % auf 3,7 Mrd. Euro erwartet), TK- und IT-Unternehmen erhöhen ihre Aktivität in diesen Feldern und zuletzt wurde gar von den DAX-Konzernen Allianz, Bayer, BASF und Volkswagen ein gemeinsames Zentrum für IT-Sicherheit („Deutsche Cyber-Sicherheitsorganisation“, DCSO) gegründet.1953 1355 Die Sensibilität für Anforderungen des Datenschutzes und der Sicherheit informationstechnischer Systeme ist gewachsen und auch der Umstand, dass die Verbesserung der Sicherheitsstandards zwar mit erheblichen Kosten verbunden sein kann, jedoch die Kosten eines Skandals1954 sehr beachtlich sein können, wird zunehmend akzeptiert. Denn das Vertrauen von Kunden und Mitarbeitern in das datenschutzsichere Funktionieren von IT-Systemen ist eine wertvolle Ressource, deren Beschädigung schwerwiegende und nachhaltig negative Fol-
1947 Heider, DuD 2014, 15; zu Mobile Apps und Datenschutz s. Hawellek, in: Forgó/Helfrich/Schneider, S. 568 ff. 1948 Einwilligungserklärungen sind problematisch, AGB-rechtlich eher unwirksam, s. z.B. LG Frankfurt/M. v. 6.6.2013 – 2-24 O 246/12, K&R 2013, 503 zur teilweisen Rechtswidrigkeit von AppstoreAGB, dazu Lachenmann, K&R 2013, 505. Ob Betriebsvereinbarungen die Datenschutzbelange der Mitarbeiter schwächen dürfen, etwa um Kontrollen zu ermöglichen, ist wohl zu verneinen, s. im Einzelnen Rz. 781 ff. 1949 S. zu IT-Sicherheit und den Folgen des „NSA-Skandals“ Ruhmann, DuD 2014, 40; s.a. Voigt, MMR 2014, 158 zum weltweiten Zugriff der US-Behörden; zu US Patriot-Act s.a. Becker, CR 2012, 170; von Holleben/Probst/Winters, CR 2015, 63 ff. 1950 Judicial Redress Act of 2015, s. z.B. https://www.congress.gov/bill/114th-congress/house-bill/1428 (abgerufen am 23.8.2016); Börding, CR 2016, 431 (435 f). 1951 S. etwa den Fall, in dem sich Microsoft der Datenherausgabe widersetzt hat, dazu 2. Instanz. Lt. Heise entschied das Berufungsgericht: „Das angewandte Gesetz gebe Gerichten keine Handhabe, die Herausgabe von Daten anzuordnen, die ausschließlich auf Servern in Drittländern gespeichert seien, heißt es in dem Urteil des US Court of Appeals for the 2nd Circuit in New York (Microsoft vs United States, 2nd U.S. Circuit Court of Appeals, No. 14-2985).“ http://www.heise.de/newsticker/ meldung/Urteil-Microsoft-muss-Daten-aus-EU-Rechenzentrum-nicht-der-US-Regierung-ueberge ben-3268104.html (abgerufen am 23.8.2016); s. aber zu Apple (22.3.2016): FBI findet Methode, um das iPhone zu knacken, http://www.welt.de/wirtschaft/article153551796/FBI-findet-Methode-umdas-iPhone-zu-knacken.html (abgerufen am 23.8.2016). 1952 Sog. NSA-Skandal, der zugleich wohl ein Skandal auch der Britischen und der Deutschen Dienste ist. Zu Völker-, unions- und verfassungsrechtlichen Aspekten des NSA-Datenskandals Ewer/Thienel, NJW 2014, 30. 1953 FAZ Nr. 218 v. 19.9.2015, S. 17: Industrie macht IT-Sicherheit zum Topthema. 1954 Wozu auch inzwischen hohe Bußgelder gehören, s. z.B. „Versicherung zahlt 1,3 Mio Euro wegen Datenschutzvergehen“, http://www.golem.de/news/debeka-versicherung-zahlt-1-3-mio-euro-wegen-da tenschutzvergehen-1412-111386.html (abgerufen am 26.8.2016).
350
Schneider/Kahlert
IT-Sicherheit
Rz. 1358
A
gen für Unternehmen und Gesellschaft haben kann.1955 Es ist gleichwohl Konsens, dass ein hundertprozentiger Datenschutz kaum erreichbar ist, gerade mit Blick auf die vielfachen Bedrohungsszenarien, die oft asymmetrischer Natur und schwer berechenbar bzw. vorhersehbar sind. Die Dynamik des IT-Sektors mit funktionierender sicherheitstechnischer Infrastruktur in 1356 rechtssicherem Rahmen zu flankieren stellt sich mithin als eine der wichtigsten Herausforderungen überhaupt dar und ist nicht nur hinreichende, sondern notwendige Bedingung für die Akzeptanz1956 und den Erfolg eines auch in Zukunft hohen Innovationstempos im ITBereich. Gerade bei Berufsgeheimnisträgern, aber auch in anderen sensiblen Bereichen stellt sich die Nutzung von cloudbasierten Office-Anwendungen (bislang) problematisch dar. Unter Sicherheitsaspekten ist dabei eine wesentliche Verschärfung der Risiken durch Industrie 4.0 zu erwarten, wenn im Zuge deren Realisierung die Kommunikation der Maschinensysteme in die Cloud verlagert wird.1957 Problematisch bleiben zudem die technischen Entwicklungen, die ohne Rückkopplung zum 1357 juristischen Rahmen bzw. ohne Prüfung der Zulässigkeit (massenhaft) Einzug ins tägliche (Arbeits-)Leben halten, wie etwa Facebook, aber auch zahlreiche kommerziell orientierte online-basierte Leistungen wie Softwarenutzung und -auswertung. Z.B. verlangen viele Applikationen, die auch von Geheimnisverpflichteten wie Rechtsanwälten eingesetzt werden, dass die Ergebnisse zwecks Auswertung an den Hersteller/die Service-Einrichtung in den USA oder andernorts außerhalb Europas geschickt werden (etwa Übersetzungen, automatische Spracherkennungssysteme).1958 Auch bei Anwendungen in und aus der Cloud, etwa bei MS Office 3651959 mischen sich lokale und Online-Funktionalitäten, wobei kaum die Anforderungen des § 11 BDSG erfüllt werden, jedenfalls aber das Problem des § 203 StGB nicht lösbar erscheint.1960 Im Februar 2011 hatte das BMI eine „Cyber-Sicherheitsstrategie für Deutschland“1961 vorgestellt. Weitere Initiativen folgten.1962 Am 25.7.2015 ist zudem das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – IT-Sicherheitsgesetz (IT-SicherheitsG v.
1955 Bislang zeigen sich nur die Systeme, die auf dem Tausch von Daten gegen Dienst beruhen, weitgehend resistent gegenüber den kleinstaatigen Datenschutzforderungen, also etwa Google, Facebook. Dies ändert sich etwas mit Vereinheitlichung in der EU, etwa auch über EuGH. 1956 Vgl. etwa zum Thema „Cloud Computing“: Weiss, in: Hilber, Cloud Computing, Teil 1 A, insb. Rz. 39 ff. 1957 Zur M.M. Kommunikation in der Cloud: Heckel, Wie Maschinen in der Cloud sprechen lernen, 31.1.2015, abrufbar über http://www.handelsblatt.com/technik/it-internet/it-internet/industrie-40-wie-maschinen-in-der-cloud-sprechen-lernen/11298534.html (abgerufen am 22.8.2016). Zum Ansatz für Sicherheit: Heckel, Wenn die Fabrik zur Festung wird, 30.1.2015, abrufbar über http:// www.handelsblatt.com/technik/it-internet/it-internet/sicherheit-in-der-cloud-wenn-die-fabrik-zurfestung-wird/11301064.html (abgerufen am 22.8.2016). 1958 Wie sie auch für Smartphones eingesetzt werden. 1959 Zur Beschreibung solcher Lizenzen und der Vorgänge s. z.B. Leupold/James, Münchener Anwaltshandbuch IT-Recht, 3. Aufl. 2013, Rz. 124 ff. 1960 S. zum Ansatz der Verschlüsselung zur Lösung des Problems des Personenbezugs, z.B. Kroschwald, ZD 2014, 75. Gegen die Verschlüsselung ist wiederum das BMI bzw. sind die Geheimdienste: für Österreich s. etwa http://futurezone.at/netzpolitik/bmi-behoerden-muessen-verschluesselung-knackenkoennen/109.505.935 (abgerufen am 4.3.2015). 1961 Abrufbar unter http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/In formationsgesellschaft/cyber.pdf?__blob=publicationFile (abgerufen am 18.8.2014); s.a. Beucher/Utzerath, MMR 2013, 362. 1962 S. etwa auf Ebene Bundesland Bay.: Zum 1.1.2015 richtet das Bayerische Staatsministerium der Justiz bei der Generalstaatsanwaltschaft Bamberg eine für ganz Bay. zuständige „Zentralstelle Cybercrime Bayern“ ein; abrufbar über https://www.justiz.bayern.de/presse-und-medien/pressemitteilun gen/archiv/2014/185.php (abgerufen am 9.3.2015).
Schneider/Kahlert
351
1358
A Rz. 1359
Datenschutz und IT-Management
17.7.2015, BGBl. I, 1324) in Kraft getreten.1963 Dem IT-SicherheitsG ist hinsichtlich Inhalt, Wirkung und Kritik ein eigenes Unterkapitel gewidmet (s. A Rz. 1406 ff.) 1359 Parallel gab es den Kommissionsvorschlag zu einer Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL).1964 Etwa ein Jahr nach dem IT-SicherheitsG ist die NIS-RL verabschiedet worden,1965 sodass nun noch ein gewisser Anpassungsbedarf seitens der deutschen Regelung besteht, s.a. Rz. 1430 f. Die NIS-Richtlinie ist am 8.8.2016 in Kraft getreten. Sie ist am 19.7.2016 im Amtsblatt der Europäischen Union veröffentlicht worden. Sie ist bis zum 10.5.2018 in nationales Recht umzusetzen. D.h. die Wirkung liegt sehr nahe am Termin, zu dem auch die DS-GVO wirkt. 1360 Die Betreiber von kritischen Infrastrukturen1966 sowie Telekommunikations- und Telediensteanbieter werden durch das IT-SicherheitsG verpflichtet, kontinuierlich und dauerhaft verlässliche IT-Sicherheitsmaßnahmen zu ergreifen, die den Schutz der ihnen anvertrauten Daten bezwecken. Dazu sollen Mindestanforderungen vom Gesetzgeber vorgegeben werden. Darüber hinaus sollen Meldepflichten (gegenüber dem BSI) im Falle des Auftretens von ITSicherheitsvorfällen sowie Informations- und Hilfspflichten (gegenüber den Nutzern) bei Bekanntwerden von neuen Sicherheitsproblemen eingeführt werden.1967 Zudem wird das BSI in regelmäßigen Jahresberichten Auskunft über die Entwicklung im Bereich der IT-Sicherheit geben. Politisches Ziel ist es, einen Ordnungsrahmen zu etablieren, der „ein gutes Klima für Innovationen und gesellschaftlichen Fortschritt“ schafft, zudem dafür sorgt, dass „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten Systemen weltweit werden“ und dadurch auch der Wirtschaftsstandort Deutschland gestärkt wird.1968 Deutschland strebt nach Aussage des Bundesinnenministers eine internationale Vorreiterund Vorbildrolle in Bezug auf IT-Sicherheit an.1969 1361 Unternehmen, Behörden, aber auch Privatleute haben jeweils selbst großes Interesse daran, dass die von ihnen genutzten IT-Systeme sicher, d.h. gegen Angriffe von außen (und innen) geschützt sind. Dies sicherzustellen ist angesichts einer immer größeren globalen Verbreitung von IT-Devices und der Unmengen von sensiblen Daten, die über IT-Systeme verarbeitet werden und mittlerweile zum großen Teil in Clouds gespeichert werden, eine große Herausforderung. Denn Gefahren können sowohl von – etwa geheimdienstlichen – Spionagetätigkeiten als auch von Kriminellen ausgehen. Auch durch eigene Mitarbeiter, die mit vertraulichen Unternehmensdaten fahrlässig oder vorsätzlich falsch umgehen, können erhebliche Schäden entstehen. 1362 Zudem kann Software beträchtliche Sicherheitslücken aufweisen. Der oft klauselmäßig verwendete Hinweis, wonach Software nie fehlerfrei ist,1970 lässt dies bereits vermuten. Es kann sich dabei sowohl um bewusst eingebaute Schwachstellen handeln, die einen Zugang durch
1963 S. Schreibauer/Spittka, ITRB 2015, 240; Rath/Kuss/Bach, K&R 2015, 437; Spindler, CR 2016, 297. 1964 COM(2013) 48 final, abrufbar unter: http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directi ve_de.pdf (abgerufen am 8.5.2014). S.a. Klett/Ammann, CR 2014, 93. Zu den Regulierungsinitiativen s.a. Utzerath/Beucher, MMR 2013, 362. Zum Vergleich NIS-RL mit Referentenentwurf des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 5.3.2013 s. Seidl, jurisPR-ITR 15/2014 Anm. 2. (Teil 5). Danach gab es eine neue Fassung des deutschen Entwurfs, s.a. Bundesregierung beschließt IT-Sicherheitsgesetz v. 18.12.2014 – becklink 1036343. 1965 Trilog-Version v. 8.12.2015; NIS-RL v. 6.7.2016, abrufbar über http://eur-lex.europa.eu/legal-con tent/DE/TXT/PDF/?uri=CELEX:32016L1148&from=EN (abgerufen am 26.8.2016). 1966 S. dazu A Rz. 1409 ff. und z.B. Seidl, jurisPR-ITR 7/2014 Anm. 2. 1967 Weitergehende Informationen und Aktualisierung abrufbar unter http://www.bmi.bund.de/DE/ Nachrichten/Dossiers/ITSicherheit/itsicherheit_node.html (abgerufen am 22.8.2016). 1968 De Maizière, Das Netz – Raum der Chancen und der Freiheit, FAZ Nr. 190 v. 18.8.2014, S. 6. 1969 De Maizière, Das Netz – Raum der Chancen und der Freiheit, FAZ Nr. 190 v. 18.8.2014, S. 6. 1970 S.a. M Rz. 725, M Rz. 1342, M Rz. 1415, zur Unvermeidbarkeit; dazu a. Heussen, CR 2004, 1.
352
Schneider/Kahlert
IT-Sicherheit
Rz. 1365
A
die Hintertür (engl. „backdoor“1971 oder „trapdoor“, „man in the middle“1972) ermöglichen, als auch um unbeabsichtigte Programmierfehler oder -lücken. Laut DARPA1973 enthält kommerzielle Software pro 1000 Zeilen Programmiercode durchschnittlich 1 bis 5 Fehler. Vor dem Hintergrund, dass gewöhnliche Betriebssoftware bis zu 90 Mio. Programmiercode-Zeilen umfasst, lässt sich erahnen, welch hohe Anzahl an Sicherheitslücken jedenfalls theoretisch denkbar ist. Da es eine hundertprozentig zufriedenstellende (technische) Lösung zur Vermeidung von Sicherheitslücken in Software nicht gibt, könnte eine punktuelle Verbesserung lediglich im Wege der Vertragsgestaltung oder restriktiveren Rechtsetzung angestrebt werden. Problematisch ist dabei, ab wann ein Mangel im gewährleistungsrechtlichen Sinne vorliegt. Fehler und Sicherheitslücken können schließlich auch unvermeidbarer Teil der üblichen Beschaffenheit sein. Sie können sogar zwecks Überwachbarkeit vorgeschrieben sein (s. Rz. 1382 ff.). In Bezug auf Software kann eine produkthaftungsrechtliche Pflicht des Softwareherstellers zur Behebung von Fehlern/Sicherheitslücken durch Austausch/Rückruf z.B. in Form von Lieferung von Software-Updates/-Patches bestehen, sofern andernfalls erhebliche Gefahren für Gesundheit oder Eigentum der Nutzer im Raum stünden.1974
1363
Bei fahrlässig herbeigeführten Fehlern bestehen regelmäßig vertragliche und deliktsrechtliche Ansprüche gegen den Softwarehersteller.1975 Zudem besteht ggf. Schutz über § 823 BGB, evtl. i.V.m. § 202a StGB,1976 und über § 17 Abs. 2 UWG.
1364
Laut BKA (PKS)1977 wurden für das Berichtsjahr 2015 70.068 Fälle von Computerkriminalität erfasst.1978 In Bezug auf alle mit dem „Tatmittel Internet“ begangenen Straftaten lag die Gesamtzahl im Jahr 2015 bei 244.528,1979 wobei die Dunkelziffer noch um ein Vielfaches – das LKA Nds. kam für das Berichtsjahr 2015 zu dem Ergebnis, dass nur etwa 12 % derer gesamten computerbezogenen Kriminalität angezeigt werde1980 – höher liegen dürfte. Dies gilt auch für die Statistiken zur Schadenshöhe, die laut BKA in den Jahren 2015 bei 40,5 Mio. Euro (2014: 39,4 Mio. Euro) lag, zumal hier nur die Delikte im Bereich Computerbetrug und
1365
1971 S. Greenwald, No Place to Hide, http://glenngreenwald.net/pdf/NoPlaceToHide-Documents-Com pressed.pdf (abgerufen am 24.8.2016) auch zum Einfluss der NSA auf Hardwarekomponenten. 1972 V.a. bei Bank/TAN Verfahren bekannt, s. Höltge, ITRB 2015, 247, auch zu LG Darmstadt v. 28.8.2014 – 28 O 36/14, CR 2014, 749). 1973 Defense Advanced Research Projects Agency, Behörde des US-Verteidigungsministeriums. 1974 Vgl. Orthwein/Obst, CR 2009, 1 (3 f.), Spindler, CR 2005, 741 ff.; neuerdings: Bartsch, in: Conrad/ Grützmacher, § 57 Rz. 15 ff.; zudem Marly, Praxishandbuch Softwarerecht, Rz. 1869 ff.; Günther, Produkthaftung für Informationsgüter, 2001; Sodtalbers, Softwarehaftung im Internet, Rz. 140 ff.; speziell zum sog. „Jahr 2000-Problem“ s. Spindler, NJW 1999, 3737. 1975 S. schon Taeger, Außervertragliche Haftung für fehlerhafte Computerprogramme, 1995, S. 37, 40 f. passim, insb. S. 239 ff. 1976 Zu § 202a StGB als Schutzgesetz s. OLG Celle v. 22.12.2010 – 7 U 49/09, NJW-RR 2011, 1047 (1048). 1977 Polizeiliche Kriminalstatistik. 1978 Unter den Begriff „Computerkriminalität“ fasst das BKA folgende Delikte: Betrug mittels rechtswidrig erlangter Debitkarten mit PIN, Computerbetrug, Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten, Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, Datenveränderung, Computersabotage, Ausspähen, Abfangen von Daten einschl. Vorbereitungshandlungen, Softwarepiraterie, vgl. BKA (Hrsg.), Polizeiliche Kriminalstatistik Bundesrepublik Deutschland, Jahrbuch 2015, S. 354 f., abrufbar über https://www.bka.de/DE/AktuelleInfor mationen/StatistikenLagebilder/PolizeilicheKriminalstatistik/PKS2015/pks2015_node.html (abgerufen am 24.8.2016). 1979 Bundeskriminalamt (Hrsg.), Polizeiliche Kriminalstatistik Bundesrepublik Deutschland, Jahrbuch 2015, S. 30, abrufbar über https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Po lizeilicheKriminalstatistik/PKS2015/pks2015_node.html (abgerufen am 24.8.2016); s.a. Bundeslagebild Cybercrime 2015, S. 7. 1980 LKA Nds. (Hrsg.), Befragung zu Sicherheit und Kriminalität in Niedersachsen. 2015 – Bericht zu den Kernbefunden der Studie, 2016, S. 38; abrufbar unter http://www.lka.niedersachsen.de/down load/72400/Bericht_zu_den_Kernbefunden.pdf (abgerufen am 24.8.2016).
Schneider/Kahlert
353
A Rz. 1366
Datenschutz und IT-Management
Betrug mit Zugangsdaten abgedeckt sind.1981 Wie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) mitteilte, werden allein auf die IT-Strukturen der Regierungsbehörden täglich bis zu 2.000 Cyber-Angriffe verübt. In Bezug auf deutsche Unternehmen ist anzunehmen, dass die Angriffszahlen noch sehr viel höher sind.1982 Zum Computerstrafrecht s. E. 2. Trends bei der IT-Sicherheit 2.1 Bedeutung 1366 Eine im Februar 2014 veröffentlichte Umfrage des Verbands der Deutschen Internetwirtschaft e.V. (eco) hat ergeben, dass Sicherheitsaspekte bei der Benutzung von Mobile Devices sowie der Inanspruchnahme von Cloud-Diensten als besonders wichtig angesehen werden.1983 In der Problemwahrnehmung folgen Gefahren, die von Schadsoftware im Internet und von unverschlüsselter E-Mail-Kommunikation ausgehen. In organisatorischer Hinsicht räumen die Befragten dem Datenschutz, der Sensibilisierung der Mitarbeiter und der Notfallplanung oberste Priorität ein. 1367 Mehr als zwei Drittel der deutschen Unternehmen gingen Anfang 2014 davon aus, dass sie verstärkte Investitionen in den Bereich IT-Sicherheit vornehmen werden.1984 Das Thema Datensicherheit und IT-Sicherheit bleibt auf der Agenda vieler Unternehmen weit vorne, denn die Digitalisierung von Geschäftsprozessen (Stichwort „Industrie 4.0“)1985 und der Einsatz von Cloud-Diensten wird weiter zunehmen. Man schätzt zugleich, dass die Attacken auf IT-Systeme an Zahl und Brisanz weiter zunehmen Vor dem Bundestag wurde festgestellt: die Gefahr durch Cyber-Attacken nimmt zu.1986 1368 Zu den Zielen der IT- bzw. ITK-Sicherheit wurden bereits auch solche gerechnet, die dem „Datenschutz“ dienen, etwa „Unbeobachtbarkeit“,1987 was in Prinzipien wie anonyme Nutzbarkeit der Dienste, Datenminimierung bzw. -sparsamkeit Niederschlag gefunden hat. Die Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) wird auch Impulse für die Beurteilung und Steigerung der IT-Sicherheit bringen. S.a. Rz. 513, 564, 570 ff. 2.2 Definitionen 1369 Eine einheitliche, anerkannte Definition des Begriffs der IT-Sicherheit gibt es wohl nicht. Als eine Art Pendant gegenüber den Bedrohungen haben sich aber folgende Ziele/Sicherheitskategorien herauskristallisiert, die zusammen IT-Sicherheit bilden: – Vertraulichkeit (Confidentiality), – Verfügbarkeit (Availability), – Integrität und
1981 Bundeskriminalamt (Hrsg.), Bundeslagebild Cybercrime 2015, S. 7. 1982 Carstens, Cyber-Kriminalität – Das Gift des Misstrauens, http://www.faz.net/aktuell/politik/cyberkriminalitaet-das-gift-des-misstrauens-12670164.html (abgerufen am 22.8.2016). 1983 Vgl. Bericht aus Computerwoche 9/14 v. 24.2.2014, S. 8. 1984 Hülsbömer, IT-Security: Was 2014 auf uns zukommt, Computerwoche 3/2014 v. 13.1.2014, S. 28 f. 1985 Bayer, 2015: Der digitale Umbau fordert die IT-Abteilungen, Computerwoche 1-3/2015 v. 12.1.2015, S. 14 ff. 1986 MMR-Aktuell 2016, 376372, die Experten waren einig, dass die Gefahren durch sog. Cyber-Attacken in den vergangenen zehn Jahren deutlich gestiegen sind, Zu Zahlen und damit Risiken s. etwa Mehrbrey/Schreibauer, MMR 2016, 75. 1987 S. Vierter Zwischenbericht der Enquete-Kommission „Zukunft der Medien in Wirtschaft und Gesellschaft – Deutschlands Weg in die Informationsgesellschaft“ zum Thema „Sicherheit und Schutz im Netz“, 1998, BT-Drs. 13/11002, S. 45 ff.
354
Schneider/Kahlert
IT-Sicherheit
Rz. 1374
A
– Authentizität, – Kontrollierbarkeit/Qualitätsprüfung (Assurance).1988 § 2 Abs. 2 BSIG enthält folgende, dem weitgehend entsprechende Definition:
1370
„(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen, Komponenten oder Prozessen oder 2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.“
Diese Ziele sind jeweils spezifischen Bedrohungen ausgesetzt. Deren Realisierungs- bzw. Eintrittswahrscheinlichkeit einschließlich der Folgen abzuschätzen und zur Vermeidung die geeigneten Maßnahmen zu ergreifen, ist Gegenstand der IT-Sicherheit.
1371
Bei „kritischen Infrastrukturen“ handelt es sich um den Kernbegriff für die Anwendung des IT-Sicherheitsgesetzes. Dieser hatte schon in der EU-Richtlinie 2008/114/EG des Rates vom 8.12.2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, eine zentrale Rolle.1989
1372
Das BSI definiert „kritische Infrastrukturen“ wie folgt:
1373
„Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“1990
§ 2 Abs. 10 BSIG lautet wie folgt:
1374
„Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.“
Eine nähere Bestimmung der kritischen Infrastrukturen bzgl. der Sektoren Energie, Wasser, Ernährung und Informationstechnik/Telekommunikation ist bereits durch den ersten Teil der BSI-KritisV1991 erfolgt, die am 3.5.2016 in Kraft getreten ist. Die Konkretisierungen bzgl.
1988 S. Holznagel, Recht der IT-Sicherheit, 2003, S. 12 ff.: zu Schutzzielen s.a. BSI, IT-Grundschutzkataloge und -Standards sowie darauf aufbauende Risikoanalysen, abrufbar unter: https://www.bsi.bund. de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html, https:// www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_ node.html#doc471418bodyText2; zudem BT-Drs. 13/11002 (s.o.), S. 21, worauf Seidl, Mehr Cybersicherheit durch ein IT-Sicherheitsgesetz, jurisPR-ITR 7/2014 Anm. 2 verweist. 1989 Art. 2a RL 2008/114/EG definiert „kritische Infrastruktur“ als „die in einem Mitgliedstaat gelegene Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen auf einen Mitgliedstaat hätte, da diese Funktionen nicht aufrechterhalten werden könnten“. 1990 BMI, Nationale Strategie zum Schutz kritischer Infrastrukturen (KRITIS), 2009, abrufbar unter http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/kritis.html?nn=3314962 (abgerufen am 22.8.2016). 1991 S.a. Rz. 1411, 1430 ff.
Schneider/Kahlert
355
A Rz. 1375
Datenschutz und IT-Management
der Sektoren Finanzen, Transport/Verkehr sowie Gesundheit sollen in einem zweiten Verordnungsteil festgelegt werden, der für Anfang 2017 erwartet wird. Vergleichbar, aber nicht ganz identisch, ist insofern der in der NIS-Richtlinie1992 v. 17.5.2016 verwendete Begriff „Betreiber wesentlicher Dienste“. Hiermit sind gem. Art. 4 Nr. 4 NIS-RL alle öffentlichen oder privaten Einrichtungen einer in Anhang II genannten Art gemeint, die die Voraussetzungen des Art. 5 Abs. 2 NIS-RL erfüllen, die wie folgt lauten: „a) Eine Einrichtung stellt einen Dienst bereit, der für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich ist; b) die Bereitstellung dieses Dienstes ist abhängig von Netz- und Informationssystemen; und c) ein Sicherheitsvorfall würde eine erhebliche Störung bei der Bereitstellung dieses Dienstes bewirken“. In Anhang II zur NIS-RL werden folgende Sektoren (und Teilsektoren) genannt: 1) Sektor Energie (Teilsektoren: Elektrizität, Erdöl, Erdgas), 2) Sektor Verkehr (Teilsektoren: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr), 3) Sektor Bankwesen, 4) Sektor Finanzmarktinfrastrukturen, 5) Sektor Gesundheitswesen (Teilsektor: Einrichtungen der medizinischen Versorgung [einschließlich Krankenhäuser und Privatkliniken), 6) Sektor Trinkwasserlieferung und –versorgung, 7) Sektor Digitale Infrastruktur. 1375 Allerdings ist IT-Sicherheit nur national nicht in den Griff zu bekommen. Als Folge der globalen Vernetzung ist auch die nationale Regelung und Anstrengung sinnvollerweise Teil einer umfassenden Sicherheitsstrategie und – struktur, zumindest für Europa.1993 Erforderlich sind aber auch „Internationale Aktivitäten zum Schutz Kritischer Infrastrukturen. Grenzüberschreitende Initiativen und Maßnahmen. Kritische Infrastrukturen sind heute länderübergreifend vernetzt – ihr Schutz ist daher eine internationale Aufgabe. […]“1994 1376 Zu beachten ist der Trend, dass der Begriff „IT-Sicherheit“ zunehmend durch den weiter gefassten Begriff „Informationssicherheit“ flankiert, wenn nicht abgelöst, wird.1995 Mit „Informationssicherheit“ wird der regelmäßigen Notwendigkeit eines ganzheitlichen, koordinierten Sicherheitsmanagements in Bezug auf den Schutz von Informationen in einem Unternehmen, einer Behörde oder sonstigen Einrichtung Ausdruck verliehen. Gemeint sind nicht nur technische, sondern gerade auch organisatorische, strukturelle sowie strategische Maßnahmen zur Erreichung und Aufrechterhaltung eines Höchstmaßes an Informationsschutz. Mit Blick auf Praktikabilitätserwägungen und unternehmerische Belange sowie die Idee eines umfassenden Sicherheitsmanagements erscheint der Begriff „Informationssicherheit“ treffend und zukunftstauglich.1996 Die Ebene der „Information“ passt besser zu den Regelungsmaterien Datenschutz mit § 9 BDSG und auch § 109 TKG als „IT“. 1992 Abrufbar über http://data.consilium.europa.eu/doc/document/ST-5581-2016-REV-1/de/pdf (abgerufen am 26.8.2016); s. dazu auch Rz. 1430 ff. 1993 Parallel zu IT-SicherheitsG insofern sehr wichtig NIS-RL der EU, Einigung im Trilog am 8.12.2015; s. dazu Spindler, CR 2016, 297 (304 ff.). 1994 http://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Internationales/internationales_node. html. 1995 Vgl. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/ baust/b01/b01000.html (abgerufen am 20.8.2016). 1996 Zur inhaltlichen Ausgestaltung s.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9, Rz. 672: „Die Informationssicherheit umfasst die Gesamtheit an technischen und organisatorischen
356
Schneider/Kahlert
IT-Sicherheit
Rz. 1379
A
Weiterer zentraler Begriff wurde nun „Störung“1997 über das IT-SicherheitsG, der aber im 1377 Gesetz nicht definiert wird.1998 Gemäß Begründung zum RegE zum IT-SicherheitsG1999 soll eine erhebliche Störung i.S.d. Gesetzes dann vorliegen, „wenn durch sie die Funktionsfähigkeit der erbrachten kritischen Dienstleistung bedroht ist“. „Erheblich sind insbesondere solche IT-Störungen, die nicht bereits automatisiert oder mit wenig Aufwand mithilfe der nach § 8a als Stand der Technik beschriebenen Maßnahmen abgewehrt werden können. Dies ist beispielsweise der Fall bei neuartigen oder außergewöhnlichen IT-Vorfällen, bei gezielten Angriffen, für neue Modi Operandi sowie für unerwartete Vorkommnisse. Insbesondere gilt dies aber auch für Vorfälle, die nur mit deutlich erhöhtem Ressourcenaufwand bewältigt werden können (erhöhter Koordinierungsaufwand, Hinzuziehen zusätzlicher Experten, Nutzung einer besonderen Aufbauorganisation, Einberufung eines Krisenstabs).“2000 Zu den Störungen gehören „insbesondere Fälle von Sicherheitslücken, Schadprogrammen und erfolgten, versuchten oder erfolgreich abgewehrten Angriffen auf die Sicherheit in der Informationstechnik sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (z.B. nach Softwareupdates oder ein Ausfall der Serverkühlung).“2001 Feiler hält diese Definition aus zwei Gründen im Hinblick auf die Auslösung der Meldepflichten im Falle einer Störung für unpraktikabel:2002
1378
– „Meldepflicht auch bei Versuch: Erstens soll auch ein versuchter Angriff eine Meldepflicht begründen. Derartige Angriffsversuche sind jedoch außerordentlich häufig (in vielen Fällen hunderte pro Tag). So ist jeder mit dem Internet verbundene Computer regelmäßig mit Anfragen diverser Schadsoftware konfrontiert. Ob es sich bei diesen Angriffsversuchen um solche handelt, welche die KI beeinträchtigen können – und damit eine pseudonyme Meldung erfordern – lässt sich allerdings kaum feststellen. – Meldepflicht auch bei Sicherheitslücken: Zweitens sollen auch „Fälle von Sicherheitslücken“ eine Störung darstellen. Neue Sicherheitslücken in Standard-Software werden jedoch nahezu im Monats-Rhythmus entdeckt (und innerhalb kurzer Zeit durch Updates des Softwareherstellers geschlossen). Es erscheint daher wenig praktikabel, jedes Bekanntwerden einer Sicherheitslücke, welche potentiell zu einer Beeinträchtigung der KI führen kann, einer (pseudonymen) Meldepflicht zu unterwerfen.“
2.3 Security by Design „Eingebaute“ Sicherheit mit dem Ziel, „privacy“ für den Einzelnen zu ermöglichen, ist ein wichtiges Postulat für die technische Umsetzung/Voraussetzung des Datenschutzes.2003 Es
1997 1998 1999 2000
2001 2002
2003
Maßnahmen zur Gewährleistung der klassischen Schutzziele von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen.“ m.w.N. § 100 TKG verwendet diesen bereits in einem engeren Sinne bei TK-Anlagen im Kontext von Fehlern. S.a. Gerlach, RDV 2015, 167. BT-Drs. 18/4096, S. 28. BT-Drs. 18/4096, S. 28; s.a. Spindler, CR 2016, 297 (300), der darauf hinweist, dass der Gesetzgeber insoweit entsprechend der höchstrichterlichen Rspr. zu § 100 Abs. 1 TKG eine Störung annimmt, „wenn ‚die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken …‘, wozu er auf BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 178 (180) verweist. BT-Drs. 18/4096, 27 f. http://www.cr-online.de/blog/2014/11/17/neuer-referentenentwurf-zum-it-sicherheitsgesetz/ (abgerufen am 22.8.2016). S.a. Heinickel/Feiler, CR 2014, 708; kritisch a. Roos, MMR 2015, 639; Bartels, ITRB 2015, 92; Conrad/Huppertz, in: Auer-Reinsdorf/Conrad, § 33 Rz. 235; Bräutigam/Willmer, ZRP 2015, 38 zu Meldepflichten. Referat der Vorsitzenden der FTC auf der CES 2015, Meldung auf heise.de v. 7.1.2015, abrufbar unter http://www.heise.de/newsticker/meldung/CES-Vorsitzende-der-US-Handelsaufsicht-legt-sich-fuermehr-Datenschutz-ins-Zeug-2512539.html (abgerufen am 22.8.2016).
Schneider/Kahlert
357
1379
A Rz. 1380
Datenschutz und IT-Management
leitet sich für Europa derzeit etwa aus der EuGH-E. „Google Spain“ ab.2004 Privacy by design wird in Art. 25 Abs. 1 DS-GVO als „Datenschutz durch Technikgestaltung“ (und Privacy by Default durch datenschutzfreundliche Voreinstellungen) gefordert.2005 Besonders akut wird das Postulat Privacy by design i.V.m. E-Mobility und erst recht bei E-Car und Weiterentwicklungen.2006 Standards und Best Practices könnten bei der Implementierung der Sicherheit über das Design helfen. Ansätze ergeben sich u.a. über die Regelungen zu Zertifizierung (s. A Rz. 1448 f.) und über Rechtsgrundlagen für die Ausarbeitung von Verhaltensregeln als Teil der Selbstregulierung2007 (s. etwa § 38a BDSG als allerdings kaum genutzten Ansatz)2008. 1380 Auch Verpflichtungen zu „Accountability“ in dem Sinne, wie der Begriff etwa 2009 in dem sog. „Galway Project“ verwendet wurde,2009 würde zu frühzeitigem Einbau technischer Sicherheit verhelfen können. „Accountability“ würde danach „eine Verlagerung der Verantwortung für den Schutz der Privatsphäre auf den Datenverarbeiter“ bedeuten. „Der Datenverarbeiter erhält vom Gesetzgeber klare Zielvorgaben („goals“ und „criteria“). Wie er die vorgegebenen Ziele erreicht, bleibt seinem Ermessen („discretion“) überlassen. Hierdurch erhält der Datenverarbeiter den notwendigen Spielraum, um seine Technologie und sein Geschäftsmodell datenschutzfreundlich auszugestalten.“2010 Dieser Ansatz wird aber in der DSGVO so nicht mehr verfolgt. Dort war er i.R.d. Version des LIBE-Ausschusses wie „Compliance“ zu verstehen (Art. 5 lit. f DS-GVO-E).2011 Dieser Ansatz ist gestrichen worden.2012 1381 Eine Art Kombination der beiden Interpretationen stellt wohl der Ansatz des CNIL dar:2013 „New CNIL accountability standard may become European model“: „The chairwoman of the French data protection authority (the CNIL), Isabelle Falque-Pierrotin, has long been an outspoken proponent that companies should have internal accountability mechanisms for data protection compliance. On January 13, 2015 the CNIL published a standard defining what accountability means in practice. Companies that demonstrate that they comply with the new standard will be able to obtain an „accountability seal“ from the CNIL. The accountability seal does not create any new rights for a company under existing French law. Rather, the primary purpose of the CNIL‘s new accountability standard is to prepare companies for the day when accountability will become a legal obligation under the future EU General Data Protection Regulation. Under the draft Regulation as currently proposed, all companies will be obligated to implement some form of internal accountability program for compliance with the Regulation, sometimes referred to as a „data privacy governance“ program. The draft Regulation is not 2004 EuGH v. 13.5.2014 – C-131/12 – Google Spain SL, Google Inc. vs. Agencia Española de Protección de Datos (AEPD), Mario Costeja González – mit der „Pflicht für Suchmaschinen zur Löschung personenbezogener Links“ 2005 Art. 25 DS-GVO. S.a. Schulz, CR 2012, 204; Schneider, ZD 2011, 6, m.w.N. zu Privacy Enhanced Technologies, PET in Fn. 3. S. umfassend zu „Privacy and Data Protection by Design“: ENISA 2014; Spindler, DB 2016, 937 (942). 2006 S. z.B. Kast, ITRB 2014, 260 ff. m.w.N. 2007 S. dazu etwa Kranig/Peintinger, ZD 2014, 3; M. Schröder, ZD 2012, 418. 2008 Zum ersten von den Aufsichtsbehörden geprüften Regelwerk, den Verhaltensregeln der Deutschen Versicherungswirtschaft als Code of Conduct, s. Wronka, RDV 2014, 93. 2009 Dazu Härting, CR 2013, 715, 719: „Project, an dem zahlreiche Datenschutzexperten aus Europa und den USA mitwirkten. Zum Abschluss des Projekts veröffentlichten die Experten ein Diskussionspapier, in dem ein neuer, „accountability-orientierter Ansatz“ … definiert wurde …“ mit Verweis auf Centre for Information Policy Leadership Data Protection Accountability: The Essential Elements, Oktober 2009; a. Katko/Babaei-Beigi, MMR 2014, 360. 2010 Härting, CR 2013, 715 (719). 2011 LIBE Art. 5 (f): „processed under the responsibility and liability of the controller, who shall ensure and be able to demonstrate for each processing operation the compliance with the provisions of this Regulation (accountability)“. 2012 Art. 5 Abs. 2 DS-GVO konstatiert die „Rechenschaftspflicht“ des Verantwortlichen hinsichtlich der Einhaltung des Absatzes 1, Grundsätze für die Verarbeitung. 2013 Maxwell, New CNIL accountability standard may become European model, v. 14.1.2015, abrufbar über http://www.lexology.com/library/detail.aspx?g=0fb1eea9-d217-4c83-814d-798921737e41 (abgerufen am 26.8.2016).
358
Schneider/Kahlert
IT-Sicherheit
A
Rz. 1384
likely to contain details indicating what an accountability or data privacy governance program looks like in practice. The CNIL standard is therefore likely to create a precedent to which other European regulators may look when they develop their own accountability standards under the Regulation. The CNIL‘s accountability standard is divided into 25 requirements. The first requirement relates to the existence of an internal privacy policy defining the various permitted uses of data within the company as well as security, data deletion, and archiving policies. The second requirement is to have an outward-facing privacy policy vis-à-vis data subjects located outside the company, such as customers. These policies must be approved by the company’s data protection officer (DPO) and updated at least every three years.“
3. Bedrohungen 3.1 Überblick Den Zielen der IT-Sicherheit entsprechend kann man die Bedrohungen2014 am einfachsten als Beeinträchtigung oder Verlust dieser Eigenschaften (Integrität und Verfügbarkeit) sehen. Wegen der technischen Entwicklung und ständigen Neuerungen spricht sich das BSI für eine flexible Darstellung aus, etwa:2015
1382
„G0 Elementare Gefährdungen (etwa Feuer, Wasser, Naturkatstrophen, Stromausfall), G1 Höhere Gewalt, G2 Organisatorische Mängel, G3 Menschliche Fehlhandlungen, G4 Technisches Versagen, G5 Vorsätzliche Handlungen.“ https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html Eine andere Darstellung folgt den Straftatbeständen, die es insoweit nun schon länger gibt, z.B. im jährlichen Bericht des BKA, so Bundeslagebild Cybercrime 2015:
1383
– Computerbetrug, – Ausspähen/Abfangen von Daten, – Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, – Datenveränderung, Computersabotage, – Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten.2016 Die Gesamtbewertung und der Ausblick im Lagebericht zur IT-Sicherheit 2015 lauten:2017 „(…) Cybercrime ist ein transnationales Kriminalitätsphänomen. Das von Cybercrime ausgehende Gefährdungs- und Schadenspotenzial steigt. Mit der weiter zunehmenden Bedeutung der IT im privaten sowie professionellen Bereich erhöhen sich die Manipulations- und Angriffsmöglichkeiten. Im Bereich von Cybercrime wird von einem stark ausgeprägten Dunkelfeld ausgegangen. Die polizeilichen Statistiken können lediglich einen kleinen Ausschnitt der tatsächlichen Dimension von
2014 Z.B. Meldungen MMR-Aktuell etwa zu Ransomware in Krankenhäusern etc. MMR-Aktuell 2016, 376372 und MMR-Aktuell 2016, 376625. 2015 BSI Grundschutzkataloge G 6: Gefährdungskataloge. 2016 Bundeskriminalamt (Hrsg.), Cybercrime Bundeslagebericht 2015, S. 6, abrufbar über https:// www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/ cybercrimeBundeslagebild2015.html?nn=28110 (abgerufen am 26.8.2016). 2017 Hier nach BSI-Bericht zitiert, abrufbar unter https://www.bsi.bund.de/DE/Publikationen/Lagebe richte/lageberichte_node.html (abgerufen am 26.8.2016).
Schneider/Kahlert
359
1384
A Rz. 1385
Datenschutz und IT-Management
Cybercrime abbilden und sind derzeit noch nicht im Stande, das Gesamtphänomen und das daraus resultierende Gefährdungspotenzial vollständig zu beschreiben. Trotz insgesamt rückläufiger registrierter Fallzahlen in der PKS kann deshalb nicht auf eine rückläufige Gefährdung durch Straftaten der Cybercrime geschlossen werden. Ermittlungsergebnisse deuten zudem darauf hin, dass Täter im Bereich Cybercrime sich zunehmend professionalisieren, indem sie ihre Vorgehensweise ständig verfeinern und aktuellen Gegebenheiten anpassen. (…) Organisierte Täterstrukturen haben in den vergangenen Jahren zunehmend an Bedeutung gewonnen. Es muss davon ausgegangen werden, dass sich diese Entwicklung fortsetzt. Die von Cybercrime ausgehenden Gefahren für den Privat- und Wirtschaftsbereich sowie die Gesellschaft insgesamt werden weiter zunehmen. Aktuelle Technologietrends, wie z. B. das „Internet der Dinge“, „Industrie 4.0“ oder auch die weiter ansteigende Nutzung des Internets durch den Privatanwender, dürften diese Entwicklung deutlich fördern, weil sie aus Täterperspektive neue Tatgelegenheiten und neue Tatgelegenheitsstrukturen eröffnen.“
Im Bundeslagebild Cybercrime 2015 werden zudem Gefahren- und Schadenspotenziale für drei verschiedene, explizit benannte Bereiche aufgeführt, namentlich „Internetnutzung in Deutschland“, „Internet der Dinge“ und – besonders erwähnenswert – „Industrie 4.0“.2018 1385 Mit Blick auf die Gefährdungslage sind die Systeme von Privatanwendern aktuell besonders von der Nutzung veralteter Software, Spam-Mails mit Schadcode im Anhang, kompromittierte Webseiten oder manipulierte Werbebanner und digitaler Sorglosigkeit im Umgang mit mobilen Endgeräten und Apps sowie Preisgabe persönlicher Informationen betroffen. 1386 Die Quellen der Bedrohungen können differenziert werden nach externen und internen (letztere also v.a. die Mitarbeiter) oder nach Institutionen etwa: – Staatlich, insb. bei Spionage und Cyberattacken, – Terroristisch – Wirtschaftsunternehmen, insb. Spionage. Dabei treten Kombinationen auf, etwa wenn sich Terrororganisationen Baupläne verschaffen oder die Geheimdienste auch Wirtschafts-/Betriebsgeheimnisse ausforschen.2019 3.2 Spionage (staatlich, terroristisch, Wirtschaftsspionage) 1387 Eine nicht zu unterschätzende Gefährdung der Integrität von Unternehmensdaten und -Know-How stellen Spionageaktivitäten von verschiedener Seite dar. So kann Spionage von Staaten ausgehen, die andere Staaten oder Unternehmen aushorchen wollen. Auch die Ausweitung militärischer Maßnahmen, die darauf abzielen, die Gegenpartei durch Infiltrierung von Computerviren oder Manipulation von Daten in ihrer Organisationsfähigkeit und Schlagkraft empfindlich zu treffen bzw. sich durch das Einsehen von geheimen Informationen strategische Vorteile zu verschaffen. 1388 Zudem sind asymmetrische Konstellationen nicht auszuschließen, innerhalb derer kriminelle bzw. terroristische Organisationen ein Tätigkeitsfeld darin sehen, durch Datenmanipulation bzw. Datenauskundschaftung/-aufdeckung schwerwiegenden Schaden bei missliebigen Ländern/Unternehmen/Institutionen anzurichten. In einer immer mehr vernetzten Welt stellt der Schutz vor diesen Bedrohungen eine anhaltende Herausforderung dar, zumal davon auszugehen ist, dass die potentiellen Schädiger ihre Technologien stets weiterentwickeln und somit auch der Schutz einer stetigen Weiterentwicklung bedarf. 2018 Bundeskriminalamt (Hrsg.), Bundeslagebild Cybercrime 2015, 2016, S. 17 f., abrufbar über https:// www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/ cybercrimeBundeslagebild2015.html (abgerufen am 26.8.2016). 2019 Zu data loss prevention s. etwa Conrad, CR 2011, 797 ff.; zu Cloud-Risiken http://www.heise.de/ newsticker/meldung/Bitkom-NSA-Affaere-daempft-Nachfrage-nach-Cloud-Diensten-2101229.html (abgerufen am 25.8.2016).
360
Schneider/Kahlert
IT-Sicherheit
Rz. 1393
A
Spionage kann es auch zwischen Unternehmen geben, die sich auf illegale Weise einen Wett- 1389 bewerbsvorteil verschaffen wollen. Diesbezüglich ist höchste Sensibilität für Daten- und Know-How-Schutz aufseiten der bedrohten Unternehmen angezeigt, wobei erfahrungsgemäß insb. der Mittelstand und KMU Opfer von derartigen Aktivitäten werden, ohne dass sie dies je für möglich gehalten hätten und ohne dass sie dies je merken. In Bezug auf staatliche Vergaben ist zudem die Aufnahme von „No-Spy-Garantien“ in Ausschreibungen und Verträgen empfehlenswert.2020 Gegenüber US-Recht gerät der Unternehmer u.U. in Konflikt mit den Eingriffsbefugnissen der US-Sicherheitsbehörden, u.a. auf Basis des US Patriot Acts.
1390
„Das Bundesministerium des Innern (BMI) versucht mit seinem No-Spy-Erlass vom 30.4.2014 drohende Informationsabflüsse zu verhindern.“2021
Bei der Frage wirksamer Vergaben entsteht bzw. besteht ein Konflikt zwischen der Pflicht zur 1391 Einhaltung datenschutzrechtlicher Vorgaben und den Anforderungen an die IT-Sicherheit, wenn IT-Sicherheit kein anerkanntes Kriterium für die Zuverlässigkeit ist: „1. Die auf dem USA Patriot Act beruhende Verpflichtung von US-Unternehmen und ihren ausländischen Tochterunternehmen, den US-Sicherheitsbehörden (FBI, NSA, CIA) Zugriff auf ihre Server zu gestatten, stellt für ein deutsches Vergabeverfahren kein sachlich zulässiges Kriterium zur Beurteilung der Zuverlässigkeit eines Bieters im Rahmen der Eignungsprüfung dar.“2022
Wohl als Versuch, Vertrauen nach den NSA-Offenbarungen und Anhörung dazu zurückzuge- 1392 winnen, bewarb die Deutsche Telekom ihr 10-Punkte-Programm für mehr Sicherheit im Netz,2023 u.a. mit Postulat der Offenlegung der Snowden-Erkenntnisse, Spionageverzicht der Beteiligten und Transparenz über Sicherheitsstandards, wie etwa Telekom selbst.2024 Zu beachten ist auch, dass seit jeher – und zuletzt auch explizit – Staaten daran interessiert sind, dass IT-Unternehmen bewusst technische Schwachstellen in ihre Systeme einbauen in Bezug auf Verschlüsselung, damit etwa Polizeibehörden im Falle eines richterlichen Beschlusses Zugriff auf die entsprechenden Daten bekommen und diese auslesen können.2025 Gefährlich erscheint auch das sog. Krypto-Mining, bei dem Malware so programmiert ist, dass sie auf fremden Geräten Krypto-Mining betreibt. „Der autonome Wurm verbreitet sich über verschiedene Wege und nutzt als Wirtssystem auch industrielle Kontrollsysteme.“2026 Dies scheint eine Spionageform des eher auf Störung gerichteten Stuxnet-Virus zu sein, der sich auch auf Leitständen und Steuerungen (des Iran Atom-Programms) einnistete.2027
2020 Zur entsprechenden Klausel in EVB-IT Poder/Petri, ITRB 2016, 133 (neu per 16.7.2015: EVB-IT Überlassung Typ A und EVB-IT Pflege S). 2021 von Holleben/Probst/Winters, CR 2015, 63 zum potenziellen Konflikt mit dem USA Patriot Act. 2022 BKartA Bonn v. 24.6.2014 – VK 2 – 39/14, – No-Spy-Erklärung – CR 2015, 15: Ls. 1, Verweis auf OLG Düsseldorf v. 29.1.2014 – VII-Verg 28/13, VergabeR 2014, 416, S. 18 zum Katalog der Ausschlussgründe. 2023 Beckedahl, 28.1.2015 https://netzpolitik.org/2015/deutsche-telekom-praesentiert-zehn-punkte-pro gramm-fuer-mehr-sicherheit-im-netz/ (abgerufen am 26.8.2016) zu http://www.heise.de/newsti cker/meldung/Telekom-Zehn-Punkte-fuer-mehr-Sicherheit-im-Netz-2530390.html (abgerufen am 29.1.2015). 2024 S. https://www.telekom.com/medien/konzern/264246 (abgerufen am 26.8.2016). 2025 So etwa im Kontext der sog. „Freak“-Sicherheitslücke, von der mehr als ein Drittel aller Websites, die https-Verbindungen ermöglichten, betroffen waren. S. dazu m.w.N. Tanriverdi, Mehr als ein Drittel aller „sicheren“ Webseiten anfällig für IT-Sicherheitslücke, v. 4.3.2015, abrufbar über http:// www.sueddeutsche.de/digital/verschluesselung-mehr-als-ein-drittel-aller-sicheren-webseiten-an faellig-fuer-it-sicherheitsluecke-1.2376946 (abgerufen am 9.3.2015). 2026 S. http://www.golem.de/news/kritische-infrastrukturen-wenn-die-usv-kryptowaehrungen-schuerft1608-122837.html (abgerufen am 23.8.2016). 2027 Zum Bericht über die Hintergründe s. http://www.heise.de/security/meldung/Stuxnet-angeblichTeil-eines-groesseren-Angriffs-auf-kritische-Infrastruktur-des-Iran-3104957.html (abgerufen am 23.8.2016).
Schneider/Kahlert
361
1393
A Rz. 1394
Datenschutz und IT-Management
3.3 Sonstige Cyber-Kriminalität 1394 Die Entwendung von Passwörtern, Account- und Profildaten sowie Infiltrierung von ITSystemen und Sabotage von Computern durch Kriminelle (s.o. Rz. 1384; u.a. E Rz. 94 ff.; E Rz. 107 ff.) stellt ein erhebliches Problem dar. Die weite Verbreitung von E-Commerce und Online-Banking und der oft laxe Umgang der Nutzer mit Sicherheitsaspekten verdeutlicht die Anfälligkeit für unterschiedlichste Formen der Cyber-Kriminalität. Eine besondere Bedrohung geht insb. auch auf Smartphones aus. Es wird geschätzt, dass ein Viertel aller Smartphones einmal im Monat von Hackern angegriffen wird.2028 3.4 (Bewusstes und unbewusstes) Fehlverhalten von Mitarbeitern, Whistleblowing 1395 Es wird angenommen, dass es ggf. leichter sein kann, die Angriffe von außen abzuwehren, als die Bedrohungen von innen.2029 1396 Menschliches Fehlverhalten ist ein regelmäßig anzutreffendes Problem, das insb. Unternehmen großen Schaden zufügen kann. Durch Mitarbeiter-Schulungen und interne Leitlinien sowie ein umfassendes Compliance-Management kann diese Gefährdung reduziert werden. Wichtig bleibt, eine Atmosphäre des Misstrauens und der Denunzierung zu vermeiden, aber zugleich für klare Strukturen und verlässliche Standards zu sorgen, etwa durch arbeitsvertragliche Regelungen, gesonderte Mitarbeiterverpflichtungen. Für den Fall, dass man externen Personen Zugang zu betrieblichen Informationen und Know-How eröffnet, bieten sich bereits im Vorfeld von Vertragsschlüssen NDA und LoI an. 1397 Vorsätzliches Fehlverhalten und Whistleblowing (s.a. Rz. 1400 f.) durch Mitarbeiter oder sonstige Personen, die Zugang zu sensiblen Daten haben, kann jedoch nie ganz ausgeschlossen werden; zivilrechtliche und strafrechtliche Konsequenzen dürften hier oft die Folge sein, ein professionelles Compliance-Management sowie Auswahl und Einstellung integrer Mitarbeiter sind als Präventivmaßnahmen unerlässlich, um das Gefährdungspotenzial zu minimieren. 4. Verhältnis IT-Compliance und IT-Sicherheit 1398 Der Begriff der IT-Sicherheit ist (noch)nicht klar und insofern das Gebiet nicht gut abgrenzbar. Ähnliche Unschärfe gilt auch für „Compliance“, erst recht „IT-Compliance“. Beide Bereiche hängen zusammen. Gefährdungen der IT-Sicherheit sind auch Compliance-Risiken.2030 Insofern gehört etwa auch K-Fall-/Notfallplanung u.Ä. zu Compliance.2031 1399 Übersetzt man den Zshg. etwas verkürzt mit Rechtskonformität der IT-Sicherheit, so meint dies v. a. die Einhaltung der rechtlichen Anforderungen an die IT-Sicherheit. Es gehört aber auch dazu, dass die rechtlichen Rahmenbedingungen zudem i.S.v. Accountability (Art. 5 Abs. 2 DS-GVO, s.a. Rz. 538) bzw. Grundlagen bei der Wahrung der IT-Sicherheit eingehalten werden. Insofern dient zwar IT-Sicherheit einerseits der IT-Compliance, kann sich aber andererseits aber auch in Widerspruch dazu befinden, insb. im Bereich des Datenschutzes. Beispiele für Konfliktpotential sind etwa Screening der Mitarbeiter(daten), sonstige Massendatenabgleiche2032 oder auch die Verwendung von Echtdaten zum Zwecke von Tests u.Ä.
2028 Bernau, Goldene Zeiten für Handy-Hacker, v. 3.3.2015, abrufbar über http://www.sueddeutsche. de/digital/it-sicherheit-goldene-zeiten-fuer-handy-hacker-1.2373954 (abgerufen am 9.3.2015). 2029 S. Upton/Creese, Die Gefahr von Innen, Harvard Business Manager, Februar 2015, S. 59 ff. 2030 Heinson/Schmidt, CR 2010, 540. 2031 Zu einer Checkliste etwa als Teil IT-spezifischer Regelüberwachung Auer-Reinsdorff, ITRB 2011, 245. 2032 S. z.B. Heinson/Schmidt, CR 2010, 540.
362
Schneider/Kahlert
IT-Sicherheit
Rz. 1405
A
Whistleblowing kann man einerseits als Teil der Compliance sehen, insb. auch i.R.d. Corpo- 1400 rate Governance. Die Erfüllung des § 25a KWG2033 erfordert etwa bei Kreditinstituten interne Kommunikationssysteme, damit Risiken und evtl. Missstände frühzeitig bekannt werden. Die Mitarbeiter sind insoweit als Hinweisgeber aufgefordert, wobei sie in Loyalitätskonflikte geraten können. Die Kommunikationssysteme sind deshalb mit entsprechend sicheren Lines auszugestalten, um den Schutz der Hinweisgeber hinsichtlich Datenschutz und Vertraulichkeit trotz Untersuchung der gemeldeten Probleme zu wahren. Ein Thema wird die Sicherheit der ITK-gestützten Lines vom Whistleblower zur zuständigen Stelle, ein weiteres die Wahrung der Sicherheit der Whistleblower gegenüber dem Unternehmen sein.2034 Whistleblowing dient der Erhaltung und Erhöhung der Sicherheit, evtl. der Entdeckung von 1401 Schwachstellen, v.a. indem Whistleblower entsprechende Meldungen anonym abgeben können und dadurch die Wahrscheinlichkeit steigt, dass solche bisher unentdeckten Lücken gemeldet werden. Gleichzeitig ist Whistleblowing aber auch indirekt eine Art Aufforderung zum Aufdecken von Geheimnissen, von denen der Whistleblower etwa annimmt, dass sie unbedingt an die Öffentlichkeit müssten, sodass sich wegen des Geheimnisbruchs die Frage der Verwertbarkeit stellt.2035 Weiter ist natürlich die Spannung gegenüber dem Datenschutz allein deshalb schon gege- 1402 ben, weil die Organisation sowohl der Compliance als auch der IT-Sicherheit die Verarbeitung zusätzlicher personenbezogener Daten impliziert. Ähnliche Widersprüche bzw. auszutarierende Wechselwirkungen gibt es bei vertraglich ba- 1403 sierten Tests, für die ggf. noch die Möglichkeit besteht, mit dem Vertragspartner Geheimhaltungsvereinbarungen, Datenschutzvereinbarungen u.Ä. zu schließen, ja sogar die Einwilligung der Mitarbeiter bzw. der Betroffenen einzuholen, zumindest eine Rechtsgrundlage im BDSG zu finden, während etwa Penetrationstests von außen in einen Konflikt zum Datenschutz geraten. Gleiches gilt auch für permanente Überwachung, insb. im Bereich von Monitoring, Videoüberwachung öffentlich2036 oder am Arbeitsplatz.2037 Es würde sich anbieten, für den Anwender die mögliche Harmonisierung auch solcher Widersprüche durch Zertifikate sichtbar zu machen, also etwa bestimmte Verfahren als von den Aufsichtsbehörden akzeptiert oder von besonderen Institutionen geprüft ausweisen zu können. Allerdings ist insb. im Zshg. mit Safe Harbor der Bereich der Zertifizierung, wenn auch in erster Linie der der Selbstzertifizierung, in Verruf geraten, s.a. Rz. 413 ff., 1448 ff.
1404
Andererseits bedeutet diese Heterogenität bzw. diese mögliche Widersprüchlichkeit auch, dass gegenüber Rezepten bzw. Aufgaben- oder Pflichtenheften etwas Vorsicht insofern geboten ist, also sie zwar den jeweiligen Bereich, also etwa die Compliance für den Datenschutz, abdecken, nicht unbedingt aber die übrigen, ggf. im Widerspruch stehenden Anliegen. Es ist aber anzunehmen, dass i.R.d. Schaffung verbindlicher interner Datenschutzvorschriften (Art. 47 DS-GVO) und noch wesentlich grundlegender i.R.d. Verhaltensregeln gem. Art. 40 DS-GVO Standards auch bzgl. IT-Sicherheit entwickelt werden und Verbreitung finden.
1405
2033 Zur Prüfung der Sicherheit kreditwirtschaftlicher IT-Anwendungen s. Amendola/Kraus, DuD 2015, 12. 2034 Zur Hinweisgeber-Regelung des § 25a KWG in diesem Sinne s. Renz/Rohde-Liebenau, BB 2014, 692. 2035 Sog. Leaks, etwa zu PRISM, Tempora u.Ä., sog. Snowden-Papiere; s. dazu etwa Gercke, CR 2013, 749. 2036 Zur Überwachung im öffentl. Straßenraum mit privater Kamera s. EuGH v. 11.12.2014 – C-212/13. 2037 LAG Rh.-Pf. v. 23.5.2013 – 2 Sa 540/12, ZD 2014, 41.
Schneider/Kahlert
363
A Rz. 1406
Datenschutz und IT-Management
5. IT-Sicherheitsgesetz 1406 Das IT-SicherheitsG wurde am 17.7.2015 in Form eines Artikelgesetzes beschlossen und trat am 25.7.2015 in Kraft. Es brachte insb. Änderungen des BSI-Gesetzes (BSIG), des Atomgesetzes (AtG), des Energiewirtschaftsgesetzes (EnWG), des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) mit sich. Vorausgegangen war ein langwieriger Diskussions- und Gesetzgebungsprozess.2038 1407 Die neue Rechtslage ist darauf ausgerichtet, die (informations-)technischen Standards zu erhöhen und den Informationsaustausch zwischen Unternehmen, BSI und weiteren Behörden zu vertiefen und optimieren.2039 Auch der Schutz der Nutzer von informationstechnischen Systemen soll hierdurch verbessert werden. Das Hauptaugenmerk liegt v.a. auf der Sicherung sog. Kritischer Infrastrukturen. 1408 Mit dem IT-SicherheitsG sind auch weitere Sicherheitsanforderungen für Telemediendienste geschaffen worden, dies durch Einfügung des neuen § 13 Abs. 7 TMG.2040 Auf europäischer Ebene gibt es nun die „Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“.2041 5.1 Inhalt 5.1.1 Kritische Infrastrukturen/Änderung des BSIG, des AtG und des EnWG (Art. 1 bis 3 IT-SicherheitsG) 1409 Im Bereich der Kritischen Infrastrukturen erfolgte zunächst eine Annäherung an die Begrifflichkeit durch Anfügung des Abs. 10 in § 2 BSIG, wonach eine Kritische Infrastruktur zwei Merkmale aufzuweisen hat: es muss sich um eine „Einrichtung, Anlage oder Teile davon“ handeln, die 1. einem der folgenden Sektoren zuzurechnen ist: „Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und 2. „von hoher Bedeutung für das Funktionieren des Gemeinwesens“ ist, wobei Letzteres insb. daran festzumachen ist, dass ein Ausfall oder eine Beeinträchtigung „erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit“ zur Folge haben würde (vgl. Art. 1 Abs. 2 IT-SicherheitsG). 1410 In der Gesetzesbegründung werden für alle o.g. Sektoren mögliche (abstrakte) Dienstleistungsbeispiele genannt, die als Kritische Infrastrukturen in Betracht kommen könnten, wo2038 Vgl. auch RefE BMI v. 5.3.2013, Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, abrufbar unter: https://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzes texte/Entwuerfe/Entwurf_it-sicherheitsgesetz.pdf?__blob=publicationFile (abgerufen am 22.8.2016); Referentenentwurf v. 18.8.2014, dazu Roth, ZD 2015, 17. S.a. Freund, ITRB 2014, 256; Heckmann, MMR 2015, 289; Leisterer/Schneider, CR 2014, 574; Eckhardt, ZD 2014, 599; Weise/Brühl, CR 2015, 290; zur Überarbeitung Jensen, ZD-Aktuell 2015, 04651; dazu Beschluss v. 17.12.2014: Bundesregierung beschließt IT-Sicherheitsgesetz, zum Text des Entwurfs vorstehender Link; allgemeine Übersicht zum Gesetzgebungsverfahren abrufbar unter http://www.cr-online.de/34714.htm (abgerufen am 22.8.2016); s.a. de Maizière, Das Netz – Raum der Chancen und der Freiheit, FAZ Nr. 190 v. 18.8.2014, S. 6. 2039 S.a. Gitter/Meißner/Spauschus, ZD 2015, 512 (512). 2040 „(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“; s.a. Rz. 1416. 2041 S. Rz. 1430 zur NIS-Richtlinie.
364
Schneider/Kahlert
IT-Sicherheit
Rz. 1415
A
bei dies anhand der Kategorien Qualität und Quantität zu beurteilen war. Eine gewisse Unklarheit bei der konkreten Bestimmung in der Rechtsanwendung war freilich geblieben, was mit Blick auf die zahlreichen neuen und z.T. bußgeldbewehrten Verpflichtungen der Betreiber von Kritischen Infrastrukturen misslich war. Eine wichtige Konkretisierung von Kritischen Infrastrukturen hinsichtlich der Sektoren 1411 Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung ist mittlerweile durch die am 3.5.2016 in Kraft getretene Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) erfolgt.2042 Ein zweiter Verordnungsteil betreffend die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wird bis Anfang 2017 erwartet. Die Maßnahmen, mit denen die Betreiber Kritischer Infrastrukturen, zur Sicherheit ihrer 1412 Systeme angehalten werden sollen, werden in § 8a BSIG n.F. geregelt. Hier geht es um „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“,2043 der „Stand der Technik“2044 soll dabei eingehalten werden (§ 8a Abs. 1 Sätze 1 und 2 BSIG n.F.). Die Festlegung konkretisierter branchenspezifischer Sicherheitsstandards kann gem. § 8a Abs. 2 BSIG n.F. auf Initiative der Betreiber Kritischer Infrastrukturen und ihrer Branchenverbände im Einvernehmen mit den zuständigen Behörden erfolgen. Die Erfüllung sämtlicher Anforderungen sind dem BSI gegenüber mindestens alle zwei Jahre in geeigneter Weise (etwa durch Sicherheitsaudits, Prüfungen oder Zertifizierungen) nachzuweisen (§ 8a Abs. 3 BSIG n.F.). Der Zuständigkeitsbereich und die Befugnisse des BSI wurden in diesem Zshg. erweitert (§ 8b BSIG)2045: Es hat alle wesentlichen Informationen zu sammeln und auszuwerten, die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik relevant sind und deren Auswirkungen zu analysieren sowie stets ein aktuelles Lagebild über die IT-Sicherheit bei Kritischen Infrastrukturen vorzuhalten und darüber hinaus die Betreiber Kritischer Infrastrukturen und die zuständigen Aufsichtsbehörden über sie betreffende Informationen zu unterrichten. Zudem haben die Betreiber von Kritischen Infrastrukturen gegenüber dem BSI eine „Kontaktstelle für die Kommunikationsstrukturen“ zu benennen und sind verpflichtet, das BSI im Falle des Auftretens von „erhebliche[n] Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen 1. führen können oder 2. geführt haben, (…) unverzüglich“2046 zu informieren.
1413
Die betreffenden Bußgeldvorschriften sind in § 14 BSIG normiert, entsprechende Geldbußen 1414 können je nach Ordnungswidrigkeit eine Höhe von bis zu 50.000 Euro bzw. 100.000 Euro erreichen. Damit ein Verstoß gegen eine Meldepflicht auch ein Bußgeld auslöst, muss die jeweilige Störung auch zu einem tatsächlichen Ausfall bzw. einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt haben. In Art. 2 und 3 IT-SicherheitsG sind Änderungen des Atomgesetzes (AtG) bzw. des Energie- 1415 wirtschaftsgesetzes (EnWG) vorgesehen. Der Sonderrolle von Betreibern von Energieanlagen und atomrechtlich Verantwortlichen wird somit besonders Rechnung getragen, da hier regelmäßig Kritische Infrastrukturen mit erhöhter Sensibilität betroffen sind. Die neue Rechtslage verstärkt und erweitert die gegenüber dem BSI zu erfüllenden Meldepflichten im Falle des Auftretens von relevanten Beeinträchtigungen der informationstechnischen Syste2042 BGBl. 2016/I, S. 958 ff. 2043 Zum „Störungs“-Begriff s. Gitter/Meißner/Spauschus, ZD 2015, 512 (514). 2044 Zum unbestimmten Rechtsbegriff des „Stand der Technik“ und dem bewussten Verzicht des Gesetzgebers auf eine Legaldefinition s. Gitter/Meißner/Spauschus, ZD 2015, 512 (513). 2045 S. dazu auch Gitter/Meißner/Spauschus, ZD 2015, 512 (513 f.). 2046 S. § 8b Abs. 4 BSIG.
Schneider/Kahlert
365
A Rz. 1416
Datenschutz und IT-Management
me, Komponenten und Prozesse (§ 44b AtG n.F., § 11 Abs. 1c EnWG n.F.) sowie die Pflichten zum Vorhalten eines angemessenen Schutzes gegen Bedrohungen der TK- und EDV-Systeme (§ 11 Abs. 1b EnWG n.F.). 5.1.2 Telemedien/Änderung des TMG (Art. 4 IT-SicherheitsG) 1416 Das Telemediengesetz (TMG) wurde durch Art. 4 IT-SicherheitsG um weitere sicherheitsbezogene Pflichten des Diensteanbieters ergänzt. Neu eingefügt wurde § 13 Abs. 7 TMG,2047 der in Satz 1 Diensteanbieter „im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien“ dazu verpflichtet, „(…) durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.“ 1417 Als „geschäftsmäßig“ gilt ein Telemedienangebot laut Gesetzesbegründung dann, „wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt“, was bei einem entgeltlichen Dienst und werbefinanzierten Websites regelmäßig anzunehmen sei, wohingegen nicht-kommerzielle Angebote von Privaten oder Idealvereinen nicht betroffen seien.2048 1418 Ähnlich wie bei § 8a Abs. 1 Satz 2 BSIG n.F. ist der Stand der Technik zu berücksichtigen, § 13 Abs. 7 Satz 2 TMG n.F. In Satz 3 wird als geeignete Maßnahme zur Verhinderung unerlaubter Zugriffe auf die technischen Einrichtungen (s. § 13 Abs. 7 Satz 1 Nr. 1 TMG n.F.) „insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens“ genannt. In der Gesetzesbegründung wird zudem auf das Einspielen von Sicherheitsupdates, bei personalisierten Telemedien auf den Einsatz von Authentifizierungsverfahren hingewiesen.2049 1419 Zu beachten ist, dass die Telediensteanbieter nur zu solchen Maßnahmen verpflichtet werden, die „technisch möglich und wirtschaftlich zumutbar“ sind, § 13 Abs. 7 Satz 1 Halbs. 1 TMG n.F. Laut Gesetzesbegründung soll durch das Kriterium der Zumutbarkeit sichergestellt werden, „dass von dem Dienstanbieter nur solche Vorkehrungen zu treffen sind, deren Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen“, wodurch „eine flexible Anpassung der jeweiligen Anforderung im Einzelfall“ ermöglicht werden soll.2050 1420 Ein Zuwiderhandeln kann je aufgetretener Ordnungswidrigkeit gem. § 16 Abs. 2 Nr. 3 TMG n.F. mit einer Geldbuße von bis zu 50.000 Euro sanktioniert. In der Gesetzesbegründung wird explizit darauf hingewiesen, dass auch der Einsatz technischer und organisatorischer Maßnahmen bußgeldbewehrt ist, die nicht dem Stand der Technik entsprechen.2051 1421 Nicht geregelt wurde durch das IT-SicherheitsG hingegen, ob und unter welchen Umständen Diensteanbieter i.R.d. vorgeschriebenen Sicherheitsmaßnahmen personenbezogene Daten erheben, verarbeiten und nutzen dürfen, um Störungen aufspüren und eliminieren zu können. Mangels gesetzlicher Regelung ist insoweit auf die Praxis der Datenschutzbehörden
2047 S. dazu Eckhardt, in: Auer-Reinsdorff/Conrad, § 33 Rz. 239. 2048 BT-Drs. 18/4096, S. 34, abrufbar unter http://dip21.bundestag.de/dip21/btd/18/040/1804096.pdf gerufen am 22.8.2016). 2049 BT-Drs. 18/4096, S. 34, abrufbar unter http://dip21.bundestag.de/dip21/btd/18/040/1804096.pdf gerufen am 22.8.2016). 2050 BT-Drs. 18/4096, S. 34, abrufbar unter http://dip21.bundestag.de/dip21/btd/18/040/1804096.pdf gerufen am 22.8.2016). 2051 BT-Drs. 18/4096, S. 35, abrufbar unter http://dip21.bundestag.de/dip21/btd/18/040/1804096.pdf gerufen am 22.8.2016).
366
Schneider/Kahlert
(ab(ab(ab(ab-
IT-Sicherheit
A
Rz. 1428
zu verweisen, die etwa von einer zulässigen Speicherdauer für IP-Adressen zu eigenen Sicherheitszwecken von maximal sieben Tagen ausgehen.2052 5.1.3 Telekommunikation/Änderung des TKG (Art. 5 IT-SicherheitsG) § 100 Abs. 1 Satz 1 TKG2053 sieht eine bereichsspezifische Rechtsgrundlage für die Erhebung 1422 und Verwendung von Bestands- und Verkehrsdaten der TK-Teilnehmer und –Nutzer durch die Diensteanbieter zum Zwecke der Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern an Telekommunikationsanlagen vor. Eine weitere Konkretisierung erfolgt in § 100 Abs. 1 Satz 2 TKG n.F., indem die Zweckbestimmung durch eine weitergehende Definition des Begriffs „Störung“ vorgenommen wird. So heißt es dort: „Dies gilt auch für Störungen, die zu einer Einschränkung der Verfügbarkeit von Informations- und Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können.“ Die bereits bestehende Verpflichtung für TK-Anbieter, angemessene technische Vorkehrun- 1423 gen und sonstige Maßnahmen zum Schutz gegen Störungen und zur Beherrschung der Sicherheitsrisiken zu treffen, wurde durch § 109 Abs. 2 Satz 3 TKG n.F. ergänzt, um sicherzustellen, dass der „Stand der Technik“ berücksichtigt wird (Gleichlauf mit Neuregelung im BSIG und im TMG). In § 109 Abs. 4 TKG n.F. wird die regelmäßige Überprüfung der Umsetzung des Sicher- 1424 heitskonzepts der TK-Anbieter durch die Bundesnetzagentur angeordnet. Zudem gibt es Verpflichtungen für die TK-Anbieter, Beeinträchtigungen von TK-Netzen und TK-Diensten, die zu beträchtlichen Sicherheitsverletzungen führen oder führen können, unverzüglich an die Bundesnetzagentur zu melden (§ 109 Abs. 5 TKG n.F.). Die Bundesnetzagentur wiederum leitet entsprechende Informationen an das BSI nach § 109 Abs. 8 TKG n.F. weiter. Hinsichtlich der Daten- und Informationssicherheit sind die TK-Anbieter auch verpflichtet, 1425 Nutzer über Störungen unverzüglich zu informieren und, soweit technisch möglich und zumutbar, angemessene und wirksame technisch Abhilfemaßnahmen zur Störungserkennung und –beseitigung zu benennen, § 109a Abs. 4 TKG n.F. Verstöße gegen die o.g. Pflichten können nach § 194 Abs. 1 Nr. 21 bis Nr. 21c TKG n.F. als 1426 Ordnungswidrigkeiten Bußgelder von bis zu 50.000 Euro bzw. bis zu 100.000 Euro nach sich ziehen, § 149 Abs. 2 TKG n.F., wobei hier allein die Vorschrift des § 194 Abs. 1 Nr. 21a TKG durch das IT-SicherheitsG neu eingefügt wurde. 5.1.4 Weitere Änderungen und Regelung zum Inkrafttreten (Art. 6 bis 11 IT-SicherheitsG) In Art. 6 bis 11 IT-SicherheitsG sind insb. Änderungen redaktioneller, zuständigkeitstech- 1427 nischer und besoldungsrechtlicher Natur vorgesehen sowie eine Bestimmung zum Inkrafttreten des Gesetzes. Das Inkrafttreten erfolgte überwiegend am 25.7.2015; abweichend tritt Art. 8 IT-SicherheitsG am 14.8.2016 in Kraft (s.a. Art. 11 Satz 2 IT-SicherheitsG).2054 5.2 Wirkung Das IT-SicherheitsG bezweckt die Stärkung der Sicherheit und des Schutzes informationstechnischer Systeme und ist insb. auf sog. Kritische Infrastrukturen (s. Rz. 1375, 1430 ff.) fo2052 Dazu m.w.N. Schreibauer/Spittka, ITRB 2015, 240 (243). 2053 Zu den Änderungen im TKG durch das IT-SicherheitsG s. Eckhardt, in: Auer-Reinsdorff/Conrad, § 33 Rz. 240. 2054 Art. 8 IT-SicherheitsG besagt: „§ 10 Absatz 3 des BSI-Gesetzes, das zuletzt durch Artikel 1 dieses Gesetzes geändert worden ist, wird aufgehoben.“
Schneider/Kahlert
367
1428
A Rz. 1429
Datenschutz und IT-Management
kussiert, aber auch Anbieter von geschäftsmäßig erbrachten Telemediendiensten und Telekommunikationsunternehmen sind betroffen. 1429 Ein wesentliches Ziel etwa des neuen § 13 Abs. 7 TMG n.F. soll laut Gesetzesbegründung darin bestehen, „einen der Hauptverbreitungswege von Schadsoftware einzudämmen: das unbemerkte Herunterladen allein durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sogenannten Drive-by-Downloads)“.2055 5.3 NIS-RL, Kritik 1430 Mit der BSI-KritisV gem. § 10 Abs. 1 BSIG erfolgte in einem ersten Teil für die Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung eine Konkretisierung der Kritischen Infrastrukturen (s.a. Rz. 1375). Eine Konkretisierung betreffend die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit steht bis Anfang 2017 bevor. Diese Konkretisierungen sind wichtig, um Praktikabilität und Rechtssicherheit zu gewährleisten. Die NIS-RL (Rz. 1374)2056 differenziert u.a. nach Sektoren Energie, Transport, Banken, Finanzmarktinfrastruktur und digitale Infrastruktur mit drei Subsektoren, die erstaunlich schmal sind: Internet-Knoten, Domain-Namen-System-Diensteanbieter und TopLevel-Domain-Registries.2057 Insofern ist der Adressatenkreis gem. BSiG „erheblich weiter“, was angesichts der angestrebten Mindestharmonisierung wirksam sein dürfte.2058 1431 Die verschiedenen Aktivitäten auf nationaler und EU-Ebene zu Datenschutz und IT-Sicherheit sind wenig koordiniert, vorsichtig ausgedrückt. Ein Jahr nach der Verabschiedung des IT-SicherheitsG bzw. des BSIG ist nun die NIS-RL zum 8.8.2016 in Kraft getreten. Sie ist bis zum 10.5.2016 in nationales Recht umzusetzen. Damit liegt der Zeitpunkt nahe an dem Termin, zu dem die DS-GVO unmittelbar gelten wird, die einen sehr starken Einfluss auf die IT-Infrastruktur und deren Risiko-Bewertung hat (risikobasierter Ansatz), u.a. über die Datenschutz-Folgenabschätzung. Unabhängig davon wurde inzwischen die Verantwortlichkeit für WLAN-Betreiber gesetzlich neu geregelt. Die Klarstellung für die WLAN-Betreiber, die damit angestrebt wurde,2059 ist wohl zu begrüßen, die Tendenz aber, letztlich eine Enthaftung vorzunehmen, passt schlecht zur Einschätzung der Sicherheitslage und den Intentionen, die mit IT-SicherheitsG und NIS-RL verfolgt werden. 1432 Durch die erweiterten Pflichten entsteht aufseiten vieler Unternehmen voraussichtlich einiger bürokratischer Mehraufwand. Durch vorausschauende und präventiv wie kurativ wirkende Maßnahmen dürfte dies im besten Falle aber die Resilienz –Widerstandsfähigkeit von Unternehmen, Behörden und Gesellschaft in IT-technischer Hinsicht stärken. 1433 Es wird zugleich entscheidend sein, der dynamischen und komplexen Entwicklung der Gefahren für die IT-Sicherheit Rechnung zu tragen und entsprechende Anpassungsnotwendigkeiten frühzeitig zu erkennen und zu realisieren. Mit der durchgehenden Bezugnahme auf den Stand der Technik, den vertieften Berichts- und Meldepflichten sowie einer starken Stellung des BSI wurde versucht, eine dynamische Regelung zu finden.
2055 BT-Drs. 18/4096, S. 34, abrufbar unter http://dip21.bundestag.de/dip21/btd/18/040/1804096.pdf (abgerufen am 22.8.2016). 2056 S.a. Voigt/Gehrmann, ZD 2016, 355; zur zivilrechtlichen Seite s. Spindler, CR 2016, 297. 2057 Voigt/Gehrmann, ZD 2016, 355 (356). 2058 Voigt/Gehrmann, ZD 2016, 355 (356). 2059 Skeptisch, ob dies erreicht wird: Spindler, NJW 2016, 2449; s.a. Franz/Sakowski, CR 2016, 524 unter Einbeziehung auch der Sache McFadden/Sony Music (EuGH); s.a. Rz. 1487.
368
Schneider/Kahlert
IT-Sicherheit
Rz. 1438
A
6. Sicherheitsmanagement 6.1 Allgemein, Maßnahmen-Arsenal Ein professionelles, ganzheitliches Sicherheitsmanagement betreffend den Umgang und 1434 Schutz mit Informationen wird gerade im Geschäftsleben immer wichtiger. Einheitlich meint hier auch, dass die diversen Anforderungen aus Datenschutz (v.a. DS-GVO), IT-SicherheitsG bzw. den insofern eingerichteten Spezialvorschriften wie § 13 Abs. 7 TMG und evtl. Spezialvorschriften für Branchen wie z.B. KWG, in einem lückenlösen Konzept zusammengeführt werden. Die an Bedeutung zunehmende „Informationssicherheit“2060 geht noch über IT-Sicherheit hinaus bzw. ergänzt diese, da es insoweit v.a. um die Verfügbarkeit und Integrität der Inhalte geht. Bedrohungen für die Informationssicherheit sollen frühzeitig erkannt und identifiziert wer- 1435 den, um Beeinträchtigungen und Schäden möglichst präventiv vermeiden, notfalls ihnen aber auch akut entgegentreten und diese abwehren zu können. Das Aufstellen, Bekanntmachen und Einhalten von internen Leitlinien und Verhaltensregeln sowie die Beachtung gesetzlicher Vorschriften, mithin Compliance,2061 spielt dabei eine entscheidende Rolle. Informationssicherheitsmanagement soll sich auszeichnen durch klare Organisations- und Verantwortlichkeitsstrukturen, Kontinuität, Belastbarkeit, Kontroll- und Revisionsmechanismen sowie Anpassungsfähigkeit an neue Herausforderungen.2062
1436
Der Umgang mit AuftragsDV ist in diesem Kontext wichtig, denn etwa die Nutzung von 1437 Cloud-Diensten2063 wird im unternehmerischen Alltag eine immer größere Rolle spielen. Zu beachten ist insb. die sich aus § 11 Abs. 2 BDSG für den Auftraggeber ergebende Kontrollpflicht ggü. dem Auftragsdatenverarbeiter.2064 Während eine regelmäßige Vor-Ort-Kontrolle des Auftraggebers beim Auftragnehmer sehr aufwendig und bürokratisch wäre, wird stattdessen eine automatisierte AuftragsDV-Kontrolle durch einen akkreditierten Auditor erwogen, der AuftragsDV-Testate vergibt, auf die sich die Auftraggeber beziehen können. Nichtsdestotrotz muss der Auftraggeber gewährleisten, dass bei Auftreten von Datenschutzverstößen eine schnelle Reaktion erfolgt, die von einer unverzüglichen Behebung des Verstoßes, eines Anzeigens ggü. der Aufsichtsbehörde und ggf. ggü. dem betroffenen Dateninhaber bis hin zu einer fristlosen Kündigung des Auftragsdatenverarbeitungsverhältnisses reichen kann. In Bezug auf die angemessene Reaktion kommt es auf den Schweregrad des jeweiligen Datenschutzverstoßes an. Unternehmen, die auf AuftragsDV zurückgreifen, sollten für diese Problematik also sensibilisiert sein. Das BSI teilt etwa ein in Maßnahmenkataloge mit den Themen2065
1438
M1 Infrastruktur M2 Organisation M3 Personal M4 Hardware und Software
2060 S. Rz. 1359, 1376. 2061 S. Rz. 1542 ff. 2062 S. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/ baust/b01/b01000.html (abgerufen am 22.8.2016). 2063 Zu Cloud Computing s. Rz. 1497 ff. 2064 Hierzu eingehend: Kunz/Selzer/Steiner, Konsequenzen festgestellter Verstöße bei der Auftragsdatenverarbeitungskontrolle, DuD 2015, 21; zur Auftragsverarbeitung gem. DS-GVO (Art. 28) s. Rz. 226 ff. 2065 S. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzka taloge_node.html (abgerufen am 22.8.2016).
Schneider/Kahlert
369
A Rz. 1439
Datenschutz und IT-Management
M5 Kommunikation M6 Notfallvorsorge. Hinzu kommen noch zwei rechtlich orientierte Bereiche, v.a. in urheber-/vertragsrechtlicher Hinsicht Lizenzmanagement, auch Teil der Compliance, und Datenschutz, insb. Ausprägungen des Schutzes des Einzelnen durch Berechtigungskonzepte, die sich wiederum auf Zugriffskontrolle auswirken. 1439 Es gilt, regulatorisch die Schutzpotenziale verschiedener Adressaten mit unterschiedlichen Möglichkeiten aufzugreifen und zu koordinieren. Der Ansatz, dass sich der Betroffene selbst schützen soll, er dafür auch Hilfen erhält, mündet etwa in „Schutzschilde gegen die NSA“ als Slogan für die Anleitung zur Selbsthilfe des Bürgers.2066 Ein Gegenstück findet sich im Ansatz „privacy by design“ als Aufforderung an die Hersteller, ebenso wie „security by design“ (s.a. Rz. 1379 ff.). Weiterer Adressat sind naturgemäß die Unternehmen selbst. Der Staat hat aber wohl primär angesichts Massivität und Komplexität sowie der bestandsgefährdenden Bedrohungen der IT-Sicherheit eine staatliche Schutzpflicht, die nicht nur für den „Datenschutz“ und dabei u.a. auch Schutz gegen Totalerfassung umfasst, sondern auch die „IT-Sicherheit“ des Einzelnen gilt.2067 6.2 Datenschutz 1440 Einer der Hauptkomplexe, dem das Sicherheitsmanagement dient, ist der Datenschutz mit seinen Maßgaben für die IT-Sicherheit. Die Forderungen betreffen interne und externe Handhabungsprozesse, insb. auch AuftragsDV, die bei nahezu jeder Cloud-Nutzung eines Unternehmens eine Rolle spielt (s.a. Rz. 226 ff., 440 ff., 927 ff., 1096 ff., 1508 ff.). Insofern trifft i.R.d. IT-Compliance die Aufgabe aus dem Datenschutz2068 auf die Anliegen des Unternehmens zu Sicherheit im eigenen Interesse und zu sonstiger Compliance. Ein risikobasierter Ansatz im Datenschutz2069 würde in diesem Sinne zur Risikoorientierung bei der IT-Sicherheit „passen“, was die Schaffung einheitlicher Sicherheitsstrukturen im Unternehmen – im Eigeninteresse, zwecks Compliance allg. und zwecks Datenschutz speziell erleichtern würde. 6.2.1 Allgemeine Geschäftsorganisation: Bestandsaufnahme und Problemlage 1441 Die meisten Unternehmen sind in ihrer Geschäftsorganisation mit einer Vielzahl von Daten konfrontiert, die gespeichert und verarbeitet werden. Die Datenmengen steigen dabei immer mehr an (Big Data) und erfordern auch mit Blick auf datenschutzrechtliche Vorgaben einen professionellen Umgang, der zu gewährleisten immer anspruchsvoller und herausfordernder wird. 1442 Die Durchführung von Vorabkontrollen gem. § 4d Abs. 5 BDSG sollte dabei einen hohen Stellenwert haben. Sie sind immer dann angezeigt, wenn automatisierte Datenverarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, so etwa regelmäßig bei Personalbeurteilungssystemen, Videoüberwachungen, Verfahren zur Verhinderung und Aufdeckung von Straftaten durch Mitarbeiter im Unternehmen sowie wegen § 3
2066 S. Hahn/Johannes/Lange, DuD 2015, 71. 2067 Hahn/Johannes/Lange, DuD 2015, 71, mit Verweisen u.a. auf Hofmann-Riem und Papier, auch zur Wahrung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, BVerfG v. 28.2.2008 – 1 BvR 370/07, 1 BvR 595/07. 2068 Bis hin zur Frage der richtigen Gestaltung der Datenschutzerklärung mit gesetzeskonformer Umsetzung der bestehenden Unterrichtungspflichten; s. dazu als Compliance-Thema Böcker/Piltz, K&R 2015, 6. 2069 S. i.R.d. Diskussion zur DS-GVO Ratsdokument 6607/1/13 v. 1.3.2013, S 2 f. zum risikobasierten Ansatz mit Umformulierung der Art. 23, 26, 28, 30, 31, 33, 34 und 35, s. v.a. Rz. 571 ff.
370
Schneider/Kahlert
IT-Sicherheit
Rz. 1446
A
Abs. 9 BDSG Erfassung der Daten von schwerbehinderten Arbeitnehmern.2070 Anhand eines Verfahrensverzeichnisses2071 als Orientierungspunkt lassen sich die vorabkontrollpflichtigen Verfahren meist gut, wenn auch nicht zwingend vollumfänglich, bestimmen. Auch der Passwortschutz2072 gewinnt immer mehr an Bedeutung vor dem Hintergrund vermehrt auftretender Datenskandale. Wiederholt ist es Kriminellen gelungen, weltweit Hunderte Mio. von Passwörtern abzugreifen und somit die Möglichkeit zu erhalten, sich deren Accounts oder gar (digitaler) Identitäten zu bemächtigen.2073 Die Folgen eines solchen „Datenklau“ können mithin vielfältig und sehr brisant für die rechtmäßigen Dateninhaber sein. Immer wieder werden Internetnutzer und Inhaber elektronischer Accounts angehalten, ihre Passwörter regelmäßig zu ändern und von leicht zu entschlüsselnden Eingaben oder gar der wiederholten Verwendung desselben Passwortes für verschiedene Accounts abzusehen. Die Realität sieht – wohl auch aus (nachvollziehbaren) Gründen der Praktikabilität bzw. Bequemlichkeit vieler Nutzer – jedoch oft anders aus und die durchgehende Verwendung komplexer alphanumerischer Reihen als individuelle Passwörter dürfte oft Wunschdenken der IT-Sicherheitsbeauftragten bleiben.2074
1443
6.2.2 Vermischung von privaten und dienstlichen Daten (BYOD, COPE) Ein besonderes Problem besteht zunehmend in der Vermischung von privaten und dienst- 1444 lichen Daten.2075 Wenn Mitarbeiter ihre privaten Devices (Smartphones, Tablet-PCs etc.) zu dienstlichen Zwecken nutzen (Bring Your Own Device – BYOD) und damit Zugang zu Unternehmensdaten erhalten, entsteht eine datenschutztechnische Sonderkonstellation. Auch umgekehrt ist es denkbar, dass Mitarbeiter über ihre Dienst-Computer oder -Handys bzw. über das Unternehmens-(W)LAN private Daten abrufen, die mit ihrer Arbeit nicht in Zshg. stehen (Corporate Owned, Personally Enabled – COPE). In beiden Fällen können die Unternehmen in die Bredouille kommen, denn Sicherheitslücken sind naturgemäß nicht auszuschließen, zumal unbewusstes oder bewusstes Fehlverhalten von einzelnen Mitarbeitern hinsichtlich des Umgangs mit Daten stets möglich ist. Zu der Problematik um die private Nutzung des betrieblichen E-Mail-Accounts s. Rz. 877 ff. 6.2.3 Datenvermeidung und Entnetzung In den allgemeinen Bestimmungen des BDSG ist auch der Grundsatz der Datenvermeidung und Datensparsamkeit enthalten (§ 3a BDSG). Es sollen demnach so wenig wie möglich personenbezogene Daten erhoben, verarbeitet oder genutzt werden und insb. der Anonymisierung und Pseudonymisierung dieser Daten ein hoher Stellenwert beigemessen werden.2076
1445
Diskutiert wird das Konzept der Entnetzung,2077 wobei dies nicht i.S. einer innovations- 1446 oder fortschrittsfeindlichen Ideologie zu verstehen sein soll, sondern als limitierende Sicherheitsstrategie gegenüber dem Post-Privacy-Konzept.2078 Inwieweit diese Ansätze wirklich vielversprechend und praktikabel sind, bleibt zunächst zweifelhaft. Es ist kaum anzuneh2070 2071 2072 2073 2074 2075 2076 2077 2078
S. dazu Hallermann, RDV 2015, 23 ff. S. zum Verfahrensverzeichnis: Senftner, in: Conrad/Grützmacher, § 61; s.a. Rz. 611 ff. Zu Verschlüsselungstechniken s.a. Rz. 1458 ff. Vgl. beispielhaft einen Bericht in der Zeit v. 6.8.2014: Russische Hacker greifen sich 1,2 Mrd. Passwörter, abrufbar unter http://www.zeit.de/digital/2014-08/hacker-datenklau (abgerufen am 26.8.2016). „Der typische Internet-Nutzer hat 26 Accounts, aber nur fünf Passwörter“, s. Bernau, Goldene Zeiten für Handy-Hacker, SZ v. 3.3.2015, abrufbar über http://www.sueddeutsche.de/digital/it-sicher heit-goldene-zeiten-fuer-handy-hacker-1.2373954 (abgerufen am 22.8.2016). Kranig, in: Conrad/Grützmacher, § 29. Zum Systemdatenschutz s. Rz. 240. S. zur Frage eines Paradigmenwechsels Gaycken/Karger, MMR 2011, 3; Karger/Gaycken, in: Forgó/ Helfrich/Schneider, Kap. C., Entnetzung. Karger, in: Conrad/Grützmacher, § 65.
Schneider/Kahlert
371
A Rz. 1447
Datenschutz und IT-Management
men, dass Cloud Computing etc. kurz- bis mittelfristig dadurch flächendeckend zurückgedrängt wird, zumal es viele Erleichterungen und Effizienzsteigerungen für das Wirtschaftsleben und die Unternehmensorganisation bereit erhält. Stattdessen ist mit Blick auf aktuelle Umfragen und Erwartungshaltungen der Unternehmen eine weitere dynamische Entwicklung des IT-Sektors zu erwarten. Es deutet wenig auf einen Entnetzungs-Prozess hin. Umso interessanter ist die Propagierung „Security by Design“ von der FTC, USA, nicht nur Privacy by Design.2079 1447 Allerdings könnte sich in speziellen Bereichen ein entsprechender Effekt, „Abschottung“ ergeben, wie auch der Gesetzesbegründung zu § 8a BSIG zu entnehmen ist: „Besonders kritische Prozesse bedürfen im Einzelfall besonderer Sicherheitsmaßnahmen durch Abschottung. Diese Prozesse sollten weder mit dem Internet oder öffentlichen Netzen verbunden noch von über das Internet angebotenen Diensten abhängig sein.“2080 6.3 Zertifikate, Zertifizierung 1448 Das BSI ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit (§ 9 BSIG). Nach § 8a Abs. 3 BSIG haben die Betreiber kritischer Infrastrukturen mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Abs. 1 nachzuweisen, was u.a. durch Zertifizierungen erfolgen kann (Satz 2). Einen Quasistandard („heimlicher Industriestandard“) stellt ISO 27001/27018 dar.2081 Darauf könnten die Arbeiten, die über die Standardisierungsbemühungen gem. der DS-GVO erfolgen, aufbauen. 1449 Das ULD hat ein eigenes Verfahren für die Erteilung eines Datenschutzgütesiegels: Aufgrund § 4 Abs. 2 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) hat die Landesregierung Schl.-Holst. die Datenschutzgütesiegelverordnung vom 30.11.2013 (DSGSVO) erlassen. Danach wird ein informationstechnisches Produkt (IT-Produkt) auf Antrag des Herstellers oder der Vertriebsorganisation vom Unabhängigen Landeszentrum für Datenschutz zertifiziert, wenn das IT-Produkt den Rechtsvorschriften über den Datenschutz und die Datensicherheit entspricht.2082 Die Anforderungen sind in einem Kriterienkatalog 2.0 für das Datenschutz-Gütesiegel aktualisiert.2083 1450 Zertifizierungsverfahren werden i.R.d. DS-GVO, s. Art. 42 DS-GVO, eingerichtet werden (mit Zertifizierungsstellen nach Art. 43 DS-GVO). Die Selbstzertifizierung bei „Safe Harbor“ ist aufgrund der EuGH-E. nicht mehr möglich, hat aber auch dem Ansehen von Zertifizierungen geschadet. Unklar ist, ob die Zertifizierung im Rahmen „Privacy Shield“ (s. Rz. 638) ernsthafter ist. 6.4 Zugangs- und Zugriffskontrollen 1451 Die früher für Rechenzentren wesentlichen Zutrittsschranken (s. noch Nr. 1 der Anlage zu § 9 BDSG: Zutrittskontrolle) und Zugangskontrollen zu Datenverarbeitungsanlagen i.S. räumlich realen Kontakts (Nr. 2 der Anlage zu § 9 BDSG) sind inzwischen wohl eher eine zweitrangige Maßnahmenkategorie, während die Zugriffskontrolle (Nr. 3 der Anlage zu § 9 2079 2080 2081 2082 2083
S. Rz. 599 ff. Zum IT-SicherheitsG s. Rz. 1406 ff. Kraska, ZD 2016, 153. § 1 Abs. 1 DSGSVO. PM v. 5.12.2014, abrufbar unter https://www.datenschutzzentrum.de/artikel/855-Neuer-Kriterienka talog-2.0-fuer-Datenschutz-Guetesiegel-Moderner-Datenschutz-fuer-wegweisende-IT-Produkte.html (abgerufen am 22.1.2015); Anforderungskatalog für die Begutachtung von IT-Produkten i.R.d. Gütesiegelverfahrens beim ULD Schleswig-Holstein, Stand 28.11.2014: https://www.datenschutzzent rum.de/uploads/guetesiegel/guetesiegel-anforderungskatalog.pdf (abgerufen am 22.8.2016).
372
Schneider/Kahlert
IT-Sicherheit
Rz. 1456
A
BDSG, die auch „Zugang“ virtuell umfasst) eher gesteigerte Bedeutung (i.V.m. Eingabe- und Weitergabekontrolle) hat. Für die betriebliche Anwendung resultiert daraus die Maßgabe eines Berechtigungskonzepts, wer was (wann) darf. Früher hatten manche Standardsoftwarepakete mit ihren hierarchisch gegliederten Berechtigungsebenen Schwierigkeiten, die datenschutzbedingten Einzelberechtigungen der Mitarbeiter abzubilden. Inzwischen dürfte dies technisch kein Problem mehr sein. Da die nötigen Festlegungen als System-/Netzwerkmanagement und Netzwerkzugangskon- 1452 trolle (wie generell Leistungsbeschreibungen, „Pflichtenhefte“) aber sehr aufwendig sein können, sind dennoch viele Anwendungen eher schwach bzw. eher anfällig ausgestaltet. Besonders deutlich tritt das Problem etwa bei W-LAN, wenn die Mindestmaßnahmen nicht ergriffen werden, zutage. Entsprechendes, wenn nicht noch gravierender, gilt für mobile Geräte, die praktisch offene Schnittstellen mit ubiquitärem Zugang, erst recht i.V.m. Nutzung öffentlicher Hotspots (keine Verschlüsselung), darstellen.2084 Indirekt werden manche sicherheitsrelevanten Maßnahmen zum Leck bzgl. Berechtigungskonzept, etwa über Online-Services mit den an sich dringend empfohlenen Patches.2085
1453
6.5 Sicherheitsstandards für E-Payment Für die Abwicklung des Online-Zahlungsverkehrs (E-Payment) sind verschiedene Sicher- 1454 heitsstandards erlassen worden, mit denen der Internet-Kriminalität in diesem Bereich entgegengewirkt und das Verbrauchervertrauen gestärkt werden soll. Am 5.5.2015 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) dazu per Rund- 1455 schreiben das Dokument „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) erlassen.2086 Damit wurden die „Leitlinien zur Sicherheit von Internetzahlungen“ der European Banking Authority in deutsches Recht umgesetzt. Die „MaSI“ richten sich an Online-Zahlungsdienstleister wie Kreditinstitute, Zahlungsinsti- 1456 tute und E-Geld-Institute; betroffen sind Zahlungsabwicklungen im Internet, u.a. über Kreditkarten, Überweisung, Lastschrift und E-Geld-Verfahren (z.B. PayPal). Kernstück der Neuregelungen ist ein neues Authentifizierungsverfahren für Kunden, deren Identität bei einer Online-Zahlung seitens des Zahlungsdienstleisters anhand von zwei Merkmalen überprüft werden muss. Diese Merkmale sollen aus zwei der drei folgenden Bereiche stammen (sog. „Zwei-Faktor-Prüfung“): – Wissen (z.B. Abfrage eines statischen Passworts, eines Codes oder einer persönlichen Identifikationsnummer), – Besitz (Prüfung mittels eines Gegenstands, z.B. Token, Smartcard oder Mobiltelefon) oder – Inhärenz (Prüfung anhand an einer Eigenschaft des Nutzers, z.B. eines biometrischen Charakteristikums wie etwa Fingerabdruck).
2084 S.a. BSI, Die Lage der IT-Sicherheit in Deutschland 2014, S. 14, abrufbar unter http://www.bmi. bund.de/SharedDocs/Downloads/DE/Broschueren/2014/bsi-lagebericht-it-sicherheit.pdf?__blob=pub licationFile (abgerufen am 22.8.2016). 2085 Zum Risiko ungepatchter Systeme s. etwa BSI, Die Lage der IT-Sicherheit in Deutschland 2014, S. 13. 2086 BaFin-Rundschreiben 4/2015 (BA) v. 5.5.2015, Gz.: BA 57-K 3142-2013/0017, abrufbar über http:// www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2015/.rs_1504_ba_MA_Intern etzahlungen.html?nn=2818068 (abgerufen am 26.8.2016); dazu auch: Terlau, Neuregelungen für digitalen Geldtransfer: Zwei von Drei, in: Legal Tribune Online v. 6.7.2015, abrufbar über http:// www.lto.de/recht/hintergruende/h/internet-online-bezahlen-neuregelung-psd-ii/ (abgerufen am 26.8.2016).
Schneider/Kahlert
373
A Rz. 1457
Datenschutz und IT-Management
1457 Am 23.12.2015 wurde zudem die Europäische Zahlungsdienste-Richtlinie II („Payment Services Directive II“ – PSD II) veröffentlicht,2087 die der PSD I vom 13.11.2007 nachfolgt. Die PSD II richtet sich neben den klassischen Zahlungsdienstleistern u.a. auch an vorgeschaltete Dienstleister (sog. „Dritte Dienstleister“), die an Zahlungsauslöse- und Kontoinformationsdiensten beteiligt sind. Die innerhalb von zwei Jahren nach Inkrafttreten in nationales Recht umzusetzende Richtlinie sieht u.a. starke Kundenauthentifizierung, Haftungserleichterungen für Verbraucher, die Einführung des Open Access-Prinzips und eine vertiefte aufsichtsbehördliche Kooperation sowie einen erweiterten Informationsaustausch vor. 6.6 Verschlüsselungstechniken 1458 Die Anwendung von Verschlüsselungstechniken stellt ein häufig empfohlenes2088 Mittel dar, um die Sicherheit beim Datenaustausch,2089 etwa beim Online-Shopping oder OnlineBanking zu erhöhen. Da bei diesen Vorgängen regelmäßig sensible persönliche Daten übertragen werden, besteht ein hoher Schutzbedarf, denn ein Zugriff unberechtigter Dritter soll verhindert werden. Allerdings ist es für den „normalen“ Anwender schwer, die Lücken oder Schwächen der verschiedenen Werkzeuge bzw. Methoden zu beurteilen respektive selbst zu erkennen. So sollen gängige Methoden im Ergebnis, etwa gegenüber NSA unwirksam sein bzw. von NSA unterlaufen werden.2090 1459 Auch die Betreiber sozialer Netzwerke greifen regelmäßig auf Datenverschlüsselung zurück. Zudem ist im unternehmerischen Alltag der Einsatz von Verschlüsselungstechniken immer wichtiger, etwa zur Einhaltung von Datenschutzvorschriften oder Geheimhaltungsvereinbarungen.2091 Daneben werden auch Datenbanken zunehmend mit Verschlüsselungsverfahren gesichert, um die Vertraulichkeit, Integrität und Authentizität von Daten gewährleisten zu können.2092 1460 Unterschieden wird dabei zwischen symmetrischen, asymmetrischen und hybriden Verschlüsselungsmethoden.2093 Bei der symmetrischen Verschlüsselung wird die betreffende Datei unter Verwendung eines Codierungsschlüssels unleserlich gemacht und der Empfänger kann, sofern ihm der Codierungsschlüssel bekannt ist, die Datei wieder decodieren. Es wird also ein statischer Code eingesetzt, der auf Versender- wie Empfängerseite identisch ist. Standardmäßig werden WLAN-Verbindungen heute auf diese Weise verschlüsselt (WPA2-Passwort mit Advanced Encryption Standard [AES]). Auch zum Schutz von lokal gespeicherten Daten (z.B. auf Festplatten oder USB-Sticks) wird die symmetrische Verschlüsselungstechnik häufig angewandt, etwa bei den Betriebssystemen von Windows und Mac OS. Problematisch bei den symmetrischen Verfahren ist jedoch, dass der Codierungsschlüssel dem Empfänger vom Versender bekanntgegeben werden muss und dabei ggf. unberechtigte Dritte Kenntnis von dem Codierungsschlüssel erhalten könnten. 1461 Die asymmetrischen Verschlüsselungsmethoden zeichnen sich dadurch aus, dass ein Codierungsschlüssel zwischen Versender und Empfänger gerade nicht ausgetauscht werden muss. Denn der Versender verwendet gleichsam ein allgemeines, öffentliches Schloss (Codierungsschlüssel), das vom Empfänger durch dessen individuellen, geheimen (privaten) Schlüssel geöffnet werden kann. Über Programme wie PGP (Pretty Good Privacy) oder S/Mime kön2087 Abrufbar über http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015L2366&from =DE (abgerufen am 22.8.2016). 2088 Gemäß Anlage zu § 9 BDSG insoweit verbindliches Instrument. 2089 S. Deusch/Eggendorfer, K&R 2015, 11. 2090 Ruhmann, DuD 2014, 40 zu VPN, SSL, 4 G (Mobilfunkkommunikation); s.a. Fox, DuD 2015, 78. 2091 Dazu: Deusch/Eggendorfer, in: Taeger, Big Data & Co., S. 539 ff. 2092 Kast, in: Conrad/Grützmacher, § 66 Rz. 35 ff. 2093 S. Köhler, Diese Verschlüsselungstechniken gibt es, sueddeutsche.de v. 27.12.2013, abrufbar unter http://www.sueddeutsche.de/digital/sicherheit-im-internet-diese-verschluesselungstechniken-gibtes-1.1837847 (abgerufen am 22.8.2016); Kast, in: Conrad/Grützmacher, § 66 Rz. 4 ff.
374
Schneider/Kahlert
IT-Sicherheit
Rz. 1466
A
nen sich die Nutzer derartige Schlüssel erstellen.2094 Asymmetrische Verschlüsselungsverfahren sind folglich aufwendiger und nehmen mehr Zeit in Anspruch als symmetrische Verschlüsselungsverfahren. Unter hybrider Verschlüsselung versteht man eine Mischform aus symmetrischer und asymmetrischer Codierung. Hier werden in Kombination sowohl individuelle als auch öffentliche Schlüssel verwendet. Eine Form der hybriden Verschlüsselung wird regelmäßig bei der Übertragung von Kreditkartendaten oder im Online-Banking angewandt (SSL/TLS bzw. https-Verbindungen).
1462
Es ist aber zu beachten, dass nach verschlüsselter Übertragung der Daten auch eine ver- 1463 schlüsselte Abspeicherung an dem lokalen und virtuellen Speicherort sehr ratsam sein kann. Denn andernfalls könnte hier ein wunder Punkt entstehen, an dem etwa professionelle Datendiebe oder Geheimdienste2095 sich relativ ungehindert Zugriff verschaffen könnten und der Mehrwert, der durch die vorangegangene verschlüsselte Übertragung der Daten erreicht wurde, wieder konterkariert wird. Allerdings ist dabei wiederum der Nachteil in Kauf zu nehmen, dass die Speicher- und Abrufvorgänge deutlich mehr Zeit in Anspruch nehmen. Es wäre letztlich ein Trugschluss, anzunehmen, dass mehr Sicherheit ohne zusätzlichen finanziellen oder organisatorischen Aufwand einfach so zu bewerkstelligen ist. Auch im Bereich der Mobile Devices, insb. bei Smartphones, legen die Nutzer zunehmend 1464 mehr Wert auf sichere Kommunikation – dies macht sich schon dadurch bemerkbar, dass Kommunikationsdienste mit Verschlüsselungstechnik immer mehr an Zulauf gewinnen. Dennoch bleibt ungewiss, inwieweit die Konsumenten flächendeckend auf Software mit höheren Sicherheitsstandards umsteigen, gerade vor dem Hintergrund damit verbundener Aufwands- und Kostensteigerungen. 6.7 Sicherheitslücken Eine erhebliche Bedrohung stellen sog. „Advanced Persistent Threats“ dar, die sich dadurch 1465 auszeichnen, dass es sich um aufwendige, gezielt durchgeführte und von kommerziellen Interessen motivierte Angriffe auf IT-Systeme handelt.2096 Die Erkennungs- und Beseitigungsrate durch professionelle Schutzprogramme zu erhöhen, stellt sich als wichtige Herausforderung dar. Neuartige Maßnahmen, wie Virtualisierungstechniken, Sanitisierung, verschiedene Analyse- und Forensik-Tools sollen hier Abhilfe schaffen. 6.8 Regelmäßige Backups Die Durchführung regelmäßiger Backups zur Datensicherung ist und bleibt ein wichtiger Bestandteil eines jeden ganzheitlichen IT-Sicherheitskonzeptes. Für den Fall, dass ein Nutzer regelmäßige Backups nicht durchführt und infolgedessen Daten bei einem Computerabsturz verloren gehen, die ansonsten im Rahmen eines Backup gesichert worden wären, 2094 S. Köhler, Die Vor- und Nachteile von Verschlüsselungstricks, sueddeutsche.de v. 27.12.2013, abrufbar unter http://www.sueddeutsche.de/digital/internet-sicherheit-mit-pgp-ssl-und-vpn-die-vor-undnachteile-von-verschluesselungstricks-1.1840050 (abgerufen am 22.8.2016). 2095 Die ohnehin eine Verschlüsselung der üblichen Kommunikationswege ablehnen, s. nur Meldung auf heise.de v. 13.1.2015: Großbritannien: Cameron will gegen Verschlüsselung vorgehen, abrufbar unter http://www.heise.de/newsticker/meldung/Grossbritannien-Cameron-will-gegen-Verschlues selung-vorgehen-2516774.html (abgerufen am 26.8.2016). S. aber auch: Crypto Wars – Warnungen vor vereintem Kampf gegen starke Verschlüsselung, Hintertüren wären „katastrophal für die Sicherheit und Freiheit aller Nutzer“, konstatieren Berater, Diplomaten und Datenschützer vor einem deutsch-französischen Ministergespräch über einen Aktionsplan gegen Verschlüsselung (http:// www.heise.de/newsticker/meldung/Crypto-Wars-Franzoesische-Experten-warnen-vor-vereintemKampf-gegen-starke-Verschluesselung-3302156.html, abgerufen am 23.8.2016). 2096 Strobel, iX 2/2014, 109 ff.
Schneider/Kahlert
375
1466
A Rz. 1467
Datenschutz und IT-Management
kann ein Mitverschulden des Nutzers an der Schadensentstehung in Betracht kommen. Derartige Regelungen sind oft auch in Allgemeinen Vertragsbedingungen explizit statuiert. 6.9 Weitere Quellen für Anforderungen, BSI-Empfehlungen 1467 Ohne unmittelbaren Bezug zum „Datenschutz“ hat der Betrieb selbst zentrales Interesse an der Sicherheit und dabei v.a. Integrität und Verfügbarkeit seiner gesamten IT/TK-Infrastruktur. Aus verschiedenen Vorschriften ergeben sich zudem – je nach Branche – speziellere Anforderungen, etwa aus HGB, GoBS, AktG,2097 evtl. SOX oder KWG.2098 Basis der Einhaltung spezieller Forderungen ist ein funktionierendes Risikomanagement (-system)2099 und Sicherheitssystem, das die Grundfunktionen für Sicherheit, gestaffelt nach Anforderungsintensität, gewährleistet. In diesem Sinne wurde das Grundschutzhandbuch des BSI mit seinen Sicherheitskriterien und –standards verstanden,2100 nun als IT-Grundschutzkataloge. 1468 Aus § 8a Abs. 1 BSIG (Art. 5 IT-SicherheitsG)2101 ergibt sich für Betreiber Kritischer Infrastrukturen die Verpflichtung, „spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“ 1469 Diese Maßgabe nach § 8a Abs. 1 BSIG ähnelt § 9 BDSG (und auch Art. 32 DS-GVO), weicht aber in wichtigen Punkten ab bzw. geht darüber hinaus. „Harter“ Maßstab für die Angemessenheit wäre die „Vermeidung“ von Störungen. Dies ist zwar als Ziel sinnvoll. Realistisch ist die Vermeidung nicht. Dass der Stand der Technik zu berücksichtigen ist, wäre zwar weich formuliert, würde aber eine erhebliche Dynamik für die Sicherheitsinfrastruktur aufgrund des Wandels der Technik implizieren. Das Verhältnismäßigkeitsprinzip wäre gegenüber § 9 BDSG umgekehrt: nur wenn der erforderliche Aufwand unverhältnismäßig ist, würde er nicht mehr angemessen sein. 1470 Es wird nicht einfach sein, im Überschneidungsbereich der Vorschriften eine einheitliche, klar verantwortbare Strategie zu finden, nicht zuletzt, weil das Unternehmen u.U. auch das TKG einzuhalten hat, insofern also § 109 TKG zu technisch-organisatorischen Maßnahmen und § 109a TKG zu Meldepflichten bei Verletzung des Schutzes personenbezogener Daten, 2097 Zu Risikovorsorge s. von Holleben/Menz, CR 2010, 63: § 91 Abs. 2 AktG (i.V.m. § 317 Abs. 4 HGB) hat dabei zentrale Bedeutung. Der Vorstand hat „geeignete Maßnahmen zu treffen, insb. ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. S.a. Auer-Reinsdorff, ITRB 2011, 245. 2098 S. schon Rundschreiben Nr. 11/2001 v. 6.12.2001 des Bundesaufsichtsamts für das Kreditwesen (BAKred, Bundesanstalt für Finanzdienstleistungsaufsicht), Auslagerung von Bereichen auf ein anderes Unternehmen gem. § 25a Abs. 2 KWG. Zu einem Quervergleich der Auslagerungsaktivitäten (Outsourcing) von Banken s. Heckmann, CR 2013, R123 mit Hinweis auf: http://www.bafin.de/Shared Docs/Veroeffentlichungen/DE/Fachartikel/2013/fa_bj_2013_08_outsourcing_institute.html und http://www.otto-schmidt.de/news/wirtschaftsrecht/outsourcing-bafin-vergleicht-auslagerungen-beiinstituten-2013-09-10.html (jeweils abgerufen am 22.8.2016). 2099 von Holleben/Menz, CR 2010, 63 zu den Pflichten der Geschäftsleitung. 2100 Abrufbar beim BSI: bsi.bund.de; DIN 44300 definiert „Sicherheit“ bezogen auf Daten und dabei wiederum als Schutz vor Beeinträchtigungen, s. Koch, in: Lehmann/Meents, 2008, Kap. 1 Rz. 95, Fn. 74. 2101 S. Rz. 1412; dazu Beschluss der Bundesregierung v. 17.12.2014, § 8a BSIG würde u.a. die zitierten Pflichten (Hervorhebung v. Autor) zu technisch-organisatorischen Maßnahmen auferlegen, § 8b die Meldepflichten.
376
Schneider/Kahlert
IT-Sicherheit
Rz. 1473
A
wobei unverzüglich die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zu benachrichtigen ist. Vermutlich addieren sich die Aufwände für die diversen Maßnahmen und Hotline zumindest teilweise. Art. 33 DS-GVO regelt die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden (s.a. Rz. 563), Art. 34 DS-GVO die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person und Art. 35 DS-GVO die Datenschutz-Folgenabschätzung (s. Rz. 570, 572 ff.), was im Hinblick auf die Beurteilung der Notwendigkeit bei High Risk ähnliche Maßnahmen und Abschätzungen wie bei Frühwarnsystemen2102 erfordern wird.
1471
Neben der „inhaltlichen“ Richtigkeit der Programmfunktionen und der Daten müssen die 1472 Prozesse und deren Ergebnisse verbindlich, integer, verifizierbar sein. Die Daten müssen für die unterschiedlichen Aufbewahrungsfristen, ggf. für eigene, aufsichtsrechtliche und Steuerprüfungen2103 geeignet und verfügbar sein. Anforderungen ergeben sich u.a. aus den Grundsätzen ordnungsgemäßer Buchführung (GoB) und den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS).2104 Die GoBS fordern etwa eine IT-Notfallplanung.2105 Der Betrieb muss Maßnahmen ergreifen, „… durch die für die gesicherten Programme/Datenbestände die Risiken hinsichtlich Unauffindbarkeit, Vernichtung und Diebstahl im erforderlichen Maß reduziert werden“.2106 Nach Tz. 8 ist „… zu gewährleisten, dass die gespeicherten Buchungen sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen jederzeit innerhalb angemessener Frist lesbar gemacht werden können“.2107 IT-Sicherheit dient insofern dazu, über die Sicherheit des gesamten IT-Systems (auch) die 1473 Verfügbarkeit der Daten unter Aspekten der Ordnungsmäßigkeit innerhalb der geforderten Fristen sicherzustellen. Der Oberbegriff könnte insoweit auch Beherrschbarkeit der Systeme sein, weil es auch darum geht, die „Herrschaft“ über Systeme und Daten zwecks Aufrechterhaltung der eigenen Leistungsfähigkeit dauerhaft sicherzustellen. Dies fordern etwa – wichtig bei Outsourcing – § 25a KWG2108 oder § 33 WpHG.2109 Hier besteht eine enge Querverbindung zum Datenschutz bei AuftragsDV, § 11 BDSG, mit dem Gebot, dass der Auftraggeber die Herrschaft über die Daten behalten muss.2110
2102 S. zu KontraG von Holleben/Menz, CR 2010, 63; Conrad, in: Auer-Reinsdorff/Conrad, § 33 Rz. 29 ff. 2103 Nach Migrationen stellt sich z.B. das Problem, dass „Dokumente“ konvertiert wurden, die nicht mehr als „Originalversion“ vorliegen; zum Problem s.a. Roßnagel/Fischer-Dieskau/Wilke, CR 2005, 903. 2104 Ansatz in § 257 HGB. 2105 Steger, CR 2007, 137, weist darauf hin, dass „Datensicherheit“ in der entsprechend überschriebenen Tz. 5 der GoBS enthalten ist. Der K-Fall sollte auch im Hinblick auf die Rechtseinräumung abgesichert sein, s. G Rz. 372, 469; s.a. M. zu Backup. Zu Datenverlust und Datenrettung aus technischer Sicht s. Kupfrian/Hoppen, CR 2007, 819. S.a. im Rahmen eines Vertragsbeispiels zum Outsourcing Heymann/Lensdorf, in: Redeker, IT-Verträge, Bd. 3, Kap. 5.4, Erläuterungen zu Ziff. 24, Rz. 561 ff. Zum Aspekt der Notfallplanung als Teil der IT-Compliance s. Auer-Reinsdorff, ITRB 2011, 245, zu Compliance s. Rz. 1542 ff. 2106 S. Steger, CR 2007, 137 (139). 2107 S. Steger, CR 2007, 137 (139). 2108 Zu den Rundschreiben des BaFin Nr. 11/2001 v. 6.12.2001 – I 3 - 272 A - 2/98 (u.a. mit Rz. 39 zu Sicherheitsmaßnahmen) und Nr. 18/2005 v. 20.12.2005 „MaRisk“ (Mindestanforderungen an das Risikomanagement) mit konkreten Anforderungen s. z.B. Steger, CR 2007, 137 (139); Witzel, ITRB 2006, 286; zu Rundschreiben 5/2007 v. 30.10.2007, das die genannten Rundschreiben für Auslagerungen außer Kraft setzt, s. Gennen/Schreiner, CR 2007, 757. 2109 Zu Abrufhinweisen bei BAWe und Überschneidungen s. Steger, CR 2007, 137 (140). 2110 S. Rz. 226 ff.; s.a. Meents, in: Lehmann/Meents, Kap. 7 F Rz. 181.
Schneider/Kahlert
377
A Rz. 1474
Datenschutz und IT-Management
1474 U.a. nach § 91 Abs. 2 und § 243 Abs. 1 AktG haben die betroffenen Unternehmen ein Frühwarn- bzw. ein Risikofrüherkennungssystem einzurichten. Erfolgt dies nicht bzw. ist dies nicht nachweisbar, ist eine Entlastung des Vorstands der AG nicht möglich.2111 Ein solches System basiert weitgehend darauf bzw. setzt voraus, dass die Funktionen gewährleistet sind, die zur IT-Sicherheit gehören, wozu auch Schwachstellenanalysen bzw. die „Risikoerfassung“ gehören. Insofern verbindet das „Risikomanagement“ die Bereiche der IT-Sicherheit generell und die speziellen Forderungen, hier Früherkennung. Finanziell ist zu berücksichtigen, dass Versicherungen für die Bereiche Betriebsausfall, Datenverlust u.Ä. die Prämien nach den Risiken richten, evtl. sogar Deckung versagen können, wenn der Versicherte die Risikoerhöhung selbst bewusst erfolgen ließ und sie nicht bekannt gab. 1475 Das BSI bietet verschiedene kostenlose Services an, mit denen sich Behörden, Unternehmen und Privatmenschen über aktuelle Sicherheitsbedrohungen im IT-Bereich informieren können und Tipps zu etwaigen Schutzmaßnahmen erhalten. Dazu gehören u.a. regelmäßige E-Mail-Newsletter und Warnhinweise sowie spezielle Virenscanner, Prüfprogramme oder die Veröffentlichung von Eckpunktepapieren2112 etc. Das BSI hat zu diesem Zweck sog. „Computer Emergency Response Teams“ (CERT) gegründet – eines, das sich auf die Zielgruppe Bundesverwaltung ausrichtet (CERT-Bund)2113 und eines, dass sich auf die Zielgruppe Bürger und kleine Unternehmen fokussiert (Bürger-CERT).2114 6.10 Monopol-Vermeidung und Regulierungsrecht/Wettbewerbsrecht/Kartellrecht 1476 Unter Sicherheitsaspekten kann es vorteilhaft sein, dass auf dem Markt nur einige wenige große Anbieter für einen „Industrie-Standard“ auf hohem Niveau bei der Sicherheit sorgen. Tatsächlich sind aber gegenteilige Verhältnisse entstanden, dass nämlich ein äußerst geringer Standard zur Verfügung steht. Insofern wäre eine größere Anbietervielfalt wiederum erstrebenswert, was auch zu Aspekten des Kartellrechts führt. Die großen Social Media-Anbieter, aber auch die Software-Anbieter sind gelegentlich ins Visier der Kartellbehörde geraten, tatsächlich aber wohl weniger unter Aspekten der Sicherheit.2115 1477 Es ist denkbar, dass sich über Sicherheitsvorgaben bis hin zu Standards und Zertifikaten (bzw. deren Anforderungen) Monopolisierungstendenzen ergeben, die beobachtet bzw. denen begegnet werden müsste. Ein Impuls in diese Richtung kann etwa von der Vergabe seitens der öffentlichen Hand ausgehen, wenn bestimmte technologische Anforderungen gestellt werden, die auch ausstrahlen, etwa über „die vom Verbreitungsgrad abhängige Attraktivität eines Produkts auf dem Markt (sog. Netzeffekt)“.2116 In der Folge werden die „Unternehmen … gezwungen“, im Interesse der Anpassung an die vorherrschende Systemtechnologie auf „den Zug aufzuspringen“ und „sich zumindest hinsichtlich der Kompatibilität dem vorherrschenden Produkt/System anzupassen (sog. Winner-takes-it-all-markets (…))“.2117
2111 LG München I v. 5.4.2007 – 5 HKO O 15964/06, CR 2007, 423, Unternehmen ohne Dokumentation des Risikofrüherkennungssystems: eine Funktions- und Systemprüfung war nicht möglich. 2112 Z.B. Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter – Mindestanforderungen in der Informationssicherheit“, s.u. Rz. 1502 f. 2113 Zu erreichen über https://www.cert-bund.de/ (abgerufen am 25.8.2016). 2114 Zu erreichen über https://www.buerger-cert.de/ (abgerufen am 25.8.2016). Weitere Tipps für Privatleute: https://www.bsi-fuer-buerger.de/ (abgerufen am 25.8.2016). 2115 S. z.B. Big Data-Studie des Bundeskartellamts v. 10.5.2016, http://www.bundeskartellamt.de/Shared Docs/Publikation/DE/Berichte/Big%20Data%20Papier.pdf?__blob=publicationFile&v=2 (abgerufen am 22.8.2016); zu Suchmaschinen: Paal, GRUR Int. 2015, 997; zu Apps s. Kremer/Hoppe/Kamm, CR 2015, 18; zu einer Datenbankstruktur unter Aspekten des Kartellrecht s. EuGH v. 29.4.2004 – C-418/01, IMS Health. 2116 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 164, zur Wirkung Standards Rz. 165 f. 2117 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 164 mit Hinweis auf Zimmerlich, WRP 2004, 1260 (1262).
378
Schneider/Kahlert
IT-Sicherheit
Rz. 1483
A
Eine Frage wird sein, inwieweit die Anforderungen genügend produktneutral formuliert werden können und wie dabei vermieden wird, geheimhaltungsbedürftige Informationen zu offenbaren, wenn es um Schnittstellen, Routinen u.Ä. geht.
1478
7. § 9 BDSG und Anlage zu § 9 BDSG Die technischen und organisatorischen Maßnahmen bei Kooperationen und AuftragsDV 1479 werden die Vertragspartner typischerweise schon im eigenen Interesse regeln und ergreifen. Durch die Verpflichtungen gem. § 9 BDSG/Art. 32 und 35 DS-GVO (s. Rz. 240 ff., 565 ff., 651 ff.) kommt bei datenschutzrelevanter Verarbeitung noch das Sicherheitsinteresse zum Schutz des Betroffenen hinzu.2118 Zunehmend kristallisiert sich auch rechtlich verselbständigend das Gebiet der IT-Sicherheit 1480 heraus.2119 Während längere Zeit kaum Rückkopplung bzw. Abstimmung mit der Datenschutz- und auch der Haftungsproblematik stattfand,2120 hat sich dies über die zunehmende Sicherheitsdiskussion nach NSA geändert. Die „Skandale“ auch anderer Art haben auch der Befassung mit § 9 BDSG und der Frage, wie sicher eigentlich die IT-Systeme sind, wichtige Impulse gegeben. Dennoch besteht nach wie vor die Gefahr, dass im Hause eines Anwenders eine Art Zweiteilung vorgenommen wird: Einmal gibt es die vonseiten des Datenschutzes geforderten technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und der Anlage hierzu zum Schutze und im Interesse des Betroffenen, zum anderen wird separat vonseiten der IT – z.B. von einem IT-Geschäftsführer oder auch IT-Vorstand – die Sicherheit der IT i.S.d. Anforderungen, die an das Unternehmen im Hinblick auf Integrität, Verfügbarkeit, Prüfbarkeit und Vorsorge (Frühwarnsysteme) u.Ä. gestellt werden, geplant bzw. betrieben.
1481
Es darf aber aus relativ simplen Gründen keine Trennung dieser Bereiche geben, da die tech- 1482 nischen und organisatorischen Maßnahmen i.S.v. § 9 BDSG tief in die gesamte Sicherheitsstruktur der DV-Systeme eingreifen. Daher würde es sich anbieten, einen einheitlichen, integrierten Ansatz für die IT-Sicherheit zu wählen, der sowohl den Interessen des Betriebs an Integrität, Verfügbarkeit u.Ä. sowie den im Grundschutzhandbuch des BSI früher schon beschriebenen Zielen nachgeht als auch die Anforderungen nach § 9 BDSG erfüllt bzw. den Datenschutz realisieren hilft. Zu Letzterem gehört z.B. die Bewerkstelligung von Auskunftsbegehren, Berichtigungen, Sperren und Löschen. Nach § 9 BDSG sind die erforderlichen technischen und organisatorischen Maßnahmen zu 1483 treffen, um die Ausführung der Vorschriften des BDSG und dabei insb. die in der Anlage zu dem Gesetz genannten Anforderungen zu gewährleisten (§ 9 Satz 1 BDSG). Dazu gilt ein spezifisches Erforderlichkeitsprinzip: Nach § 9 Satz 2 BDSG sind Maßnahmen nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Dies darf nicht so gelesen werden, als ob der besonders hohe Aufwand für Maßnahmen, zu geringe Sicherheit zu verbessern, nicht erforderlich wäre. Vielmehr muss der Aufwand, der für eine Maßnahme betrieben wird, gerade am Bedarf orientiert werden. Ist also großer Bedarf, ist die Angemessenheit anders zu beurteilen als wenn der Bedarf relativ gering wäre, was die gleiche Maßnahme bzw. den gleichen Aufwand betrifft.
2118 Zur Integration der Sichtweisen s. Schneider, ZD 2011, 5. 2119 Zur IT-Sicherheit im Rahmen rechtlicher Beratung s. z.B. Schultze-Melling, CR 2005, 73, SchultzeMelling, ITRB 2005, 42; zu Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen s. Dirk Heckmann, MMR 2006, 280. 2120 S. aber nun Spindler, Verantwortlichkeit von IT-Herstellern, Nutzern und Intermediären, BSI-Studie, 2007.
Schneider/Kahlert
379
A Rz. 1484
Datenschutz und IT-Management
1484 Indirekt wird über den „angestrebten Schutzzweck“ eine Abstufung der Daten-Sensitivitäten in die Sicherheitssystematik eingebracht. Wie auch an einigen anderen versteckten Teilen im Gesetz würde dies der Abstufung von Gefährdungen bei den einzelnen Datenarten und somit überhaupt erst einer Einteilung mit Rangordnung unterschiedlich wichtiger Datenarten Vorschub geben, während die Dogmatik davon ausgeht, dass es kein für sich gesehen belangloses Datum gibt und so gesehen alle Daten gleich belangvoll sind. Dass dies nicht so ist, ergibt sich explizit aus § 3 Abs. 9 BDSG mit den besonderen Arten personenbezogener Daten, die allerdings einen relativ kleinen Katalog ausmachen. Jedenfalls wird so dem Datenverarbeiter die Pflicht auferlegt, seine Maßnahmen und die Investitionen hierfür (auch) an der Brisanz und Sensitivität der Daten zu orientieren. Diese Abstufung wird noch in Satz 2 der Anlage zu § 9 BDSG etwas konkretisiert, wie nachfolgend zitiert Hervorhebungen v. Autor). 1485 Eine wichtige Maßgabe sind die nach der Anlage zu § 9 BDSG zu realisierenden „Kontrollen“. 1486 Die Anlage zu § 9 Satz 1 BDSG enthält ihrerseits eine Generalklausel, die eigene Organisation an den Anforderungen des Datenschutzes auszurichten (Satz 1). „Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.“
380
Schneider/Kahlert
IT-Sicherheit
Rz. 1490
A
WLANs sind v.a. unter dem Aspekt fehlender Sicherheit – als Folge „offener Netze“ – in die 1487 juristische Diskussion gelangt.2121 Der Gesetzgeber hat mit der TMG-Novelle2122 weitgehend die bisherige Rspr. übernommen.2123 Es wird aber erwartet, dass die Störerhaftung durchaus noch weiter bestehen könnte. Die E. des EuGH in der Sache McFadden/Sony Music passt dazu.2124 Dabei geht es auch um die Pflichten des Betreibers, möglichem Missbrauch und Rechtsverletzungen vorzubeugen2125: „Wird ein Funknetz (WLAN-Netz) unverschlüsselt betrieben und damit der Internetzugang gegenüber jedermann eröffnet, haftet der Betreiber grundsätzlich als Störer für Rechtsverletzungen, die von Dritten hierüber begangen werden“.2126
1488
Noch stärker entschied das LG Hamburg: Bereits die Möglichkeit, dass Dritte eine ungeschützte WLAN-Verbindung zur Begehung von Rechtsverletzungen nutzen können, löst die Pflicht des Betreibers zu vorbeugenden Prüfungs- und Handlungspflichten aus.2127 Eigentlich folgt daraus bereits die Pflicht zu Passwortschutz und Verschlüsselung.2128
1489
„Allein das Ausschalten des PC stellt keine wirksame – eine Störerhaftung ausschließende – Schutzmaßnahme des Internet-Anschlussinhabers gegen Rechtsverletzungen dar, die Dritte über dessen WLAN-Internet-Verbindung begehen“.2129
Die ungeschützte WLAN-Verbindung als Zugang ins Internet bietet Dritten die keinesfalls 1490 unwahrscheinliche Möglichkeit der Nutzung unter Rechtsverletzungen, denen vorzubeugen ist.2130 Zumindest die Einstellung bzw. Verwendung der vorhandenen Sicherheitsmaßnahmen wird der WLAN-Betreiber vorzunehmen haben.2131
2121 S. Hornung, CR 2007, 88; s. bereits zu rechtlichen Anforderungen an Wireless LAN Röhrborn/Katko, CR 2002, 882; zur strafrechtliche Verantwortlichkeit bei heimlicher Nutzung fremden WLANs s. Bär, MMR 2005, 434; evtl. ist Nutzung eines offenen, privaten WLAN strafbar als Abhören (§ 89 i.V.m. § 148 TKG) und Verstoß gegen BDSG: AG Wuppertal v. 3.4.2007 – 22 Ds 70 Js 6906/06, ITRB 2008, 99, s. aber LG Wuppertal v. 29.6.2007 – 28 Ns 70 Js 6906/06 – 107/07, ITRB 2008, 42. 2122 Am 2.6.2016 angenommen BT-Drs. 18/8645, am 27.7.2016 in Kraft getreten, BGBl. I 2016, S. 1766. 2123 Zur Haftung für WLAN-Betreiber nach der TMG-Novelle Franz/Sakowski, CR 2016, 524; Spindler, NJW 2016, 2449. 2124 Franz/Sakowski, CR 2016, 524 auch zu LG München I v. 18.9.2014 – 7 O 14719/12 mit Fragen zum Ausmaß der Haftung eines nebengewerblichen Anbieters von WLAN; EuGH v. 15.9.2016 – C-484/14. 2125 Zum Aspekt der IT-Sicherheit bei WLAN s. die Informationen bei bsi.de; zu Verpflichtungen der Betreiber unter TK-Recht s. schon Zimmer, CR 2003, 893. 2126 Zur Haftung privater Betreiber: LG Mannheim v. 25.1.2007 – 7 O 65/06, MMR 2007, 537, m. Anm. Ernst, durch OLG Karlsruhe (v. 11.6.2007 – 6 W 20/07) unter Bezugnahme auf die Gründe der landgerichtlichen E. bestätigt. MIR 2007 – 303, so auch Anm. der Red. MMR 2007, 537; s.a. OLG Düsseldorf v. 27.12.2007 – I-20 W 157/07, jur-pc 26/2008. 2127 Betreiber nicht Passwort-gesicherter WLAN-Netze haftet für Urheberrechtsverletzungen: LG Hamburg v. 26.7.2006 – 308 O 407/06, CR 2007, 54 m. krit. Anm. Gercke, 55; Berufung OLG Hamburg unter 5 U 163/06; Hornung, CR 2007, 88, 90, Fn. 17. 2128 Zur Zumutbarkeit Hornung, CR 2007, 88 (91). 2129 So zu Störerhaftung des in Urlaub befindlichen Internet-Anschlussinhabers: LG Frankfurt/M. v. 22.2.2007 – 2-03 O 771/06, CR 2007, 670 – Ls. mir 2007, 278 – unter Bezugn. auf LG Hamburg v. 26.7.2006 – 308 O 407/06, CR 2007, 54 m. krit. Anm. Gercke. 2130 LG Frankfurt/M. v. 22.2.2007 – 2-03 O 771/06 unter Hinweis auf bzw. ebenso LG Hamburg v. 26.7.2006 – 308 O 407/06, CR 2007, 54 m. krit. Anm. Gercke; zur Frage der Adäquanz bei der Kausalität verweist LG Frankfurt/M. auf BGH v. 11.1.2005 – X ZR 163/02, NJW 2005, 1420; ebenso auch zur Störerhaftung des Anschlussinhabers bei Filesharing LG Hamburg v. 2.8.2006 – 308 O 509/06, CR 2006, 780; BGH v. 12.5.2019 – I ZR 121/08, CR 2010, 458: wer verabsäumt, marktübliche Sicherungen ihrem Zweck entsprechend anzuwenden, haftet als Störer auf Unterlassung. 2131 S.a. OLG Düsseldorf v. 27.12.2007 – I-20 W 157/07, MIR 2008, 056; s. aber a. OLG Frankfurt v. 1.7.2008 – 11 U 52/07, MIR 2008, 206 (keine generelle Störerhaftung); keine Pflicht zur Änderung ei-
Schneider/Kahlert
381
A Rz. 1491
Datenschutz und IT-Management
8. TKG 1491 Nach § 109 Abs. 1 TKG sind erforderliche technische Vorkehrungen und sonstige Maßnahmen zum Schutz des Fernmeldegeheimnisses (Nr. 1) und gegen die Verletzung des Schutzes personenbezogener Daten (Nr. 2) zu treffen.2132 Dabei ist nach Satz 2 der Stand der Technik zu berücksichtigen. Dies gilt für jeden Diensteanbieter. 1492 Soweit ersichtlich, wird im Wesentlichen die Gestaltung von IT-VPN-Systemen bzw. -Verträgen dem Telekommunikationsrecht zugeordnet.2133 Der VPN-Anbieter hat mehrere Kunden bzw. kann solche haben, die eine von ihm bereitgestellte Netz-Infrastruktur nutzen, für die er also die „Verantwortung“ übernimmt. Trotz der Mehrfach-Inanspruchnahme durch verschiedene Auftraggeber wird jedoch eine logische Einteilung derart eingestellt und vollzogen, dass jeder der Kunden sein eigenes „Netzwerk“ behält.2134 1493 Es stellt sich also insofern die Frage, ob es sich nicht um IT-Outsourcing handelt, wobei dies noch unter besonderen Aspekten datenschutzrechtlich zu beleuchten wäre. Grds. jedoch wäre es so, dass diese physikalisch zur Verfügung stehende Infrastruktur logisch so den einzelnen Auftraggebern zugeordnet werden kann, dass zwischen diesen kein Datenaustausch stattfindet bzw. keiner der Auftraggeber dem Auftragnehmer speziell eine Art AuftragsDV in dem Sinne erteilt, dass der Auftragnehmer für ihn die Datenverarbeitung vornimmt. Dies hängt allein schon damit zusammen, dass der Personenbezug praktisch verhindert werden kann. Dies hängt aber sehr stark von der Ausgestaltung ab. Das bedeutet, dass im konkreten Fall sehr genau darauf geachtet werden soll, inwieweit beim Auftragnehmer eine Stellung entsteht, die doch unter § 11 BDSG oder die entsprechenden Spezialvorschriften zu subsumieren wäre.2135 1494 Die Problematik des Datenschutzes stellt sich wahrscheinlich bei völliger sonstiger Abschottung am Start der Nutzung und bei der Beendigung bzw. bei der Migration auf ein anderes System. 1495 Für die vertragstypologische Einordnung liegt die Einordnung wie bei der BGH-E. zum Access-Provider nahe, also Dienstvertrag.2136 Dies gilt zum einen nur hinsichtlich der Hauptleistung bzw. wenn keine speziellen weiteren Leistungen von Gewicht vereinbart werden, zum anderen hat der VPN- Unternehmer evtl. noch weiterreichende Pflichten und sich entsprechend bei seinen „Lieferanten“ abzusichern, deren Netzstrukturen er sich bedient. 1496 Die vertraglichen Strukturen lassen sich mit Betreibermodellen bei Service-RZ vergleichen.2137 Dann könnte Miete wie bei ASP2138 oder Dienstvertrag wie bei Access-Verträgen2139 im Vordergrund stehen. Die AGB hätten sich zudem an AuftragsDV (§ 11 BDSG) zu orientieren (s. Rz. 245 ff.). Evtl. unterliegt das VPN allerdings dem TK-Recht mit der Folge, dass insoweit Klauseln AGB-fest sind, die sich aus diesen Vorgaben ergeben.2140
2132 2133 2134 2135 2136 2137 2138 2139 2140
382
nes werkseitig voreingestellten individuellen WLAN-Schlüssels: LG Hamburg v. 29.9.2015 – 310 S 3/15 gegen BGH v. 12.5.2019 – I ZR 121/08, CR 2010, 458. Zu den technischen Schutzmaßnahmen, Eckhardt, in: Geppert/Schütz, Beck’scher TKG-Kommentar, 4. Aufl. 2013, TKG § 109 Rz. 1 – 96, Rz. 13 – 33. S. Schumacher, CR 2006, 229 (230). Schumacher, CR 2006, 229 (230) unter Hinweis auch auf Roth/Haber, ITRB 2004, 19. Zu den übrigen, auch leistungsbezogenen Kriterien des VPN Roth/Haber, ITRB 2004, 19. BGH v. 23.3.2005 – III ZR 338/04, CR 2005, 816. S. zu Providerverträgen Spindler (Hrsg.), Vertragsrecht der Internet-Anbieter; s.a. W Rz. 12 ff.; zu SLA v.a. wg. Verfügbarkeit Volker A. Schumacher, MMR 2006, 12 und M Rz. 334 f., S Rz. 84; U Rz. 68 ff. BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 – ASP; s.a. Rz. 1198 ff. BGH v. 23.3.2005 – III ZR 338/04, CR 2005, 816. BGH v. 24.5.2007 – III ZR 467/04, MMR 2007, 585, AGB-freie Klauseln, Geppert/Helmes, MMR 2007, 564.
Schneider/Kahlert
IT-Sicherheit
Rz. 1500
A
9. Spezialbetrachtung: Cloud Computing 9.1 Technische und organisatorische Maßnahmen speziell bei Cloud „Cloud“ tritt in verschiedenen Ausprägungen, die je unterschiedliche Bündelungen von Leistungen vornehmen,2141 auf.2142 Unter Sicherheitsaspekten besonders kritisch zu sehen ist die Entwicklung „Industrie 4.0“ mit Cloud-Lösungen, wo aber auch die Chance besteht, im noch frühen Entwicklungsstadium Sicherheit „einzubauen“.2143
1497
Um die Sicherheit der IT-Systeme, die (auch) personenbezogene Daten verarbeiten, zu gewährleisten, sind die Vertragspartner verpflichtet, Regelungen zu schaffen, wonach der Betreiber von Cloud-Diensten verpflichtet ist, die erforderlichen technischen und organisatorischen Maßnahmen gem. § 9 BDSG und gem. der Anlage zu § 9 Satz 1 BDSG zu ergreifen (§ 11 BDSG). Dies bereitet wegen der Besonderheiten des Cloud Computing einige Schwierigkeiten, nicht zuletzt, da die Anlage zu § 9 BDSG veraltet ist. Schwierigkeiten bei der konkreten Umsetzung bereitet insb. eine etwaige Pflicht zu direkter Überprüfung der einzelnen „Kontrollen“ durch den Auftraggeber. Deshalb sind die Empfehlungen aus dem Bereich der Aufsichtsbehörden und Datenschutzbeauftragten besonders wichtig.2144 Dem Schutz personenbezogener Daten ist besonders hohe Priorität einzuräumen. Dies ist idealerweise über Verschlüsselungsverfahren zu bewerkstelligen.2145 Damit wird zugleich auch eine Anonymisierung bzw. zumindest eine Pseudonymisierung verwirklicht.
1498
Weitere Anforderungen betreffen etwa die Aufrechterhaltung der Verfügbarkeit,2146 Vertrau- 1499 lichkeit, Integrität, Revisionssicherheit und Transparenz der Daten.2147 Zum Outsourcingvertrag gehört eine klare Leistungsbeschreibung, in der auch die vorgenannten Ziele der ITSicherheit und die Anforderungen aus § 9 BDSG enthalten sein sollten. Speziell bei Cloud erwartet sich der Auftraggeber eine „bessere“ Verfügbarkeit, als bei eigener In-House-IT, ausgedrückt etwa in SLA i.V.m. Strafen. Andererseits ist die Frage der Verfügbarkeit zentral und essentiell, da die Folgen von Nichtverfügbarkeit, etwa auch bei der Versorgung innerhalb von Leistungsketten, kaum mit den vertraglich ausbedungenen Pauschalen abgedeckt sein dürften, etwa wenn Betriebsstillstand bzw. Insolvenz drohen. Mit dem Institut der Berichtspflicht bei Kritischen Infrastrukturen im IT-SicherheitsG soll 1500 die Sensibilität für dieses Problem in der Öffentlichkeit erhöht werden.2148 Nach § 8a Abs. 1 Satz 1 BSIG sind die Betreiber Kritischer Infrastrukturen „verpflichtet, […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betrie2141 Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS), s. z.B. Giedtke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, 2013, S. 28 ff. 2142 Zu Cloud-spezifischen Serververbindungen und eingesetzter Virtualisierungstechnik s. Lehmann/ Giedtke, CR 2013, 608 m.w.N. 2143 Heckel, Wenn die Fabrik zur Festung wird, 30.1.2015, abrufbar über http://www.handelsblatt.com/ technik/it-internet/it-internet/sicherheit-in-der-cloud-wenn-die-fabrik-zur-festung-wird/11301064. html (abgerufen am 25.8.2016): „Virtual Fort Knox“ heißt die neu entwickelte HochsicherheitsPlattform, über die Industriefirmen bald Cloud-Lösungen beziehen können. Aktuell gibt es dort acht verschiedene Anwendungen, unter anderem für die Planung und Kalkulation von Fertigungsprozessen. 2144 Vgl. etwa http://www.datenschutzbeauftragter-online.de/datenschutz-aufsichtsbehoerden-orientie rungshilfe-cloud-computing-version-2/8242/ (abgerufen am 25.8.2016). 2145 Hartung/Storm, in: Hilber, Cloud Computing, Teil 4 Rz. 116 ff. Dies entspricht auch S. 3 der Anlage zu § 9 BDSG. 2146 Damit treffen sich die Anforderungen der Sicherheit mit denen aus SLA. 2147 Hartung/Storm, in: Hilber, Cloud Computing, Teil 4 Rz. 126. 2148 Seidl, jurisPR-ITR 9/2014 Anm. 2, unter Verweis auf die Begründung des Referentenentwurfs (zu § 13 des Entwurfs).
Schneider/Kahlert
383
A Rz. 1501
Datenschutz und IT-Management
benen Kritischen Infrastrukturen maßgeblich sind.“2149 Im Hinblick auf die vertragstypologische Einordnung und das Pflichtenkonzept könnte diese Sichtweise bzw. Anforderung ein wichtiger Impuls sein: Evtl. tritt nun wesentlich stärker die Leistung der Aufrechterhaltung der Verfügbarkeit und auch der weiteren Sicherheitskategorien in den Vordergrund und mithin der Werkvertrag.2150 1501 Auf der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder wurde im Jahr 2011 die von den Arbeitskreisen „Technik“ und „Medien“ erarbeitete „Orientierungshilfe Cloud Computing“ zustimmend zur Kenntnis genommen.2151 In dem Dokument – Version 1.0 vom 26.9.2011 – wurden u.a. datenschutzrechtliche Schwerpunkte und technisch-organisatorische Aspekte sowie cloud-spezifische Risiken erörtert und Vorschläge für einen sachgerechten Umgang vorgelegt. Im Fazit wurden Mindestanforderungen formuliert.2152 1502 Auch das Eckpunktepapier des BSI mit dem Titel „Sicherheitsempfehlungen für Cloud Computing Anbieter – Mindestanforderungen in der Informationssicherheit“ mit Stand Februar 2012 gab wertvolle Orientierung.2153 1503 Inzwischen wurde von der gemeinsamen Arbeitsgruppe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und des Düsseldorfer Kreises die Orientierungshilfe zu Cloud Computing als Version 2.0 v. 9.10.2014 aktualisiert und veröffentlicht.2154 Als Fazit werden „Mindestanforderungen“ aufgestellt:2155 „Zu verlangen sind also mindestens – offene, transparente und detaillierte Informationen der Anbieter über die technischen, – organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Anwender klare Entscheidungskriterien bei der Wahl zwischen den Anbietern haben, aber auch, ob Cloud Computing überhaupt in Frage kommt; – transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten – Auftragsdatenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass z. B. wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter „umziehen“ kann; – die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von – Cloud-Anbieter und Cloud-Anwender; – die Vorlage aktueller Zertifikate, die die Infrastruktur betreffen, die bei der Auftragserfüllung in Anspruch genommen wird, zur Gewährleistung der Informationssicherheit und der o.g. Portabilität und Interoperabilität durch anerkannte und unabhängige Prüfungsorganisationen.“
2149 Seidl, jurisPR-ITR 9/2014 Anm. 2: „§ 8a Abs. 1 BSIG-E bezweckt den ordnungsgemäßen Betrieb kritischer Infrastrukturen und die fortlaufende Verfügbarkeit der jeweils angebotenen Dienstleistungen.“ 2150 Zu ASP als Miete s. BGH v. 15.11.2016 – XII ZR 120/04 und dazu ausführlich R Rz. 499, R Rz. 504 ff. 2151 Vgl. Bierekoven, ITRB 2014, 283. 2152 Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0 v. 26.9.2011, S. 25; s. zur Version 2.0: http://www.datenschutzbeauftragter-online.de/datenschutz-aufsichtsbehoerden-orientie rungshilfe-cloud-computing-version-2/8242/ (abgerufen am 22.8.2016). 2153 https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Eckpunktepapier/ CloudComputing-Eckpunktepapier.html (abgerufen am 25.8.2016). 2154 Orientierungshilfe Cloud Computing, Version 2.0 v. 9.10.2014 abrufbar z.B. unter http://www.daten schutzbeauftragter-online.de/datenschutz-aufsichtsbehoerden-orientierungshilfe-cloud-computingversion-2/8242/ (abgerufen am 16.1.2015). 2155 Orientierungshilfe Cloud Computing, Version 2.0 v. 9.10.2014, S. 40.
384
Schneider/Kahlert
IT-Sicherheit
Rz. 1507
A
Zur Gewährleistung einer rechtmäßigen Weitergabe personenbezogener Daten an einen Cloud-Anbieter, der außerhalb der EU/des EWR seinen Sitz hat, bedarf es in erster Linie der Verwendung von Standardvertragsklauseln oder BCR, wobei der Beschreibung und Umsetzung technisch-organisatorischer Sicherheitsmaßnahmen eine besondere Bedeutung zukommt. Rechtsgrundlage für die Datenweitergabe an einen Cloud-Anbieter kann in diesem Zshg. § 28 Abs. 1 Satz 1 Nr. 2 BDSG sein. Eine Rechtsgrundlage für die Weitergabe besonderer personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG wird dabei regelmäßig nicht bestehen, da die Anforderungen nach § 28 Abs. 6 bis 9 BDSG nicht erfüllt sind.2156
1504
Auf der anderen Seite kann vor dem Hintergrund eines höheren Verbreitungs- und Nut- 1505 zungsgrades von Cloud-Diensten auch das (vermehrte) Auftreten von Kriminalität innerhalb der Cloud in unterschiedlichsten Ausprägungen nicht ausgeschlossen werden. Dem zu begegnen und entgegenzutreten ist Aufgabe der Cloud-Dienstleister, aber die Cloud kann auch als Ermittlungsraum für die Strafverfolgungsbehörden relevant werden.2157 9.2 Übergang zu Big Data Mehr noch als die Cloud beschäftigt inzwischen Big Data die Datenschutzdiskussion2158 1506 und mittelbar auch die zur IT-Sicherheit. Als Mittel zur „Totalerfassung“ kreieren die unter Big Data zu fassenden Verfahren unter Einbeziehung von Daten, Bildern, ein äußerst sensibles Daten-/Informationspotential etwa mit Profilen,2159 Bonitäts- und Gesundheitswerten2160 u.Ä., das leicht durch Unberechtigte erzeugt und genutzt werden kann. I.V.m.Vorhersageverfahren entsteht ein politisch und sozial sehr brisantes Material, das für Zwecke des Marketings, Vertriebs usw. äußerst wertvoll ist.2161 Deshalb lohnt sich auch ein erheblicher Aufwand, ggf. Sicherungen „zu knacken“ oder zu umgehen.2162 Diskussion mit ähnlichen Gefahrenszenarien gab es etwa schon vor Big Data zur Gesundheitskarte und sektoral zur Datenbevorratung. Die Dimensionen bei Big Data sind nun allerdings völlig andere, wie auch der sog. NSA-Skandal im Laufe der verschiedenen Offenbarungen gezeigt hat.2163 Am 8.3.2016 veröffentlichte die „European Union Agency for Network and Information Se- 1507 curity“ (ENISA) eine Studie zu Big Data Security und gibt darin Empfehlungen zu Sicherheit/Sicherung von Big Data-Systemen bei potenziellen Angriffs- und Bedrohungsszenarien und Good Practice Guidelines.2164 Zuvor hatte ENISA bereits eine Studie zu „Privacy by design in big data. An overview of privacy enhancing technologies in the era of big data analytics“ vorgestellt.
2156 Orientierungshilfe Cloud Computing, Version 2.0 v. 9.10.2014, S. 40. 2157 Dazu: Trüg/Mansdörfer, in: Hilber, Cloud Computing, Teil 7. S.a. Wicker, MMR 2013, 765 und Wicker, MMR 2014, 298. 2158 S. Koch, ITRB 2015, 13; zu Rechtlichen Grundlagen für Big Data Hackenberg, in: Hoeren/Sieber/ Holznagel, Teil 16.7 Big Data Rz. 10 – 65, 39. EL 2014; zu den konzeptionellen Herausforderungen für das Datenschutzrecht s. Roßnagel, ZD 2013, 562. 2159 Zu Bewegungsprofilen s. z.B. Mantz, K&R 2013, 7; zur möglichen Regelung der Profilbildung Härting, CR 2014, 528 ff.; zur Bewältigung der Risiken bei Smart Grid bei der Energieversorgung s. Lüdemann u.a., DuD 2015, 93. 2160 U.a. durch die Echtzeitmessungen und –Auswertungen online über „Wearables“ bei Sport, Gesundheit, Arbeit, Pausen, Autofahrten und im Haushalt (euphemistisch „smart life“), Heckmann, in K&R 2011, 1; s.a. zu Scoring in Zeiten von Big Data Weichert, ZRP 2014, 168. 2161 Hier sei nur am Rande vermerkt, dass Big Data praktisch zu automatisierten Entscheidungen i.S.v. § 6a BDSG führt, ohne dass dies oft beachtet wird. 2162 Wobei die typischen Sicherheitslücken dazu führen, dass kaum Aufwand erforderlich ist, s. etwa zu Schwächen bei Passworten: Auer-Reinsdorff, MMR 2014, 281. 2163 S. etwa Mantelero/Vaciago, CRi 2013, 161; Pombriant, CRi 2013, 97; Harris, ZD 2013, 369. 2164 S. https://www.enisa.europa.eu/publications/big-data-security.
Schneider/Kahlert
385
A Rz. 1508
Datenschutz und IT-Management
9.3 AuftragsDV 1508 I.R.d. AuftragsDV nach § 11 BDSG ist auch die Einhaltung des § 9 BDSG zu regeln und sicherzustellen. Eine der kardinalen Maßgaben dabei ist, dass sich der Auftraggeber nach § 11 Abs. 2 Satz 4 BDSG „vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen“ hat. Cloud Computing bzw. Auftragsvergabe in die Cloud macht einige Schwierigkeiten, die Datenschutzvorgaben einzuhalten, etwa die Ausführung individueller Weisungen und die Erhaltung der Datenhoheit sowie die Offenlegung der Sicherheitsinfrastruktur gegenüber dem einzelnen Auftraggeber.2165 1509 Bei Cloud mit regional weit entfernten Rechenzentren stellt sich u.a. die Frage, ob diese Prüfung vor Ort und durch den Auftraggeber selbst auszuführen ist.2166 Eine Hilfe bei der Auswahl geeigneter Auftragnehmer, wenn auch kein Ersatz für die Prüfung bzw. Kontrolle, insb. die weitere Kontrolle, sind aussagekräftige (und aktuelle) Zertifikate.2167 Im Hinblick auf die schlechten Erfahrungen bei Safe Harbor ist ausdrücklich zu betonen, dass die Zertifikate nur aussagekräftig sind, wenn sie von einer unabhängigen Stelle stammen.2168 Das Nachfolge-Abkommen Privacy Shield enthält zwar auch das Institut der Selbstzertifizierung, sieht aber wesentlich stärkere und häufigere Überprüfungen vor. Z.B. hat im Hinblick auf die nun vorgesehene jährliche „Review“ die Gruppe Art. 29 dem Abkommen eine Art Bewährungszeit eingeräumt.2169 In einer späteren Äußerung allerdings hat die Art. 29-Gruppe ihre Bedenken eher noch verstärkt.2170 Inzwischen hat sogar der Hamburger Datenschutzbeauftragte aktuelle Prüfungen ohne Schonfrist gegenüber Registrierungen nach dem Privacy Shield-Abkommen angekündigt. 1510 Laut BDSG-Gesetzesbegründung muss die Prüfung nicht durch den Auftraggeber vor Ort erfolgen, sondern kann durch einen beauftragten Sachverständigen/Gutachter für den Auftraggeber durchgeführt werden.2171 Für die DS-GVO wären entsprechende klare Regelungen wünschenswert.2172 9.4 DS-GVO 1511 Die DS-GVO regelt die AuftragsDV detaillierter, als dies bisher in der DS-RL der Fall ist.2173 Es sind mit „Garantien“ strenge Anforderungen an den Einsatz von Auftragsverarbeitern in Art. 28 DS-GVO vorgesehen. Sehr wichtig erscheint, dass neben der verantwortlichen Stelle 2165 Zu den Problemen s. a. Kühling/Biendl, CR 2014, 150. 2166 S. zu dieser Erstkontrolle durch Dritte Bergt, ITRB 2012, 45. 2167 Petri, in: Simitis, BDSG, 8. Aufl. 2014, § 11 Rz. 59; Kühling/Biendl, CR 2014, 150, 152; s.a. Orientierungshilfe Cloud Computing, Version 2.0 v. 9.10.2014, S. 39; zu EuroCloud Star Audit – Zertifizierung von Cloud Diensten s. Weiss, DuD 2014, 170. 2168 S.a. Empfehlungen Arbeitskreis, http://www.datenschutzbeauftragter-online.de/datenschutz-auf sichtsbehoerden-orientierungshilfe-cloud-computing-version-2/8242/ (abgerufen am 25.8.2016) im Fazit zitiert. 2169 Statement of the Article 29 Working Party on the opinion on the EU-U.S. Privacy Shield v. 13.4.2016, http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_ press_material/2016/press_release_shield_en.pdf (abgerufen am 26.8.2016). 2170 Pressemitteilung v. 1.7.2016, http://ec.europa.eu/justice/data-protection/article-29/press-material/ press-release/art29_press_material/2016/20160701_wp29_press_release_eu_us_privacy_shield_en.pdf (abgerufen am 26.8.2016). 2171 S.a. Bergt, ITRB 2012, 45 (46). 2172 Kühling/Biendl, CR 2014, 150 (153) mit dem Hinweis in Fn. 32: „Ebenso Roßnagel/Richter/Nebel, Besserer Internetdatenschutz für Europa, ZD 2013, 103 (105 f.), die sich für die sekundärrechtliche Verankerung eines „Ersatzmodells“ für Cloud-Computing und eine detailliertere sekundärrechtliche Spezifizierung von Auditierungsverfahren in Art. 39 DSGVO-Entwurf aussprechen.“ 2173 Zum Vergleich des LIBE-Entwurfs (am 21.10.2013 vom Parlament angenommen) mit BDSG s. Koós/ Englisch, ZD 2014, 276; zur AuftragsDV s. Rz. 226 ff. (BDSG) u. Rz. 628 ff. (DS-GVO); zum Vergleich s.a. Härting, ITRB 2016, 136.
386
Schneider/Kahlert
IT-Sicherheit
Rz. 1517
A
grds. auch der Auftragsdatenverarbeiter gegenüber den Betroffenen auf Schadensersatz haftet (Art. 82 Abs. 2 DS-GVO). Besondere Impulse gehen von Vorbereitung und Handhabung der DS-GVO über die Notwen- 1512 digkeit der Datenschutz-Folgenabschätzung aus, s. Rz. 513, 564, 570 ff. V.a. bei laufenden Projekten, die nicht schon vor dem 25.5.2018 in die Echtanwendung gehen, kann die Notwendigkeit zur Durchführung der Datenschutz-Folgenabschätzung, Art. 35 DS-GVO und ggf. der folgenden vorherigen Konsultation gem. Art. 36 DS-GVO nicht nur zu erheblichem Aufwand, sondern auch Aufschub der Inbetriebnahme führen. Bei Projektplänen sind diese Compliance-Maßnahmen unbedingt zu berücksichtigen. 10. Strafrechtsaspekte IT-Sicherheit soll auch durch strafrechtliche Vorschriften (s. dazu auch E.) gewährleistet 1513 werden.2174 So stellen etwa §§ 202a, 202b und 202c StGB das Ausspähen oder Abfangen von Daten sowie entsprechende Vorbereitungshandlungen dazu unter Strafe. Im Gesetzgebungsprozess befindet sich zudem ein Gesetz, das Datenhehlerei unter Strafe stellen soll (§ 202d StGB).2175 Bereits die Erstellung der Malware für Botnetze kann gem. § 202c StGB als Vorbereitungshandlung zu Taten nach §§ 202a, 202b, 303a und § 303b StGB strafbar sein.2176 § 203 StGB ahndet die Verletzung von Privatgeheimnissen und § 204 StGB stellt die Verwertung fremder Geheimnisse unter Strafe. § 303a StGB verbietet die Veränderung von Daten2177 und § 304 StGB sanktioniert die Computersabotage. Andererseits werden zu strafrechtlichen Zwecken vonseiten der Anbieter die Behörden über mutmaßlich strafrechtlich relevante Inhalte informiert,2178 was in gewissem Sinne eine ähnliche Sicherheitslücke darstellt wie der Zugriff der NSA u.Ä.2179
1514
Unternehmen sind also auch aus strafrechtlichen Gründen gehalten, verantwortungsvoll mit ihren Daten umzugehen und IT-Sicherheit hohe Relevanz beizumessen. Insb. müssen unbefugte Zugriffe auf Unternehmens- oder Mitarbeiterdaten verhindert werden.2180 Die im Unternehmen eingesetzten Datenverarbeitungssysteme müssen funktionsfähig sein und ordnungsmäßig arbeiten.2181 Im Einzelnen wird dies in Rz. 1542 ff. behandelt.
1515
Die Privilegierung der Host-Provider greift allerdings auch im Strafrecht:2182 „§ 10 TMG beansprucht rechtsgebietsübergreifend Geltung und ist wegen der Einheit der Rechtsordnung auch im Strafrecht anwendbar.“
1516
Neue Gesetzesvorhaben sollen den Herausforderungen begegnen, die sich aus der internatio- 1517 nalen Entwicklung ergeben. Z.B. wird eine umfassende Regelung zur Gewährleistung von 2174 S. zu Strafrecht im Bereich der Informationstechnologien E. 2175 Vgl. Gercke, Die Entwicklung des Internetstrafrechts 2012/2013, ZUM 2013, 605 ff. sowie Gercke, Die Entwicklung des Internetstrafrechts 2013/2014, ZUM 2014, 641 (645). 2176 Roos/Schumacher, MMR 2014, 377 (379). S. zu IT-Strafrecht E. 2177 S. dazu: Hoeren, in: Conrad/Grützmacher, § 23. 2178 S. etwa bezüglich Kinderpornographie: Meldung auf golem.de v. 13.1.2015, Deutsche Justiz ermittelt nach Datenfund in Microsofts Cloud, abrufbar unter http://www.golem.de/news/kinderporno grafie-deutsche-justiz-ermittelt-nach-datenfund-in-microsofts-cloud-1501-111647.html (abgerufen am 16.1.2015) und zurückhaltender: Meldung auf golem.de v. 12.8.2014, Deutsche Behörden entscheiden im Einzelfall über US-Hinweise, abrufbar unter http://www.golem.de/news/kinderporno grafie-deutsche-behoerden-entscheiden-im-einzelfall-ueber-us-hinweise-1408-108529.html (abgerufen am 16.1.2015). 2179 S. z.B. zum Untergraben von TLS (Transport Layer Security) Fox, DuD 2015, 78. 2180 I. Hassemer, in: Conrad/Grützmacher, § 67 Rz. 15. 2181 Conrad/Witzel, in: Conrad/Grützmacher, § 14 Rz. 1. 2182 KG v. 25.8.2014 – 4 Ws 71/14 - 141 AR 363/14, 4 Ws 71/14, NJW 2014, 3798 (Ls. 1) m. Anm. I. Hassemer, 3801.
Schneider/Kahlert
387
A Rz. 1518
Datenschutz und IT-Management
„Cyber Security“ gefordert.2183 Dazu gehört das Gesetz zur Strafbarkeit der Datenhehlerei.2184 11. Zivilrecht, Herausgabeansprüche, Schadensersatz 1518 Der Schutz und die Sicherheit von Daten haben auch eine zivilrechtliche Dimension. Denn Datenbestände als solche sind nach BGH-Rspr. als selbständige vermögenswerte Güter anzusehen.2185 11.1 Herausgabeansprüche 1519 Insb. kann sich die Frage nach etwaigen Auskunfts- und Herausgabeansprüchen in Bezug auf Daten stellen. Als Anspruchsgrundlagen kommen dabei die auftragsrechtlichen Vorschriften der §§ 662, 666, 675 BGB in Betracht, zudem ggf. Ansprüche aus Geschäftsführung ohne Auftrag, deliktische Ansprüche (§ 823 Abs. 1 BGB; § 823 Abs. 2 BGB i.V.m. § 303a StGB; § 826 BGB) sowie das Urheberrecht und das Bereicherungsrecht; auch das Datenschutzrecht kann faktisch herangezogen werden, um Herausgabeansprüche zu legitimieren.2186 1520 Im Falle einer mietvertraglichen Konstellation kann der Mieter zudem bei Beendigung des Mietvertrags vom Vermieter die Herausgabe der Daten verlangen, die der Mieter auf der gemieteten Software eingesetzt hat.2187 Da der Vertragstyp allerdings nicht generell feststeht bzw. es dazu auch unterschiedliche Auffassungen gibt,2188 ist eine vertragstyp-unabhängige generelle (Neben-)Pflicht eine Art Rettungsanker. Eine solche Obhutspflicht hat das LG Duisburg2189 für einen Host-Provider-Vertrag bejaht. Diese Nebenpflicht könnte als Geschäftsbesorgungspflicht auch anderen Verträgen innewohnen, so etwa dem Werkvertrag, mit dem die Transition oder Re-Transition erfolgt, s. U Rz. 115 ff. 1521 Grds. wäre demgegenüber allerdings zu fragen bzw. zu berücksichtigen, ob der Auftraggeber seine – ebenfalls ungeschriebene – Mitwirkungspflicht verletzt hat.2190 Jedenfalls dürfte es sich für die Verträge empfehlen, redundante Datenhaltung mit hoher Backup-Frequenz im Hosting-Vertrag zu vereinbaren.2191 1522 Die Frage nach der „Datenherrschaft“ aus dem Datenschutzrecht beförderte auch die Diskussion um Sacheigenschaft von Daten und Datenbeständen, wobei der Anlass oft Datenverlust war.2192
2183 Taeger, NJW 2014, 3759 (3764) referiert hierzu Gercke, CRi 2014, 33, und Gercke, ZUM 2014, 641 (647 ff.). 2184 Zum Entwurf (aus dem Jahr 2013) Gercke, ZUM 2013, 605, und Golla/v. zur Mühlen, JZ 2014, die den Entwurf als sehr weitgehend, über die konkrete Gefährdungslage hinausgehend charakterisieren. 2185 BGH v. 2.7.1996 – X ZR 64/94, CR 1996, 663 – Optikprogramm. 2186 Zu materiell-rechtlichen und prozessualen Aspekten der Ansprüche auf Herausgabe von Daten s. Müller, in: Conrad/Grützmacher, § 24 Rz. 3 ff. S. zu Herausgabe während des lfd. Vertrags ohne explizite Regelung OLG München v. 22.4.1999 – 6 U 1657/99, CR 1999, 484 (aus § 242 BGB abgeleitet). 2187 Vgl. Roth-Neuschild, in: Auer-Reinsdorff/Conrad, § 13 Rz. 231 m.w.N. 2188 S.a. M Rz. 9 ff., M Rz. 420 ff. 2189 LG Duisburg v. 25.7.2014 – 22 O 102/12, MMR 2014, 735. 2190 S.a. Bergt, ITRB 2014, 253 (zu LG Duisburg v. 25.7.2014). Zur Pflicht des Auftraggebers bei Datensicherung s.a. Rz. 1466, 1528. 2191 S.a. Bergt, ITRB 2014, 253 (zu LG Duisburg v. 25.7.2014); zur fehlenden Betrachtung des Mitverschuldens bei LG Duisburg s. Kremer, jurisPR-ITR 21/2014 Anm. 6. 2192 Bartsch, in: Conrad/Grützmacher, § 22; Hartmann, in: Conrad/Grützmacher, § 56.
388
Schneider/Kahlert
IT-Sicherheit
Rz. 1527
A
11.2 Schadensersatz Daten, v.a. wenn sie auf einem Datenträger verkörpert sind, gelten als sonstiges Recht i.S.d. 1523 § 823 Abs. 1 BGB. Die Beschädigung oder der Verlust von Daten sowie das Auftreten von Verfügbarkeitslücken können somit zu Schadensersatzansprüchen führen.2193 Zudem hat das OLG Karlsruhe bereits im Jahr 1995 entschieden, dass Daten eigentumsfähig i.S.d. § 823 Abs. 1 BGB sein können.2194 Als klassischer Deliktshaftungsfall gilt in diesem Zshg. der durch eine Einwirkung auf den Datenträger verursachte Datenverlust, mithin eine Form der Sachbeschädigung.2195 Aber auch der Datenbestand als solcher könnte unabhängig vom Datenträger ein eigenständiges Rechtsgut darstellen und Sachqualität aufweisen. Das würde bedeuten, dass dessen Zerstörung oder Unauffindbarkeit auch solche Delikte erfüllt, bei denen Sachqualität erforderlich ist. Mit Blick auf die fortschreitende Verbreitung des Cloud Computing und die damit einher- 1524 gehende Loslösung der eigenen Daten von lokalen Speichermedien bzw. dem Auseinanderfallen von Inhaber der Daten und Inhaber des Datenträgers stellt sich diese Frage nach dem Schutz von Daten unabhängig von deren Verkörperung auf einem physischen Medium mehr denn je.2196 Dies hat auch das BVerfG erkannt und in seinem vielbeachteten Online-Durchsuchungs-Urteil2197 die Notwendigkeit eines personenbezogenen Schutzes informationstechnischer Systeme gefordert. Auch in der Lit. wird vertreten, dass die Daten unabhängig von deren Verkörperung auf einem Speichermedium als sonstiges Recht i.S.d. § 823 Abs. 1 BGB angesehen werden sollten.2198 Darüber hinaus kommt auch ein deliktischer Anspruch aus § 823 Abs. 2 BGB in Betracht. Taugliche Schutzgesetze sind etwa § 303a StGB und § 42a BDSG.2199 Zudem kann das ProdHaftG zum Tragen kommen und auch Schadensersatzansprüche aus § 7 Satz 1 BDSG sind denkbar.
1525
11.3 Umfang des Schadensersatzes Der Umfang des Schadensersatzes bestimmt sich nach § 249 ff. BGB. Gem. § 249 Abs. 1 BGB hat der zum Schadensersatz Verpflichtete grds. den Zustand herzustellen, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre (Naturalrestitution). Statt der Herstellung kann der Gläubiger gem. § 249 Abs. 2 Satz 1 BGB auch den dazu erforderlichen Geldbetrag vom Schuldner verlangen. Bei Unmöglichkeit oder Unverhältnismäßigkeit der Wiederherstellung des ursprünglichen Zustandes ist der Schuldner zur Geldentschädigung verpflichtet, § 251 BGB. Auch ggf. entgangener Gewinn ist gem. § 252 BGB vom Schädiger zu ersetzen.
1526
Im Falle von Datenverlust äußern sich die konkreten Schadenspositionen regelmäßig in einer Beschädigung des Datenträgers, auf dem die Daten verkörpert sind. Zudem entstehen zusätzliche Kosten durch Aufwendungen für Maßnahmen der Datenrücksicherung bzw. ggf. weiterer professioneller Datenrettungsversuche oder gar die Durchführung einer vollständigen oder teilweisen Datenneuerfassung.2200
1527
2193 Vgl. Bartsch, in: Conrad/Grützmacher, § 22 Rz. 5 ff.; Wicker, MMR 2014, 715, 716; mit Bedenken: Hoeren, in: Conrad/Grützmacher, § 23 Rz. 7. 2194 OLG Karlsruhe v. 7.11.1995 – 3 U 15/95, CR 1996, 352; s.a. Hoeren, in: Conrad/Grützmacher, § 23 Rz. 6. 2195 Vgl. Hörl, in: Conrad/Grützmacher, § 58 Rz. 1. 2196 Vgl. Bartsch, in: Conrad/Grützmacher, § 22 Rz. 2. 2197 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306. 2198 S. etwa Zech, Information als Schutzgegenstand, 2012, S. 386 f. m.w.N.; Spindler, in: Leible/Lehmann/Zech (Hrsg.) Unkörperliche Güter im Zivilrecht, S. 261 (277 ff.); Redeker, CR 2011, 634 ff.; Bartsch, in: Conrad/Grützmacher, § 22 Rz. 23, 31. 2199 Wicker, MMR 2014, 715 (717). 2200 Vgl. Hörl, in: Conrad/Grützmacher, § 58 Rz. 2 ff.
Schneider/Kahlert
389
A Rz. 1528
Datenschutz und IT-Management
1528 Eine wichtige Rolle kann auch einem möglichen Mitverschulden des Geschädigten zukommen. Gem. § 254 BGB ist ein etwaiges Verschulden des Geschädigten, das bei der Entstehung der Schadens mitgewirkt hat, bei der Bestimmung des Umfanges des Schadensersatzes zu berücksichtigen.2201 Grds. kann man es als Obliegenheit des Dateninhabers betrachten, dass dieser regelmäßige Datensicherungen durchführt.2202 Je wertvoller und essentieller die Datenbestände für den Dateninhaber sind, desto stärker ist eine professionelle Datensicherung geboten. Bei einem Unternehmer wird die Erforderlichkeit einer solchen Datensicherung stärker zutage treten als bei einer Privatperson. Der Verzicht des Dateninhabers auf derlei Sicherungsmaßnahmen stellt jedoch in jedem Fall ein Risiko dar, das dieser sich zuschreiben lassen muss, wobei zu beachten ist, dass etwa auch der Cloud-Anbieter den Cloud-Nutzer auf seine Pflicht zur eigenständigen Datensicherung hinweisen sollte.2203 Die konkrete Bemessung eines evtl. Mitverschuldensanteils ist jeweils im Einzelfall unter Würdigung aller zugrundliegenden und begleitenden Aspekte zu ermitteln, pauschale Mitverschuldensquoten dürften sich verbieten.2204 12. Insolvenz 1529 Der Schutz von Daten und die Aufrechterhaltung der IT-Infrastruktur sind nicht nur essentiell für den ordnungsgemäßen Alltagsbetrieb eines Unternehmens, sondern spielen auch nach Eröffnung eines Insolvenzverfahrens eine erhebliche Rolle.2205 Dabei stellen sich vielfältige Fragen hinsichtlich der nach wie vor angezeigten Aufrechterhaltung der IT-Sicherheit und zu welchen Handlungen der Insolvenzverwalter in datenschutzrechtlicher und IT-bezogener Hinsicht berechtigt ist. 1530 Der Datenbestand eines Unternehmens bildet heutzutage in vielen Fällen einen erheblichen Anteil des gesamten wirtschaftlichen Wertes eines Unternehmens ab.2206 Insb. – aber nicht nur – im IT-Sektor kommt etwa den zahlreichen gespeicherten Kundendaten eine große Bedeutung auch im wirtschaftlichen Sinne zu. Personenbezogene Daten sind mit Blick auf ihre attraktive Auswertbarkeit u.a. hinsichtlich Bonität, Bindung, Konsumverhalten des Kunden sowie Rückschlüsse auf etwaige Effekte und Individualisierung/Zielgerichtetheit von Marketingmaßnahmen besonders wertvoll und können z.B. für Mitwettbewerber hohen Nutzen haben. 1531 Personenbezogene Daten im Unternehmensbestand eines insolventen Unternehmens fallen unter die Immaterialgüterrechte, verkörpern dabei auch einen Vermögenswert. Zwar unterliegen sie nicht der Zwangsvollstreckung und dürften damit grds. nicht als Teil der Insolvenzmasse i.S.d. § 35 Abs. 1 InsO anzusehen sein, vgl. § 36 Abs. 1 InsO. Jedoch kommt nach h.M. hier die Ausnahme des § 36 Abs. 2 Nr. 1 InsO zum Tragen, da der Datenbestand eines Unternehmens unter den Begriff der Geschäftsbücher zu subsumieren ist.2207 Damit kann der Insolvenzverwalter die Datenbestände verwerten, sofern diesbezüglich keine Aussonderung i.S.d. § 47 InsO gegeben ist und keine datenschutzrechtlichen Einwände bestehen. 1532 Ein Aussonderungsrecht gem. § 47 InsO kann etwa dann bestehen, wenn das insolvente Unternehmen die betreffenden Daten z.B. aufgrund eines Agenturvertrages für ein anderes Unternehmen verarbeitet und gespeichert hat.2208 2201 So bereits OLG Karlsruhe v. 7.11.1995 – 3 U 15/95, CR 1996, 352, Ls. 2. 2202 Hörl spricht von einer „gebotenen Datensicherung“, s. Hörl, in: Conrad/Grützmacher, § 58 Rz. 22; zu LG Duisburg s. Bergt, ITRB 2014, 253. 2203 S. Wicker, MMR 2014, 715 (717). 2204 So auch Hörl, in: Conrad/Grützmacher, § 58 Rz. 22. Zu etwaigen Haftungsbegrenzungen des CloudAnbieters s.a. Wicker, MMR 2014, 787 ff. 2205 Zu Daten in der Cloud s. Jülicher, K&R 2015, 448. 2206 Czarnetzki/Röder, in: Conrad/Grützmacher, § 25 Rz. 3. 2207 M.w.N.: Czarnetzki/Röder, in: Conrad/Grützmacher, § 25 Rz. 19, 23 f. 2208 Vgl. etwa Czarnetzki/Röder, in: Conrad/Grützmacher, § 25 Rz. 25 ff.
390
Schneider/Kahlert
IT-Sicherheit
Rz. 1536
A
Datenschutzrechtliche Einwände gegen die Verwertung der Datenbestände durch den Insol- 1533 venzverwalter können sich aus dem BDSG ergeben. Grds. ist die Verarbeitung oder Nutzung von personenbezogenen Daten für Zwecke des Adresshandels oder der Werbung gem. § 28 Abs. 3 Satz 1 BDSG nur mit Einwilligung des Betroffenen zulässig. Ohne Einwilligung des Betroffenen ist die Verarbeitung oder Nutzung von Daten nur dann zulässig, wenn das sog. Listenprivileg2209 des § 28 Abs. 3 Satz 2 BDSG greift. Dies ist bei Kundendaten regelmäßig nicht der Fall, da es sich hier um umfangreiche miteinander verknüpfte Daten handelt, die über das hinausgehen, was die Regelung des § 28 Abs. 3 Satz 2 BDSG privilegiert behandelt sehen möchte. Das heißt, Offenlegung kann allenfalls in anonymisierter, pseudonymisierter oder unter sonst den Bedingungen des § 28 Abs. 3 Satz 2 BDSG gerecht werdenden Umständen erfolgen. Auch der Ausnahmetatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt bei Adressverkauf in der Regel nicht zum Tragen, da eine Wahrung berechtigter Interessen der verantwortlichen Stelle bei Einzelfallbetrachtung und Abwägung der Interessen der Betroffenen und des Insolvenzverwalters wohl kaum zugunsten des Insolvenzverwalters ausgehen wird. Im Ergebnis wird das bedeuten, dass eine Verwertung der Daten wegen § 28 BDSG nicht zulässig ist.2210 13. Aufbewahrung/Archivierung von Daten Vor dem Hintergrund verschiedener gesetzlicher Aufbewahrungspflichten, aber oftmals 1534 auch mit Blick auf vielfältige unternehmensinterne Vorschriften ist die Aufbewahrung und Archivierung von Daten, die in Unternehmensprozessen entstehen, ein wichtiger Aspekt. Dies betrifft nicht nur Fragen des Qualitätsmanagements, der Prozesssicherung und des möglichst reibungslosen Aufgabenübergangs bei einer teilweise fluktuierenden Belegschaft, sondern kann auch bei Haftungsfällen und juristischen Auseinandersetzungen zum Tragen kommen. Die Aufbewahrung und Archivierung von Daten erfüllt somit zugleich eine Kontrollfunktion und eine Beweisfunktion.2211 Gleichwohl ist mit der Aufbewahrung und Archivierung von Daten oftmals ein erheblicher 1535 organisatorischer und finanzieller Aufwand verbunden. Hier gilt es zwischen Aufwand und Nutzen ein verträgliches Verhältnis zu finden. In keinem Fall sollte jedoch hinter den gesetzlichen Pflichten zurückgeblieben werden, da in diesem Fall Strafen drohen. Aus unternehmensinterner Sicht ist häufig ein darüberhinausgehendes, individualisiertes und den jeweiligen unternehmerischen Gegebenheiten und Erfordernissen angepasstes Aufbewahrungs- und Archivierungsmanagement empfehlenswert. Eine Einzelfallbetrachtung und –analyse kann Ausprägung und Umfang des konkreten Bedarfs feststellen. In jedem Fall ist der verlässlichen elektronischen Verwaltung dieser Daten hohe Bedeutung beizumessen, die IT-Systeme sollten also auch in dieser Hinsicht belastbar und solide sein sowie datenschutzrechtliche Anforderungen erfüllen. Gesetzliche Pflichten zur Aufbewahrung und Archivierung von Daten bestehen etwa nach 1536 §§ 238, 257 ff. HGB und § 147 AO.2212 Handelsrechtliche Buchführungspflichten treffen jeden Kaufmann, sofern nicht die Ausnahme des § 241a HGB greift. Die aus steuerrechtlichen Gründen bestehenden Aufbewahrungspflichten haben einen weiteren Anwendungsbereich, sie betreffen gem. § 140 AO alle Personen (nicht nur Kaufleute), die nach anderen als den Steuergesetzen Bücher und Aufzeichnungen zu führen haben, die für die Besteuerung von Bedeutung sind. Darüber hinaus regeln §§ 141 ff. AO Buchführungspflichten für bestimmte gewerbliche Unternehmer sowie Land- und Forstwirte. Zudem bestehen gem. § 14b UStG 2209 Zum Listenprivileg s.o., Rz. 1046 ff., 1067, 1533. 2210 Anderer Meinung, offener: Czarnetzki/Röder, in: Conrad/Grützmacher, § 25 Rz. 37, wonach erhebliche Zweifel bestehen, ob die Daten mit bestimmter Zielrichtung hingegeben werden. 2211 Vgl. etwa Reitsam/Seonbuchner, in: Conrad/Grützmacher, § 60 Rz. 1 ff.; Conrad/Hausen, in: Forgó/ Helfrich/Schneider, Teil. III, Kap. 3. 2212 S. weiterführend hierzu: F Rz. 289 ff.
Schneider/Kahlert
391
A Rz. 1537
Datenschutz und IT-Management
Aufbewahrungspflichten in Bezug auf Rechnungen, die ein umsatzsteuerpflichtiger Unternehmer ausstellt. 1537 §§ 145 ff. AO enthalten Ordnungsvorschriften, die die Art und Weise der Aufbewahrung betreffen. Demnach muss die Buchführung „so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann“, die Geschäftsvorfälle sich „in ihrer Entstehung und Abwicklung verfolgen lassen“ und der Zweck, den die Aufzeichnungen für die Besteuerung erfüllen sollen, erreicht werden (§ 145 Abs. 1 und Abs. 2 AO). Des Weiteren sind die Buchungen und sonst erforderlichen Aufzeichnungen „vollständig, richtig, zeitgerecht und geordnet“ vorzunehmen (§ 146 Abs. 1 Satz 1 AO). Zudem sind bei Aufbewahrung und Archivierung von Daten, die originär auf digitale Speichermedien zurückzuführen sind bzw. die allein in digitaler Form vorliegen, die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) bzw. die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)2213 zu beachten.2214 1538 Die handels- und steuerrechtlichen Aufbewahrungsfristen sind gleich und beantragen sechs bzw. zehn Jahre, je nachdem um welche Unterlagen es sich handelt.2215 Dabei ist zu berücksichtigen, dass diese Fristen noch verlängerbar sind, sofern die Festsetzungsfrist z.B. aufgrund noch nicht abschließend geklärter Sachverhalte noch läuft (etwa bei nur vorläufig erfolgter Steuerfestsetzung oder Eröffnung eines Steuerstrafverfahrens). 14. Versicherungsschutz 1539 Das BSI hält den Abschluss von Versicherungen zur Notfallvorsorge für eine relevante Sicherheitsmaßnahme, über deren Einsatz im Einzelfall entschieden werden sollte.2216 Von einem deutlich steigenden Bedarf für sog. Cyber-Versicherungen geht etwa auch die Münchener Rück aus. In den USA belaufe sich das Prämienvolumen laut Branchenexperten bereits auf 2,75 Mrd. Euro (Stand Oktober 2015), wobei bis 2020 eine Vervierfachung dieses Betrages realistisch erscheine, wohingegen in Deutschland das Prämienvolumen marginal sei.2217 Die größte Sorge vieler Unternehmen betreffe v.a. die negativen Folgen etwaiger Betriebsunterbrechungen. 1540 Im Jahre 2001 wurden vom Gesamtverband der deutschen Versicherungswirtschaft (GDV) die Besonderen Bedingungen und Risikobeschreibungen für die Haftpflichtversicherung von Softwarehäusern (BBR Software) unverbindlich zur Anwendung empfohlen, die erstmals auf AHBBasis eine „offene“ Vermögensschadendeckung vorsahen.2218 Später wurden die BBR Software „zu einem umfassenden IT-Versicherungsmodell erweitert, das die Bezeichnung Besondere Bedingungen und Risikobeschreibungen für die Haftpflichtversicherung von IT-Dienstleistern (BBR IT-Dienstleister) trägt. Diese umfassen auch die Risiken aus Herstellung und Handel von Hardware neben … Risiken aus dem Internet-Providing.“2219
2213 2214 2215 2216
Vgl. etwa Reitsam/Seonbuchner, in: Conrad/Grützmacher, § 60 Rz. 41 ff. Vgl. etwa Reitsam/Seonbuchner, in: Conrad/Grützmacher, § 60 Rz. 34. Reitsam/Seonbuchner, in: Conrad/Grützmacher, § 60 Rz. 24. S. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/ m/m06/m06016.html (abgerufen am 20.1.2015); zur Versicherbarkeit von IT-Risiken s. Intveen, ITRB 2004, 230; Koch, in: Schneider/Graf von Westphalen, 2. Aufl. 2014, Kap. O. 2217 S. http://de.reuters.com/article/companiesNews/idDEKCN0SD0OD20151019 (abgerufen am 22.8.2016). 2218 Koch, in: Schneider/Graf von Westphalen, 2. Aufl. 2014, Kap. O. Rz. 188. 2219 Koch, in: Schneider/Graf von Westphalen, 2. Aufl. 2014, Kap. O. Rz. 188.
392
Schneider/Kahlert
IT-Compliance
Rz. 1544
A
Gem. Ziffer 1.1.2 der BBR IT-Dienstleister besteht Versicherungsschutz „auch für die Tätigkeit als Provider für
1541
– die Zugangsvermittlung ins Internet (z.B. Access Providing); – das Bereithalten fremder Inhalte (z.B. Host Providing); – das Bereithalten eigener Inhalte (z.B. Content Providing), jedoch nur für Personen- und Sachschäden‘. Nur bei gesonderter Vereinbarung besteht Versicherungsschutz für das Zur-Verfügung-Stellen von Anwendungsprogrammen, auf die über das Internet zugegriffen werden kann (Application Service Providing) sowie den Betrieb von Rechenzentren und Datenbanken.“2220
VII. IT-Compliance 1. Einführung 1.1 Compliance, Begriff Mit Compliance wird das an Unternehmen gerichtete Erfordernis umschrieben, einschlä- 1542 gige Rechtsvorschriften, vertragliche Verpflichtungen, unternehmensinterne Regelungen und sonstige Standards konsequent und verlässlich einzuhalten und zu befolgen.2221 Die Gewährleistung rechtskonformen und ethisch einwandfreien Verhaltens eines Unternehmens, seiner Organe und seiner Mitarbeiter stellt eine dauerhafte Aufgabe dar, deren Bewältigung in Bezug auf Festlegung der zu beachtenden Regeln und Etablierung entsprechender prozeduraler Strukturen anspruchsvoll ist.2222 Übergeordnete Verpflichtungen zu Compliance und speziell zu IT-Compliance ergeben sich 1543 auch aus Pflichten zur Gewährleistung verfassungsrechtlich gebotener Prinzipien als Schutzpflichten, insb. Ausfluss der Rechte des Einzelnen, hier etwa des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.2223 Typische Bereiche, an denen sich die Problematik widerstrebender Maßgaben zeigt, sind et- 1544 wa Whistleblowing und Screening zwecks Korruptionsbekämpfung einerseits und Datenschutz andererseits.2224 Ähnlich können Archivierungsnotwendigkeiten und Löschungspflichten (etwa § 6 BDSG) in Konflikt geraten.2225 Whistleblowing zählt in USA, wohl auch in Großbritannien zu den Compliance-Instrumenten, kollidiert allerdings in Europa mit dem Datenschutz. Aufgrund SOA ist aber auch in USA das dort zu errichtende Whistleblowing-System des Unternehmens auf Anonymität einzustellen.2226
2220 Koch, in: Schneider/Graf von Westphalen, 2. Aufl. 2014, Kap. O. Rz. 191. 2221 S. z.B. ArbG Berlin v. 18.2.2010 – 38 Ca 12879/09, MMR 2011, 70, 71 f.; zur Definition von Compliance s. Schild, in: Forgó/Helfrich/Schneider, S. 313 f.; zu Compliance und Datenschutz s. Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016; Lensdorf, CR 2007, 413 (413); Lensdorf/Steger, ITRB 2006, 206 (206). 2222 Vgl. etwa Oenning/Oenning, in: von dem Bussche/Voigt, Kap. 5. 2223 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07; in diesem Sinne zum Integritätsgrundrecht Heckmann, in: Heckmann, juris-PK Internetrecht, Kap. 9 Rz. 672; zum Konflikt mit Big Data s. Dorner, CR 2014, 617. 2224 Schröder, in: Forgó/Helfrich/Schneider, Teil. V. Kap. 3, S. 361 ff. 2225 Katko/Knöpfle/Kirschner, ZD 2014, 238. 2226 Conrad, in: Auer-Reinsdorff/Conrad, § 34 Rz. 216 zu SOA und § 33 Rz. 258 ff. zu den „Friktionen“ mit dem deutschen Datenschutzrecht.
Schneider/Kahlert
393
IT-Compliance
Rz. 1544
A
Gem. Ziffer 1.1.2 der BBR IT-Dienstleister besteht Versicherungsschutz „auch für die Tätigkeit als Provider für
1541
– die Zugangsvermittlung ins Internet (z.B. Access Providing); – das Bereithalten fremder Inhalte (z.B. Host Providing); – das Bereithalten eigener Inhalte (z.B. Content Providing), jedoch nur für Personen- und Sachschäden‘. Nur bei gesonderter Vereinbarung besteht Versicherungsschutz für das Zur-Verfügung-Stellen von Anwendungsprogrammen, auf die über das Internet zugegriffen werden kann (Application Service Providing) sowie den Betrieb von Rechenzentren und Datenbanken.“2220
VII. IT-Compliance 1. Einführung 1.1 Compliance, Begriff Mit Compliance wird das an Unternehmen gerichtete Erfordernis umschrieben, einschlä- 1542 gige Rechtsvorschriften, vertragliche Verpflichtungen, unternehmensinterne Regelungen und sonstige Standards konsequent und verlässlich einzuhalten und zu befolgen.2221 Die Gewährleistung rechtskonformen und ethisch einwandfreien Verhaltens eines Unternehmens, seiner Organe und seiner Mitarbeiter stellt eine dauerhafte Aufgabe dar, deren Bewältigung in Bezug auf Festlegung der zu beachtenden Regeln und Etablierung entsprechender prozeduraler Strukturen anspruchsvoll ist.2222 Übergeordnete Verpflichtungen zu Compliance und speziell zu IT-Compliance ergeben sich 1543 auch aus Pflichten zur Gewährleistung verfassungsrechtlich gebotener Prinzipien als Schutzpflichten, insb. Ausfluss der Rechte des Einzelnen, hier etwa des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.2223 Typische Bereiche, an denen sich die Problematik widerstrebender Maßgaben zeigt, sind et- 1544 wa Whistleblowing und Screening zwecks Korruptionsbekämpfung einerseits und Datenschutz andererseits.2224 Ähnlich können Archivierungsnotwendigkeiten und Löschungspflichten (etwa § 6 BDSG) in Konflikt geraten.2225 Whistleblowing zählt in USA, wohl auch in Großbritannien zu den Compliance-Instrumenten, kollidiert allerdings in Europa mit dem Datenschutz. Aufgrund SOA ist aber auch in USA das dort zu errichtende Whistleblowing-System des Unternehmens auf Anonymität einzustellen.2226
2220 Koch, in: Schneider/Graf von Westphalen, 2. Aufl. 2014, Kap. O. Rz. 191. 2221 S. z.B. ArbG Berlin v. 18.2.2010 – 38 Ca 12879/09, MMR 2011, 70, 71 f.; zur Definition von Compliance s. Schild, in: Forgó/Helfrich/Schneider, S. 313 f.; zu Compliance und Datenschutz s. Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016; Lensdorf, CR 2007, 413 (413); Lensdorf/Steger, ITRB 2006, 206 (206). 2222 Vgl. etwa Oenning/Oenning, in: von dem Bussche/Voigt, Kap. 5. 2223 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07; in diesem Sinne zum Integritätsgrundrecht Heckmann, in: Heckmann, juris-PK Internetrecht, Kap. 9 Rz. 672; zum Konflikt mit Big Data s. Dorner, CR 2014, 617. 2224 Schröder, in: Forgó/Helfrich/Schneider, Teil. V. Kap. 3, S. 361 ff. 2225 Katko/Knöpfle/Kirschner, ZD 2014, 238. 2226 Conrad, in: Auer-Reinsdorff/Conrad, § 34 Rz. 216 zu SOA und § 33 Rz. 258 ff. zu den „Friktionen“ mit dem deutschen Datenschutzrecht.
Schneider/Kahlert
393
A Rz. 1545
Datenschutz und IT-Management
1545 IT-Compliance ist eine spezielle Ausprägung der Compliance, für die es wiederum einzelne weitere Spezialgebiete gibt, etwa cloud-spezifische Compliance.2227 Bei dieser stehen „Einhaltung und Umsetzung datenschutzrechtlicher Anforderungen sowie die Gewährleistung der Schutzziele der Informationssicherheit … im Fokus“ der Compliance-Prüfung.2228 Bei der IT-rechtlichen Compliance werden als Gegenstand die IT-Systeme des Unternehmens gesehen, aufgeteilt in folgende Aufgabenbereiche:2229 – „Sicherstellung von Compliance durch die IT-Systeme des Unternehmens – Sicherstellung einer rechtskonformen Nutzung der IT-Systeme des Unternehmens – Management von rechtlichen Risiken der IT-Systeme des Unternehmens“2230
1.2 Compliance, Bedeutung 1546 Dieser Umstand stellt kein neues Thema für die Unternehmenswelt dar, auch wenn der neuartige Begriff Compliance zusammen mit den zahlreichen Veröffentlichungen dazu dies nahelegen könnte. Neu ist allerdings, dass die entsprechenden Vorschriften als Rechtsgebiet gesehen werden, zugleich der Umfang an beachtenswerten Vorschriften massiv zugenommen hat und diese Vorschriften zudem in vielen verschiedenen Gesetzen und anderen Quellen verstreut sind. 1547 Sämtliche Compliance-Vorschriften tatsächlich einzuhalten, ist somit kein Selbstläufer, sondern bedarf professioneller Strukturen und fachlichen Know-hows. Dies gilt umso mehr für den Spezialbereich der IT-Compliance, bei der es sich um eine wichtige Querschnittsmaterie handelt,2231 die sich insb. auf die Sicherheit und Funktionsfähigkeit von IT-Infrastrukturen sowie Datenschutzfragen fokussiert. Dabei zwingt die technische Entwicklung zu schneller Anpassung an sich verändernde Rahmenbedingungen. Die Vermeidung bzw. Absicherung gegen neu entstehende Sicherheitsrisiken, wie z.B. bei Cloud Computing, wirft neue Probleme der Compliance auf. 1548 Vor dem Hintergrund der Strafbewehrtheit vieler Compliance-Vorschriften sowie hoher Geldstrafen oder zivilrechtlicher Haftungsverpflichtungen kommt dem Thema Compliance eine hohe Bedeutung zu. Auch mit Blick auf die persönliche Haftung etwa von GmbH-Geschäftsführern oder AG-Vorständen ist besondere Sorgfalt und Absicherung erforderlich. Dies zeigt sich auch beim Datenschutz immer stärker, nachdem Verletzungen in diesem Bereich auch andere Compliance-Themen tangieren, etwa solche, die die Bafin überwacht.2232
2227 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 678; zu Compliance „in Clouds“ s. Henning, CR 2011, 546, worauf auch Heckmann hinweist; s. Rz. 1534 ff. zur Archivierung. 2228 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rz. 671 ff., 678. 2229 Junker/Knigge/Pischel/Reinhart, in: Heussen/Hamm (Hrsg.), Beck’sches Rechtsanwalts-Handbuch 11. Aufl. 2016, § 49 Rz. 102. 2230 Junker/Knigge/Pischel/Reinhart, in: Heussen/Hamm (Hrsg.), Beck’sches Rechtsanwalts-Handbuch 11. Aufl. 2016, § 49 Rz. 106 ff. 2231 S. z.B. Lensdorf, CR 2007, 413 ff.; Lensdorf/Steger, ITRB 2006, 206. 2232 S. z.B. 12/2014 „Wegen Verstößen gegen Datenschutzvorgaben zahlt die Debeka-Versicherung eine Geldbuße von 1,3 Millionen Euro.“, s. http://www.golem.de/news/debeka-versicherung-zahlt-1-3mio-euro-wegen-datenschutzvergehen-1412-111386.html (abgerufen am 22.8.2016), und: „Die Finanzaufsicht BaFin hat nach Angaben der Debeka-Versicherung Mängel in deren Umgang mit Daten potenzieller Neukunden kritisiert.“, s. http://www.handelsblatt.com/unternehmen/versicherun gen/nach-datenkauf-affaere-bafin-kritisiert-datenschutzmaengel-bei-debeka/9924948.html (abgerufen am 22.8.2016).
394
Schneider/Kahlert
IT-Compliance
Rz. 1553
A
1.3 IT-Governance 1.3.1 Begriff/Abgrenzung zu IT-Compliance Unter IT-Governance versteht man umfassend die Befolgung aller rechtlichen und sonstigen 1549 Vorgaben, die bei der Unternehmensführung informationstechnisch ausgerichteter Betriebe zu beachten sind. Neben IT-Compliance sind bei IT-Governance auch die betriebswirtschaftlichen und unternehmerischen Aspekte miteinzubeziehen, wie etwa die Bereiche Controlling, Geschäftsprozess-Handling und Managementfragen. D.h., IT-Compliance ist ein Bestandteil der IT-Governance.2233 1.3.2 Bereiche der IT-Governance, „Werkzeuge“ Wesentlicher Bestandteil der IT-Governance ist ein erfolgreiches Business-IT-Alignment. 1550 Die Umsetzung von IT-Governance wird durch leistungsfähige und international akzeptierte Verfahren (CobiT, MOF, ISO 20000, IT Infrastructure Library) unterstützt. Diese Werkzeuge können hierarchisch wie folgt betrachtet werden: Standard der Corporate Governance: COSO, ISO/IEC 38500:2008 Übergeordneter Standard und Verbindung zur Corporate Governance: CobiT (Control Objectives for Information and related Technology) Umsetzung von IT Service Management: ISO 20000, ITIL (Information Technology Infrastructure Library) Informationssicherheit: ISO/IEC 2700x und IT-Grundschutz-Kataloge Projektmanagement: PMBOK, ICB und PRINCE2 Architektur: TOGAF Systementwicklung: TickIT und CMMI.2234 I.R.d. IT-Governance werden diese Instrumente wie auch zusätzlich „Anerkannte Stan- 1551 dards“, Best Practice (ITIL) zwar nicht unmittelbar als Normen zu begreifen sein, aber deren Verwendung bzw. Konkretisierung (etwa ITIL) als Maßgaben bei der Steuerung und Kontrolle der ITK-Systeme (u.a. zwecks Schadensvermeidung, Schadensbegrenzung) anzuwenden sein. Zertifizierung kann dazu verhelfen, den Nachweis zu führen, dass Standards bzw. Mindeststandards eingehalten sind. Nach den schlechten Erfahrungen mit der Selbstzertifizierung i.R.v. Safe Harbor2235 wird es i.R.v. Privacy Shield wohl sehr darauf ankommen, dass durch Überprüfungen und Konsultationen die Werthaltigkeit der Zertifikate erhalten bzw. gesteigert wird. s. Rz. 1450, 1564.
1552
Eine wesentliche Grundlage für die Notwendigkeit, aber auch Möglichkeit der abwägenden 1553 Risikoabschätzung regelt § 9 Satz 2 BDSG, s. dazu A. VI IT-Sicherheit. Die DS-RL enthält eine ähnliche Regelung. Die DS-GVO stellt in Art. 32 auf ein dem Risiko angemessenes Schutzniveau ab und erlaubt den Stand der Technik, die Implementierungskosten sowie die Arten des Risikos zu berücksichtigen.Deren Einschätzung wird maßgeblich beeinflusst von den Risiko-Analysen und –Bewertungen gem. Art. 35 DS-GVO (Datenschutz-Folgenabschätzung, s. Rz. 570, 571 ff.).
2233 Hauschka/Moosmayer/Lösler, Corporate Compliance, Risikomanagement und Corporate Governance, 3. Aufl. 2016, § 14 Rz. 34 ff. 2234 S. a. Conrad/Huppertz, in: Auer-Reinsdorff/Conrad, Teil F. § 33 Rz. 267 ff. 2235 S. Kühling/Biendl, CR 2014, 150 (153 f.): „erhebliche Vollzugsdefizite“.
Schneider/Kahlert
395
A Rz. 1554
Datenschutz und IT-Management
1554 Die DS-GVO enthält zahlreiche Maßgaben, die sich als Compliance-Anforderungen verstehen lassen,2236 so. z.B. schon Art. 24 Abs. 1 DS-GVO (Verantwortlichkeit), Art. 40 DS-GVO (Verhaltensregeln) i.V.m. Art. 41 DS-GVO (Überwachung) und Art. 47 DS-GVO (verbindliche interne Datenschutzvorschriften). Auch die Notwendigkeit der Datenschutz-Folgenabschätzung in bestimmten Fällen, § 35 DS-GVO, kann man zu den Compliance-Maßgaben zählen, wobei dazu auch die vorherige Konsultation nach Art. 36 DS-GVO gehört. Das ursprünglich einmal vorgesehene Datenschutz-„Lifecycle Management“ (Art. 33 DS-GVOEntwurf EU-Parlament) wurde nicht in die endgültige Fassung übernommen. Ebenfalls zu den Compliance-Maßgaben kann man die Pflicht zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen rechnen (Art. 25 DS-GVO). 2. Ziele von Compliance 1555 Die Notwendigkeit der Einhaltung rechtlicher Vorgaben versteht sich zwar von selbst. Jedoch können die besonders hohen Risiken bei unternehmenskritischer IT zu einer besonders starken Gefährdung des Geschäftsbetriebs bzw. dessen Störung und Unterbrechung führen. Die Vermeidung nachteiliger zivilrechtlicher und strafrechtlicher Folgen im Falle von Rechtsverstößen ist für Unternehmen und ihre Organe von großer Bedeutung und ermöglicht evtl. erst bestimmte Business Cases, etwa Outsourcing bei Banken, § 25a KWG, dazu Rz. 1400, 1473. 1556 Das Bekanntwerden von Compliance-Problemen kann zu erheblichen Imageschäden des Unternehmens führen und so dessen Marktposition u.U. empfindlich schwächen. Regelmäßig erhöht IT-Compliance darüber hinaus die IT-Sicherheit substanziell und führt langfristig zu einer effektiveren und damit auch kostengünstigeren Arbeitsorganisation, etwa wenn riskante Instrumente wie BYOD,2237 Verwendung von Open Source Software ohne deren Restriktionen und Prüfung der Gefährdungen2238 oder Kontrollsysteme ohne Einbindung in das Compliance-System2239 eingesetzt werden. 1557 Mit dem Bilanzierungs-Modernisierungsgesetz wurden Änderungen eingeführt, die i.R.d. § 91 Abs. 3 AktG zur Einrichtung eines Risiko-Managements verpflichten und Rechtspflichten schufen.2240 Der wesentliche Faktor des Risiko-Managements hierbei ist die Risiko-Vorsorge nach § 91 Abs. 2 AktG. Diese Pflicht trifft allerdings nicht nur Aktiengesellschaften oder Kommanditgesellschaften auf Aktien oder Versicherungsvereine auf Gegenseitigkeit. Vielmehr wird angenommen, dass die Regelung auch entsprechend für GmbH gilt, allerdings je nach Größe und Ausgestaltung („Komplexität“).2241 1558 Wie das Risiko-Überwachungssystem im Einzelnen genau auszusehen hat, ist nicht geregelt. Jedenfalls besteht (im Anwendungsbereich) die Verpflichtung, ein Risiko-Frühwarnsystem einzurichten. Die Verletzung dieser Pflicht führt zur Haftbarkeit der Organe des Unternehmens, wobei das Risiko-Managementsystem selbst durch eine entsprechende interne Revision bzw. deren entsprechende Ausgestaltung die Aufgabe des Risiko-Früherkennungssystem als Teil des Risiko-Früherkennungssystems als Teil des Risiko-Managements ist die
2236 S. Klinger, juris-ITR 6/2014, Nr. 2. 2237 Wozu etwa das Lizenzmanagement ausgebaut wird, was in Konflikt mit dem Datenschutz kommen kann, zum Lizenzmanagement mit diesem Kontext BYOD s. etwa Haar, iX 2/2015, S. 106 f. und v.a. Rz. 892 ff., 1351, 1444, 1573, 1602. 2238 Etwa ohne Berücksichtigung der evtl. Patente s. H Rz. 1 ff. zu Softwarepatenten. 2239 S. etwa zu Risiken bei Mitarbeiter-Screening Rz. 747 und bei E-Mail-Kontrolle Buschmann/Rosak, DB 2014, 2530; zu Whistleblowing und Datenschutz s. Chr. Schröder, in: Forgó/Helfrich/Schneider, Teil V. Kap. 3, S. 361 ff. 2240 v. Holleben/Menz, CR 2010, 63 auf BR-Drs. 872/97, 37. 2241 v. Holleben/Menz, CR 2010, 63.
396
Schneider/Kahlert
IT-Compliance
Rz. 1562
A
Sicherstellung, dass evtl. Risiken und auch deren Veränderung festgestellt werden, bei denen es um den Fortbestand des Unternehmens i.S. einer evtl. Gefährdung geht. Die Risiken sind dabei nicht isoliert zu betrachten, sondern es ist auch darauf zu achten, ob diese evtl. im Zusammenwirken mit anderen Risiken jeweils „bestandsgefährdet“ sein könnten.2242 Ein Nebenaspekt der Verletzung von entsprechenden Pflichten kann auch daran liegen, dass evtl. Insolvenzverschleppung eintritt. So ist etwa bei der Insolvenzverschleppung eines der Strafzumessungskriterien auch, ob ein Risiko-Warnsystem bestand.2243 Besondere Ausprägungen benötigt das Risiko-Management im Bereich der Banken.2244 3. Compliance-Vorschriften 3.1 Sorgfaltsmaßstab Hinsichtlich allgemeiner Compliance-Vorschriften, die die Basis für im Einzelfall bestehen- 1559 de detailliertere und konkretere Anforderungen darstellen, ist zwischen den verschiedenen gesellschaftsrechtlichen Organisationsformen der Unternehmen zu differenzieren. Während bei Personengesellschaften und Einzelkaufleuten der allgemeine Sorgfaltsmaßstab des § 347 Abs. 1 HGB gilt, haben sich Geschäftsführer einer GmbH an § 43 Abs. 1 GmbHG zu orientieren und für Vorstände einer Aktiengesellschaft ist § 93 Abs. 1 Satz 1 AktG einschlägig, in Bezug auf Genossenschaften ist § 34 Abs. 1 Satz 1 GenG zu beachten.2245 Börsennotierte Gesellschaften müssen sich gem. § 161 Abs. 1 AktG zudem zum Deutschen 1560 Corporate Governance Kodex (DCGK) erklären. Dieser erlegt dem Vorstand etwa in Ziff. 4.1.3 auf, „für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen“ und benennt dies auch explizit als „Compliance“.2246 3.2 Gesetzlich vorgegebene Verpflichtungen Es gibt eine Vielzahl von gesetzlichen Vorgaben, die Unternehmen zu beachten haben. Eine allgemeine Auflistung ist nicht möglich, weil sich die einschlägigen Vorschriften anhand des jeweiligen Einzelfalles bestimmen. Problematisch ist, dass Compliance-Vorschriften nicht gebündelt kodifiziert sind, sondern in vielen verschiedenen Gesetzen enthalten sind. Unternehmen, die grenzüberschreitend oder international tätig sind, müssen regelmäßig zusätzlich ausländische Vorschriften beachten. Zudem sind die gesetzlichen Rahmenbedingungen vielfach einer laufenden Weiterentwicklung unterworfen. Die Compliance-Abteilungen müssen also nicht nur den Überblick über sämtliche Vorgaben bewahren, sondern auch Aktualität gewährleisten.
1561
Nachfolgend sind wichtige Gesetze und weitere Kodifikationen zusammengetragen, die ITCompliance-Vorschriften enthalten. Dabei ist zu beachten, dass es sich keinesfalls um eine erschöpfende Auflistung handeln kann. Vielmehr soll die Bandbreite der Vorgaben exemplarisch skizziert werden.
1562
2242 IDW PS 340 (Die Prüfung des Risikofrüherkennungssystems nach § 317 HGB), Rz. 5. 2243 Skauradszun, wistra 2014, 41 zur Strafzumessung bei der Insolvenzverschleppung. Zu mangelndem Risiko-Frühwarnsystem, das den haftungsausschließenden Mitverschuldenseinwand begründet, s. OLG Bamberg v. 11.5.2009 – 4 U 92/08; Rz. 1568 ff. 2244 Zum Risiko-Management als besondere Verantwortung des Bankvorstandes, s. Hopt/Wohlmannstetter, Handbuch Corporate Governments von Banken, 2011, S. 63 ff. 2245 Zu Haftungsrisiken der Unternehmensleitung s.a. Lensdorf, CR 2007, 413 (415 ff.). 2246 Im DCGK wird auch in Ziff. 3.4 (Zusammenwirken von Vorstand und Aufsichtsrat) und Ziff. 5.2 sowie Ziff. 5.3.2 (Aufsichtsrat) von Compliance gesprochen.
Schneider/Kahlert
397
A Rz. 1563
Datenschutz und IT-Management
1563 Auflistung mit einschlägigen Vorschriften: Sammlung (nicht abschließend) von Gesetzen, die IT-Compliance-Vorschriften enthalten (Reihenfolge alphabetisch) – AktG – MaRisk – AO
– Sarbanes-Oxley-Act (USA)
– BDSG
– SEPA (EU-VO Nr. 260/12)
– EnWG
– SGB X
– GmbHG
– TKG
– GoBD (vor dem 1.1.2015: GoBS und GDPdU)
– TMG
– HGB
– UStG
– IFG – KontraG
– UrhG – UWG – WpHG
– KWG 3.3 Vertraglich vereinbarte Verpflichtungen 1564 Gegenstand vertraglicher Vereinbarungen sind oft auch Geheimhaltungsverpflichtungen sowie Maßnahmen zu Datensicherung, Datenschutz, Archivierung etc. Sie treten regelmäßig etwa bei AuftragsDV auf. Die Einhaltung der gesetzlichen Verpflichtungen soll über zu implementierende technische und organisatorische Maßnahmen gem. § 9 Satz 1 BDSG gewährleistet werden. In der Anlage zu § 9 Satz 1 BDSG wird die Ausrichtung entsprechender Sicherheitsmaßnahmen benannt (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle). 3.4 Datenaustausch, speziell mit den USA 1565 Nachdem das Safe Harbor-Abkommen vom EuGH für ungültig erklärt worden war, bedurfte es eines Ersatzes, um die Lücke (USA als „unsicheres Drittland“) zu überbrücken. Diese Lücke wurde zwischenzeitlich mit dem Abkommen EU-US „Privacy Shield“ geschlossen. Seit 1.8.2016 erfolgt die Registrierung, offensichtlich mit steigenden Zahlen.2247 Einer der wichtigen Mechanismen wird die jährliche Wiederholung der Zertifizierung und deren Überprüfung sein.2248 3.5 Überobligatorische Vorgaben 1566 Unter überobligatorischen Vorgaben können hausinterne Vereinbarungen, aber auch freiwillig zu befolgende Kodizes von externen Instituten verstanden werden. Die internen oder externen, aber einbezogenen Kodizes enthalten mitunter zahlreichere und höhere Anforderungen, v.a. strengere Maßgaben als die verbindlichen Normen. Während internen Richtlinien zwar keine gesetzliche Funktion zukommen kann, so können sie dennoch Bestandteil der arbeitsvertraglichen Verbindungen zwischen Beschäftigtem und Unternehmen werden und entsprechende Sanktionierung bei Missachtung durch einen Verpflichteten begründen. Externe Regelwerke sind hingegen regelmäßig nicht sanktionsorientiert, sondern können insb. aus Gründen der professionellen Unternehmensführung sowie zur Image-Pflege herangezo-
2247 Vgl. http://www.noerr.com/en/press-publications/News/eu-us-privacy-shield-the-%E2%80%9Cpri vacy-shield-list%E2%80%9D-begins-to-grow.aspx (abgerufen am 25.8.2016). 2248 Zum Verfahren bei Privacy Shield s. Lejeune, ITRB 2016, 201.
398
Schneider/Kahlert
IT-Compliance
Rz. 1569
A
gen werden. Dabei kommt auch der Selbstregulierung etwa in Form von Audits, Zertifizierungen und Standards große Bedeutung zu.2249 4. Aufbau von Compliance-Strukturen Um dauerhaft ein Höchstmaß an rechtmäßigem und korrektem Verhalten erreichen zu kön- 1567 nen, sind entsprechende professionelle Strukturen vonnöten.2250 Einerseits muss immer wieder aufs Neue festgestellt werden, welche gesetzlichen, aber auch sonstigen internen und externen Vorschriften einschlägig sind; andererseits sollte die Einhaltung dieser Vorschriften durch präventive und evtl. auch repressive Maßnahmen begünstigt und sichergestellt werden. Im präventiven Bereich sind etwa regelmäßige Informationsveranstaltungen, Mitarbeiterschulungen und Sensibilisierungsmaßnahmen sowie Dokumentationspflichten und ggf. sog. Pre-Employment-Screenings in Bezug auf neue Mitarbeiter angezeigt. In repressiver Hinsicht sollte – innerhalb des rechtlich Zulässigen – die Aufdeckung und Sanktionierung etwaiger Regelverstöße entsprechende Bedeutung zugemessen werden. Datenabgleiche,2251 Whistleblowing-2252 und Überwachungssysteme können hier Bausteine einer ComplianceStrategie sein, um die Aufdeckung von Missständen zu begünstigen. 5. Ausrichtung und Anforderungen von IT-Compliance 5.1 Frühwarnsystem Bezogen auf den Einsatz von IT im Unternehmen sind vielfältige Aspekte, IT-bedingte bzw. 1568 –typische Eigenheiten zu beachten.2253 Dabei geht es als Ziel insb. um die Gewährleistung und Aufrechterhaltung von Stabilität, Steuerbarkeit, Datensicherheit und Datenschutz.2254 Mithilfe einer Vielzahl von Werkzeugen und Standards soll die Erfüllung gesetzlicher Vorgaben sichergestellt werden. Die Einrichtung eines Risikomanagement- oder Frühwarnsystems ist in diesem Zshg. oft empfehlenswert, um Missstände frühzeitig aufzuspüren oder präventiv verhindern zu können.2255 Das Frühwarnsystem ist obligatorisch über das KonTraG geworden, das zu entsprechender 1569 Änderung des § 91 AktG führte.2256 Der Vorstand ist verantwortlich für geeignete Maßnahmen, Gefährdungen für den Fortbestand der Gesellschaft früh zu erkennen, wozu ein geeignetes Überwachungssystem einzurichten ist.2257 Es geht aber nicht nur um Erkennbarkeit, sondern im Rahmen weiterer Regelungen des AktG auch um die Verantwortlichkeit des Vorstands für Vorsorge und Vermeidung der Risiken, wozu die Sicherheit der IT-/TK Systeme zu gewährleisten ist.2258 Dazu gehören i.R.d. Risikomanagements auch die Gestaltung und Durchführung strategisch wichtiger Projekte, insb. auch bei IT-Beschaffung und -Einführung.
2249 Schneider, in: Forgó/Helfrich/Schneider, S. 152 ff. 2250 Vgl. auch allg. zum Rechtsmanagement im Unternehmen: Heussen, in: Heussen/Pischel (Hrsg.), Handbuch Vertragsverhandlung und Vertragsmanagement, 4. Aufl. 2014, Teil 2 Rz. 137 ff. 2251 Hanloser, in: Forgó/Helfrich/Schneider, S. 235 ff. 2252 Zum Datenschutz bei Whistleblowing s. Schild, in: Forgó/Helfrich/Schneider, S. 318 f. 2253 S. Auer-Reinsdorff, ITRB 2011, 245. 2254 Reimer/Wegener, DuD 2011, 363. 2255 Lensdorf, CR 2007, 413 (414). 2256 S.a. Conrad/Huppertz, in: Auer-Reinsdorff/Conrad, Teil F, § 33 Rz. 29 ff., 272 f. 2257 Conrad, in: Auer-Reinsdorff/Conrad, Teil F, § 33 Rz. 36 ff. 2258 Zu den Risikobewertungskriterien s. Conrad/Huppertz, in: Auer-Reinsdorff/Conrad, Teil F, § 33 Rz. 156 ff.
Schneider/Kahlert
399
A Rz. 1570
Datenschutz und IT-Management
1570 In Unternehmensrichtlinien, Codes of Conduct, verpflichten sich viele Unternehmen auch zur IT-Sicherheit i.V.m.der Wahrung des Datenschutzes. Beispiele sind etwa die Wahrung der Anonymität des Whistleblowers auch bei Nutzung von E-Mail o.Ä.2259 1571 Je größer das Unternehmen oder die Behörde ist, desto umfangreicher werden auch die Compliance-Anforderungen. Dabei gehört die IT-Compliance und mit ihr das IT-Risikomanagement (s.a. Rz. 1467, 1474, 1568 ff.) zu den Aufgaben der Geschäftsleitung.2260 5.2 Wichtige Themenbereiche 1572 Datenschutz spielt im Compliance-Bereich eine übergeordnete Rolle, denn regelmäßig steht der Umgang mit sensiblen personenbezogenen Daten – von Mitarbeitern wie Kunden – an der Tagesordnung.2261 Hier sind verlässliche Regelungen zu Technik und menschlichem Verhalten zwingend vonnöten. Hinsichtlich der Kundendaten ist auch der Umfang gestatteter Verwendung zu Marketingzwecken, etwa Werbung per E-Mail, Post oder Telefon organisationsbedürftig, d.h. es muss ein System gewährleistet sein, das den Überblick über etwaige Rechtsgrundlagen, Einwilligungen und Erlaubnistatbestände vermittelt.2262 Auch die Frage, inwieweit eine Überwachung des Unternehmensgeländes sowie der Mitarbeiter zulässig ist und wie mit dadurch gewonnenen Informationen verfahren werden soll, sollte Gegenstand von Compliance-Regelungen sein.2263 1573 Zudem sind die Datensicherheit und der Schutz vor Datenverlust (Data Loss Prevention)2264 für Unternehmen essentiell; Vorschriften zur Archivierung von Unterlagen und Daten sowie bestehenden Löschpflichten2265 sollten mit Blick auf gesetzliche Anforderungen,2266 aber ebenso vor dem Hintergrund angestrebter effizienter und verlässlicher Unternehmensorganisation hohe Priorität eingeräumt werden. Durch professionelle Vorkehrungen im Rahmen einer umfassenden Compliance kann dieses Risiko minimiert werden. Der Umgang mit BYOD (Bring Your Own Device) und COPE (Corporate Owned, Personally Enabled) bedarf regelmäßig ebenso klarer Vorschriften, Gleiches gilt für die private Nutzung des Internets am Arbeitsplatz. Auch ist beispielsweise der Einsatz von und Umgang mit USB-Sticks nicht immer unproblematisch, da diese durch einen – mittlerweile öffentlich gemachten – Schadcode manipuliert werden können und so in der Lage sind, erheblichen Schaden auf Computern anzurichten und die Datensicherheit empfindlich zu untergraben;2267 auch durch physischen Verlust von USB-Sticks, auf denen sensible Daten gespeichert sind, können schwerwiegende Probleme entstehen. 1574 Des Weiteren ist es wichtig, dass geistiges Eigentum, Patente, Marken, die Bestandteil des Unternehmenswertes sind, geschützt werden. Auch Regelungen zum Umgang mit Mitarbeitererfindungen können hilfreich sein. Darüber hinaus sollte dem Geheimnis- und Knowhow-Schutz große Bedeutung beigemessen werden, was gerade vor dem Hintergrund zunehmender Hacking- und Spionageattacken insb. auf KMU keinesfalls zu unterschätzen ist.
2259 Zu Whistleblowing und Datenschutz s. Conrad/Huppertz, in: Auer-Reinsdorff/Conrad, Teil F, § 33 Rz. 274 ff. zum Konflikt mit SOA-Compliance und Conrad, in: Auer-Reinsdorff/Conrad, Teil F, § 34 Rz. 212 ff. im Kontext Innenrevision und Screening. 2260 S. von Holleben/Menz, CR 2010, 63 zu den Pflichten der Geschäftsleitung. 2261 Conrad/Hausen, in: Forgó/Helfrich/Schneider, S. 167 ff. 2262 S.a. Schild, in: Forgó/Helfrich/Schneider, S. 316 ff. 2263 S. Brühl/Sepperer, ZD 2015, 415, auch zur Überwachung der Überwacher. 2264 S. dazu Conrad, CR 2011, 797. 2265 Dazu etwa Kühling/Klar, ZD 2014, 506 ff. 2266 S. dazu Reitsam/Seonbuchner, in: Conrad/Grützmacher, § 60. 2267 Vgl. etwa Paukner, USB als Sicherheitsrisiko, abrufbar unter http://www.sueddeutsche.de/digital/ hacker-veroeffentlichen-schadcode-usb-als-sicherheitsrisiko-1.2161210 (abgerufen am 22.8.2016).
400
Schneider/Kahlert
IT-Compliance
Rz. 1581
A
Umgekehrt sollte das Unternehmen aber auch beachten, dass es sich selbst innerhalb der ihm eingeräumten Lizenz- und Nutzungsrechte bewegt und auf eventuelle Audits des Lizenzgebers vorbereitet ist (zu Lizenzmanagement/DRM s.a. Rz. 857 ff.). Dies betrifft etwa die Nutzung von Softwarelizenzen, die ggf. auf eine Höchstzahl von Nutzern bzw. Arbeitsplätzen beschränkt sein können und die Verwendung in Cloud-Systemen oder OutsourcingProzessen nicht immer uneingeschränkt gestatten.
1575
Nicht zuletzt sind wettbewerbsrechtliche und ggf. vergaberechtliche Anforderungen zu berücksichtigen.
1576
5.3 Verantwortungsstrukturen Als verantwortliche Stelle für die Rechtmäßigkeit der Datenerhebung, Datenverarbeitung (auch AuftragsDV)2268 und Datennutzung i.S.d. § 3 Abs. 7 BDSG ist das jeweilige Unternehmen in Person des Geschäftsführers oder Vorstands (oder an deren Stelle stehenden Unternehmensleiters) anzusehen.2269
1577
Gem. §§ 4d, 4e BDSG bestehen für das Unternehmen grds. Melde-, Dokumentations- und 1578 Informationspflichten (u.a. Pflicht zur Erstellung eines Verfahrensverzeichnisses)2270 in Bezug auf die Anwendung automatisierter Datenverarbeitungsverfahren, aber auch hinsichtlich des Auftretens von Verstößen gegen Datenschutz oder sonstige Pflichten bei der Datenverarbeitung.2271 Die Bestellung eines betrieblichen Datenschutzbeauftragten wird in § 4f BDSG angeordnet und dessen Aufgabenbereich in § 4g BDSG spezifiziert. Den verpflichtenden Regelungen des BDSG und ab 25.5.2018 der DS-GVO (s. Rz. 602 ff.), aber ggf. auch anderer einschlägiger Gesetze (u.a. TMG, TKG, SGB X, EnWG etc.) ist dabei Folge zu leisten. Besonders zu beachten ist die unter Compliance-Aspekten besonders hochrangige Skandali- 1579 sierungspflicht bei Datenpannen, § 42a BDSG und Art. 33 f. DS-GVO, s.o. Rz. 342 ff., 657 ff. 5.4 Konkrete Beispiele für IT-Compliance 5.4.1 Beispiel: Sichere und funktionsfähige IT-Infrastruktur Im Bereich des Outsourcing von IT-Prozessen, der AuftragsDV und der Nutzung von Cloud Computing ist es für viele Anwender ein ausschlaggebendes Kriterium, ob und inwieweit der Anbieter hohe Compliance- und Datenschutzstandards beachtet. Hierauf weisen internationale Studien immer wieder hin.2272 Auch gibt es über das Internet frei zugängliche Register, in denen die Sicherheits- und Datenschutzmaßnahmen von Cloud-Anbietern vergleichend dargestellt werden, um den Anwendern einen möglichst transparenten Überblick über deren Compliance-Maßnahmen zu ermöglichen.2273 Den Prüfungen nach § 9 BDSG (Technische und organisatorische Maßnahmen) sowie Datenschutzaudits gem. § 9a BDSG kommt dabei in der Praxis besondere Bedeutung zu.2274
1580
In jedem Fall ist darauf zu achten, dass es zu keiner Verletzung von Privatgeheimnissen kommt.2275 Bei Berufsgeheimnisträgern können andernfalls neben zivilrechtlicher Haftung auch strafrechtliche Konsequenzen (§ 203 StGB) drohen.
1581
2268 S. hierzu § 11 BDSG. 2269 Vgl. Schild, in: Forgó/Helfrich/Schneider, S. 319 (Rz. 26). 2270 Vgl. etwa Schild, in: Forgó/Helfrich/Schneider, S. 319 (Rz. 28 ff.), speziell zum sog. internen Verfahrensverzeichnis gem. § 4g Abs. 2 Satz 1 BDSG: Senftner, in: Conrad/Grützmacher, § 61. 2271 Dazu: Schuppert, in: Conrad/Grützmacher, § 62. 2272 S. etwa Bericht in DuD 2012, 781. 2273 S. etwa https://cloudsecurityalliance.org/star/ (abgerufen am 15.9.2014). 2274 S. dazu Rz. 1580. 2275 Trüg/Mansdörfer, in: Hilber, Cloud Computing, Teil 7 Rz. 59 ff.
Schneider/Kahlert
401
A Rz. 1582
Datenschutz und IT-Management
1582 Spezifische Ausprägungen, etwa auch der Cloud-Compliance ergeben sich über die Strategien der jeweiligen Anbieter, wie etwa bei Microsoft mit speziellen Diensten.2276 Verschlüsselung kann ein Baustein für die Lösung dieser Probleme sein.2277 5.4.2 Beispiel: Lizenzmanagement/Audits 1583 Eine wichtige Rolle spielt die Lizenzierung von in Unternehmen eingesetzten Softwareprodukten. Zur Compliance ist es notwendig, stets einen Überblick über den Lizenzumfang und die (ggf. unterschiedlichen) Lizenzierungsmodelle zu bewahren2278 und zu kontrollieren, ob die praktische Nutzung daran ausgerichtet ist, um etwaige Probleme wie z.B. eine Unterlizenzierung zu vermeiden.2279 1584 Dies erfordert eine regelmäßige Überprüfung der Betriebspraxis, aber auch eine besondere Beachtung im Falle von Sondersituationen wie z.B. Unternehmenszusammenschlüssen, -übernahmen sowie Outsourcing-Verfahren. Der Lizenzgeber hat ein Interesse daran, mithilfe von Audits sicherzustellen, dass der Lizenznehmer die eingeräumten Lizenzen nicht überschreitet und im Falle einer etwaigen Unterlizenzierung Nachforderungen und ggf. Schadensersatzansprüche zu stellen. Allerdings heißt das nicht, dass jede Audit-Klausel in Lizenzverträgen wirksam wäre.2280 1585 Bei der Durchführung von Audits durch den Lizenzgeber sollte das betroffene Unternehmen als Lizenznehmer darauf achten, dass durch das Audit keine datenschutz- oder persönlichkeitsrechtlichen Verstöße begangen werden und der Geschäftsbetrieb durch übermäßige Bindung von personellen oder organisatorischen Ressourcen nicht beeinträchtigt wird, auch die Einhaltung arbeitsrechtlicher Vorgaben und nicht zuletzt der Schutz von Betriebs- und Geschäftsgeheimnissen sollten höchste Priorität haben.2281 Um dies sicherzustellen sind entsprechende präzise Vereinbarungen zwischen dem Lizenzgeber und dem Lizenznehmer bereits im Vorfeld der Softwareüberlassung i.R.d. Vertragsschlusses (entweder in Form von AGB, oder besser noch per Individualvereinbarung) sehr empfehlenswert. 1586 Aus Sicht des Lizenzgebers ist zudem zu beachten, dass Audit-Maßnahmen zwar im Einzelfall auf gesetzliche Grundlagen gestützt werden können (etwa § 242 BGB, 809 BGB, §§ 101, 101a UrhG), die Anforderungen hier jedoch sehr hoch sind und in der Praxis Schwierigkeiten vorprogrammiert wären. Deshalb empfiehlt sich die Festlegung von Auditmaßnahmen auf (individual-)vertraglicher Basis unter Berücksichtigung der Mitarbeiter- und v.a. deren Datenschutzbelange.2282 Zu Penetrationstests s. Lejeune, ITRB 2016, 43.
2276 Zu azure s. Kranawitter, DuD 2013, 517 zu Identität in der Cloud und on premise sowie zu dem Dienst Active Directories von Windows Azure. 2277 Zu Verschlüsselung im Unternehmensalltag s. Deusch/Eggendorfer, in: Taeger, Big Data & Co, S. 539 ff.; s.a. Rz. 1458 ff., 1591, 1653. 2278 Auch der Einsatz von Open Source-Komponenten ist, wenn auch mit etwas anderer Zielrichtung (Vermeidung, Infizierung, …), sorgfältig zu verwalten, v.a. auch die jeweilige Lizenz und deren Version zu registrieren, zu OS s. G Rz. 497 ff. 2279 Zu ggf. bestehendem Anspruch auf Erteilung von Zwangslizenzen und „Zwangslizenz-Einwand“ s. BGH v. 11.4.2013 – I ZR 151/11, I ZR 152/11, I ZR 153/11 – Internet-Videorekorder II, CR 2013, 394 ff. (400 ff.) sowie Roth, ITRB 2013, 152. 2280 Zu Auditklauseln s. Hoeren, CR 2008, 409; Moos, CR 2006, 797; Marly, Praxishandbuch Softwarerecht, vor Rz. 1803 und dazu im Einzelnen R Rz. 273 ff. 2281 Dazu Kotthoff/Wieczorek, MMR 2014, 3 ff. 2282 Risiko ist hier ähnlich wie bei Tests mit Echtdaten, dazu: Lensdorf/Züllich, CR 2015, 2. Ein weiteres Sicherheits-Problem kann bei der Besichtigung von Quellcode entstehen, s. dazu X Rz. 132, 148 f.
402
Schneider/Kahlert
IT-Compliance
Rz. 1593
A
5.4.3 Beispiel: Umgang mit geschäftlichen E-Mails Am Beispiel des Umgangs mit geschäftlichen E-Mails lässt sich die Komplexität von Com- 1587 pliance für einen Einzelbereich gut schildern:2283 unterschiedlicher, individueller Schreibstil und Verwendung von offenen oder blinden Kopien etc. mögen zwar gelegentlich für (vermeidbare) Irritationen oder Missverständnisse sorgen, stellen aber noch nicht unbedingt größere Probleme dar, die zwangsläufig dezidierter Regelung bedürfen. Anders hingegen ist es etwa in Bezug auf den Einsatz von Signaturen, Disclaimern, Authentifizierungssystemen und Archivierungsmaßnahmen. Bei geschäftlichen E-Mails werden üblicherweise am Ende z.B. in einer Signatur Name, Position und Kontaktdaten des Absenders genannt; bei kaufmännischen Geschäftsbriefen bzw. Bestellscheinen sind weitere Pflichtangaben wie Firma, Bezeichnung der Unternehmensform, Ort der Handelsniederlassung, zuständiges Registergericht, Registernummer des Handelsregistereintrags vorzunehmen (vgl. §§ 37a, 125a, 177a HGB).
1588
Sog. Disclaimer sollen bezwecken, dass die E-Mail nur von dem beabsichtigten Adressaten 1589 gelesen wird und irrtümliche oder andere tatsächliche Empfänger auf den Umstand hingewiesen werden, dass die E-Mail vertrauliche Informationen enthält, die nur für den beabsichtigten Adressaten vorgesehen sind und bei einer falschen Adressierung die E-Mail unverzüglich zu löschen ist. Zwar wird überwiegend die Ansicht vertreten, dass solche Disclaimer mangels entsprechender Vereinbarung der Parteien keine Rechtswirkung entfalten; dennoch ist es üblich und verbreitet, dieses Instrument (zumindest aus informatorischen Gründen) anzuwenden. Auch die Authentifizierung von E-Mail-Inhalten bzw. –Versendern sowie die Verwendung 1590 von qualifizierten elektronischen Signaturen nach dem SigG können erforderlich werden. Gem. § 126a Abs. 1 BGB kann die elektronische Form eine gesetzlich vorgeschriebene Schriftform (§ 126 BGB) ersetzen.2284 Im Falle der durch Rechtsgeschäft vereinbarten elektronischen Form können Erleichterungen hinsichtlich der Anforderungen an die elektronische Signatur zum Tragen kommen, vgl. § 127 Abs. 3 BGB. Aus verschiedenen praktischen Gründen und insb. als Ausfluss des Gebots der Vertraulich- 1591 keit und Integrität informationstechnischer Systeme2285 können Verschlüsselung und/oder Anonymisierung in Unternehmen geboten sein, etwa wenn hohe Geheimhaltungsstufen vereinbart wurden oder besondere Gefährdungsszenarien auftreten. Eine heikle Thematik stellt die private Nutzung des betrieblichen E-Mail-Accounts durch die Mitarbeiter dar. Für den Fall, dass den Mitarbeitern dies gestattet wird, können dem Unternehmen Probleme im Zshg. mit der Wahrung des Fernmeldegeheimnisses entstehen (§§ 88 Abs. 1 TKG, § 206 StGB). Inwieweit eine umfassende Untersagung der privaten Nutzung angezeigt ist, wie dies vielfach empfohlen wird, kann jedoch nur im Einzelfall entschieden werden. In jedem Fall ist eine ausdrückliche unternehmensinterne Regelung hierzu empfehlenswert.
1592
Darüber hinaus ist es erforderlich Maßnahmen zum dauerhaften Schutz vor Viren und 1593 Schadsoftware zu ergreifen. Dies ist nicht nur hinsichtlich der Aufrechterhaltung und Funktionstüchtigkeit der eigenen IT-Systeme von großer Bedeutung, sondern es ist auch angezeigt, um die Verbreitung etwaiger Schadsoftware nach außen und damit evtl. verbundene Schadensersatzrisiken zu vermeiden. 2283 Vgl. auch Reiners, DuD, 2010, 630; Pohlmann/Reimer, DuD 2010, 603; Kampffmeyer, DuD 2010, 619; Brühl/Sepperer, ZD 2015, 415. 2284 Im Detail dazu s. Ellenberger, in: Palandt, 74. Aufl. 2015, § 126a BGB Rz. 1 ff. 2285 BVerfG v. 27.2.2008 – 1 BvR 370/07, CR 2008, 299, s. Stögmüller, CR 2008, 435 zu Ausstrahlungswirkungen des neuen Grundrechts in die Privatwirtschaft, und dazu Rz. 3, 36 f., 1543, 1632, 1688.
Schneider/Kahlert
403
A Rz. 1594
Datenschutz und IT-Management
1594 Ebenso gehört das Scannen von E-Mails etwa in Bezug auf das Erkennen von Viren etc. sowie hinsichtlich des Auffindens bestimmter Begriffe/Geschäftsprozesse regelmäßig zum Arbeitsalltag und bedarf – zumindest im Falle der auch-privaten Nutzung der E-Mail-Accounts – ggf. einer datenschutzrechtlichen Klärung. 1595 Ein weiterer Aspekt betrifft die Frage nach der internen E-Mail-Kommunikation innerhalb eines Unternehmens. Ein sog. „Konzernprivileg“2286 wurde zwar i.R.d. Gesetzgebungsprozesses zur DS-GVO in Erwägung gezogen,2287 letztlich aber nicht umgesetzt.2288 Auch der unternehmensinterne Datenaustausch bedarf daher weiterhin einer rechtlichen Grundlage,2289 wenngleich Erw. grd. 48 Satz 1 DS-GVO explizit ausführt, dass „interne Verwaltungszwecke“ ein berechtigtes Interesse der Verantwortlichen, die „Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind“ an einer Übermittlung oder Verarbeitung von personenbezogenen Daten von Kunden und Beschäftigten begründen können. 1596 Konstellationen, in denen unternehmensinterne Datenübermittlung auf erhebliche rechtliche Bedenken stößt, sind vielfach denkbar, etwa überall dort, wo einzelne, unabhängig voneinander arbeitende Unternehmensabteilungen durch ihre Arbeit in Interessenkollisionen geraten können (z.B. im Bankensektor hinsichtlich der Trennung von Emissionsgeschäft und Investmentbanking, auch ggf. in größeren Rechtsanwalts- oder Steuerkanzleien und Unternehmensberatungen sowie Unternehmensnetzwerken mit vielen Standorten/Filialen). Eine Begrenzung des unternehmensinternen Informationsaustausches kann also erforderlich sein. Praktikable Maßnahme ist dann etwa die Schaffung von sog. Chinese Walls, die technisch eine Trennung der Kommunikationssysteme ermöglichen. 1597 Zur verlässlichen Aufbewahrung und Archivierung von E-Mails sind Vorkehrungen angezeigt, und zwar nicht nur aus Gründen der organisatorischen Effizienz, sondern auch mit Blick auf handels- und steuerrechtliche Anforderungen.2290 Welchen Daten eine solche gesteigerte Relevanz zukommt, sollte besonders geklärt werden. 1598 Es zeigt sich, dass die Compliance-bezogenen Herausforderungen im Zshg. mit dem Umgang und der Verwaltung von E-Mails im Geschäftsalltag umfangreich und komplex sein können. Erfahrungsgemäß ist der – jedenfalls bei der Implementierung oft beträchtliche – Aufwand hierfür nicht nur größtenteils aus juristischen Gründen erforderlich, sondern auch in ökonomischer Hinsicht wegen langfristiger Effizienzsteigerungen und Risikominimierungen im Alltag finanziell und organisatorisch lohnenswert. 1599 Für den Fall, dass im Unternehmen selbst die – gerade in technisch geprägten und sehr spezialisierten Bereichen – notwendige Expertise zur Einführung eines professionellen Compliance-Systems fehlt, sollte das entsprechende Know-how von externen Dienstleistern zu Rate gezogen werden. 5.4.4 Beispiel: Einsatz von Smartphones, Tablets und anderen mobilen Endgeräten im Unternehmen 1600 Der Einsatz von mobilen Endgeräten, die Unternehmen ihren Mitarbeitern zur Verfügung stellen, ist im heutigen Arbeitsleben weit verbreitet. Die Ausstattung der Mitarbeiter insb. mit Smartphones ist im Dienstleistungssektor jedenfalls keine Seltenheit. 2286 S.a. Rz. 924 ff. 2287 Vgl. DS-GVO-E des EU-Parlaments v. Dazu Klinger, jurisPR-ITR 6/2014 Anm. 2. 2288 S. dazu Härting, http://www.cr-online.de/blog/2016/05/24/dsgvo-was-gilt-fuer-den-datenaustauschinnerhalb-eines-konzerns/ (abgerufen am 22.8.2016). 2289 Vgl. Härting, http://www.cr-online.de/blog/2016/05/24/dsgvo-was-gilt-fuer-den-datenaustausch-in nerhalb-eines-konzerns/ (abgerufen am 22.8.2016). 2290 Kampffmeyer, DuD 2010, 619.
404
Schneider/Kahlert
IT-Compliance
Rz. 1606
A
In Bezug auf Compliance-relevante Vorgaben stellen sich v.a. datenschutzrechtliche und IT- 1601 sicherheitsspezifische Fragen. Denn auf den Geräten werden regelmäßig sensible Informationen und Daten abgerufen, gespeichert, bearbeitet, kommuniziert und verschickt. Bei Berufsgeheimnisträgern wie etwa Ärzten, Rechtsanwälten, Steuerberatern und Wirtschaftsprüfern stellt sich diese Problematik wegen der Strafandrohung in § 203 StGB sogar noch verstärkt dar.2291 „Private“ Lizenzen werden dem Unternehmen zur Verfügung gestellt bzw. kommerziell genutzt. Evtl. ist der Trend bzw. der „Hype“ bei BYOD wegen dieser Probleme allmählich über- 1602 holt.2292 Allerdings könnte dies daran liegen, dass BYOD Teil eines größeren Problemkomplexes geworden ist, nämlich Wearables „am Arbeitsplatz“ und Ortung2293 bis hin zu M2M und totale Vernetzung der Unternehmen im Rahmen Industrie 4.0. Jedenfalls entsteht der Eindruck, dass evtl. auch die Sorglosigkeit im Umgang mit Devices gestiegen ist,2294 was nicht immer berücksichtigt wird. Dies wäre aber eine wichtige Aufgabe der „Compliance“, erst recht nun gem. DS-GVO i.V.m. Datenschutz-Folgenabschätzung (s. Rz. 513, 564, 570 ff.), die noch weiter vorverlagert ist als ein Frühwarnsystem. 5.5 Beschlagnahme E-Discovery und v.a. Beschlagnahmen nach ausländischen Rechtsregeln bedrohen ggf. die Einhaltung der nationalen Maßgaben.2295 Während bei auch aus europäischer Sicht nachvollziehbaren rechtsstaatlichen Verfahren der Zugriff im Prinzip zulässig sein kann, können aber spezielle Regeln entgegenstehen, etwa das Fernmeldegeheimnis.
1603
I.R.d. Diskussion um Safe Harbor, aber auch die evtl. Beschlagnahmemaßnahmen bei CloudProvidern weltweit wurde als eine Abschottung die Europäische Cloud propagiert.2296 Vonseiten Microsoft wurde die europäische Cloud mit der Besonderheit Datentreuhand propagiert bzw. angeboten.2297
1604
5.6 Kollisionen mit dem (Mitarbeiter-) Datenschutz, Beispiel Screening, Test Das Durchforsten von Mitarbeiter-Unterlagen im Hinblick auf bestimmte, evtl. i.V.m. ein- 1605 zelnen Aktionen stehende Merkmale und/oder dem Abgleich solcher Mitarbeiter-Daten mit Daten von Externen stellt im Bereich der Korruptionsbekämpfung, evtl. auch der Terrorismusabwehr bzw. der Spionageabwehr im Unternehmen ein wichtiges Werkzeug dar. Soweit kein konkreter Anlass bzw. Verdacht gegenüber einzelnen Mitarbeitern besteht, ist eine solche Verwendung der Daten, etwa auch im Rahmen einer Big Data-Anwendung, sehr problematisch. Dies gilt insb., wenn bestimmte Daten überhaupt für solche Untersuchungen bevorratet werden. Nach § 32 Abs. 1 Satz 2 BDSG müssen zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begann (zu den weiteren Erfordernissen s. Rz. 746 ff.). Im Hinblick auf die IT-Sicherheit gibt es i.R.v. § 31 BDSG eine Spezialregelung, die allerdings (wohl) keinen Zulässigkeitstatbestand darstellt, sondern die Folgen der Verarbeitung 2291 2292 2293 2294
S.a. E Rz. 165 ff. A.M., eher zunehmend: Röhrborn, BB 2015, 2357. Maier/Ossoinig: VuR 2015, 33, zur Ortung durch Smartphone-Apps. S.a. Art.-29-Gruppe, WP 185. Röhrborn, BB 2015, 2357: Zunehmend sorgloser Umgang mit mobilen Geräten – ein unbeherrschbares Risiko für den Arbeitgeber? 2295 S. z.B. zu einer E. des Bezirksgerichts Southern District of New York v. 25.4.2014 – Mag. 2814, ZD 2014, 346); Schröder/Spies, ZD 2014, 348, zum Umfang eines US-Beschlagnahmebeschlusses im Ausland in Bezug auf in der EU belegene Daten. 2296 S. aber als positive Initiative zwecks Industrieförderung bei Big Data Kommission v. 19.4.2016, http://europa.eu/rapid/press-release_IP-16-1408_de.htm (abgerufen am 22.8.2016). 2297 S. https://www.microsoft.com/de-de/cloud/deutschland/ (abgerufen am 26.8.2016).
Schneider/Kahlert
405
1606
A Rz. 1607
Datenschutz und IT-Management
von personenbezogenen Daten regelt, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert wird. Hier herrscht die besondere Zweckbindung. Daraus aber auf die Zulässigkeit zu schließen, ist wohl nicht korrekt. Die Frage bleibt deshalb, wann solche Daten für Sicherheitsmaßnahmen erhoben und gespeichert werden dürfen und muss nach den allgemeinen Regeln gelöst werden, also insb. im Kontext von § 32 BDSG. Dies betrifft auch die Durchführung von Tests mit Echtdaten, also auch Penetrationstests.2298 1607 Wenn die Erhebung und dann Verarbeitung zulässigerweise erfolgt, unterliegen diese Daten nicht nur einer strikten Zweckbindung, sondern dann muss nach den allgemeinen Regeln diese Zweckbindung auch von vorneherein festgelegt werden, dazu aber auch der Betroffene über diese Zweckbestimmung unterrichtet werden (§ 4 Abs. 3 BDSG). Es ist leicht vorstellbar, dass aus den über § 31 BDSG bzw. in diesem Zshg. gewonnenen Daten auch andere Zwecke als die der IT-Sicherheit verfolgt werden könnten, eben die angedeuteten Probleme etwa der Know-how-Spionage von Dritten, die Frage der Korruptionsbekämpfung u.ä. Diese Themen stehen zwar im Kontext der IT-Sicherheit, weil diese dazu dient, solche Attacken zu verhindern. Es bleibt aber nicht bei dieser IT-Sicherheit. Die Zweckbindung würde also bei der weiteren Verfolgung konkrete Anhaltspunkte geändert. Ein besonders gutes Beispiel für die „Zwickmühle“, so Kirsch, zwischen einer Rechtsvorschrift, die Datenbevorratung bzw. Screenings gegenüber den Mitarbeitern fordert und dem Datenschutz, ist das AWG. Aus diesem ergibt sich die Notwendigkeit von Mitarbeiter-Screenings und zwar hinsichtlich Terror-verdächtiger Personen (EGV 2580/2001 u. EGV 881/2002).2299 1608 Ob diese Verordnungen genügend bestimmt sind und die Verhältnismäßigkeit wahren, wird bezweifelt. Kirsch bezweifelt insb., dass § 32 BDSG als Rechtsgrundlage für entsprechende Screenings herangezogen werden dürfe.2300 Einen Ausweg könnte § 28 BDSG bieten. Die Frage ist aber, ob § 28 BDSG überhaupt anwendbar ist, wenn es eigentlich um eine zur Zeit nicht ausreichend ausgestaltete öffentliche Norm geht, die also als Zulässigkeitsnorm gerade nicht ausreichend wäre.2301 1609 Weitere Spannungen entstehen neben der Überwachung der Internetnutzung und erst recht natürlich der Telefonüberwachung i.R.d. Video-Überwachung und auch der Mitarbeiterortung, wobei letztere v.a. automatisch i.V.m. viel logistischen Systemen erfolgt, zumindest möglich ist. Die Mitarbeiterortung erfolgt in der Verbindung von GPS, Mobile Device und evtl. auch entsprechende Chips in Dienstausweisen. Die GPS-Geräte gehören dabei meistens zu den Fahr- bzw. Verladesystemen, wobei die Ortung, wenn auch nicht ganz so genau, auch nur über die Mobile Devices erfolgen kann. Die Besonderheit dabei ist, dass neben der Erfassung der Daten selbst Mitarbeiterprofile erstellt werden können, die Freizeit evtl. dabei mit einbezogen wird, jedenfalls Bereiche, in denen die dienstliche Veranlassung nicht mehr gegeben ist.
2298 Dazu Lejeune, ITRB 2016, 43; s.a. Rz. 1403. 2299 Verordnung (EG) Nr. 2580/2001 des Rates v. 27.12.2001 über spezifische, gegen bestimmte Personen und Organisationen gerichtete restriktive Maßnahmen zur Bekämpfung des Terrorismus und Verordnung (EG) Nr. 881/2002 des Rates v. 27.5.2002 über die Anwendung bestimmter spezifischer restriktiver Maßnahmen gegen bestimmte Personen und Organisationen, die mit Osama bin Laden, dem Al-Qaida-Netzwerk und den Taliban in Verbindung stehen; s. dazu Kirsch, ZD 2012, 519. 2300 Kirsch, ZD 2012, 519. 2301 Zum Daten-Screening zwischen den Compliance-Aufgaben und Arbeitnehmer-Datenschutz im Konflikt s.a. die Diss. Owschimikuv, Daten-Screening zwischen Compliance-Aufgaben und Arbeitnehmer-Datenschutz. Zugleich eine Bewertung des Regierungsentwurfs eines Gesetzes zur Regelung des Beschäftigten-Datenschutzes, Diss. 2013, 2014; Lohse, Beschäftigten-Datenschutz bei der Verhinderung und Aufdeckung von Straftaten. Eine Untersuchung des geltenden Rechts und der Gesetzesentwürfe der Bundesregierung, v. Bündnis 90/Die Grünen und der SPD, Schriften zum Recht der Arbeit Bd. 7, 2013.
406
Schneider/Kahlert
E-Government
Rz. 1614
A
Ohne Einwilligung erscheint diese Art der Mitarbeiterbeobachtung in der Regel sehr problematisch, was bedeutet, dass allenfalls besonders gewichtige betriebliche Interessen eine solche Ortung rechtfertigen können.2302
1610
6. Ausblick Compliance ist dauerhaft ein wichtiges Thema, das Unternehmen intensiv beschäftigt. Ge- 1611 rade im Bereich der IT und des Datenschutzes wird die Sensibilität von Öffentlichkeit und Gesetzgeber für Compliance-Aspekte voraussichtlich weiter zunehmen, eine qualitative oder quantitative Absenkung der Anforderungen ist nicht zu erwarten. Vielmehr wird es Aufgabe der Unternehmen sein, professionelle und funktionierende Compliance-Strukturen vorzuhalten. Ein Mangel an Aufmerksamkeit oder Investitionsbereitschaft in diesem Bereich könnte die Unternehmen teuer zu stehen kommen. Dies gilt verstärkt im Zshg. mit der DS-GVO, deren zahlreiche Instrumente rechtzeitig einzurichten sind, um mit unmittelbarer Geltung ab 24.5.2018 die dortigen Maßgaben erfüllen zu können. Insb. vor dem Hintergrund der Bußgeldvorschriften, s. Rz. 657 ff., sind hier besondere Sorgfalt und Absicherung angezeigt.
1612
Eine gebündelte Kodifikation von Compliance-Vorschriften wäre wünschenswert, wird sich 1613 aber aufgrund des Charakters als Querschnittsmaterie und der Einzelfallabhängigkeit der jeweiligen Vorgaben nur schwer realisieren lassen. Im Bereich des Datenschutzes könnte die EU-Datenschutzgrundverordnung (dazu Rz. 492 ff.) zu Vereinheitlichung und mehr Klarheit führen, wobei dies zweifelhaft erscheint: Die Anforderungen an die Aufgabenerfüllung sind in der DS-GVO zu einem erheblichen Teil sehr vage und heterogen, ohne dass klar wäre, wie das Verhältnis der Anforderungen zueinander zu priorisieren sei. Z.B. listet Art. 32 Abs. 1 DSGVO als zu berücksichtigende Faktoren auf: Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung, unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos. Allein die Ausfüllung des Begriffs „Stand der Technik“ ist uferlos. Etwas konkreter, aber nur in Ansätzen werden die Kategorien durch die Anforderungen durch die Datenschutz-Folgenabschätzung, wo in Art. 35 Abs. 7 DS-GVO eine konkrete und systematische Beschreibung der geplanten Verarbeitungsvorgänge gefordert wird, und Art. 36 DS-GVO, wo u.a. die Zwecke und Mittel der Verarbeitung darzulegen sind, aber auch dies erscheint noch sehr vage. In jedem Fall sollte Compliance nicht als selbstzentrierter Standortnachteil angesehen und verstanden werden, sondern im Gegenteil die Vorteile von Rechtsstaatlichkeit, Verlässlichkeit, organisatorischer Solidität und betriebswirtschaftlicher Effizienz in den Vordergrund rücken.
VIII. E-Government 1. Einführung und Entwicklung Seit geraumer Zeit gibt es Bestrebungen, die Vorteile der Informationstechnologien noch 1614 verstärkt im Behördenalltag nutzbar zu machen. Im Verhältnis zwischen Behörden und Bürgern (G2C – Government to Citizen) bzw. Behörden und Unternehmen (G2B – Government to Business), aber auch im Rahmen zwischenbehördlicher Tätigkeiten (G2G – Government to Government) ergeben sich beträchtliche Chancen, einen hohen Grad an Zeitersparnis, Flexibilität und Effizienz, einhergehend mit größerer Bürgernähe und der Vermeidung von Medienbrüchen, zu erreichen.2303 Hier relevant ist v.a. das Verhältnis G2B, aber, unter Datenschutzaspekten, auch das Verhältnis G2C. Mitunter ist die Rede von einer „Verwaltung 2302 S. a. Stamer/Kuhnke, in: Plath, BDSG, § 32 Rz. 129, 130. Zu einer Einwilligung, hier nach KunstUrhG und BDSG im Kontext der Videoüberwachung s. BAG v. 11.12.2014 – 8 AZR 1010/13. 2303 Roßnagel, NJW 2013, 2710.
Schneider/Kahlert
407
E-Government
Rz. 1614
A
Ohne Einwilligung erscheint diese Art der Mitarbeiterbeobachtung in der Regel sehr problematisch, was bedeutet, dass allenfalls besonders gewichtige betriebliche Interessen eine solche Ortung rechtfertigen können.2302
1610
6. Ausblick Compliance ist dauerhaft ein wichtiges Thema, das Unternehmen intensiv beschäftigt. Ge- 1611 rade im Bereich der IT und des Datenschutzes wird die Sensibilität von Öffentlichkeit und Gesetzgeber für Compliance-Aspekte voraussichtlich weiter zunehmen, eine qualitative oder quantitative Absenkung der Anforderungen ist nicht zu erwarten. Vielmehr wird es Aufgabe der Unternehmen sein, professionelle und funktionierende Compliance-Strukturen vorzuhalten. Ein Mangel an Aufmerksamkeit oder Investitionsbereitschaft in diesem Bereich könnte die Unternehmen teuer zu stehen kommen. Dies gilt verstärkt im Zshg. mit der DS-GVO, deren zahlreiche Instrumente rechtzeitig einzurichten sind, um mit unmittelbarer Geltung ab 24.5.2018 die dortigen Maßgaben erfüllen zu können. Insb. vor dem Hintergrund der Bußgeldvorschriften, s. Rz. 657 ff., sind hier besondere Sorgfalt und Absicherung angezeigt.
1612
Eine gebündelte Kodifikation von Compliance-Vorschriften wäre wünschenswert, wird sich 1613 aber aufgrund des Charakters als Querschnittsmaterie und der Einzelfallabhängigkeit der jeweiligen Vorgaben nur schwer realisieren lassen. Im Bereich des Datenschutzes könnte die EU-Datenschutzgrundverordnung (dazu Rz. 492 ff.) zu Vereinheitlichung und mehr Klarheit führen, wobei dies zweifelhaft erscheint: Die Anforderungen an die Aufgabenerfüllung sind in der DS-GVO zu einem erheblichen Teil sehr vage und heterogen, ohne dass klar wäre, wie das Verhältnis der Anforderungen zueinander zu priorisieren sei. Z.B. listet Art. 32 Abs. 1 DSGVO als zu berücksichtigende Faktoren auf: Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung, unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos. Allein die Ausfüllung des Begriffs „Stand der Technik“ ist uferlos. Etwas konkreter, aber nur in Ansätzen werden die Kategorien durch die Anforderungen durch die Datenschutz-Folgenabschätzung, wo in Art. 35 Abs. 7 DS-GVO eine konkrete und systematische Beschreibung der geplanten Verarbeitungsvorgänge gefordert wird, und Art. 36 DS-GVO, wo u.a. die Zwecke und Mittel der Verarbeitung darzulegen sind, aber auch dies erscheint noch sehr vage. In jedem Fall sollte Compliance nicht als selbstzentrierter Standortnachteil angesehen und verstanden werden, sondern im Gegenteil die Vorteile von Rechtsstaatlichkeit, Verlässlichkeit, organisatorischer Solidität und betriebswirtschaftlicher Effizienz in den Vordergrund rücken.
VIII. E-Government 1. Einführung und Entwicklung Seit geraumer Zeit gibt es Bestrebungen, die Vorteile der Informationstechnologien noch 1614 verstärkt im Behördenalltag nutzbar zu machen. Im Verhältnis zwischen Behörden und Bürgern (G2C – Government to Citizen) bzw. Behörden und Unternehmen (G2B – Government to Business), aber auch im Rahmen zwischenbehördlicher Tätigkeiten (G2G – Government to Government) ergeben sich beträchtliche Chancen, einen hohen Grad an Zeitersparnis, Flexibilität und Effizienz, einhergehend mit größerer Bürgernähe und der Vermeidung von Medienbrüchen, zu erreichen.2303 Hier relevant ist v.a. das Verhältnis G2B, aber, unter Datenschutzaspekten, auch das Verhältnis G2C. Mitunter ist die Rede von einer „Verwaltung 2302 S. a. Stamer/Kuhnke, in: Plath, BDSG, § 32 Rz. 129, 130. Zu einer Einwilligung, hier nach KunstUrhG und BDSG im Kontext der Videoüberwachung s. BAG v. 11.12.2014 – 8 AZR 1010/13. 2303 Roßnagel, NJW 2013, 2710.
Schneider/Kahlert
407
A Rz. 1615
Datenschutz und IT-Management
2.0“.2304 Zudem gibt es auch im Bereich der Legislative (E-Democracy, Online-Petitionen) und der Judikative (Elektronischer Rechtsverkehr, Elektronisches Mahnverfahren) IT-spezifische Modernisierungstendenzen. 1615 Bereits im Jahr 2000 hatte die Deutsche Hochschule für Verwaltungswissenschaften im Rahmen eines Forschungsprojektes die sog. „Speyerer Definition von Electronic Government“ erarbeitet (s. Rz. 1623). 1616 Mit dem Dritten Verwaltungsverfahrensänderungsgesetz (VwVfÄndG), das am 1.2.2003 in Kraft trat, hatte die Verwaltung des Bundes einen wichtigen Modernisierungsschub erhalten, indem die elektronische Form der Schriftform gleichgestellt wurde, sofern eine qualifizierte elektronische Signatur verwendet wird. Zudem wurde in § 130a ZPO das elektronische Dokument als Alternative zur Schriftform eingeführt. Jedoch fehlt es weiterhin an einer flächendeckenden Verbreitung der 1997 eingeführten Signaturkarten und -zertifikate (geregelt im SigG und der SigV), was insb. daran liegen mag, dass der Implementierungsdruck auf Nutzerseite bislang gering gewesen ist.2305 Weitere Initiativen zur Etablierung einer elektronischen Verwaltung hatten die Einführung eines elektronischen Identitätsnachweises (§ 18 PAuswG) und des De-Mail-Standards (De-Mail-G) zum Inhalt.2306 Um zusätzliche Dynamik zu entfachen, war seit Langem ein weiteres Gesetz zum E-Government gefordert worden. Am 1.8.2013 ist das Gesetz zur Förderung der elektronischen Verwaltung (E-Government-Gesetz des Bundes, EGovG) in Kraft getreten,2307 weitere E-Government-Landesgesetze (u.a. in BW, Bay., NW, Berlin, Sachs.) folgten, Schl.-Holst. war mit der Verabschiedung seines Landesgesetzes zur elektronischen Verwaltung vom 8.7.2009 eine Art Vorreiter. Zuvor war 2001 mit dem Zustellreformgesetz und 2002 mit dem Formvorschriftenanpassungsgesetz sowie dem Justizkommunikationsgesetz auch der Weg für einen elektronischen Rechtsverkehr und eine elektronische Aktenführung bei den Justizbehörden geebnet worden.2308 1617 Im Bereich des Handelsregisterrechts ist die elektronische Einreichung und die elektronische Registerführung bereits 2007 durch das Gesetz über das elektronische Handelsregister und Genossenschaftsregister sowie Unternehmensregister eingeführt worden. 1618 Das zivilprozessuale Mahnverfahren ist ebenfalls auf elektronische Handhabung umgestellt worden. Der Mahnantrag darf dem Gericht nunmehr allein in zugelassener maschinell lesbarer Form übermittelt werden, § 690 Abs. 3 Satz 2 ZPO; § 10 Abs. 1 Satz 1 Nr. 1 Rechtsdienstleistungsgesetz (RDG). In concreto geschieht dies regelmäßig in Form eines OnlineMahnantrags über das Elektronische Gerichts- und Verwaltungspostfach.2309 1619 Bemerkenswerte Erfahrungen mit dem Elektronischen Rechtsverkehr hat bislang das Land Hessen gemacht, wo seit 2007 der Elektronische Rechtsverkehr weitestgehend zugelassen ist.2310 Während knapp zwei Drittel aller bei Behörden ein- und ausgehenden elektronischen Nachrichten auf die obligatorischen Anforderungen des Handelsregister- und Mahnverfahrensrechts zurückzuführen sind, entfällt eine Vielzahl weiterer Korrespondenz auf „E-Rechnung“- und „E-Payment“-Maßnahmen sowie insolvenzrechtliche Sachverhalte.2311 In jedem Fall wird deutlich, dass die Einführung des elektronischen Rechtsverkehrs auf Dauer auch eine umfassende Umstellung auf eine gleichzeitige, korrespondierende elektronische Aktenführung erforderlich machen dürfte. Denn anders wird es zwangsläufig immer wieder 2304 Müller-Terpitz/Rauchhaus, MMR 2013, 10. 2305 Roßnagel, NJW 2013, 2710 (2710 f.). 2306 Schulz/Brackmann, De-Mail und alternative Dienste im Sozialverfahrens- und Abgabenrecht, DuD 2014, 186. 2307 E-Government-Gesetz des Bundes v. 25.7.2013 (BGBl. I S. 2749). 2308 Köbler, AnwBl. 2013, 589. 2309 Köbler, AnwBl. 2013, 589 (589 f.). 2310 Köbler, AnwBl. 2013, 589 (590). 2311 Köbler, AnwBl. 2013, 589 (590).
408
Schneider/Kahlert
E-Government
Rz. 1622
A
in hohem Maße zu unerwünschten Medienbrüchen kommen, deren Eintreten jedoch nach Möglichkeit verhindert werden soll. Mithilfe des sog. „Ersetzenden Scannens“2312 kann hier zwar im Nachhinein Abhilfe geschaffen werden; durch eine sukzessive Reduzierung der Papierkorrespondenz könnten jedoch bereits im Vorfeld Arbeitsaufwand minimiert und Effizienzsteigerungen herbeigeführt werden. Eine wichtige (formelle) Grundlage für die Kooperation zwischen Bund, Ländern und Kom- 1620 munen auf dem Feld der Planung, der Errichtung und dem Betrieb benötigter informationstechnischer Systeme hat der Verfassungsgeber infolge der sog. Föderalismusreform II im Jahr 2009 in Art. 91c GG geschaffen, womit die Digitalisierung der deutschen Verwaltungslandschaft weiter angestoßen wurde.2313 Art. 91c Abs. 2 Sätze 1 und 2 GG: Bund und Länder können aufgrund von Vereinbarungen die für die Kommunikation zwischen ihren informationstechnischen Systemen notwendigen Standards und Sicherheitsanforderungen festlegen. Vereinbarungen über die Grundlagen der Zusammenarbeit nach Satz 1 können für einzelne nach Inhalt und Ausmaß bestimmte Aufgaben vorsehen, dass nähere Regelungen bei Zustimmung einer in der Vereinbarung zu bestimmenden qualifizierten Mehrheit für Bund und Länder in Kraft treten.2314 Art. 91c Abs. 3 GG: Die Länder können darüber hinaus den gemeinschaftlichen Betrieb informationstechnischer Systeme sowie die Errichtung von dazu bestimmten Einrichtungen vereinbaren. Der IT-Staatsvertrag zur konkreten Ausgestaltung des Art. 91c GG und der Schaffung eines IT-Planungsrates, der als zentrales Gremium für die föderale Zusammenarbeit in der Informationstechnik fungieren und u.a. spezielle E-Government-Projekte steuern soll,2315 ist am 1.4.2010 in Kraft getreten. Im September 2010 hat der IT-Planungsrat ein Papier „Nationale E-Government-Strategie“2316 vorgestellt, in dem Perspektiven, Leitbild, Ziele und Umsetzungsmöglichkeiten benannt wurden.
1621
Zudem gibt es seit August 2013 in Deutschland erstmals ein umfassendes Bundesgesetz zur 1622 Einführung und Förderung von E-Government (EGovG)2317 und auch in den Bundesländern und den Kommunen bestehen weitere Bestrebungen in Bezug auf die Ausweitung elektronischer Verwaltungsdienstleistungen. Der Bundesinnenminister hat zudem unter Bezugnahme auf die Digitale Agenda der Bundesregierung die Vorbildrolle des Staates in Bezug auf Innovationsfreudigkeit und Digitalisierung betont, etwa mit Verweis auf die „Bereitstellung offener Daten, der Sicherstellung von Barrierefreiheit oder der gezielten Beschaffung von Green-IT-Entwicklungen“, um „angestrebte Entwicklungen in Wirtschaft und Gesellschaft zu befördern“.2318
2312 Gemäß Ziff. 1.1 der Technischen Richtlinie 03138 des BSI vom 20.3.2013 wird unter „Ersetzendem Scannen“ „das elektronische Erfassen von Papierdokumenten mit dem Ziel der elektronischen Weiterverarbeitung und Aufbewahrung des hierbei entstehenden elektronischen Abbildes (Scanprodukt) und der späteren Vernichtung des papiergebundenen Originals“ verstanden; weitere Informationen: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03138/index_htm.html (abgerufen am 26.8.2016). S.a. zur Zulässigkeit von Scanning und Beweiskraft gescannter Dokumente nach Einführung der TR-RESISCAN Hüsch, CR 2014, 206 ff. sowie praktische Hinweise zur Umsetzung bei Bartels/Schmidt, ITRB 2013, 184 ff. 2313 Dazu: Schallbruch/Städler, CR 2009, 619; Habammer/Denkhaus, MMR 2013, 358 (359). 2314 S.a. Rz. 1631. 2315 Nähere Informationen unter www.it-planungsrat.de (abgerufen am 26.8.2016). 2316 Abrufbar unter http://www.it-planungsrat.de/SharedDocs/Downloads/DE/Pressemitteilung/NEGS. pdf?__blob=publicationFile (abgerufen am 22.8.2016). 2317 S. Rz. 1633. 2318 De Maizière, Das Netz – Raum der Chancen und der Freiheit, FAZ Nr. 190 v. 18.8.2014, S. 6.
Schneider/Kahlert
409
A Rz. 1623
Datenschutz und IT-Management
2. Definition 1623 Es kursieren verschiedene Definitionen des Begriffs E-Government.2319 So hat etwa das Forschungsinstitut für öffentliche Verwaltung bei der Deutschen Hochschule für Verwaltungswissenschaften Speyer die sog. Speyerer Definition entworfen, wonach Electronic Government die Abwicklung geschäftlicher Prozesse im Zshg. mit Regieren und Verwalten mit Hilfe von Informations- und Kommunikationstechniken über elektronische Medien meint.2320 Darüber hinaus gibt es weitere Definitionen in den E-Government-Gesetzen des Bundes sowie einiger Bundesländer (s.o., Rz. 1616) und in Materialien der Europäischen Kommission.2321 Treffend bzw. als Arbeitshilfe brauchbar erscheint, dass E-Government als Abwicklung geschäftlicher Prozesse im Zshg. mit Regieren und Verwalten (Government) mit Hilfe von Informations- und Kommunikationstechniken über elektronische Medien verstanden wird.2322 E-Government ist als „umfassender“ Begriff anzusehen und umfasst „alle Aspekte des Regierens und Verwaltens (z.B. öffentliche Willensbildung, Entscheidungsfindung, Leistungserstellung und -erbringung, Partizipation usw.), solange und soweit sie durch IuK-Technologien unterstützt werden können“.2323 1624 „The European Commission’s eGovernment Action Plan 2011-2015 supported the provision of a new generation of eGovernment services. It included four political priorities based on the Malmö Declaration: – Empower citizens and businesses – Reinforce mobility in the Single Market – Enable efficiency and effectiveness – Create the necessary key enablers and pre-conditions to make things happen.“2324
Nun will die Kommission mit dem European eGovernment Action Plan 2016-2020 ein Schlüsselelement für den „single market“ schaffen.2325 1625 Dem Begriff E-Government ist also inhärent, dass es sich um den Einsatz von Informationsund Kommunikationstechnik in öffentlichen Verwaltungen handelt.2326 Dabei spielt das Ziel der Verwaltungsmodernisierung eine wichtige Rolle.2327 Relativ bekannt ist die elektronische Steuererklärung („Elster“), mit der im Bereich Steuern eine „spezifische E-Government-Landschaft“ geschaffen wurde.2328 1626 Die Spezifikation der jeweiligen Technik spielt in der gesetzlichen Regelung sinnvoller Weise keine Rolle, da sie sich ständig weiter entwickelt. Dies erschwert allerdings die Eingrenzung der Regelungen auf bestimmte Sachverhalte. Etwa spricht Art. 91c GG von informationstechnischen Systemen, § 2 E-GovG von „Elektronischer Zugang zur Verwaltung“, § 3 EGovG von Information zu Behörden und über ihre Verfahren in öffentlich zugänglichen Netzen Elektronischer Aktenführung. Demnach ist die Technik und deren Ausgestaltung kein spezifisches Kriterium für „e-Government“, sondern pragmatisch und im weitesten Sinne zu verstehen. 2319 2320 2321 2322 2323 2324 2325 2326
Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 1 ff. V. Lucke/Reinermann, Speyerer Definition von Electronic Government, 2000. Z.B. KOM (2003) 567 endg. v. 29.9.2003. Sog. Speyerer Definition, S. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 1. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 1. https://ec.europa.eu/digital-single-market/en/european-egovernment-action-plan-2011-2015. https://ec.europa.eu/digital-single-market/en/european-egovernment-action-plan-2016-2020. S. schon Mitteilung der Kommission „Die Rolle elektronischer Behördendienste (eGovernment) für die Zukunft Europas“, KOM (2003) 567 endg. v. 29.9.2003, S. 8. Zitiert nach Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5, Rz. 2. 2327 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 2 m.w.N. 2328 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 23, zu den Problemen dabei (die Steuerwaltung produziert selbst die Software und verteilt sie kostenlos) Rz. 150 ff.
410
Schneider/Kahlert
E-Government
Rz. 1631
A
3. (Aktuelle) Rechtslage 3.1 Überblick Die Einführung und Etablierung von E-Government-Strukturen ist in erster Linie eine He- 1627 rausforderung für die nationalen Gesetzgebungs- und Verwaltungskörper. Z.B sollen nach § 6 EGovG in der Fassung vom 25.7.2013 die Behörden des Bundes grds. ihre Akten elektronisch (ab 1.1.2012) führen. Vor dem Hintergrund der notwendigen Anforderungen hinsichtlich u.a. Standardisierung, Interoperabilität, Authentifikation und Datensicherheit sollte von vornherein ein möglichst flächendeckendes E-Government-System angepeilt werden. Hierfür hat der Bund mit dem E-Government-Gesetz (EGovG) wichtige rechtliche Grundlagen geschaffen und erste Anpassungen auch in den Verwaltungsverfahrensgesetzen des Bundes vorgenommen. Da die voneinander zu unterscheidenden Verwaltungsräume von Bund, Ländern und Kommunen jedoch trotz vereinbarter Kooperation auf dem Feld der Informationstechnik erhalten bleiben, ist zu erwarten, dass dem Vorbild Schl.-Holst., das bereits im Jahr 2009 ein eigenes Gesetz zum E-Government verabschiedet hat, weitere Bundesländer folgen und E-Government-Vorschriften für die Landesverwaltungen erlassen werden. Ein wichtiges Feld mit Entwicklungspotential ist die E-Vergabe.2329 Aufgrund der EU-Richt- 1628 linien wird die verbindliche Einführung der elektronischen Kommunikation im gesamten Vergabeverfahren vor (eVergabe) erfolgen müssen. Ausnahmen sind abschließend definiert.2330 3.2 Europarecht Auf gemeinschaftsrechtlicher Ebene gibt es bislang keine allgemeinen zusammenhängenden 1629 Vorgaben für die Ausgestaltung von E-Government. Allerdings bleiben einzelne Verordnungen oder Richtlinien z.T. nicht ohne unmittelbare oder mittelbare Auswirkungen auch auf die elektronische Verwaltungsinfrastruktur (immerhin sollte z.B. die Signatur-RL auch der Online-Beschaffung dienen).2331 So ist etwa in Art. 8 EG-Dienstleistungsrichtlinie festgelegt, dass eine elektronische Verwaltungsabwicklung i.R.d. Erledigung aller Formalitäten zur Aufnahme und Ausübung einer Dienstleistungstätigkeit ermöglicht werden soll. Diese Regelung wurde in deutsches Recht umgesetzt und findet sich in § 71e VwVfG wieder. Zu Fragen der Zulässigkeit der elektronischen Form in Verwaltungsverfahren sind hingegen 1630 keine Regelungen erlassen worden. Gleichwohl gibt es Initiativen der Europäischen Kommission, dieses Thema auf die Agenda zu setzen und in Form einer Verordnung Regelungen für elektronische Dienstleistungen bzw. Authentifizierungen zu erlassen. Ein entsprechender Verordnungsentwurf2332 mit weitreichenden Folgen für die E-Government-Gesetzgebung in den EU-Mitgliedstaaten liegt bereits vor.2333 3.3 Verfassungsrecht In Art. 91c GG findet sich seit dem 1.8.20092334 eine Regelung zur Zusammenarbeit von 1631 Bund und Ländern zum Zwecke der Planung, der Errichtung und des Betriebes der „für ihre Aufgabenerfüllung benötigten informationstechnischen Systeme“. Eine deutschlandweit 2329 S. Holleben/Probst, CR 2010, 349; Heckmann, jurisPK-Internetrecht, zu E-Procurement Kap. 5, Rz. 47; Bischof, in: Auer-Reinsdorff/Conrad, Rz. 384 ff.; s.a. Rz. 1696 und D. 2330 Bischof; ITRB 2015, 211 zu Richtlinie über die Vergabe öffentlicher Aufträge (RL 2014/24/EU, VRL), Richtlinie über die Vergabe von Aufträgen durch Auftraggeber im Bereich der Wasser-, Energieund Verkehrsversorgung sowie der Postdienste (RL 2014/25/EU, Sektoren-Richtlinie), und Richtlinie über die Vergabe von Konzessionen (RL 2014/23/EU). 2331 Gramlich/Orantek, in: Spindler/Schuster, § 1 SigG Rz. 5. 2332 Entwurf KOM (2012) 238. 2333 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 57. 2334 Es handelt sich um eine im Zuge der sog. Föderalismusreform II eingefügte Vorschrift.
Schneider/Kahlert
411
A Rz. 1632
Datenschutz und IT-Management
möglichst harmonisierte und interoperabilitätsfähige IT-Infrastruktur ist das angestrebte Ziel. Zur weiteren Konkretisierung sind in der Folge auf Grundlage des Art. 91c Abs. 2 GG staatsvertragliche Vereinbarungen geschlossen worden, die u.a. Standardisierungs- und Sicherheitsmaßstäbe festlegen. Zudem ist der IT-Planungsrat ins Leben gerufen worden, der aus Vertretern von Bund, Ländern und Kommunen besteht und als politisches Steuerungsgremium für die Implementierung von Informationstechnik- und E-Government-Maßnahmen in der Verwaltung angesehen werden kann.2335 Am 24.9.2010 hat der IT-Planungsrat die „Nationale E-Government Strategie“ beschlossen, mit der der Erbringung von Verwaltungsdienstleistungen über das Internet weiter der Weg bereitet werden soll. 1632 Mit Blick auf die grundrechtlichen Vorgaben des Grundgesetzes und die Rspr. des BVerfG, etwa das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme,2336 kommt dem Verfassungsrecht eine nicht zu unterschätzende Bedeutung für die Setzung der Rahmenbedingungen von E-Government zu. 3.4 Einfaches Recht 3.4.1 Bundesrecht 3.4.1.1 E-Government-Gesetz des Bundes (EGovG) 1633 Zum 1.8.2013 ist das Gesetz zur Förderung der elektronischen Verwaltung (E-GovernmentGesetz, EGovG) in Kraft getreten, wobei ein sukzessives Inkrafttreten der verschiedenen Vorgaben vorgesehen ist. Der Geltungsbereich erstreckt sich auf Bundesbehörden sowie bundesunmittelbare Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, aber auch alle weiteren öffentlich-rechtlichen Verwaltungstätigkeiten der Länder- und Kommunalbehörden, sofern diese Bundesrecht ausführen. Wichtige Ziele sind dabei u.a., einen elektronischen Zugang zur Verwaltung zu gewährleisten (§ 2 EGovG), Informationen zu Behörden und ihren Verfahren in öffentlich zugänglichen Netzen zur Verfügung zu stellen (§ 3 EGovG), elektronische Bezahlmöglichkeiten i.R.v. Verwaltungsverfahren einzurichten (§ 4 EGovG), eine elektronische Dokumentenverwaltung zu ermöglichen und zu implementieren (§§ 5–8 EGovG) und eine Optimierung von Verfahrensabläufen zu erreichen (§ 9 EGovG). Beachtenswert ist auch das Ziel einer verbesserten Barrierefreiheit der elektronischen Verwaltungsdienste. 3.4.1.2 Das Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten 1634 Am 13.6.2013 hat der Deutsche Bundestag das Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten beschlossen, das am 16.10.2013 – nachdem der Bundesrat auf einen Einspruch verzichtet hat – im Bundesgesetzblatt verkündet wurde. Damit soll der Weg geebnet werden für bundeseinheitliche Regelungen in Bezug auf die Einführung sicherer Übermittlungswege im elektronischen Rechtsverkehr (ERV). § 130a Abs. 4 ZPO n.F. sieht dazu verschiedene Varianten vor: die absenderbestätigte De-Mail (§ 130a Abs. 4 Nr. 1 ZPO n.F.), das besondere elektronische Anwaltspostfach2337 (§ 130a Abs. 4 Nr. 2 ZPO n.F.), das Behördenpostfach (§ 130a Abs. 4 Nr. 3 ZPO n.F.) sowie weitere sichere Verfahren, die zukünftig durch Rechtsverordnung ergänzend zugelassen werden können (§ 130a Abs. 4 Nr. 4 n.F.). In Bezug auf die De-Mail wird jedoch vielfach angemerkt, dass aufgrund der fehlenden Ende-zu-Ende-Verschlüsselung keine hundertprozentige Vertraulichkeit garantiert werden könne.2338 Diesem Einwand wird jedoch entgegengehalten, dass die sicheren Über2335 So die Erläuterungen auf der Internet-Webseite der Beauftragten der Bundesregierung für Informationstechnik, http://www.cio.bund.de/Web/DE/Politische-Aufgaben/IT-Planungsrat/it_planungsrat_ node.html (abgerufen am 19.11.2014). 2336 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274.; s.a. Rz. 1688 f. 2337 Hoffmann/Borchers, CR 2014, 62 ff.; Brosch/Sandkühler, NJW 2015, 2760. 2338 S. z.B. Hoffmann/Borchers, CR 2014, 62 (65).
412
Schneider/Kahlert
E-Government
Rz. 1638
A
mittlungswege i.S.d. § 130a Abs. 4 ZPO n.F. nicht die absolute Vertraulichkeit der Kommunikation bezwecken, sondern lediglich reine Verfahrensvorschriften darstellen.2339 Eine Zustellungsbestätigung soll zukünftig in Form eines elektronischen Empfangsbekenntnisses erfolgen.2340 Es erfolgt eine zeitliche Staffelung:2341: Die Bundesrechtsanwaltskammer hält besondere 1635 elektronische Anwaltspostfächer (beA) vor, über die die Rechtsanwälte und Behörden bis spätestens2342 2022 den Rechtsverkehr mit den Gerichten verpflichtend vornehmen müssen. Ab spätestens 2020 sollen alle Gerichte bundesweit elektronisch erreichbar sein, bereits zum 1.1.2018 ist vorgesehen, dass Gerichte elektronisch erreichbar sind.2343 Folglich ist das Ende der Papierpost im Rechtsverkehr zwischen Rechtsanwälten und Gerichten eingeleitet, von 2022 an wird die konventionelle Briefpost den prozessualen Schriftformerfordernissen nicht mehr gerecht. Nur auf das Strafrecht bleiben diese Regelungen unangewendet, wobei auch hier eine Gesetzesinitiative bereits angestoßen wurde und ein entsprechender erster Referentenentwurf als Diskussionsgrundlage vorliegt. Im Vorfeld der Einführung des beA ist es zu juristischen Auseinandersetzungen über die anwaltliche Nutzungspflicht und den Zeitraum der Übergangsfristen gekommen.2344 Zudem haben technische Probleme zunächst zu Verzögerungen geführt und der Starttermin wurde vom ursprünglich vorgesehenen 1.1.2016 kurzfristig um fast ein Jahr nach hinten geschoben.2345 Die Nutzungspflicht für den elektronischen Rechtsverkehr für Rechtsanwälte und Behörden 1636 ergibt sich aus § 130d ZPO n.F. Darüber hinaus wird bereits ab 2016 ein elektronisches Register für Schutzschriften eingeführt (§§ 945a und 945b ZPO n.F.), zu dessen Nutzung die Rechtsanwälte auch berufsrechtlich verpflichtet sein sollen (§ 49c BRAO n.F.)2346 Im Zshg. mit der Einführung des elektronischen Rechtsverkehrs und der elektronischen Ak- 1637 tenführung wird oft auch das Schlagwort „E-Justice“2347 bemüht. Hingewiesen sei zudem auf die zahlreichen Publikationen und vielfach stattfindenden Informationsveranstaltungen, die etwa von den Rechtsanwaltskammern, aber auch von anderen Institutionen angeboten werden, um alle von den Umstellungen Betroffenen auf den elektronischen Rechtsverkehr vorzubereiten. In einer Resolution vom 23.5.2014 hat die Hauptversammlung der Bundesrechtsanwalts- 1638 kammer auf datenschutzrechtliche Herausforderungen i.R.d. Einführung des Elektronischen 2339 Vgl. Brosch, K&R 2014, 9 (11), der insofern auch darauf hinweist, dass die Kommunikation zwischen Rechtsanwälten verfahrenstechnisch u.U. auch mittels einer offenen Postkarte erfolgen könnte und nicht immer zwingend die Verwendung von verschlossenen Briefumschlägen erforderlich ist. 2340 Brosch, K&R 2014, 9 (11). 2341 Weitergehende Informationen zum „Fahrplan“ der Gesetzesimplementierung: Köbler, AnwBl. 2013, 589 ff.; s.a. Brosch, K&R 2014, 9 ff.; Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6. 2342 Die einzelnen Bundesländer können allerdings durch Rechtsverordnung die Nutzungspflicht bereits ab dem 1.1.2020 oder dem 1.1.2021 verpflichtend einführen, Art. 24 Abs. 2 Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten. 2343 In Bay. wird etwa das LG Augsburg als erstes Zivilgericht den elektronischen Rechtsverkehr einführen und die elektronische Akte bereits im Jahr 2015 realisieren. Folglich können Rechtsanwälte ihre Schriftsätze bereits dann elektronisch bei dem Gericht einreichen, wenngleich eine Verpflichtung zur Nutzung des elektronischen Weges auch hier erst ab dem 1.1.2022 besteht. 2344 AGH v. 6.6.2016 – II AGH 16/15, NJW 2016, 2195 sowie AGH v. 6.6.2016 – II AGH 15/15, AnwBl 2016, 601; s. dazu Presseerklärung der BRAK v. 9.6.2016, abrufbar über http://www.brak.de/fuer-jour nalisten/pressemitteilungen-archiv/2016/presseerklaerung-7-2016/ (abgerufen am 26.8.2016) sowie Bericht der Legal Tribune Online v. 8.6.2016, abrufbar über http://www.lto.de/recht/job-karriere/j/ agh-berlin-empfangspflicht-besonderes-elektronisches-anwaltspostfach/ (abgerufen am 26.8.2016). 2345 Zum aktuellen Stand s. http://bea.brak.de/ (abgerufen am 12.12.2016); s.a. Rz. 1656. 2346 S. dazu Brosch, NJW 2015, 3692. 2347 Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 1 ff.
Schneider/Kahlert
413
A Rz. 1639
Datenschutz und IT-Management
Rechtsverkehrs (zum Elektronischen Rechtsverkehr s. Rz. 1654 ff.) hingewiesen und die Politik aufgefordert, die Voraussetzungen für höchstmögliche Sicherheits- und Datenschutzstandards zu schaffen.2348 Angesichts immer neuer Datenskandale müsse der Datensicherheit gerade im Zuge der berufsrechtlichen Verschwiegenheitspflicht eines Rechtsanwalts Priorität eingeräumt werden sowie eine abhörsichere und hackerfeste Infrastruktur und Kommunikationsplattform vorgehalten werden. Hieran bestünden jedoch Zweifel, insb. solange keine verlässlichen Rechtsrahmen etabliert würden und beispielsweise die Europäische Datenschutzgrundverordnung auf sich warten ließe. 3.4.1.3 Das BSI-Gesetz 1639 Das Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes enthält als Art. 1 das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik – BSI-Gesetz, BSIG.) ist am 20.8.2009 in Kraft getreten und regelt die Kompetenzen des bereits 1991 gegründeten Bundesamtes für Sicherheit in der Informationstechnik (BSI) neu. Hervorzuheben ist insb., dass das BSI nunmehr als zentrale Meldestelle für die Sicherheit in der Informationstechnik fungiert (§ 4 BSIG) und somit verlässliche Lagebilder und frühzeitig Angriffe erkennen und gezielt bekämpfen (§ 5 BSIG) bzw. vor ihnen warnen (§ 7 BSIG) kann. Darüber kann das BSI Mindeststandards für die Sicherung der Informationstechnik bei der Bundesverwaltung festlegen und entsprechend erforderliche Entwicklungen oder Anschaffungen vornehmen (§ 8 BSIG). 1640 Stark aufgewertet wurde das BSI durch das IT-SicherheitsG mit zentralen Kompetenzen und erheblich gesteigerter Ausstattung, s.a. Rz. 1406 ff. 3.4.2 Landesrecht 1641 Eine Vorreiterrolle unter den Bundesländern in Bezug auf die Einführung von E-Government hat das Land Schleswig-Holstein eingenommen. Es ist das erste Bundesland, das ein eigenes E-Government-Gesetz eingeführt hat.2349 Andere Bundesländer wollen jedoch bald nachziehen und haben die Gesetzgebungsverfahren bereits eingeleitet. 4. Konkrete Ausprägungen des E-Government 4.1 Informationstätigkeit der Verwaltungsbehörden 1642 Um eine aktive Bürgergesellschaft zu ermöglichen, ist als erster und sehr wichtiger Schritt eine umfassende Information der Bevölkerung über das Verwaltungshandeln erforderlich. Hierzu sind vielfach Internetportale der verschiedenen Behörden aufgebaut worden, die zum Ziel haben, Informationen über deren jeweilige Zuständigkeiten, Aufgaben und Kontaktmöglichkeiten vorzuhalten. 1643 Die Informationsfreiheitsgesetze (IFG) von Bund und Ländern2350 gewähren jedermann einen gesetzlichen „Anspruch auf Zugang zu amtlichen Informationen“, so etwa gem. § 1 Abs. 1 Satz 1 IFG gegenüber Bundesbehörden. Auf Landesebene gibt es vergleichbare Regelungen.2351 Ohne dass dies groß diskutiert würde, müssen die IFG eine Art Grat zwischen Informationsfreiheit einerseits und Know-how, UrhR und v.a. Datenschutz andererseits schaffen.2352 Orientierungssatz (der Redaktion): Die Einsichtnahme gemäß § 1 IFG in urhe2348 S. Presseerklärung Nr. 9/2014 der Bundesrechtsanwaltskammer v. 27.5.2014, abrufbar über www. brak.de. 2349 Am 23.6.2009 vom Schleswig-Holsteinischen Landtag beschlossen, LT-Drs. 16/2437. 2350 IFG des Bundes ist zum 1.1.2006 in Kraft getreten. Soweit keine Zusätze genannt sind, handelt es sich um das IFG des Bundes. 2351 Z.B. InfFrG MV; IFG NRW. 2352 S.a. Rz. 68 ff., und z.B. BVerwG v. 25.6.2015 – 7 C 2.14.
414
Schneider/Kahlert
E-Government
Rz. 1647
A
berrechtlich geschützte Texte von Behörden des Bundes stellt schon deshalb keine Urheberrechtsverletzung dar, weil die bloße Einsichtnahme keine Nutzung i.S.d. Urheberrechtsgesetzes ist. Die jeweilige Behörde kann dieser Verpflichtung auf Zugänglichkeit gegenüber dem Bürger 1644 u.a. dadurch gerecht werden, dass sie dem betreffenden Bürger Auskünfte erteilt, Akteneinsicht gewährt oder Informationen in sonstiger Weise zur Verfügung stellt, § 2 Abs. 2 Satz 1 IFG. Ein Informationsanspruch ist jedoch zurückzuweisen, soweit dies der Schutz besonderer öffentlicher Belange, behördlicher Entscheidungsprozesse, personenbezogener Daten, des geistigen Eigentums bzw. von Betriebs- oder Geschäftsgeheimnissen erfordert, §§ 3–6 IFG. Gem. § 9 IFG hat die Behörde dem betreffenden Antrag entweder stattzugeben und die jeweiligen Informationen unverzüglich (§ 7 Abs. 5 Satz 1 IFG), mit Blick auf die Sollvorschrift des § 7 Abs. 5 Satz 2 IFG innerhalb eines Monats mündlich, schriftlich oder elektronisch zu erfüllen, § 7 IFG; alternativ kann der Antrag gem. § 9 IFG abgelehnt werden, wenn entsprechende Versagungsgründe vorliegen. Gegen die Ablehnung steht dem betroffenen Bürger das Rechtsmittel des Widerspruchs oder der Verpflichtungsklage zu, § 9 Abs. 4 Satz 1 IFG. Im Übrigen besteht für den Fall, dass sich ein Bürger in seinem Recht auf Zugang zu amtlichen Informationen verletzt fühlt, auch die Möglichkeit der Kontaktaufnahme zur Bundesbeauftragten für den Datenschutz und die Informationssicherheit.2353 Zu beachten ist, dass die Behörden für die Zurverfügungstellung der Informationen gem. § 10 IFG Gebühren und Auslagen erheben können. Diese bemessen sich u.a. anhand des Verwaltungsaufwandes und liegen ausweislich der Informationsgebührenverordnung sowie des dazugehörigen Gebührenund Auslagenverzeichnisses zwischen 15 Euro und 500 Euro. Ein weiterer Aspekt der behördlichen Informationstätigkeit ist Open Government. Hierun- 1645 ter versteht man die Bündelung aller behördlichen Bemühungen, Informations- und Kommunikationskanäle für den direkten Kontakt zwischen Verwaltung und Bürgern bzw. Unternehmen zu etablieren und zu nutzen. Damit soll im Zeitalter des „Web 2.0“ und der damit verbundenen Interaktionsmöglichkeiten mehr Transparenz und Partizipation ermöglicht werden.2354 Die Zurverfügungstellung und Nutzung von behördlichen Datensammlungen für die Öffentlichkeit ist dabei eine wichtige Komponente und wird als Open Data bezeichnet. Unter www.govdata.de2355 wird etwa ein Web-Portal bereitgestellt, über das Verwaltungsdaten aller Verwaltungsebenen zentral abgerufen werden können. Dieses unter Federführung des Bundesministeriums des Innern entstandene Projekt befindet sich im Jahr 2014 noch in einer Erprobungsphase (Beta-Version), soll jedoch alsbald in den Regelbetrieb übergehen. Vor dem Hintergrund der teilweisen Verwendung eingeschränkter Lizenzmodelle, sieht sich dieses Projekt jedoch Kritik vonseiten verschiedener Open Data- und Open KnowledgeInitiativen ausgesetzt. Zudem stellen Bund und Länder seit einiger Zeit der interessierten Öffentlichkeit Geodaten 1646 zur Verfügung. Dies geht zurück auf die INSPIRE-Richtlinie der Europäischen Union vom 14.3.2007, die auf Bundesebene durch das Gesetz über den Zugang zu digitalen Geodaten (GeoZG) auf Länderebene durch entsprechende Landesgesetze in nationales Recht umgesetzt wurde. Über das Web-Portal www.geoportal.de2356 hat der Bund seine Geodatendienste gebündelt und stellt weitergehende Informationen zur Verfügung. Die Länder haben vergleichbare Internetseiten aufgebaut. Die sog. E-Democracy umfasst verschiedene elektronische Tools, die i.R.v. Informations-, Partizipations-, Meinungsbildungs- und Abstimmungsprozessen eingesetzt werden, in erster Linie also die Legislative betreffende Beratungs- und Begleitmaßnahmen darstellen. Wahlen 2353 2354 2355 2356
Weitere Informationen dazu abrufbar unter www.bfdi.bund.de (abgerufen am 26.8.2016). Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 12. Abgerufen am 26.8.2016. Abgerufen am 26.8.2016.
Schneider/Kahlert
415
1647
A Rz. 1648
Datenschutz und IT-Management
und Abstimmungen über das Internet durchzuführen (sog. I-Voting) dürfte jedoch mit Blick auf erhebliche Sicherheits-, Manipulations- und Datenschutzbedenken weiterhin skeptisch betrachtet werden. Selbst der Einsatz von Wahlcomputern (sog. E-Voting) verlief in der Vergangenheit nicht immer reibungslos. In den USA, wo seit Langem auf elektronische Wahlmaschinen zurückgegriffen wird, ist es immer wieder zu Problemen gekommen.2357 Im Jahr 2009 hat das BVerfG zudem die damalige Bundeswahlgeräteverordnung für verfassungswidrig erklärt, da diese nicht sicherstellte, dass nur Erfassungssysteme zum Einsatz kämen, die den verfassungsrechtlichen Voraussetzungen des Grundsatzes der Öffentlichkeit (Art. 38 i.V.m. Art. 20 Abs. 1 und Abs. 2 GG) entsprächen. Entscheidend sei, dass „alle wesentlichen Schritte der Wahl öffentlicher Überprüfbarkeit unterliegen (…)“ und insb. beim Einsatz elektronischer Wahlgeräte „die wesentlichen Schritte der Wahlhandlung und der Ergebnisermittlung vom Bürger zuverlässig und ohne besondere Sachkenntnis überprüft werden“ könnten.2358 Dies stellt offensichtlich eine hohe Hürde dar und war bei den z.T. verwendeten Wahlcomputern bei der Bundestagswahl 2005 nicht gewährleistet. Eine grundsätzliche Absage an die Verwendung von Wahlcomputern ist in dieser Entscheidung aber nicht zu sehen, auch wenn die Perspektiven für den Einsatz solcher Systeme in Deutschland mittelfristig wohl überschaubar bleiben. 1648 Die Online-Petition hat sich hingegen auf allen Ebenen (EU2359, Bund2360 und Länder2361) durchgesetzt und ist zu einem festen Bestandteil des jeweiligen Petitionsrechts geworden. Dabei werden Eingaben in einem offiziellen Online-Petitionsformular entweder in Form einer Einzelpetition oder in Form einer öffentlichen Petition an den jeweiligen Petitionsausschuss des Bundestages bzw. des betreffenden Landtages gerichtet. Aus Gründen der Öffentlichkeitsarbeit und des Agenda-Setting machen auch Nichtregierungsorganisationen und andere Verbände immer wieder von sog. nichtoffiziellen Online-Petitionen Gebrauch, die nicht an einen Petitionsausschuss gerichtet sind, sondern überwiegend darauf ausgerichtet sind, die Öffentlichkeit für bestimmte Themen zu sensibilisieren und weitere Unterstützer zu finden. 1649 Mit dem zur Bundestagswahl 2002 von der Bundeszentrale für politische Bildung eingeführten „Wahlomat“2362 ist zudem ein neues Informationsangebot geschaffen worden, dass seitdem im Vorfeld vieler Bundestags- und Landtagswahlen auf hohe Resonanz stieß und anzudeuten vermag, dass das Internet als Medium zur politischen/gesellschaftlichen Informationsgewinnung und Meinungsbildung nicht zu unterschätzendes Potenzial birgt, wenngleich auch Gefahren durch mögliche Manipulationen drohen können. 1650 In diesem Zshg. werden vermehrt auch sog. Liquid-Democracy-Ansätze angewandt und weiterentwickelt. Unter Liquid Democracy versteht man eine Stärkung direktdemokratischer Elemente und einen Ausbau partizipativer Beteiligungsmöglichkeiten, regelmäßig unter Einsatz elektronischer bzw. internetbezogener Instrumente. Meinungsbildungs- und Entscheidungsprozesse sollen gleichsam „verflüssigt“ werden, also nicht mehr in starren Abstimmungsstrukturen verlaufen und nicht mehr nur noch allgemeine Mandate umfassen. Vielmehr soll mithilfe technischer Lösungen eine unmittelbarere Rückbindung zwischen Legislativorganen und Bürgern ermöglicht werden. Mit Blick auf verfassungsrechtliche Schranken und nicht zuletzt auch datenschutzrechtliche sowie manipulationsbedingte Bedenken, scheint Liquid Democracy für eine flächendeckende Nutzung mit verbindlicher Wirkung in der Praxis aktuell wohl nur schwer vorstellbar. 2357 S. etwa http://www.heise.de/newsticker/meldung/Studie-In-den-USA-droht-ein-WahlmaschinenDebakel-2820268.html (abgerufen am 26.8.2016). 2358 BVerfG v. 3.3.2009 – 2 BvC 3/07, CR 2009, 278 (Leitsätze). 2359 S. https://petiport.secure.europarl.europa.eu//petitions/de/main (abgerufen am 22.8.2016). 2360 S. https://epetitionen.bundestag.de/ (abgerufen am 22.8.2016). 2361 S. die Internetseiten der jeweiligen Landtage. 2362 S. unter www.wahlomat.de (abgerufen am 22.8.2016).
416
Schneider/Kahlert
E-Government
Rz. 1655
A
Interessante Einsatzmöglichkeiten dürften sich v.a. in verbands- oder parteiinternen Prozes- 1651 sen ergeben, um Stimmungsbilder zu erhalten, Feedback-Möglichkeiten zu schaffen und die Meinungsbildung zu eruieren. Dies betrifft wohl insb. das Verhältnis zwischen den oberen Funktionären und der breiten Mitgliederbasis, wobei das Konzept der Liquid Democracy notwendigerweise eine hohe, repräsentative Beteiligung der Basis voraussetzt. Vor dem Hintergrund möglicher Urwahlen über z.B. die Aufstellung von Spitzenkandidaten oder die Entscheidung zu Koalitionsfragen, wie dies innerparteilich in der Vergangenheit auch in Deutschland bereits zum Tragen kam (allerdings ohne Einsatz von IT, sondern auf konventionellem Postwege), könnte Liquid Democracy eine interessante Bereicherung für das Organisationsmanagement von Verbänden, Parteien oder auch Kommunen sein. Zum Teil finden Liquid Democracy-Anwendungen schon heute in der Praxis Zuspruch.2363 4.2 Elektronische Kommunikation Elektronische Kommunikation ist im Verwaltungshandeln auf breiter Basis in Anwendung. 1652 Beachtenswert sind insb. die Neuregelungen im Verwaltungsverfahrensgesetz und im Verwaltungszustellungsgesetz (s. Rz. 1657). Besonders wichtig ist, dass die Schriftform durch die elektronische Form ersetzt werden kann, sofern eine qualifizierte elektronische Signatur verwendet wird.2364 E-Mail-Kommunikation hat intern wie extern bereits einen hohen Stellenwert, wenngleich 1653 der Schriftverkehr bislang nicht redundant geworden ist und dies auch nicht zu erwarten ist. Mit Verschlüsselungsmethoden und Authentifizierungsstandards versehene elektronische Kommunikationsmittel werden erwartungsgemäß weiter an Bedeutung gewinnen und die Alltagskommunikation zunehmend vereinfachen. Die Verwendung von Portaltechnologien ist weit verbreitet, auch Web 2.0-Anwendungen nehmen deutlich zu. Dennoch ist beachten, dass sich ein hundertprozentiger Datenschutz kaum gewährleisten lassen wird. 4.3 Elektronischer Rechtsverkehr/Elektronische Aktenführung Mit elektronischem Rechtsverkehr ist in erster Linie die elektronische Justizkommunikati- 1654 on gemeint.2365 Die bereits erwähnte Gleichstellung der elektronischen Form mit der Schriftform gem. § 130a ZPO ist dabei ein wichtiger Aspekt. Zu beachten ist, dass die elektronische Form nur gewahrt ist, wenn der Einsender eines elektronischen Dokuments bei den Verwaltungsgerichten i.R.d. EGVP-Verfahrens2366 das Postfach des Verwaltungsgerichts wählt.2367 Im EGVP-Verfahren ist es nicht erforderlich, jede einzelne in einer Nachricht enthaltene Datei gesondert zu signieren; vielmehr genügt die Verwendung einer sog. ContainerSignatur.2368 Im Falle von Übermittlungen per Telefax ist entscheidend, dass die empfangenen Übermittlungen in jedem Fall beim Empfänger ausgedruckt werden.2369 Das am 1.4.2005 in Kraft getretene Justizkommunikationsgesetz ermöglicht darüber hinaus die elektronische Aktenbearbeitung und Aktenführung. Weitere Reformen haben sich durch das Zweite Justizmodernisierungsgesetz vom 30.12.2006 sowie das Gesetz zur Förderung des elektronischen Rechtsverkehrs vom 10.10.2013 ergeben.
2363 Beispiele finden sich etwa unter http://www.freitag.de/autoren/angelo/fluessige-demokratie-in-ak tion (abgerufen am 22.8.2016); s. zu den damit verbundenen rechtlichen Problemen: Heckmann, in: Heckmann, jurisPK Internetrecht, Kap. 5 Rz. 80 ff. m.w.N. 2364 Einfügung des § 130a ZPO durch das Formvorschriftenanpassungsgesetz v. 13.7.2001. 2365 S. etwa Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6. 2366 EGVP = Elektronisches Gerichts- und Verwaltungspostfach. 2367 OVG NRW v. 7.6.2013 – 19 E 569/13. 2368 BGH v. 14.5.2013 – VI ZB 7/13, CR 2013, 437. 2369 AG Hünfeld v. 4.7.2013 – 34 Js-OWi 4447/13.
Schneider/Kahlert
417
1655
A Rz. 1656
Datenschutz und IT-Management
1656 Zu den elektronischen Verfahren im Justizsektor wird unter e-Justice und elektronischem Rechtsverkehr auch das „Besondere elektronische Anwaltspostfach“ (§ 31a BRAO) gerechnet, dessen Einführung zum 1.1.2016 gescheitert war.2370 Mit Einführung in 20162371 stellte sich die Frage, ob die BRAK das beA eines Rechtsanwalts ggf. auch ohne dessen Erstregistrierung empfangsbereit schalten darf.2372 Am 1.1.2018 tritt der neue § 130a ZPO in Kraft2373 mit der Möglichkeit, für einen Zeitraum von zwei Jahren das Inkrafttreten hinauszuschieben. Spätestens aber mit Beginn des Jahres 2020 müssen dann sämtliche Gerichte für elektronische Eingänge eröffnet sein.2374 4.4 Datenbankgrundbuch/Elektronisches Grundstücksregister 1657 Mit Gesetz vom 1.10.2013 wurde die Einführung eines bundesweit einheitlichen Datenbankgrundbuches beschlossen. Der konkrete Zeitpunkt der Einführung kann durch die Bundesländer individuell bestimmt werden, da diese mit der praktischen Umsetzung betraut sind. Insb. die Datenmigration sowie die Herstellung von Datenbankfähigkeit der Daten sind mit hohem Aufwand verbunden. Wichtige Vorteile des neuen Datenbankgrundbuches sollen die schnelle Abrufbarkeit und Verfügbarkeit der Grundbuchinformationen sowie ihre Überführung in die Systeme von Notaren oder Banken sein. Effizienzsteigerungen und Kosteneinsparungen dürften die Folge sein.2375 4.5 Auswirkungen auf das Verwaltungsverfahren (VwVfG, VwZG) 1658 Durch das dritte Verwaltungsverfahrensänderungsgesetz ist § 3a VwVfG im Jahr 2002 neu in das VwVfG eingefügt worden und damit die Möglichkeit, die elektronische Form als Ersatz zum Schriftverkehr zu verwenden, sofern eine qualifizierte elektronische Signatur nach dem Signaturgesetz zum Einsatz kommt und der Empfänger einen Zugang für den Empfang elektronischer Dokumente eröffnet hat. Damit sind die Voraussetzungen für eine rechtsverbindliche Kommunikation zwischen Bürger und Verwaltung geschaffen und die elektronische Form soll gleichberechtigt neben anderes Verwaltungshandeln treten.2376 Eine Verpflichtung des Bürgers, am elektronischen Verfahren teilzunehmen, besteht nicht. 1659 Auch in den einzelnen Bundesländern gibt es Regelungen zur Verwendung der elektronischen Form im Verwaltungsverfahren, die sich in ihrer Ausgestaltung z.T. erheblich voneinander unterscheiden.2377 1660 In § 37 Abs. 2 Satz 1 Alt. 2 VwVfG ist auch der elektronische Verwaltungsakt ausdrücklich statuiert. In Bezug auf die inhaltlichen und weiteren formellen Anforderungen gibt es kaum Unterschiede zum schriftlichen Verwaltungsakt (Bestimmtheit gem. § 37 Abs. 1 VwVfG, Erkennbarkeit der erlassenden Behörde gem. § 37 Abs. 3 VwVfG, Begründung gem. § 39 Abs. 1 VwVfG, keine Ermessensfehler gem. § 40 VwVfG, ordnungsgemäße Bekanntgabe gem. § 41 2370 Zum Vorhaben Bacher, NJW 2015, 2753; Brosch, NJW 2015, 3692; s.a. Rz. 1636. 2371 Skeptisch zur Akzeptanz Degen, in: Heussen/Hamm, Beck’sches Rechtsanwalts-Handbuch, 11. Aufl. 2016, § 66 Rz. 55 ff.; der DAV begrüßte in der Stellungnahme Nr. 37/2016 zum Referentenentwurf einer Verordnung über die Rechtsanwaltsverzeichnisse (RAVPV) und die besonderen elektronischen Anwaltspostfächer (beA) die Einführung des elektronischen Rechtsverkehrs im Allgemeinen und des beA im Besonderen und dabei die Übergangszeit bis zum 31.12.2017. 2372 Degen, in: Heussen/Hamm, Beck’sches Rechtsanwalts-Handbuch, 11. Aufl. 2016, § 66 Rz. 55 ff., 68; Brosch, NJW 2015, 3692. 2373 Brosch, NJW 2015, 3692. 2374 Brosch, NJW 2015, 3692. 2375 Zur Entwicklung vom „Elektronischen Grundbuch“, ERVGBG, zum DaBaGG s. Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 446 ff. 2376 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 304 m.w.N. 2377 Einen Überblick über ausgewählte Landesregelungen gibt Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 282 ff.
418
Schneider/Kahlert
E-Government
Rz. 1663
A
VwVfG, keine Nichtigkeit gem. § 44 VwVfG sowie Rechtsbehelfsbelehrung gem. § 37 Abs. 6 VwVfG). Hinsichtlich der (allerdings nicht zwingend) erforderlichen Unterschrift – oder alternativ Namenswiedergabe – des Behördenleiters gem. § 37 Abs. 3 VwVfG gilt beim elektronischen Verwaltungsakt, dass eine maschinenschriftliche Namenswiedergabe grds. nicht zu beanstanden ist. Zu beachten ist, dass ein Verwaltungsakt auch gem. § 3a Abs. 2 Satz 4 Nr. 3 VwVfG mittels De-Mail versendet werden kann; in diesem Fall muss die Bestätigung i.S.d. § 5 Abs. 5 De-Mail-G die erlassende Behörde als Inhaberin des De-Mail-Kontos erkennen lassen. Zudem ist eine qualifizierte elektronische Signatur zur Authentifizierung vonnöten, die ggf. gem. § 37 Abs. 4 VwVfG dauerhaft überprüfbar sein muss. Die Bekanntgabe eines elektronischen Verwaltungsaktes richtet sich nach § 41 VwVfG, der 1661 Zugang beurteilt sich nach Maßgabe des § 130 BGB in entsprechender Anwendung.2378 Der Zugang einer empfangsbedürftigen Willenserklärung – ein elektronischer Verwaltungsakt stellt eine solche dar – ist gegeben, wenn diese so in den Machtbereich des Empfängers gelangt ist, dass dieser unter normalen Verhältnissen die Möglichkeit hat, vom Inhalt der Erklärung Kenntnis zu nehmen, wobei auch ein E-Mail-Postfach als relevante Empfangsvorrichtung anzusehen ist.2379 Wenn die elektronische Nachricht in der Mailbox des Empfängers bzw. in der Mailbox von dessen Provider abrufbar gespeichert ist und zudem mit der Kenntnisnahme durch den Empfänger zu rechnen ist, kann somit von einem Zugang ausgegangen werden. Während Palandt/Ellenberger die Kenntnisnahmemöglichkeit nicht weiter problematisiert 1662 und einen unmittelbaren Zugang bejaht, sofern die E-Mail nicht zur Unzeit in der Mailbox des Empfängers einging,2380 geht Heckmann auf verschiedene Konstellationen ausführlich ein.2381 Mangels klarer Vorgaben durch Gesetz oder Rspr. wird man die zumutbare Kontrollfrequenz des E-Mail-Eingangs anhand der allgemeinen Verkehrsanschauung bestimmen müssen; dabei liegt eine Differenzierung nach der Professionalität des Nachrichtenempfängers, d.h. beispielsweise, ob es sich um eine Behörde, ein Unternehmen oder eine Privatperson als Empfänger handelt, nahe.2382 Man wird wohl nicht damit rechnen können und dies auch juristisch kaum annehmen dürfen, dass jeder private Inhaber eines E-Mail-Postfaches dieses stündlich oder gar noch häufiger auf eingehende E-Mails hin kontrolliert. Es wird allerdings z.T. vertreten, dass eine tägliche Leerung des E-Mail-Postfaches bei Pri- 1663 vatleuten durchaus angenommen werden darf bzw. sogar eine entsprechende Obliegenheit zum täglichen E-Mail-Abruf besteht. Dies hätte zur Folge, dass spätestens am darauffolgenden Tag nach dem Eingang der E-Mail in dem Postfach die Kenntnisnahme anzunehmen ist.2383 Allerdings wird auch die Ansicht vertreten, dass die Annahme eines täglichen E-Mail-Abrufes die Anforderungen an einen Privatmenschen überdehnen kann, da die Gewohnheiten der Bürger in Bezug auf Nutzung von E-Mail und Internet sehr unterschiedlich sind, selbst wenn die weit überwiegende Anzahl mit der Eröffnung eines E-Mail-Kontos bewusst eine rechtswirksame Zugangseröffnung für empfangsbedürftige Willenserklärungen geschaffen hat. Heckmann schlägt aktuell – die Verkehrsanschauung kann sich im Laufe der Zeit durchaus ändern und auch Gesetzgebung bzw. Rspr. könnten Vorgaben hierzu machen – eine Lösung vor, die sich an der sog. Drei-Tage-Fiktion des § 41 Abs. 2 VwVfG zur Bekanntgabe eines Verwaltungsaktes orientiert, und favorisiert demnach die Annahme einer pro Woche zweimal stattfindenden Kontrolle des E-Mail-Postfaches durch Privatpersonen.2384
2378 2379 2380 2381 2382 2383 2384
Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 530. Ellenberger, in: Palandt, § 130 Rz. 5 m.w.N. Ellenberger, in: Palandt, § 130 Rz. 7a m.w.N. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 536 ff. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 543 ff. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 545 m.w.N. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 545 a.E.
Schneider/Kahlert
419
A Rz. 1664
Datenschutz und IT-Management
1664 Bei Zugangsstörungen, die in der Sphäre des Empfängers liegen (z.B. Überfüllung des E-MailPostfaches, Virenbefall, irrtümliche Einordnung und Löschung2385 einer E-Mail wegen SpamVerdachts; auch Provider-Ausfall, da sich der Postfachinhaber den jeweiligen Provider selbst ausgesucht und mit diesem einen Vertrag geschlossen hat), ist grds. kein Hindernis gegeben, das einem Zugang nach § 130 BGB entgegenstünde.2386 1665 In Bezug auf Geschäftsleute, d.h. Unternehmer und Freiberufler, liegt die Sache klarer, da hier mit sofortiger Kenntnisnahme gerechnet werden kann, sofern die E-Mail während der üblichen Geschäftszeiten eingeht.2387 Bei Behörden oder Gerichten als Empfänger einer E-Mail als empfangsbedürftiger Willenserklärung (zum elektronischen Rechtsverkehr s. 4.3. Rz. 1654 ff.) kommt es auf die konkrete Kenntnisnahmemöglichkeit in zeitlicher Hinsicht nicht an, da die Fristwahrung jederzeit bis zum Fristablauf möglich ist. 1666 Hinsichtlich der Bekanntgabe eines elektronischen Verwaltungsaktes gilt gem. § 41 Abs. 2 Satz 2 VwVfG die Drei-Tage-Fiktion, wonach der Verwaltungsakt am dritten Tag nach der Absendung als bekannt gegeben gilt, es sei denn, er ist tatsächlich nicht oder zu einem späteren Zeitpunkt zugegangen, § 41 Abs. 2 Satz 3 Halbs. 1 VwVfG. Beweispflichtig bezüglich des Zuganges und dessen Zeitpunktes ist im Zweifel die erlassende Behörde, § 41 Abs. 2 Satz 3 Halbs. 2 VwVfG. 1667 Wenn dies durch Rechtsverordnung zugelassen ist, kommt auch eine öffentliche Bekanntgabe eines Verwaltungsaktes gem. § 41 Abs. 3 und 4 VwVfG in Betracht. Eine Allgemeinverfügung kann zudem ortsüblich bekanntgegeben werden, sofern eine individuelle Bekanntgabe an die Beteiligten untunlich ist. Während ein schriftlicher Verwaltungsakt in diesem Falle in einem hierfür vorgesehenen Verkündungsblatt (i.d.R. Amtsblatt) bekanntgegeben wird, ist bei einem elektronischen Verwaltungsakt unter ortsüblicher Bekanntmachung die Veröffentlichung im Internet, etwa auf der Behörden-Homepage, zu verstehen. Diese Regelung wurde durch das dritte Verwaltungsverfahrensänderungsgesetz neu eingefügt. Vor dem Hintergrund des hohen Verbreitungsgrades von im Internet veröffentlichten Unterlagen, muss die erlassende Behörde stets die Verhältnismäßigkeit einer solchen Form der Bekanntgabe im Auge behalten und die Folgen für den betroffenen Bürger (insb. Daten- und Geheimnisschutz und Recht auf informationelle Selbstbestimmung) beachten. 1668 Auch im Zustellungsrecht hat die elektronische Übermittlung von Dokumenten mittlerweile Niederschlag gefunden. § 2 Abs. 1 Alt. 2 VwZG schließt elektronische Dokumente ausdrücklich in den Anwendungsbereich des Gesetzes ein. In § 5 Abs. 4 bis 7 VwZG sowie in § 5a VwZG wird die elektronische Zustellung behandelt. Dabei ist zu differenzieren zwischen der Zustellung an besonders vertrauenswürdige Adressaten wie z.B. Behörden, Notare, Rechtsanwälte, Steuerberater, Wirtschaftsprüfer etc., an die ein elektronisches Dokument gegen Empfangsbekenntnis zugestellt werden kann (§ 5 Abs. 4 VwZG) und der Zustellung unter Verwendung einer qualifizierten elektronischen Signatur nach dem Signaturgesetz an jedermann, der eine entsprechende Zugangseröffnung vorhält (§ 5 Abs. 5 VwZG). Als dritte Möglichkeit ist die Zustellung über De-Mail-Dienste hinzugekommen, wobei der Abruf der Nachricht seitens des Adressaten durch eine Abholbestätigung zu dokumentieren ist (§ 5a VwZG). Geregelt ist ebenso die elektronische Zustellung ins Ausland (§ 9 Abs. 1 Nr. 4 VwZG) sowie die Zustellung durch öffentliche Bekanntmachung im elektronischen Bundesanzeiger (§ 10 VwZG). 1669 Eine bemerkenswerte Neuerung stellt zudem die Einführung eines einheitlichen Ansprechpartners auf Behördenseite für Existenzgründer in Fragen der Niederlassungs- und Dienst2385 Dazu als Beispiel für Sorgfaltspflichten: Anwalt und Spam-Korb-Kontrolle: LG Bonn v. 10.1.2014 – 15 O 189/13, MMR 2014, 709. 2386 Im Einzelnen dazu Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5, Rz. 538 ff., 549 ff. 2387 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 546.
420
Schneider/Kahlert
E-Government
Rz. 1673
A
leistungsfreiheit dar. Diese Einrichtung geht auf Art. 6 EG-Dienstleistungsrichtlinie (DLRL) zurück und wird nunmehr nach Umsetzung in deutsches Recht in den §§ 71a ff. VwVfG sowie den verschiedenen Landesverwaltungsverfahrensgesetzen geregelt. Ziel ist es, das Verwaltungsverfahren zu vereinfachen und zu modernisieren sowie einen Bürokratieabbau herbeizuführen. Über die einheitliche Stelle können für die Aufnahme bzw. Ausübung der Tätigkeit relevante Anzeigen, Anträge, Willenserklärungen und weitere Unterlagen eingereicht und entsprechend an die jeweils zuständige Behörde weitergeleitet werden, wobei Fristen mit Eingang bei der einheitlichen Stelle gewahrt werden. Auch erteilt die einheitliche Stelle Auskünfte zu etwaigen Fragen der verschiedenen Verwaltungsverfahren und kann den um Rat suchenden Antragsteller somit unbürokratisch unterstützen. Da die einheitliche Stelle auch auf elektronischem Wege erreichbar ist und auf Verlangen des Anfragenden das Verfahren gem. § 71e VwVfG elektronisch durchgeführt werden soll, ist diese Einrichtung durchaus als wichtige Komponente des E-Government anzusehen. Auch dies geht auf eine Vorgabe des Gemeinschaftsrechts zurück (Art. 8 EG-DL-RL). In jedem Fall muss die erlassende Behörde den Geheimhaltungsinteressen des Adressaten 1670 Rechnung tragen und sich dem entsprechenden Datenschutz und der Wahrung der Vertraulichkeit verpflichtet fühlen wie § 30 VwVfG bestimmt; eine konkrete Sicherheitsvorkehrung wird gleichwohl nur in § 87a Abs. 1 Satz 3 AO gefordert, in dem die Verschlüsselung der Nachricht gefordert wird, sofern diese Daten enthält, die dem Steuergeheimnis unterliegen. 4.6 Elektronische Steuererklärung (ELSTER) Eine weitere wichtige Komponente des E-Government ist die Digitalisierung der Steuerver- 1671 waltung und Modernisierung des Besteuerungsverfahrens. Mit Blick auf § 85 AO, der als wichtigen Besteuerungsgrundsatz einen gleichheitssatzkonformen Steuervollzug vorsieht, kann der Anspruch auf Verlässlichkeit, Effektivität, Serviceorientierung und Akzeptanz durch die Digitalisierung besser und nachhaltiger miteinander in Einklang gebracht werden.2388 Im Januar 1999 ist das sog. „ELSTER“-Verfahren2389 offiziell eingeführt worden, auf dessen 1672 Grundlage Steuererklärungen elektronisch an die Finanzämter übermittelt werden können bzw. müssen. Mittlerweile besteht seit 2005 für steuerpflichtige Arbeitgeber und Unternehmer grds. eine gesetzliche Pflicht, das „ELSTER“-Verfahren für Lohnsteueranmeldungen, Umsatzsteuer-Voranmeldungen sowie Lohnbescheinigungen ihrer Arbeitnehmer zu nutzen. Im Jahr 2015 wurden darüber hinaus 20 Mio. Einkommensteuererklärungen verzeichnet, die über das „ELSTER“-Verfahren an die Finanzämter übermittelt wurden.2390 Das bedeutet einen Anstieg der Nutzerzahlen um mehr als 25 % im Vergleich zum Vorjahr. Auch für die Zukunft wird davon ausgegangen, dass der elektronischen Steuererklärung eine immer stärkere Bedeutung zukommt. Zum 1.1.2013 wurde zudem die physische Lohnsteuerkarte durch ein elektronisches Verfah- 1673 ren, ELStAM (Elektronische Lohnsteuerabzugsmerkmale), häufig auch als „Elektronische Lohnsteuerkarte“ bezeichnet, ersetzt. Darüber hinaus wurden Pflichten zur authentifizierten elektronischen Übermittlung von etwa Umsatzsteuer-Voranmeldungen und LohnsteuerAnmeldungen statuiert.2391 Auch hiervon ging ein ein Entbürokratisierungsimpuls aus.
2388 Hey, DB 2014, Nr. 27-28, M5. 2389 „ELSTER“ ist eine offizielle Abkürzung und steht für elektronische Steuererklärung. 2390 BITKOM-Pressemitteilung v. 25.4.2014, abrufbar über https://www.bitkom.org/Presse/Presseinforma tion/ELSTER-Erstmals-20-Millionen-Steuererklaerungen-per-Internet.html (abgerufen am 26.8.2016). 2391 S. Deckers/Fiethen, MMR 2013, 158.
Schneider/Kahlert
421
A Rz. 1674
Datenschutz und IT-Management
4.7 Elektronische Rechnungen (E-Invoicing) 1674 Seit dem 1.7.2011 sind Rechnungen in Papierform und elektronische Rechnungen gleichgestellt.2392 Einzelheiten zur Ausstellung und Aufbewahrung von Rechnungen ergeben sich aus §§ 14 bis 14b UStG. Bei elektronischen Rechnungen muss gem. § 14 Abs. 3 UStG die Echtheit der Herkunft und die Unversehrtheit des Inhalts der Rechnung gewährleistet werden, entweder durch eine qualifizierte elektronische Signatur oder durch elektronischen Datenaustausch (EDI).2393 Zu beachten sind außerdem die Grundsätze ordnungsmäßiger DVgestützter Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) ersetzen zum 1.1.2015 die GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) und die GDPdU (Grundsätze zum Datenzugriff und Prüfbarkeit digitaler Unterlagen).2394 1675 Auf europäischer Ebene wurde am 16.4.2014 die Richtlinie 2014/55/EU über die elektronische Rechnungsstellung bei öffentlichen Aufträgen (sog. E-Invoicing-Richtlinien) erlassen, mit der europaweit einheitliche technische Standards für elektronische Rechnungen festgelegt wurden. 1676 Ein einheitliches Datenformat namens „ZUGFeRD, Version 1.0 final“2395 für elektronische Rechnungen wurde am 25.6.2014 vom „Forum elektronische Rechnung Deutschland“ (FeRD) vorgestellt.2396 Damit soll ein gut handhabbares Dateimodell auf Grundlage des PDF-Formats (ergänzt um eine XML-Komponente) zur Verfügung gestellt werden, die den Rechnungsaustausch zwischen Unternehmen, Behörden und Verbrauchern erleichtert. Auch im grenzüberschreitenden (europäischen und internationalen) Handel ist es einsetzbar. Am 13.7.2016 wurde zudem das E-Rechnungs-Gesetz vom Bundeskabinett verabschiedet, mit dem Unternehmen ermöglicht wird, die Rechnungsstellung gegenüber Behörden und Einrichtungen der Bundesverwaltung elektronisch abzuwickeln.2397 1677 In Deutschland werden jährlich etwa 32 Mrd. Rechnungen ausgestellt, wovon weniger als ein Zehntel in elektronischer Form erfolgt (Stand 2014).2398 Vor dem Hintergrund der Verabschiedung einheitlicher Standards und mit Blick auf ein erhebliches Kosteneinsparpotenzial wird für die Zukunft davon ausgegangen, dass sich der Anteil der elektronischen Rechnungen rasch erhöht und viele Unternehmen sowie die öffentliche Verwaltung die Umstellung von Papierrechnungen auf elektronische Rechnungen vornehmen.2399
2392 Dazu Intveen, ITRB 2014, 138. 2393 Dazu Kociok, in: Auer-Reinsdorff/Conrad, § 27 Rz. 139 ff. 2394 BMF v. 14.11.2014, s.a. Conrad, in: Auer-Reinsdorff/Conrad, Teil F, § 33 Rz. 324. S.a. Hüsch, CR 2014, 2016; Intveen, ITRB 2014, 138 (139): „Durch die GoBD soll einer vor allem von der Wirtschaft geforderten Modernisierung der GoBS sowie den aktuellen Entwicklungen im Bereich der GDPdU Rechnung getragen werden.“ 2395 „ZUGFeRD“ ist eine Abkürzung und steht für „Zentraler User Guide Forum elektronische Rechnung Deutschland“. 2396 Für weitergehende Informationen s. www.ferd-net.de (abgerufen am 22.8.2016). 2397 S. Pressemitteilung des BMI v. 13.7.2016, abrufbar über http://www.bmi.bund.de/SharedDocs/Pres semitteilungen/DE/2016/07/bundeskabinett-beschliesst-e-rechnungs-gesetz.html (abgerufen am 26.8.2016) sowie Entwurf eines Gesetzes zur Umsetzung der Richtlinie 2014/55/EU über die elektronische Rechnungsstellung im öffentlichen Auftragswesen, abrufbar über http://www.bmi.bund. de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_Gesetz_elektronische_Rechnungs stellung.pdf?__blob=publicationFile (abgerufen am 26.8.2016). 2398 Vgl. http://www.ferd-net.de/front_content.php?idart=938 (abgerufen am 22.8.2016). 2399 Vgl. Intveen, ITRB 2014, 138 (144).
422
Schneider/Kahlert
E-Government
Rz. 1681
A
4.8 E-Bilanz Für die Wirtschaftsjahre, die nach dem 31.12.2011 beginnen, besteht eine Verpflichtung der 1678 Gewerbetreibenden, die aufgrund gesetzlicher Vorschriften Bücher zu führen bzw. regelmäßig Abschlüsse zu machen haben (oder dies freiwillig tun), ihre Bilanzen bzw. Gewinnund Verlustrechnungen nach amtlich vorgeschriebenem Datensatz elektronisch an die Finanzverwaltung zu übermitteln (sog. „E-Bilanz“).2400 Dies betrifft grds. alle bilanzierenden Unternehmer, d.h. Personen, die aufgrund gesetzlicher Vorschriften Bücher zu führen bzw. regelmäßig Abschlüsse zu machen haben (oder dies freiwillig tun). Bei Missachtung dieser Anforderungen drohen den Betroffenen Bußgelder und die Steuerbehörden können Schätzungen vornehmen. 4.9 Elektronisches Handelsregister/Unternehmensregister Seit dem 1.1.2007 besteht gem. § 8 Abs. 1 HGB eine gesetzliche Pflicht zur elektronischen 1679 Führung des Handelsregisters.2401 Dies gilt auch für das zentrale Unternehmensregister. Zudem werden das Genossenschafts- und das Partnerschaftsregister sowie in einigen Bundesländern auch das Vereinsregister nunmehr elektronisch geführt, vgl. § 156 Abs. 1 Satz 1 GenG, § 5 Abs. 2 PartGG sowie § 55a BGB i.V.m. landesgesetzlichen Regelungen.2402 Die Details in Bezug auf die elektronische Führung des Handelsregisters bleibt gem. der Öffnungsklausel des § 8a Abs. 2 HGB den Landesgesetzgebern überlassen, die von dieser Möglichkeit auch Gebrauch gemacht haben.2403 Abrufbar sind die im Handelsregister vorgehaltenen Informationen über das Internet-Portal 1680 www.handelsregister.de. Dabei fallen gem. Nr. 1140, 1141 des Kostenverzeichnisses des Justizverwaltungskostengesetzes (JVKostG) Gebühren i.H.v. 1,50 Euro bis 4,50 Euro pro Abruf an. Erhalten geblieben ist auch die Möglichkeit, bei der Geschäftsstelle des jeweiligen registerführenden Gerichts Einsicht in das Handelsregister zu nehmen. Im Handelsregister finden sich Angaben zu allen Kapitalgesellschaften sowie denjenigen Personengesellschaften und gewerbetreibenden natürlichen Personen mit Sitz in Deutschland, die einen kaufmännischen Geschäftsbetrieb erfordern und nicht unter die Kleinunternehmerregelung fallen, §§ 1, 29 HGB. Gem. § 15 HGB gilt für die im Handelsregister eingetragenen Informationen ein Gutglaubensschutz; dies trifft auch auf Eintragungen im Genossenschafts- und Partnerschaftsregister zu, nicht jedoch hinsichtlich des Unternehmensregisters. Die Anmeldung zur Eintragung und Einreichungen zum Handelsregister sind in § 12 HGB 1681 geregelt. Anmeldungen zur Eintragung in das Handelsregister erfolgen elektronisch und in öffentlich beglaubigter Form, § 12 Abs. 1 Satz 1 HGB. Regelmäßig wird in der Praxis seitens des Anmeldungspflichtigen auf einen Notar zurückgegriffen, der mithilfe standardisierter Software-Anwendungen den bürokratischen und zeitlichen Aufwand minimiert.2404 Adressat der Anmeldungen ist das jeweils zuständige Registergericht. Für die Einreichung von Dokumenten bestimmt § 12 Abs. 2 Satz 1 HGB ebenfalls die elektronische Form. Im Falle der Einreichung einer Urschrift, einer einfachen Abschrift oder eines Dokuments, für das ein Schriftformerfordernis besteht, ist die Verwendung einer einfachen elektronischen Aufzeichnung ausreichend, § 12 Abs. 2 Satz 2 Halbs. 1 HGB. Bei notariell beurkundeten Dokumenten oder öffentlich beglaubigten Abschriften soll hingegen ein einfaches elektronisches Zeugnis inklusive einer qualifizierten elektronischen Signatur gem. § 39a BeurkG zum Einsatz kommen, § 12 Abs. 2 Satz 2 Halbs. 2 HGB. 2400 Für weitergehende Informationen s. etwa Reitsam/Sollinger, CR 2012, 349 sowie Backu/Bayer, ITRB 2014, 82. 2401 Diese Neuregelung geht zurück auf das Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das Unternehmensregister (EHUG) vom 10.11.2006. 2402 Dazu Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 433. 2403 Im Einzelnen dazu: Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 407. 2404 Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 430.
Schneider/Kahlert
423
A Rz. 1682
Datenschutz und IT-Management
1682 Im Jahr 2010 hatte der BGH einen Fall zu entscheiden, der sich mit dem behördlichen Umgang dieser elektronisch eingereichten Eingaben zum Handelsregister befasste. Ein mit Handelsregistersachen befasster Richter vom Gerichtsdirektorium könne demnach nicht verlangen, dass ihm die in elektronischer Form zum Handelsregister eingereichten Anträge und Eingaben in ausgedruckter Form vorgelegt werden.2405 Insb. stelle die Weigerung, die Unterlagen auszudrucken, keinen Eingriff in die richterliche Unabhängigkeit dar. Damit wird die elektronische Register- und Aktenführung auch innerbehördlich gestärkt und insb. das gehäufte Auftreten von Medienbrüchen durch Ausdruck elektronischer Unterlagen und ggf. späterem Einscannen diverser Materialien vermieden. 1683 Das Unternehmensregister gem. § 8b HGB fungiert als Sammelregister und stellt als Portallösung den Zugang zu sämtlichen veröffentlichungspflichtigen Unternehmensdaten2406 zur Verfügung.2407 Abrufbar ist es über die Internetseite www.unternehmensregister.de. 1684 Die elektronische Registerführung hat sich seit ihrer Einführung am 1.1.2007 in der Praxis bewährt und führte zu einer anerkennenswerten Entbürokratisierung insb. bezüglich der Informationsbeschaffung und Modernisierung der Verwaltungsdienstleistungen. Es ist ein Beispiel für gelungenes E-Government und Kooperation zwischen den Bundesländern und dem Bund, wobei es fortwährende Aufgabe bleiben wird, die Portale auf einem höchstmöglichen Handhabbarkeitslevel zu halten und einfachen Abruf wie Einreichung von Informationen zu gewährleisten. Zudem sind über die sehr umfangreichen Justizportale der Länder und des Bundes zahlreiche weitere Informationen zu Justizdienstleistungen erreichbar.2408 1685 Trotz allem wird es sinnvoll bleiben, auch die konventionellen Wege zur Geschäftsstelle des jeweiligen Registergerichts bzw. der entsprechenden Behörde aufrechtzuerhalten, um dem Anspruch der Bürgerfreundlichkeit auch in Zukunft gerecht zu werden. 4.10 Elektronische Gesundheitskarte 1686 Seit dem 1.1.2014 ist die sog. elektronische Gesundheitskarte (eGK) der obligatorische Versicherungsnachweis eines jeden Patienten in Deutschland. Sie wird als „herausragendes Modernisierungsprojekt im E-Health-Bereich“ eingestuft.2409 Die darauf gespeicherten Patientendaten sollen einen wichtigen Beitrag für mehr Effizienz und höhere Qualität im Gesundheitswesen leisten. 5. E-Government und Datenschutz 5.1 Bedrohungslage 1687 I.R.v. E-Government-Dienstleistungen kommt es zu einem Austausch verschiedener Arten personenbezogener Daten, darunter auch Daten mit erhöhter Sensibilität und mit entsprechend gesteigertem Geheimhaltungs- und Schutzbedarf. Hinsichtlich der dabei anfallenden Daten kann zwischen Inhaltsdaten, Bestandsdaten, Nutzungsdaten und Verkehrsdaten unterschieden werden.2410 Bedrohungen für die Sicherheit der Datenübertragung und den Schutz der Daten können sowohl in der Sphäre des Diensteanbieters (d.h. aufseiten der Verwaltung) als auch in der Sphäre des Nutzers liegen.2411 2405 BGH v. 21.10.2010 – RiZ (R) 5/09, CR 2011, 89 m. Anm. Hullen. Zu BGH v. 6.10.2011, I ZR 6/10 und BVerfG v. 17.1.2013, 2 BvR 2576/11 zur „Entnetzung i.V. mit richterlicher Unabhängigkeit s. Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 408. 2406 Im Einzelnen benannt in § 8b Abs. 2 HGB. 2407 Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 21 und 21.1. 2408 Abrufbar über www.justiz.de. 2409 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 73 m.w.N. 2410 Stollhof, Datenschutzgerechtes E-Government, S. 88 ff. 2411 Stollhof, Datenschutzgerechtes E-Government, S. 91 ff.
424
Schneider/Kahlert
E-Government
Rz. 1693
A
5.2 Datenschutzrechtliche Vorgaben Das Verfassungsrecht bestimmt die Grundprinzipien, an denen sich die einfachgesetzlichen 1688 Regelungen zu orientieren haben. Im Bereich des Datenschutzrechts hat das BVerfG die Rechtsentwicklung maßgeblich beeinflusst, indem es aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG im Jahr 1983 das „Recht auf informationelle Selbstbestimmung“ herleitete,2412 das auch ergänzende Funktionen hat, etwa gegenüber Fernmeldegeheimnis2413 und im Jahr 2008 zudem das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“2414 (s. Rz. 3, 36 f., 427, 669, 1257, 1543, 1591, 1632, 1688). Ausgehend von diesen verfassungsrechtlichen Leitlinien als Prämissen lassen sich in der Datenschutzpraxis zu beachtende Grundsätze ableiten, die auch ins Bundesdatenschutzgesetz (BDSG) Eingang gefunden haben: Grundsatz der Zweckbindung, Grundsatz der Erforderlichkeit, Grundsatz der Transparenz, Grundsatz der Datenvermeidung und der Datensparsamkeit.2415
1689
Auch das ggf. einschlägige Telemediengesetz (TMG) sowie das Telekommunikationsgesetz (TKG) sind zu beachten.2416 In Zukunft werden die Regelungen der EU-Datenschutz-Grundverordnung (DS-GVO) zu beachten sein.
1690
5.3 Datensicherheitsrechtliche Vorgaben Zentrale Vorschrift für die Gewährleistung der Datensicherheit ist § 9 BDSG, der bestimmt, 1691 dass diejenigen technischen und organisatorischen Maßnahmen zu treffen sind, die erforderlich sind, um die Vorschriften der Anlage zum BDSG zu garantieren. Dazu gehören gem. Satz 2 der Anlage zu § 9 BDSG Zutrittskontrollen (Nr. 1), Zugangskontrollen (Nr. 2), Zugriffskontrollen (Nr. 3), Weitergabekontrollen (Nr. 4), Eingabekontrollen (Nr. 5), Auftragskontrollen (Nr. 6), Verfügbarkeitskontrollen (Nr. 7) und die Gewährleistung der Zweckbindung (Nr. 8). Satz 3 der Anlage zu § 9 BDSG nimmt Bezug auf die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren, die als geeignete Maßnahme i.S.v. Satz 2 Nr. 2 bis 4 der Anlage zu § 9 BDSG anzusehen ist. Ein Äquivalent im Bereich des Telemedienrechts lässt sich in § 13 Abs. 4 TMG finden. Demnach ist durch technische oder organisatorische Maßnahmen sicherzustellen, dass der Nutzer die Nutzung des Dienstes jederzeit beenden kann (Nr. 1), die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder gesperrt werden (Nr. 2), der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann (Nr. 3), die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können (Nr. 4), Daten nach § 15 Abs. 2 TMG nur für Abrechnungszwecke zusammengeführt werden können (Nr. 5) und Nutzungsprofile nach § 15 Abs. 3 TMG nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können (Nr. 6).
1692
5.4 Dezentralisierung? Die Durchdringung mit ITK und vorgegeben Formaten Standards bei Inhalt und Prozedur 1693 wie auch die Assistenzfunktionen machen die Akteure nicht nur transparent, sondern präformieren auch deren Entscheidungen. Ob richterliche Unabhängigkeit oder freiheitliches 2412 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, NJW 1984, 419 ff. – Volkszählung, Mikrozensus. 2413 BVerfG v. 24.1.2012 – 1 BvR 1299/05; s.a. Rz. 1336. 2414 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 ff. – Online-Durchsuchung. 2415 Stollhof, Datenschutzgerechtes E-Government, S. 100 ff. 2416 Stollhof, Datenschutzgerechtes E-Government, S. 164 ff. Zur Abgrenzung Rz. 1248 ff.
Schneider/Kahlert
425
A Rz. 1694
Datenschutz und IT-Management
Kommunizieren – die Verengung von Spielräumen ist auch ein rechtsstaatliches Problem, das auch das Demokratieverständnis stark tangiert. Die Verwaltungshoheit der Länder und Kommunen ist ein wichtiges Prinzip der Verfassung. Es lässt sich deshalb hören, wenn Bedenken gegen faktische Zentralisierung, Verlagerung von Kompetenzen und Aushöhlung der Unabhängigkeit vorgebracht werden, ebenso wie auch unter Aspekten von Datenschutz und Sicherheit die Postulate der Entnetzung2417 und des informationellen Trennungsprinzips2418 durchaus wichtige, gut argumentierbare Postulate sind. In gewissem Sinne ist die Notwendigkeit der speziellen Regelung von KRITIS die Folge einer evtl. allzu unbedachten Konzentration, Zentralisierung und Monokultur, zumindest fehlender Redundanzen und genügender Schotten zwischen Systemen, zu IT-Sicherheit s. Rz. 1348 ff. 6. Vergaberechtliche Aspekte (Beschaffung von IuK-Technik) 1694 Um den behördlichen Bedarf an Hard- und Software zu decken, wird der Staat i.R.v. Beschaffungsprozessen am Markt aktiv. Dabei sind vergaberechtliche Vorgaben zu beachten (zum Vergaberecht s. D). Im Zuge der Vergaberechtsreformen der letzten Jahre ist eine europarechtliche Harmonisierung erfolgt, die jedoch nicht zu einer wünschenswerten Vereinfachung der Materie geführt hat, sondern – im Gegenteil – die Komplexität des ohnehin schon unübersichtlich gestalteten Vergaberechts weiter erhöht hat. 1695 Die öffentliche Hand ist verpflichtet, für Beschaffungen auf dem Sektor IT die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) bzw. die wenigen noch geltenden Besonderen Vertragsbedingungen für die Beschaffung von DV-Leistungen (BVB) ihrer Ausschreibung zugrunde zu legen. Die EVB-IT und BVB sind Ergänzende Vertragsbedingungen i.S.d. § 9 Abs. 1 Satz 2 und § 11 EG Abs. 1 Satz 2 VOL/A. Die Anwendung der EVB-IT und der BVB ist für Bundesbehörden gemäß Verwaltungsvorschrift zu § 55 BHO verbindlich. Auch die Länder sehen zum großen Teil identische oder ähnliche Anwendungsverpflichtungen vor.2419 Diese Muster-Texte decken verschiedene Vertragskonstellationen (Kauf, Miete, Dienstleistung) und Gegenstände (Hardware, Software -Erstellung, -Wartung, -Pflege, Systeme) ab.2420 1696 Gefördert werden auch die Online-Vergabeverfahren, die nur noch mittels elektronischer Datenübertragung abgewickelt werden (sog. E-Vergabe).2421 Allerdings schien die Anwendung in der Vergangenheit relativ schwach bzw. selten. Auf europäischer Ebene wurden viele Vergabeverfahren mittlerweile auf eine elektronische Handhabung umgestellt und auch für die EUMitgliedstaaten ist eine zunehmende Anwendung der E-Vergabe-Verfahren vorgesehen.
2417 Gaycken/Karger, in: Forgó/Helfrich/Schneider, Teil VI. Kapitel 5. 2418 S. etwa BVerfG v. 24.3.2013 – 1 BvR 1215/07 zum informationellen Trennungsprinzip gegenüber der Errichtung der Antiterrordatei als Verbunddatei. 2419 http://www.cio.bund.de/Web/DE/IT-Beschaffung/EVB-IT-und-BVB/evb-it_bvb_node.html (abgerufen am 22.8.2016). 2420 Übersicht mit weiterführenden Informationen abrufbar unter http://www.cio.bund.de/Web/DE/ IT-Beschaffung/EVB-IT-und-BVB/evb-it_bvb_node.html (abgerufen am 22.8.2016). Zu EVB-IT s.a. D Rz. 321 ff. 2421 S. dazu D Rz. 418 ff.; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 5 Rz. 142 ff.; s.a. http://www.evergabe-online.de/start.html;jsessionid=6A56D2A171D4F08E32020EF7CFCCFEAD?0 (abgerufen am 22.8.2016).
426
Schneider/Kahlert
B. E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung Rz.
Rz. I. Grundlagen 1. Verbraucher-, Fernabsatz-, E-Commerce-Vertragsrecht (Überblick) 1.1 Begrifflichkeiten . . . . . . . . . . . . 1.2 Regelungsgegenstand und -zweck . . . . . . . . . . . . . . . . . . . . 1.3 Gesetzessystematik. . . . . . . . . . 1.4 Entstehungshistorie und Regelungshintergrund. . . . . . . . 1.5 Unabdingbarkeit (halbzwingender Charakter), Umgehungsverbot . . . . . . . . . . . . . . . . . . . . . 2. Verbraucher- und Unternehmereigenschaft . . . . . . . . . . . . . . . . . . . . 3. Herkunftslandprinzip. . . . . . . . . . . . II. Fernabsatzvertragsrecht 1. Anwendungsbereich 1.1 Allgemein . . . . . . . . . . . . . . . . 1.2 Der Begriff „Fernabsatzvertrag“ (§ 312c Abs. 1 BGB) 1.2.1 Verbrauchervertrag (§ 310 Abs. 3 BGB) . . . . . . . . . . . . . . . 1.2.2 Entgeltlichkeit der Leistung des Unternehmers . . . . . . . . . 1.2.3 Vertragsverhandlungen und Vertragsschluss unter ausschließlicher Verwendung von Fernkommunikationsmitteln 1.2.4 Vertragsschluss im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems . . . . . 1.3 Bereichsausnahmen (§ 312 Abs. 2–6 BGB). . . . . . . . 2. Fernabsatzrechtliche Informationspflichten 2.1 Allgemeines . . . . . . . . . . . 2.2 Vorvertragliche Informationspflichten . . . . . . . . . . 2.2.1 Fernabsatzverträge (mit Ausnahme von Verträgen über Finanzdienstleistungen) 2.2.1.1 Informationsinhalt (Art. 246a § 1 Abs. 1 EGBGB) . . . . . . . . . . . . . . . 2.2.1.2 Widerrufsbelehrung (Art. 246a § 1 Abs. 2 und 3 EGBGB) . . . . . . . . . . . . . . .
2.2.1.3
1 6 14 20 28 32 55
68
71 77
81
94 100
102 105
109 111
Erleichterte Informationspflichten bei begrenzter Darstellungsmöglichkeit (Art. 246a § 3 EGBGB). . . . 2.2.1.4 Formale Anforderungen an die Informationserteilung. 2.2.1.4.1 Zeitpunkt . . . . . . . . . . . . . 2.2.1.4.2 Inhaltliche Art und Weise 2.2.1.4.3 Form. . . . . . . . . . . . . . . . . . 2.2.2 Fernabsatzverträge über Finanzdienstleistungen . . 2.2.2.1 Informationsinhalt . . . . . . 2.2.2.2 Formale Anforderungen an die Informationserteilung. 2.2.2.2.1 Zeitpunkt . . . . . . . . . . . . . 2.2.2.2.2 Inhaltliche Art und Weise 2.2.2.2.3 Form. . . . . . . . . . . . . . . . . . 2.2.3 Rechtsfolgen von Pflichtverstößen . . . . . . . . . . . . . . 2.3 Vertragliche Dokumentationspflichten 2.3.1 Die Pflichten im Einzelnen 2.3.1.1 Fernabsatzverträge (die keine Finanzdienstleistung betreffen) . . . . . . . . . . 2.3.1.2 Fernabsatzverträge über Finanzdienstleistungen . . 2.3.2 Rechtsfolgen von Pflichtverstößen . . . . . . . . . . . . . . 2.4 Beweislast für die Pflichterfüllung . . . . . . . . . . . . . . 3. Weitergehende Informationspflichten 3.1 BGB, TMG, TKG. . . . . . . . . . . 3.2 PAngV 3.2.1 Informationspflichten – Preisangabe, -ermittlung. . . . . 3.2.2 Anforderungen an die Darstellung der Information. . . . . 4. Widerrufsrecht 4.1 Rechtsgrundlage und Gesetzessystematik . . . . . 4.2 Ausschluss des Widerrufsrechts 4.2.1 Ausnahmetatbestände (§ 312g Abs. 2 BGB) 4.2.1.1 Allgemeines. . . . . . . . . . . . 4.2.1.2 IT-relevante Ausnahmen . 4.2.1.2.1 Kundenspezifikation (§ 312g Abs. 2 Satz 1 Nr. 1 BGB) . . . . . . . . . . . . .
Kosmides
122 128 131 135 154 159 161 169 170 174 176 180
192 199 201 205
206 211 222
241
248 254 255
427
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung Rz.
Rz. 4.2.1.2.2 Entsiegelte Datenträger (§ 312g Abs. 2 Satz 1 Nr. 6 BGB) . . . . . . . . . . . . . 266 4.2.1.2.3 Weitere Ausnahmetatbestände . . . . . . . . . . . . . . 276 4.2.2 Subsidiaritätsverhältnis . . 283 4.2.3 Erlöschenstatbestände . . . 285 4.2.3.1 Grundsatz (§ 356 Abs. 3 Satz 2 BGB) . . . . . . . . . . . . 286 4.2.3.2 Dienstleistungsverträge (§ 356 Abs. 4 BGB) . . . . . . 289 4.2.3.3 Online-Lieferung von digitalen Inhalten (§ 356 Abs. 5 BGB) . . . . . . 293 4.2.4 Rechtsmissbrauch . . . . . . 296a 4.3 Ausübungsmodalitäten des Widerrufsrechts 4.3.1 Inhalt und Form . . . . . . . . 297 4.3.2 Widerrufsfrist – Rechtzeitigkeit der Ausübung . . . . 310 4.4 Rechtsfolgen des Widerrufs 4.4.1 Allgemein . . . . . . . . . . . . . 317 4.4.2 Befreiung von der Vertragsbindung . . . . . . . . . . . . . . . 320 4.4.3 Rückgewähr der Leistungen . . . . . . . . . . . . . . . . . . . 321 4.4.4 Versandkosten . . . . . . . . . 329 4.4.5 Verpflichtung zum Wertersatz 4.4.5.1 Allgemeines . . . . . . . . . . . 341 4.4.5.2 Wertersatzpflicht für Wertverlust der Ware . . . . . . . . 345 4.4.5.3 Wertersatzpflicht für gezogene Nutzungen bei Dienstleistungen und Energielieferungen . . . . . . 354 4.4.5.4 Wertersatz bei der Lieferung digitaler Inhalte . . . . 358 4.5 Ausschluss weitergehender Ansprüche – Unabdingbarkeit und Umgehungsverbot . . . . . . . . . . . . . . . . 360 5. Regulierung des Vertragsinhalts 5.1 Informationen als Vertragsinhalt 361 5.2 Vereinbarungen über Extrazahlungen. . . . . . . . . . . . . . . . . . 365 5.3 Vereinbarungen über Entgelte für Zahlungsmittel . . . . . . . . . . 371 5.4 Vereinbarungen über Entgelte für Anrufe betreffend die Vertragsabwicklung. . . . . . . . . . 377 5.5 Vereinbarungen, die vom Gesetzesrecht abweichen (Verweis) . . 382 6. Wirksamkeit von Kündigung und Vollmacht zur Kündigung bei Dauerschuldverhältnissen . . . . . . . . 383
428
Kosmides
III. E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm 1. Einleitung . . . . . . . . . . . . . . . . . . . . . 2. Anwendungsbereich . . . . . . . . . . . . . 3. Allgemeine Pflichten . . . . . . . . . . . . 3.1 Bereitstellungspflicht (Korrektur von Eingabefehlern) . . . . . 3.2 Informationspflichten 3.2.1 Information nach § 312i Abs. 1 Satz 1 Nr. 2 BGB i.V.m. Art. 246c EGBGB. . . . . . . . . . . 3.2.2 Information nach § 312i Abs. 1 Satz 1 Nr. 3 BGB (Zugangsbestätigung) . . . . . . . . . . . . . . . 3.2.3 Information nach § 312i Abs. 1 Satz 1 Nr. 4 BGB (Abruf der Vertragsbestimmungen) . . . . . 3.3 Ausnahmetatbestände . . . . . . 4. Besondere Pflichten im B2C-Bereich 4.1 Informationspflichten 4.1.1 Information nach § 312j Abs. 1 BGB . . . . . . . . . . . . . . 4.1.2 Information nach § 312j Abs. 2 BGB 4.1.2.1 Allgemein . . . . . . . . . . . . . . . 4.1.2.2 Normenkonkurrenzen. . . . . 4.2 Pflicht zur Gestaltung der Bestellsituation nach § 312j Abs. 3 BGB . . . . . . . . . 5. Beweislast . . . . . . . . . . . . . . . . . . . . . 6. Weitergehende Informationspflichten 6.1 Informationspflichten nach dem TMG . . . . . . . . . . . . . . . . 6.1.1 Impressumspflicht (§ 5 TMG) 6.1.2 Informationspflichten bei kommerzieller Kommunikation (§ 6 TMG). . . . . . . . . . . 6.2 Sonstige Informationspflichten . . . . . . . . . . . . . . . . . 7. Rechtsfolgen von Pflichtverstößen . 8. Regulierung des Vertragsinhalts (insb. Voreinstellungen) . . . . . . . . . . 9. Zusammenfassender Überblick 9.1 Verbraucher-, Fernabsatz- und E-Commerce-Vertrag: Gemeinsamkeiten/Unterschiede . . . . . 9.2 Prüfungsschema . . . . . . . . . . . . 9.3 Anwendbarkeit der §§ 312 ff. BGB bei Verbraucher-, Fernabsatz- und E-CommerceVerträgen . . . . . . . . . . . . . . . . . .
493
IV. E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB 1. Einleitung . . . . . . . . . . . . . . . . . . . . .
495
389 394 404 405
407 415 418 422 424 425 426 430 440 453
454 455 466 470 471 480
487 489
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Rz.
Rz. 2. Online-Vertragsschluss . . . . . . . . . . 2.1 Elektronische Willenserklärung. . . . . . . . . . . . . . . . . 2.2 Angebot – Invitatio ad offerendum . . . . . . . . . . . . . . . . . . . . . 2.3 Annahme . . . . . . . . . . . . . . . . 2.4 Zustandekommen 2.4.1 Allgemein . . . . . . . . . . . . . . . . 2.4.2 Einzelne Probleme . . . . . . . . . 2.4.3 Bestell-Bestätigung . . . . . . . . . 2.4.4 Vertragsabschluss im Wege der Internetauktion . . . . . . . . 2.4.5 Identität des Vertragspartners – Stellvertretung . . . . . . . . . . . 3. Wirksamkeit. . . . . . . . . . . . . . . . . . . 3.1 Mängel der Geschäftsfähigkeit 3.2 Irrtum, Täuschung, Drohung – Anfechtbarkeit 3.2.1 Allgemein . . . . . . . . . . . . . . . . 3.2.2 Einzelfälle . . . . . . . . . . . . . . . . 3.2.3 Spezialfall: Unverhältnismäßig niedrige (Kauf-)Preise bei Internetauktionen . . . . . . . . . 3.2.4 Irrtumsvermeidung, Benutzerführung . . . . . . . . . . . . . . . 3.3 Formmängel . . . . . . . . . . . . . . 3.3.1 Schriftform . . . . . . . . . . . . . . . 3.3.2 Elektronische Form . . . . . . . . 3.3.3 Textform . . . . . . . . . . . . . . . . . 4. Regulierung der Beziehung der Parteien – Zwingende Inhaltsvorgaben . . . . . . . . . . . . . . . . . . . . . . 4.1 Zusendung unbestellter Produkte. . . . . . . . . . . . . . . . . . . 4.2 Regeln für besondere Vertriebsformen in §§ 312 ff. BGB (Verweis). . . . . . . . . . . . . . . . . . . 5. Allgemeine Geschäftsbedingungen 5.1 Allgemein – Überblick . . . . . . 5.2 Einbeziehung 5.2.1 Einbeziehungsvereinbarung (§ 305 Abs. 2 BGB) . . . . . . . . . 5.2.2 Vorrang der Individualabrede (§ 305b BGB) . . . . . . . . . . . . . . 5.2.3 Überraschende und mehrdeutige Klauseln (§ 305c BGB) . . . 5.3 Inhaltskontrolle . . . . . . . . . . . 5.3.1 Verbot unangemessener Benachteiligung (§ 307 Abs. 1 und 2 BGB). . . . . . . . . . 5.3.2 Insb. Transparenzgebot (§ 307 Abs. 1 Satz 2 BGB) . . . . 5.3.3 Klauselverbote (§§ 308, 309 BGB) . . . . . . . . . . . . . . . . . . . . 6. Internationale Zuständigkeit und anwendbares Recht – Online-Streitbeilegung. . . . . . . . . . . . . . . . . . . . . .
498 499 503 515 518 523 531 540 556 568 569 572 574 579 588 590 594 599 606
611 612 617 618 626 637 639 650 653 681 689
711
V. E-Werbung und weitere geschäftliche Handlungen 1. Allgemeines . . . . . . . . . . . . . . . . . . . 2. Irreführende Werbung 2.1 Allgemein . . . . . . . . . . . . . . . . . . 2.2 Werbung mit Produktmerkmalen . . . . . . . . . . . . . . . . . . . . . 2.3 Werbung mit Preisen – Preisangabe. . . . . . . . . . . . . . . . . 2.4 Kundenbewertung . . . . . . . . . . . 2.5 Angaben im Rahmen vergleichender Werbung . . . . . . . . . . . . 2.6 Irreführung durch Unterlassen . 2.7 Sonstige Fälle . . . . . . . . . . . . . . . 3. Vergleichende Werbung . . . . . . . . . . 4. Belästigende Werbung 4.1 Allgemein . . . . . . . . . . . . . . . 4.2 Arten 4.2.1 Telefon, Cold Calls, Call Center 4.2.1.1 Direktmarketing . . . . . . . . . 4.2.1.2 Telefonwerbung gegenüber Unternehmen. . . . . . . . . . . . 4.2.1.3 An Rechtsanwalt adressierte Werbung . . . . . . . . . . . . . . . . 4.2.1.4 E-Mail-Werbung am Arbeitsplatz . . . . . . . . . . . . . . . . . . . 4.2.2 SMS-Werbung. . . . . . . . . . . . 4.2.3 Fax. . . . . . . . . . . . . . . . . . . . . 4.2.4 E-Mail . . . . . . . . . . . . . . . . . . 4.2.5 E-Card . . . . . . . . . . . . . . . . . . 4.3 Einwilligung . . . . . . . . . . . . . 4.4 Verhinderung, Blocker . . . . . 4.5 Werbefinanzierte Telefonate 5. Sonstige Erscheinungsformen unlauteren Handelns . . . . . . . . . . . . 5.1 Verschleierung des Werbecharakters . . . . . . . . . . . . . . . . . . 5.2 Unzulässige Nachahmung fremder Leistungsergebnisse . . . 5.3 Mitbewerberbehinderung . . . . . 5.4 Verstoß gegen eine Marktverhaltensregelung . . . . . . . . . . . . . 5.5 Unzulässige an Kinder und Jugendliche adressierte Werbung . 5.6 Aufforderung zur Bezahlung unbestellter Waren und Dienstleistungen . . . . . . . . . . . . . . . . . . 6. Besondere Kommunikations-/ Werbeformen. . . . . . . . . . . . . . . . . . . 6.1 Ranking, Beeinflussung . . . . . . 6.2 Cookies. . . . . . . . . . . . . . . . . . . 6.3 Links, Deep Links . . . . . . . . . . 6.4 Banner. . . . . . . . . . . . . . . . . . . . 6.5 Keywords und Adwords . . . . . . 6.6 Doorwaypages . . . . . . . . . . . . . 6.7 Pop-up-Fenster . . . . . . . . . . . . . Kosmides
717 722 724 736 747 751 754 757 762 770
780 784 786 788 789 795 803 826 831 869 871 872 873 874 876 884 898 908 910 911 920 925 930 932 950 951
429
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung Rz.
Rz. Online-Spiele, In-GameAdvertising . . . . . . . . . . . . . . . 6.9 Metatags. . . . . . . . . . . . . . . . . . 6.10 Frames . . . . . . . . . . . . . . . . . . . 6.11 Soziale Netzwerke. . . . . . . . . . 6.12 Virales Marketing . . . . . . . . . . 6.13 Tippfehlerdomains (Typosquatting) . . . . . . . . . . . . 6.14 Arzneimittelwerbung . . . . . . . 7. Lauterkeitsrechtliche Ansprüche, insb. Unterlassung . . . . . . . . . . . . . .
4.9.1
6.8
VI. Haftung und Privilegierung der Provider 1. Allgemeines – System der §§ 7 ff. TMG . . . . . . . . . . . . . . . . . . . 2. Haftung für eigene Informationen. . 2.1 Eigene Informationen. . . . . . . 2.1.1 Eigene Informationen im engeren Sinne . . . . . . . . . . . . . 2.1.2 Eigene Informationen im weiteren Sinne: zu eigen gemachte Informationen . . . . 2.2 Bereithalten zur Nutzung . . . 2.3 Haftung „nach den allgemeinen Gesetzen“ . . . . . . . . . . . . 3. Haftungsprivilegierung 3.1 Arten der Privilegierten – Voraussetzungen der Privilegierung . . . . . . . . . . . . . 3.2 Einzelne Anbieter 3.2.1 Suchmaschinen, Links . . . . . . 3.2.2 Usenet-Provider . . . . . . . . . . . 3.2.3 Domain . . . . . . . . . . . . . . . . . . 4. Haftung, insb. Störerhaftung 4.1 Allgemeines . . . . . . . . . . . . . 4.2 Schutzgegenstände . . . . . . . . 4.3 Access-Providing . . . . . . . . . 4.4 Presence-Providing . . . . . . . . 4.5 ASP . . . . . . . . . . . . . . . . . . . . 4.6 Internetanschlussinhaber – W-LAN-Betreiber . . . . . . . . . 4.7 Account-Inhaber. . . . . . . . . . 4.8 Filesharing . . . . . . . . . . . . . . 4.9 Foren – Bewertungsplattformen
956 959 977 982 985 987 991 995
1009 1022 1023 1024 1025 1040 1041
1043 1056 1066 1071 1074 1086 1090 1106 1110 1112 1123 1126
Meinungsäußerungsfreiheit und persönlichkeitsrechtsverletzende Inhalte . . . . . . . . 4.9.2 Haftung des Forenbetreibers. 4.9.3 Virtuelles Hausrecht – Sperre 4.10 Virtuelle Welten . . . . . . . . . . 4.11 Suchmaschinen . . . . . . . . . . . 4.12 Foto-, Musik- und Videoplattformen . . . . . . . . . . . . . . 4.13 Online-Marktplätze . . . . . . . 4.14 Domaininhaber und Admin-C . . . . . . . . . . . . . . . . 4.15 Affiliate-Marketing . . . . . . . . 4.16 Soziale Netzwerke . . . . . . . . 4.17 Links 4.17.1 Allgemeines. . . . . . . . . . . . . . 4.17.2 Insb. Urheberrecht . . . . . . . . 4.17.3 Insb. Strafrecht . . . . . . . . . . . 4.18 E-Werbung . . . . . . . . . . . . . . . 4.19 Beeinflussung von Suchmaschinen . . . . . . . . . . . . . . . 4.20 Adwords und Keywords . . . . 4.21 Frames . . . . . . . . . . . . . . . . . . 4.22 Thumbnails . . . . . . . . . . . . . . 4.23 eDonkeys. . . . . . . . . . . . . . . . 4.24 Online-Enzyklopädie . . . . . . 4.25 Glücksspiel . . . . . . . . . . . . . . 4.26 E-Cards . . . . . . . . . . . . . . . . . 5. Ansprüche gegen Verletzer und v.a. Störer 5.1 Grundlagen . . . . . . . . . . . . . . . 5.2 Beseitigung/Unterlassung sowie Schadensersatz 5.2.1 Allgemeines. . . . . . . . . . . . . . . 5.2.2 Beseitigung und Unterlassung 5.2.3 Schadensersatz . . . . . . . . . . . . 5.2.4 Internationale Zuständigkeit, anwendbares Recht . . . . . . . . . 5.2.5 Disclaimer . . . . . . . . . . . . . . . . 5.3 Auskunft 5.3.1 Allgemeines. . . . . . . . . . . . . . . 5.3.2 Spezialgesetzliche Auskunftsansprüche . . . . . . . . . . . . . . . . 5.3.3 Allgemeiner Auskunftsanspruch gem. § 242 BGB . . . .
1136 1161 1182 1187 1192 1209 1220 1241 1253 1265 1267 1278 1288 1291 1292 1293 1296 1304 1316 1320 1328 1330
1331 1335 1342 1354 1360 1363 1367 1370 1392
Literatur: Ahrens, Das Herkunftslandprinzip in der E-Commerce-Richtlinie, CR 2000, 835; Ahrens/Richter, Fingierte Belobigungen im Internet, WRP 2011, 814; Aigner/Hofmann, Fernabsatzrecht im Internet, 2004; Alexander, Neuregelungen zum Schutz vor Kostenfallen im Internet, NJW 2012, 1985; Alexander, Vertragsrecht und Lauterkeitsrecht unter dem Einfluss der Richtlinie 2005/29/EG über unlautere Geschäftspraktiken, WRP 2012, 515; Alexander, Schadensersatz und Abschöpfung im Lauterkeits- und Kartellrecht, 2010 (Habil. 2009); Alexander, Neuregelungen zum Schutz der Verbraucher bei unerlaubter Telefonwerbung, JuS 2009, 1070; Alexander/Bornkamm/Buchner/Fritzsche/Lettl (Hrsg.), Festschrift für Helmut Köhler zum 70. Geburtstag, 2014; Alpert, Virtuelle Marktplätze im Internet, CR 2001, 604; Anderson, Who Will Take the Lead in the Fight Against Online Piracy?, CRi 2009, 33; Apel/Steden, Urheberrechtsverletzungen durch Werbeblocker im Internet?, WRP 2001, 112; Arndt/Köhler, Elektronischer Han-
430
Kosmides
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
del nach der E-Commerce-Richtlinie, EWS 2001, 102; Artz, Schuldrechtsmodernisierung 2001/2002, JuS 2002, 528; Auer, Neues zu Umfang und Grenzen der richtlinienkonformen Auslegung, NJW 2007, 1106; Auer-Reinsdorff, Domainmanagement: Rechtliche Unterstützung der Domain- und Markenführung, ITRB 2011, 188; Auer-Reinsdorff, Haftung bei Werbe-Affiliate-Programmen, ITRB 2008, 164; Auer-Reinsdorff, Verfall von Guthaben bei Onlinediensten – Klauselgestaltung gegenüber Verbrauchern, ITRB 2007, 122; von Bar/Clive (eds.), Principles, Definitions and Model Rules of European Private Law: Draft Common Frame of Reference (DCFR), Vol. I, 2009 (zitiert: von Bar/Clive (eds.), DCFR, Vol. I); von Bar/Wudarski (Hrsg.), Deutschland und Polen in der europäischen Rechtsgemeinschaft, 2012; Barton, (Mit-) Verantwortlichkeit des Arbeitgebers für rechtsmissbräuchliche Online-Nutzungen durch den Arbeitnehmer, CR 2003, 592; Bauer, User Generated Content, 2011; Bauerschmidt/Harnos, Gemeinschaftswidrige Belastung des Verbrauchers mit Zusendungskosten nach Widerruf des Fernabsatzvertrages, EuZW 2010, 432; Baumgartner/Ewald, Apps und Recht, 2. Aufl. 2016; Bausch, Das Recht des Verkäufers auf Versendung beim Internetkauf, ITRB 2007, 193; Beater, Allgemeinheitsinteressen und UWG, WRP 2012, 6; Bechtold, Die Grenzen zwingenden Vertragsrechts, 2010 (Habil. 2009); Bechtolf/Vogt, Zur Zulässigkeit von Adblock-Detektoren vor dem Hintergrund der E-Privacy-Richtlinie, K&R 2016, 445; Beck, Internetbeleidigung de lege lata und de lege ferenda, MMR 2009, 736; Beck, Lehrermobbing durch Videos im Internet, MMR 2008, 77; Beck/Dornis, Phishing im Marken(straf)recht, CR 2007, 642; Becker, Anruf in Abwesenheit!? Der PingAnruf, WRP 2011, 808; Becker/Föhlisch, Von Dessous, Deorollern und Diabetes-Streifen – Ausschluss des Widerrufsrechtes im Fernabsatz, NJW 2008, 3751; Becker/Föhlisch, Von Quelle bis eBay: Reformaufarbeitung im Versandhandelsrecht, NJW 2005, 3377; Bender/Kahlen, Neues Telemediengesetz verbessert den Rechtsrahmen für neue Dienste und Schutz vor Spam-E-Mails, MMR 2006, 590; Bender/Sommer, E-Commerce-Richtlinie, RIW 2000, 260; Berberich, Die urheberrechtliche Zulässigkeit von Thumbnails bei der Suche nach Bildern im Internet, MMR 2005, 145; Berger, Die „Abofalle“ bei Internetdienstleistungen, ZGS 2009, 252; Berger, Elektronische Pressespiegel und Informationsrichtlinie: Zur Vereinbarkeit einer Anpassung des § 49 UrhG an die Pressespiegel-Entscheidung des BGH mit europäischem Urheberrecht, CR 2004, 360; Berger, Verantwortlichkeit von TK-Unternehmen für wettbewerbswidrig genutzte Rufnummern, MMR 2003, 642; Berger/Janal, Suchet und Ihr werdet finden?: Eine Untersuchung zur Störerhaftung von Online-Auktionshäusern, CR 2004, 917; Bergkamp, European Community Law for the New Economy, 2003; Bergt, Praktische Probleme bei der Umsetzung neuer gesetzlicher Vorgaben im Webshop, NJW 2012, 3541; Berlit, Rechtsprechungsbericht zum Recht des unlauteren Wettbewerbs X, GRUR-RR 2010, 129; Bernreuther, Zulässigkeit von Telefonwerbung, MMR 2012, 284; Bernreuther, Zur Interessenabwägung bei anonymen Meinungsäußerungen im Internet, AfP 2011, 218; Bernreuther, Neues zur Telefonwerbung, WRP 2009, 390; Graf von Bernstorff, Der Abschluss elektronischer Verträge, RIW 2002, 179; Bettinger/Freytag, Privatrechtliche Verantwortlichkeit für Links, CR 1998, 545; Bettinger/Leistner (Hrsg.), Werbung und Vertrieb im Internet, 2003; Bierekoven, Neuerungen für Online-Shops nach Umsetzung der Verbraucherrechterichtlinie, MMR 2014, 283; Bierekoven, Die BDSG-Novelle II und ihre Folgen für die Werbung, IPRB 2010, 15; Bierekoven, Rechtssichere Widerrufsbelehrung im Onlinehandel, ITRB 2007, 73; Bierekoven/Crone, Umsetzung der Verbraucherrechterichtlinie, MMR 2013, 687; Birk, § 119 BGB als Regelung für Kommunikationsirrtümer, JZ 2002, 446; Bisges, Schlumpfbeeren für 3000 Euro – Rechtliche Aspekte von In-App-Verkäufen an Kinder, NJW 2014, 183; Bittner/Clausnitzer/Föhlisch, Das neue Verbrauchervertragsrecht, 2014; Bitzer/Brisch, Die digitale Signatur, 1999; Bodenstedt, Alles für einen Euro?: Abgrenzung von Zugangsbestätigungen und Annahmeerklärungen im Internet, MMR 2004, 719; BoehmeNeßler, Rechtsprobleme der Internet-Werbung, ZUM 2001, 547; Boente/Riehm, Das BGB im Zeitalter digitaler Kommunikation – Neue Formvorschriften, Jura 2001, 793; Boos/Bartsch/Volkamer, Rechtliche und technische Nutzerunterstützung bei der Button-Lösung, CR 2014, 119; Borges, Haftung für Identitätsmissbrauch im Online-Banking, NJW 2012, 2385; Borges, Rechtsscheinhaftung im Internet, NJW 2011, 2400; Borges, Verträge im elektronischen Geschäftsverkehr, 2. Aufl. 2008; Borges, Rechtsfragen des Phishing, NJW 2005, 3313; Borges, Prozessuale Formvorschriften und der elektronische Geschäftsverkehr, K&R 2001, 196; Bornkamm/Seichter, Das Internet im Spiegel des UWG, CR 2005, 747; Bortloff, Die Verantwortlichkeit von Online-Diensten, GRUR Int 1997, 387; Bräutigam/Leupold (Hrsg.), Online-Handel, 2003; Brand, Persönlichkeitsrechtsverletzungen im Internet, E-Commerce und „Fliegender Gerichtsstand“, NJW 2012, 127; Braun, Widerrufsrecht und Haftungsausschluss bei Internetauktionen, CR 2005, 113; Brauner, Das Erklärungsrisiko beim Einsatz von elektronischen Datenverarbeitungsanlagen, 1988; Breyer, Die Haftung für Mitbenutzer von Telekommunikationsanschlüssen, NJOZ 2010, 1085; Breyer, Verkehrssicherungspflichten von Internetdiensten im Lichte der Grundrechte, MMR 2009, 14; Bröhl/Tettenborn, Das neue Recht der elektronischen Signaturen, Köln 2001; Brömmelmeyer, Internetwettbewerbsrecht, 2007; Brömmelmeyer, E-Mail-Werbung nach der UWG-Reform, GRUR 2006, 285; Brönneke, Abwicklungsprobleme beim Widerruf von Fernabsatzgeschäften, MMR 2004, 127; Brönneke/Schmidt, Der Anwendungsbereich der Vorschriften über die besonderen Vertriebsformen nach Umsetzung der Verbraucherrechterichtlinie, VuR 2014, 3; Bruns, Persönlichkeitsschutz im Internet, AfP 2011, 421; Buchmann, Das neue Fernabsatzrecht 2014 (Teil 3), K&R 2014, 369; Buchmann, Das neue Fernabsatzrecht 2014 (Teil 2), K&R 2014, 293; Buchmann, Das neue Fernabsatzrecht 2014 (Teil 1), K&R 2014, 221; Buchmann, Aktuelle Entwicklungen im Fernabsatzrecht 2012/2013, K&R 2013, 535; Buchmann, Aktuelle Entwicklungen im Fernabsatzrecht 2011/2012; K&R 2012, 549; Buchmann, Die Angabe von Grundpreisen im In-
Kosmides
431
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
ternet, K&R 2012, 90; Buchmann, Aktuelle Entwicklungen im Fernabsatzrecht 2010/2011, K&R 2011, 551; Buchmann, Aktuelle Entwicklungen im Fernabsatzrecht 2009/2010, K&R 2010, 533; Buchmann, BGH: Ausschluss der Verbrauchereigenschaft nur bei eindeutigem Hinweis, K&R 2010, 37; Buchmann, Hinsendekosten, Rücksendekosten und 40-Euro-Klausel bei Fernabsatzgeschäften, K&R 2010, 458; Buchmann, Kein Nutzungsersatz beim Widerruf von Fernabsatzgeschäften?, K&R 2008, 505; Buchmann, Die Widerrufsbelehrung im Spannungsfeld zwischen Gesetzgebung und Rechtsprechung, MMR 2007, 347; Buchmann/Föhlisch, Die Neuregelung des Wertersatzes im Fernabsatzrecht, K&R 2011, 433; Buchmann/ Friedrich, Eine „Button-Lösung“ für den elektronischen Geschäftsverkehr?, K&R 2010, 635; Buchmann/ Hoffmann, Erleichterte Informationspflichten bei Fernabsatzverträgen mit Waren, K&R 2016, 462; Buchmann/Majer/Hertfelder/Vögelein, Vertragsfallen im Internet – Rechtliche Würdigung und Gegenstrategien, NJW 2009, 3189; Bücker, Internetauktionen, 2003; Bühlmann, Cross Border E-Commerce: Schweiz, ITRB 2014, 10; Bülow, Ein neugefasster § 13 BGB – überwiegende Zweckbestimmung, WM 2014, 1; Bülow, Beweislast für die Verbrauchereigenschaft nach § 13 BGB, WM 2011, 1349; Burgard, OnlineMarktordnung und Inhaltskontrolle, WM 2001, 2102; Calliess, Transnationales Verbrauchervertragsrecht, RabelsZ 2004, 244; Canaris, Die richtlinienkonforme Auslegung und Rechtsfortbildung im System der juristischen Methodenlehre, in: Im Dienste der Gerechtigkeit, FS für F. Bydlinski, 2002, S. 47; Cichon, Internet-Verträge, 2. Aufl. 2005; Cichon/Pighin, Transportschäden und Umtausch bei Online-Auktionen und anderen physisch abgewickelten Online-Geschäften, CR 2003, 435; Clemens, Die elektronische Willenserklärung, NJW 1985, 1998; Coburger, Rücknahme von Angeboten bei eBay, K&R 2013, 619; Conrad, Kuck‘ mal, wer da spricht: Zum Nutzer des Rechts der öffentlichen Zugänglichmachung anlässlich von Links und Frames, CR 2013, 305; Conrad/Schneider, Cross Border E-Commerce: Einführung zur Beitragsreihe, ITRB 2013, 61; Cornelius, Vertragsabschluss durch autonome elektronische Agenten, MMR 2002, 353; Cornils, Der Begehungsort von Äußerungsdelikten im Internet, JZ 1999, 394; Decker, Ähnlichkeit von Waren und Dienstleistungen im Rahmen der Privilegierung von E-Mail-Werbung nach § 7 Absatz III UWG, GRUR 2011, 774; Decker, Haftung für Urheberrechtsverletzungen im Internet, MMR 1999, 7; Degmair, Apps – Die schwierige Suche nach dem Vertragspartner, K&R 2013, 213; Dehißelles, Empfehlungs-EMails – nur eingeschränkt zu empfehlen, K&R 2014, 7; Deister/Degen, Darf der Gerichtsstand noch fliegen?, NJW 2010, 197; Deutsch, Preisangaben und „Opt-out“ – Versicherungen bei Flugbuchungen im Internet, GRUR 2011, 187; Deutsch, Vertragsschluss bei Internetauktionen, MMR 2004, 586; Dienstbach/ Mühlenbrock, Haftungsfragen bei Phishing-Angriffen, K&R 2008, 151; Dierks/Backmann, Pflichtangaben in der Internetwerbung für Arzneimittel PharmR 2011, 257; Dieselhorst, Werbe-E-Cards als Spam, ITRB 2003, 222; Dietrich, Rechtliche Probleme bei der Verwendung von Metatags, K&R 2006, 71; Dietrich, Zur Frage der urheber- und wettbewerbsrechtlichen Zulässigkeit von Hyperlinks, JurPC Web-Dok. 72/2002; Dietrich, Der Zugang einer per E-Mail übermittelten Willenserklärung, K&R 2002, 138; Döring, Die zivilrechtliche Inanspruchnahme des Access-Providers auf Unterlassung bei Rechtsverletzungen auf fremden Webseiten, WRP 2008, 1155; Dörner, Rechtsgeschäfte im Internet, AcP 202 (2002), 363; Dörre/Kochmann, Zivilrechtlicher Schutz gegen negative eBay-Bewertungen, ZUM 2007, 30; Drexl, Die wirtschaftliche Selbstbestimmung des Verbrauchers, 1998 (Habil. 1996); Druey, Information als Gegenstand des Rechts, 1995; Druschel, Die Behandlung digitaler Inhalte im Gemeinsamen Europäischen Kaufrecht (GEKR), 2014 (Diss. 2014); Druschel/Lehmann, Ein digitaler Binnenmarkt für digitale Güter, CR 2016, 244; Ebers, Wer ist Verbraucher? – Neuere Entwicklungen in der Rechtsprechung des BGH und EuGH, VuR 2005, 361; Ebnet, Widerruf und Widerrufsbelehrung, NJW 2011, 1029; Eck, Das Hosting einer rechtsverletzenden Information für ein abhängiges Konzernunternehmen, MMR 2005, 7; Eck/Ruess, Haftungsprivilegierung der Provider nach der E-Commerce-Richtlinie, MMR 2003, 363; Eckert, Grundsätze der Preisangabenverordnung im Lichte der neuesten BGH-Entscheidungen, GRUR 2011, 678; Eckert/Freudenberg, Schleichwerbung mit Fantasieprodukten, GRUR 2012, 343; Eckhardt, Datenschutzerklärungen und Hinweise auf Cookies, ITRB 2005, 46; Eckhardt, Datenschutzrichtlinie für elektronische Kommunikation: Auswirkungen auf Werbung mittels elektronischer Post, MMR 2003, 557; Eckhardt/Rheingans, Direktmarketing bei Bestandskunden ohne Einwilligung?, ZD 2013, 318; Effer-Uhe/Watson, Der Entwurf einer horizontalen Richtlinie über Rechte der Verbraucher, GPR 2009, 7; Eger/Schäfer (Hrsg.), Ökonomische Analyse der europäischen Zivilrechtsentwicklung, 2007; Ehret, Internet-Auktionshäuser auf dem haftungsrechtlichen Prüfstand, CR 2003, 754; Eidenmüller, Der homo oeconomicus und das Schuldrecht: Herausforderungen durch Behavioral Law and Economics, JZ 2005, 216; Eisenberg, Möglichkeiten des E-Mail-Marketing ohne Einwilligung der Beworbenen, BB 2012, 2963; Ellbogen/Erfurth, Strafrechtliche Folgen von Ping- oder Lockanrufen auf Mobiltelefone, CR 2008, 635; Ellbogen/Saerbeck, Kunde wider Willen – Vertragsfallen im Internet, CR 2009, 131; Engel, Inhaltskontrolle im Internet, AfP 1996, 220; Engels, Zivilrechtliche Haftung für Inhalte im World Wide Web, AfP 2000, 524; Engels/Brunn, Ist § 7 II Nr 2 UWG europarechtswidrig?, GRUR 2010, 886; Engels/Brunn, Wettbewerbsrechtliche Beurteilung von telefonischen Kundenzufriedenheitsbefragungen, WRP 2010, 687; Engels/Jürgens/Kleinschmidt, Die Entwicklung des Telemedienrechts im Jahr 2007, K&R 2008, 65; Engels/Stulz-Herrnstadt, Aktuelle Rechtsfragen des Direktmarketings nach der UWG-Reform, WRP 2005, 1218; Erfurth, Haftung für Missbrauch von Legitimationsdaten durch Dritte beim Online-Banking, WM 2006, 2198; Erfurth/Ellbogen, Ping- oder Lockanrufe auf Mobiltelefone, CR 2008, 353; Erman, BGB, 14. Aufl. 2014; Ernst, Die Double-Opt-in-Bestätigungsmail als Werbung?, WRP 2013, 160; Ernst, Headhunting per E-Mail, GRUR 2010, 963; Ernst, Die Einwilligung in belästigende tele-
432
Kosmides
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
kommunikative Werbung nach neuer Rechtslage in UWG und BDSG, WRP 2009, 1455; Ernst, Disclaimer in E-Mail und Website, ITRB 2007, 165; Ernst, Rechtliche Probleme des Suchmaschinen-Marketings, ITRB 2005, 91; Ernst, Suchmaschinenmarketing (Keyword-Advertising, Doorwaypages u.Ä.) im Wettbewerbsund Markenrecht, WRP 2004, 278; Ernst, Die wettbewerbsrechtliche Relevanz der Online-Informationspflichten des § 6 TDG, GRUR 2003, 759; Ernst, Vertragsgestaltung im Internet, 2003; Ernst, Rechtsprobleme im Internet: urheber-, wettbewerbs- und markenrechtliche Sicht, K&R 1998, 536; Ernst, Rechtliche Fragen bei der Verwendung von Hyperlinks im Internet, NJW-CoR 1997, 224; Ernst/Seichter, „Heimliche“ Online-Werbeformen, CR 2011, 62; Ernst/Seichter, Werben mittels E-Cards. Rechtliche Beurteilung als Spamming?, MMR 2006, 779; Ernst/Vassilaki/Wiebe, Hyperlinks, 2002; Ernst/Wiebe, Immaterialgüterrechtliche Haftung für das Setzen von Links und vertragliche Gestaltungsmöglichkeiten, MMR-Beilage 8/2001, 20; Ernsthaler/Heinemann, Die Fortentwicklung der Providerhaftung durch die Rechtsprechung, GRUR 2012, 433; Faber, Die Versendung unerwünschter E-Mail-Werbung, GRUR 2014, 337; Feldmann, Die Unterlassungsverpflichtung des Access-Providers als Störer, K&R 2011, 225; Feldmann/ Heidrich, Rechtsfragen des Ausschlusses von Usern aus Internetforen, CR 2006, 406; Fervers, Die ButtonLösung im Lichte der Rechtsgeschäftslehre, NJW 2016, 2289; Fezer, Telefonmarketing im b2c- und b2bGeschäftsverkehr, WRP 2010, 1075; Fischer, Zur Abgrenzung von privatem und unternehmerischem Handeln auf Auktionsplattformen im Internet, WRP 2008, 193; Fitzner, Fortbestehende Rechtsunsicherheit bei der Haftung von Host-Providern, MMR 2011, 83; Flechsig, Zur Zulässigkeit der identifizierenden Urteilsveröffentlichung durch Private im Internet, AfP 2008, 284; Flechsig, Subdomain: Sicher versteckt und unerreichbar?: Die Verkehrssicherungspflichten des Host-Providers, MMR 2002, 347; Fleischer, Werbefreiheit und rechtliche Zulässigkeit von Werbemaßnahmen, NJW 2014, 2150; Fleischer, Informationsasymmetrie im Vertragsrecht, 2001 (Habil. 1999); Fleischer, Vertragsabschlußbezogene Informationspflichten im Gemeinschaftsprivatrecht, ZEuP 2000, 772; Föhlisch, Reichweite des Prüfungsrechts im Fernabsatz, NJW 2011, 30; Föhlisch, Das Widerrufsrecht im Onlinehandel, 2009; Föhlisch/Buchmann, „Globales Leihhaus Internet“ statt Onlinehandel? – Wertersatz für Nutzungen nach fernabsatzrechtlichem Widerruf, MMR 2010, 3; Föhlisch/Dyakova, Das Widerrufsrecht im Online-Handel – Änderungen nach dem Referentenentwurf zur Umsetzung der Verbraucherrichtlinie, MMR 2013, 71; Föhlisch/Dyakova, Fernabsatzrecht und Informationspflichten im Onlinehandel, MMR 2013, 3; Föhlisch/Löwer, Das Widerrufsrecht bei Gutscheinen im Fernabsatz, K&R 2015, 298; de Franceschi, Informationspflichten und „formale Anforderungen“ im Europäischen E-Commerce, GRUR Int. 2013, 865; Frank, „You’ve got (Spam-)Mail“: Zur Strafbarkeit von E-Mail-Werbung, CR 2004, 123; Franz/Sakowski, Die Haftung des WLAN-Betreibers nach der TMG-Novelle und den Schlussanträgen des Generalanwalts beim EuGH: Handelnden- und Störerhaftung nach dem Stand der deutschen Rechtsprechung, der TMG-Novelle und den Schlussanträgen des Generalanwalts in Rs. C-484/14 (McFadden/Sony Music), CR 2016, 524; Frey/Rudolph/Oster, Die Host-Providerhaftung im Lichte des Unionsrechts. Vorgaben der EuGH-Rechtsprechung und Gestaltungsspielräume für den nationalen Gesetzgeber, CR 2015, 1; Freytag, Providerhaftung im Binnenmarkt, CR 2000, 600; Frings, Das neue Verbraucherschutzrecht im BGB 2002, VuR 2002, 390; Fringuelli/Wallhäuser, Formerfordernisse beim Vertragsschluss im Internet, CR 1999, 93; Fritzsche/Frahm, Zahlen schon fürs Bieten – Internetauktionen mit kostenpflichtigen Gebotsrechten, WRP 2008, 22; Fülbier, Web 2.0 – Haftungsprivilegierungen bei MySpace und YouTube, CR 2007, 515; Gabel, Die Haftung für Hyperlinks im Lichte des neuen UWG, WRP 2005, 1102; Gabriel/Albrecht, Filesharing-Dienste, Grundrechte und (k)eine Lösung?, ZUM 2010, 392; Gabriel/Heinemann, Voice over IP und „Resale“. Typische Probleme für Wiederverkäufer, ITRB 2009, 93; Gates, Hyperlinks und die Nutzung und Verwertung von geschützten Inhalten im Internet, 2004; Gebauer/Wiedmann (Hrsg.), Zivilrecht unter europäischem Einfluss, 2. Aufl. 2010; Geis, Die Europäische Perspektive der Haftung von Informationsanbietern und Zertifizierungsstellen, CR 1999, 772; Geis, Ein Rahmenwerk für den elektronischen Rechtsverkehr 2015 (Diss. 2014); Geis/Geis, Rechtsaspekte des virtuellen Lebens, CR 2007, 721; Gercke, LG Hamburg v. 26.7.2006 – 308 O 407/06, CR 2007, 55; Gercke, Die strafrechtliche Verantwortlichkeit für Hyperlinks, CR 2006, 844; Gercke, Zugangsprovider im Fadenkreuz der Urheberrechtsinhaber, CR 2006, 210; Gercke, Haftung von Online-Auktionshaus bei Identitätsdiebstahl, CR 2005, 233; Gey, Zivilrechtliche Haftung von Access-Providern bei Zugangsstörungen, K&R 2005, 120; Gierschmann, Die E-Commerce-Richtlinie, DB 2000, 1315; Gietl, Störerhaftung für ungesicherte Funknetze, NJW 2007, 630; Gitter/Roßnagel, Rechtsfragen mobiler Agentensysteme im E-Commerce, K&R 2003, 64; Glatt, Vertragsschluss im Internet, 2002; Glöckner, Rechtsbruchtatbestand oder … The Saga Continues!, GRUR 2013, 568; Glöckner, Dergrenzüberschreitende Lauterkeitsprozess nach BGH vom 11.2.2010, WRP 2011, 137; Glöckner, Wettbewerbsbezogenes Verständnis der Unlauterkeit und Vorsprungserlangung durch Rechtsbruch, GRUR 2008, 960; Glückstein, Haftung des Buch- und Medienhandels für Urheberrechtsverletzungen, ZUM 2014, 165; Goerlich (Hrsg.), Rechtsfragen der Nutzung und Regulierung des Internet, 2010; Goldman, Rechtliche Rahmenbedingungen für Internetauktionen, 2005; Gomille, Prangerwirkung und Manipulationsgefahr bei Bewertungsforen im Internet, ZUM 2009, 815; Gounalakis, Rechtliche Grenzen der Autocomplete-Funktion von Google, NJW 2013, 2321; Gounalakis, Rechtshandbuch Electronic Business, 2003; Gounalakis/Klein, Zulässigkeit von personenbezogenen Bewertungsplattformen, NJW 2010, 566; Gounalakis/Rhode, Persönlichkeitsschutz im Internet, 2002; Gounalakis/Rhode, Haftung des Host-Providers, NJW 2000, 2168; Grabitz/Hilf/Nettesheim, Das Recht der EU, Bd. IV, 40. EL – Stand Oktober 2009; Gräbig, Haftung von
Kosmides
433
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Suchmaschinen – Verletzung des Rechts am eigenen Bild durch die Bildersuche, MMR 2015, 365; Grapentin, Vertragsschluss bei Internet-Auktionen, GRUR 2001, 713; Gregor, Der Unternehmerbegriff in den Verbraucherschutzrichtlinien und seine deutsche Umsetzung, GPR 2007, 73; Greiner, Sperrungsverfügungen als Mittel der Gefahrenabwehr im Internet, CR 2002, 620; Greve/Schärdel, Der digitale Pranger – Bewertungsportale im Internet, MMR 2008, 644; Grigoleit, Besondere Vertriebsformen im BGB, NJW 2002, 1151; Grigoleit, Rechtsfolgenspezifische Analyse „besonderer“ Informationspflichten am Beispiel der Reformpläne für den E-Commerce, WM 2001, 597; Grohmann, Das Informationsmodell im europäischen Gesellschaftsrecht, 2006; Grohmann/Gruschinske, Versandkosten bei Fernabsatzgeschäften im Falle des Widerrufs – Anm. zu den Schlussanträgen des Generalanwalts in der Rechtssache C-511/08, EuZW 2010, 245; Gruber, Vertragsschluß im Internet unter kollisionsrechtlichen Aspekten, DB 1999, 1437; Grundmann, Die EU-Verbraucherrechte-Richtlinie, JZ 2013, 53; Grundmann, Europäisches Schuldvertragsrecht – Struktur und Bestand, NJW 2000, 14; Grundmann, Privatautonomie im Binnenmarkt: Informationsregeln als Instrument, JZ 2000, 1133; Grundmann (Hrsg.), Systembildung und Systemlücken in Kerngebieten des Europäischen Privatrechts, 2000; Grundmann, Europäisches Schuldvertragsrecht, 1999; Grützmacher/ Lindhorst, Herkunftslandprinzip und ausländische Anbieter, ITRB 2005, 34; Günther, Rechtlicher Spielraum bei Gastronomiebewertungen – Zwischen Meinungsfreiheit und Schmähkritik, NJW 2013, 3275; Günther/Hartmann/Schneider, Allgemeine Geschäftsbedingungen – Typische Fehler und unwirksame Klauseln (II), CI 1998, 17; Günther/Hartmann/Schneider, Allgemeine Geschäftsbedingungen – Typische Fehler und unwirksame Klauseln (I), CI 1998, 1; Gurmann, Internetauktionen, 2005; Habel, Eine Welt ist nicht genug – Virtuelle Welten im Rechtsleben, MMR 2008, 71; Härting, Internetrecht, 5. Aufl. 2014; Härting, Allgegenwärtige Prüfungspflichten für Intermediäre, CR 2013, 443; Härting, Spam: Haftungs- und Freizeichnungsklauseln, ITRB 2005, 282; Härting, Schnäppchen oder Inhaltsirrtum?, ITRB 2004, 61; Härting, Dialer, Erotik und Rechtsberatung – Vertragsbeziehungen bei 0190-Diensten, DB 2002, 2147; Härting, „Wer bietet mehr?“ – Rechtssicherheit des Vertragsschlusses bei Internetauktionen, MMR 2001, 278; Härting/Eckart, Provider gegen Spammer, CR 2004, 119; Härting/Golz, Rechtsfragen des eBay-Handels, ITRB 2005, 137; Härting/Schirmbacher, Internetwerbung und Wettbewerbsrecht, ITRB 2005, 16; Hager, Die Versteigerung im Internet, JZ 2001, 786; Hampe/Köhlert, Branchenverzeichnisse im Internet, MMR 2012, 722; Hanloser, „opt-in“ im Datenschutzrecht und Wettbewerbsrecht, CR 2008, 713; Hartl, KeywordAdvertising mit geschütztem Kennzeichen – Eine Kennzeichenrechtsverletzung?, K&R 2007, 384; Hartl, Fremde Kennzeichen im Quelltext von Websiten. Marken- und wettbewerbsrechtliche Zulässigkeit, MMR 2007, 12; Hartl, Keyword-Advertising mit geschützten Kennzeichen – eine Kennzeichenrechtsverletzung?!, K&R 2006, 384; Hartmann, Belehrung im elektronischen Fernabsatz, CR 2010, 371; Hartmann/ Koch, Datenbankschutz gegen Deep-Linking, CR 2002, 441; Hartung/Hartmann, „Wer bietet mehr?“. Rechtssicherheit des Vertragsschlusses bei Internet-Auktionen, MMR 2001, 278; Hasberger, Zur wettbewerbsrechtlichen Haftung der Internetprovider, MMR 2004, 128; Haug, Gemeinsames Europäisches Kaufrecht – Neue Chancen für Mittelstand und E-Commerce, K&R 2012, 1; Haug, Stellen Anrufe zu Zwecken der Kundenzufriedenheitsermittlung oder der Werbezustellungskontrolle Telefonwerbung dar?, K&R 2010, 767; Hecker, Quo vadis Glücksspielstaatsvertrag?, WRP 2012, 523; Hecker, Neue Regeln gegen unerlaubte Telefonwerbung, K&R 2009, 601; Heeg/Levermann, Glücksspielregulierung in Deutschland vor der Marktöffnung, MMR 2012, 20; Heermann, Manipulierte Produktbewertungen im Lichte des Lauterkeitsrechts, WRP 2014, 509; Heiderhoff, Europäisches Privatrecht, 3. Aufl. 2012; Heiderhoff, Die Wirkung der AGB des Internetauktionators auf die Kaufverträge zwischen den Nutzern, ZIP 2006, 793; Heidrich, Unerwünschte E-Mail-Werbung per E-Card, MMR 2004, 324; Heil/Klümper, Die Werbung mit der sozialen Verantwortung – „Social Sponsoring“ im Bereich der Arzneimittelwerbung, PharmR 2008, 226; Heim, Zur Markenbenutzung durch Meta-Tags, CR 2005, 200; Heim, Die Einflussnahme auf Trefferlisten von Internetsuchdiensten aus marken- und wettbewerbsrechtlicher Sicht, 2004; Heinig, Verbraucherschutz – Schwerpunkte der EU-Verbraucherrechte-Richtlinie, MDR 2012, 323; Helle, Persönlichkeitsverletzungen im Internet, JZ 2002, 593; Henning, Vertragsabschluss bei Internet-Auktionen – ricardo. de, NJW 2002, 1550; Henning-Bodewig, Herkunftslandprinzip im Wettbewerbsrecht, GRUR 2004, 822; Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, 7. Aufl. 2014; Herresthal, Haftung bei Account-Überlassung und Account-Missbrauch im Bürgerlichen Recht, K&R 2008, 705; Herwik, Zugang und Zustimmung in elektronischen Medien, MMR 2001, 145; Hess, Der Schutz der Privatsphäre im Europäischen Zivilverfahrensrecht, JZ 2012, 189 (192); Heun, Die elektronische Willenserklärung, CR 1994, 595; Heydn, DeepLink, NJW 2004, 1361; Heyers, Manipulation von Internet-Auktionen durch Bietroboter, NJW 2012, 2548; Himmelsbach, Schleichwerbung in den Medien, GRUR-Prax 2013, 78; Höhne, Von Hyperlinks und Metatags, MMR 2001, 109; Hoene/Föhlisch, Ausgewählte Probleme des Gesetzes zur Umsetzung der Verbraucherrechterichtlinie, CR 2014, 242; Hoenike/Boes, Hotspot-Verträge im Bereich der Wireless Local Area Networks (WLAN), MMR 2003, 457; Hoeren, Internetrecht, 2014 (Stand: April 2014); Hoeren, IT-Recht, 2014 (Stand: Februar 2014); Hoeren, Werberechtliche Grenzen des Einsatzes von Adblockern, K&R 2013, 757; Hoeren, Bewertungen bei eBay, CR 2005, 498; Hoeren, Informationspflichten im Internet – im Lichte des neuen UWG, WM 2004, 2461; Hoeren, Werbung im WWW – aus der Sicht des neuen UWG, MMR 2004, 643; Hoeren, Keine wettbewerbsrechtlichen Bedenken mehr gegen Hyperlinks?, GRUR 2004, 1; Hoeren, Vorschlag für eine EU-Richtlinie über E-Commerce, MMR 1999, 192; Hoeren/Bensinger (Hrsg.), Haftung im Internet, 2014; Hoeren/Eustergerling, Die Haftung des Admin-C, MMR 2006, 132; Hoeren/
434
Kosmides
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Föhlisch, Ausgewählte Praxisprobleme des Gesetzes zur Umsetzung der Verbraucherrechterichtlinie, CR 2014, 242; Hoeren/Müglich/Nielen (Hrsg.), Online-Auktionen, 2002; Hoeren/Müller, Widerrufsrecht bei eBay-Versteigerungen, NJW 2005, 948; Hoeren/Neubauer, Der EuGH, Netlog und die Haftung für HostProvider, WRP 2012, 508; Hoeren/Semrau, Haftung des Merchant für wettbewerbswidrige Affiliate-Werbung, MMR 2008, 571; Hövel/Hansen, Download-Fallen im Internet aus der Perspektive der Software-Hersteller, CR 2010, 252; Hoffmann, Die Entwicklung des Internet-Rechts bis Mitte 2007, NJW 2007, 2594; Hoffmann, Zivilrechtliche Haftung im Internet, MMR 2002, 284; Hoffmann/Höpfner, Verbraucherschutz bei Internetauktionen, EWS 2003, 107; Hohloch (Hrsg.), Recht und Internet, 2001; Hollerbach, Die rechtlichen Rahmenbedingungen für Internet-Auktionen, DB 2000, 2001; Holznagel, Die Urteile in Tiffany vs. eBay (USA) – zugleich zu aktuellen Problemen der europäischen Providerhaftung, GRUR Int. 2010, 654; Holznagel, Verantwortlichkeiten im Internet und Free Speech am Beispiel der Haftung für illegale und jugendgefährdende Inhalte, ZUM 2000, 1007; Holznagel, Konvergenz der Medien, NJW 2002, 2351; Hornung, Die Haftung von W-LAN Betreibern, CR 2007, 88; Hornung/Hofmann, Die Zulässigkeit der Marktund Meinungsforschung nach Datenschutz- und Wettbewerbsrecht (Teil 2), WRP 2014, 910; Hornung/Hofmann, Die Zulässigkeit der Markt- und Meinungsforschung nach Datenschutz- und Wettbewerbsrecht (Teil 1), WRP 2014, 776; Howells/Janssen/Schulze (Hrsg.), Information Rights and Obligations, 2005 (Bearbeiter, in: Howells/Janssen/Schulze (Hrsg.), Information Rights and Obligations); Hübner, Vertragsschluss und Probleme des Internationalen Privatrechts beim E-Commerce, ZgesVW 2001, 351; Hüsch, Keyword Advertising, MMR 2006, 357; Hütten, Verantwortlichkeit im Usenet, K&R 2007, 554; Hug/Gaugenrieder, Cold Calls in der Marktforschung?, WRP 2006, 1420; Hupka, Unverzüglichkeit der Widerrufsbelehrung bei eBay-Versteigerungen, NJW 2012, 1122; Huppertz, Rechtliche Probleme von Online-Auktionen, MMR 2000, 65; Illmer, Keyword Advertising – Quo vadis?, WRP 2007, 399; Intveen, Einrichtung und Betrieb von Verkaufsportalen im Internet, ITRB 2013, 135; Isele, Telefonwerbung: Was ist (noch) erlaubt?, GRUR-Prax 2011, 463; Jaeschke, Zur markenmäßigen Benutzung beim Keyword-Advertising, CR 2008, 375; Jahn/Palzer, Embedded Content und das Recht der öffentlichen Wiedergabe – Svensson ist die (neue) Realität!, K&R 2015, 1; Janal, Alles neu macht der Mai: Erneute Änderungen im Recht der besonderen Vertriebsformen, WM 2012, 2314; Janal, Die Errichtung und der Zugang einer Erklärung in Textform gem. § 126b BGB, MDR 2006, 368; Janal, Abwehransprüche im elektronischen Markt der Meinungen, CR 2005, 873; Jankowski, Nichts ist unmöglich! – Möglichkeiten der formularmäßigen Einwilligung in die Telefonwerbung, GRUR 2010, 495; Jeloschek/Härting, Cross Border E-Commerce: Niederlande – Teil 2, ITRB 2013, 108; Jeloschek/Härting, Cross Border E-Commerce: Niederlande – Teil 1, ITRB 2013, 84; Joppich, Das Internet als Informationsnetz?, CR 2003, 504; Jud/Wendehorst (Hrsg.), Neuordnung des Verbraucherprivatrechts in Europa?, 2009; Jürgens, Von der Provider- zur Provider- und Medienhaftung, CR 2006, 188; Jürgens/Köster, Die Haftung von Webforen für rechtsverletzende Einträge, AfP 2006, 219; Jürgens/Veigel, Zur haftungsminimierenden Gestaltung von „User Generated Content“-Angeboten, AfP 2007, 181; Jung, Die Einigung über die „essentialia negotii“ als Voraussetzung für das Zustandekommen eines Vertrages, JuS 1999, 28; Junker, Internationales Vertragsrecht im Internet, RIW 1999, 809; Kaestner/Tews, Informations- und Gestaltungspflichten bei Internet-Auktionen, WRP 2004, 391; Kahlert/Dovas, E-Commerce im B2B-Verhältnis: Beschränkung von Angeboten in Onlineshops auf Unternehmer unter Ausschluss der Verbraucherschutzvorschriften, ITRB 2014, 285; Kamanabrou, Vorgaben der E-Commerce-RL für die Einbeziehung von AGB bei Online-Rechtsgeschäften, CR 2001, 421; Kaufmann, Metatagging, MMR 2005, 348; Kaumanns/Wießner, Vermarktung durch den fingierten Konsumenten, K&R 2013, 145; Kazemi, Online-Nachrichten in Suchmaschinen, CR 2007, 94; Kazemi, Der Arzt im Internet – Möglichkeiten und Grenzen der Präsentation im World Wide Web, MedR 2005, 17; Keller, Versandhandelskauf und Preisirrtum im Internet, K&R 2005, 167; Khorrami, Polit-Spam? Zur rechtlichen Zulässigkeit politischer E-Mail-/ E-Card-Werbung, K&R 2005, 161; Kieselstein/Rückebeil, Der Verbraucher im BGB, ZGS 2007, 53; Kieser/ Kleinemenke, Neues zur Affiliate-Werbung: Die Haftung des Affilate für (Schutz-)Rechtsverletzungen des Advertisers, WRP 2012, 543; Kind/Werner, Rechte und Pflichten im Umgang mit PIN und TAN, CR 2006, 353; Kirschbaum, Die gesetzliche Neuregelung der sog. „Internetfalle“, MMR 2012, 8; Kitz, Das neue Recht der elektronischen Medien in Deutschland – sein Charme, seine Fallstricke, ZUM 2007, 368; Klamert, Die richtlinienkonforme Auslegung nationalen Rechts, 2001 (Diss. 2001); Klatt, Die Kerngleichheit als Grenze der Prüfungspflichten und der Haftung des Hostproviders, ZUM 2009, 265; Klees, Muss ein bisschen Spaß wirklich sein? – Rechtsfragen des sog. „Spaßbietens“ bei Internetauktionen, MMR 2007, 275; Klees, Vertragsverhältnisse bei der Nutzung von Mehrwertdiensterufnummern, CR 2003, 331; Klein/ Härting, Cross Border E-Commerce: Österreich Teil 2, ITRB 2013, 160; Klein/Härting, Cross Border E-Commerce: Österreich Teil 1, ITRB 2013, 133; Klein/Insam, Telefonische Abwerbung von Mitarbeitern am Arbeitsplatz und im Privatbereich, GRUR 2006, 379; Kleine-Cosack, Wettbewerbsrecht und Verfassungsrecht contra antiquierte Berufsbilder, NJW 2013, 272; Kleine-Cosack, Freiberufsspezifische Werbeverbote vor dem Aus, NJW 2010, 1921; Kleine-Cosack, Vom Universalnotar zum Spezialisten – Werbefreiheit der Notare, NJW 2005, 1230; Kleine-Cosack, Vom Wettbewerbsverbot zum Werberecht des Arztes – Auf dem Weg zu einem einheitlichen Werberecht aller Freiberufler, NJW 2003, 868; Klimke, Korrekturhilfen beim Online-Vertragsschluss, CR 2005, 582; Knaak, Metatags und Keywords als vergleichende Werbung, GRUR Int. 2014, 209; Koch, Von Blogs, Podcasts und Wikis – telemedienrechtliche Zuordnung und Haftungsfragen der neuen Dienste im Internet (Teil 1), ITRB 2006, 260; Koch, Internet-Recht, 2. Aufl.
Kosmides
435
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
2005; Koch, Geltungsbereich von Internet-Auktionsbedingungen, CR 2005, 502; Koch, Perspektiven für die Link- und Suchmaschinen-Haftung, CR 2004, 213; Koch, Zivilrechtliche Anbieterhaftung für Inhalte in Kommunikationsnetzen, CR 1997, 193; Kocher, Anfechtung bei falscher Kaufpreisauszeichnung im Internet, JA 2006, 144; Köhler, Unbestellte Leistungen – Die richtlinienkonforme Auslegung am Beispiel des neugefassten § 241a BGB, JuS 2014, 865; Köhler, „Haircut“ bei der Preisangabenverordnung am 12.6.2013, WRP 2013, 723; Köhler, Verbandsklagen gegen unerbetene Telefon-, Fax- und E-Mail-Werbung: Was sagt das Unionsrecht?, WRP 2013, 567; Köhler, Ist die Regelung der Telefonwerbung im UWG richtlinienkonform?, WRP 2012, 1329; Köhler, Die Umsetzung der Richtlinie über unlautere Geschäftspraktiken in Deutschland, GRUR 2012, 1073; Köhler, Dogmatik des Beispielskatalogs des § 4 UWG, WRP 2012, 638; Köhler, Unbestellte Waren und Dienstleistungen, GRUR 2012, 217; Köhler, Grenzen zulässiger Steuerberaterwerbung, DStR 2011, 428; Köhler, Die Kopplung von Gewinnspielen an Umsatzgeschäfte, GRUR 2011, 478; Köhler, Neue Regelungen zum Verbraucherschutz bei Telefonwerbung und Fernabsatzverträgen, NJW 2009, 2567; Köhler, Unzulässige geschäftliche Handlungen bei Abschluss und Durchführung eines Vertrags, WRP 2009, 898; Köhler, Ein Jahr nach der UWG-Reform, GRUR-Prax 2009, 47; Köhler, Vom deutschen zum europäischen Lauterkeitsrecht, NJW 2008, 3032; Köhler, Täter und Störer im Wettbewerbs- und Markenrecht, GRUR 2008, 1; Köhler, Die Unlauterkeitstatbestände des § 4 UWG und ihre Auslegung im Lichte der Richtlinie über unlautere Geschäftspraktiken, GRUR 2008, 841; Köhler, Zur richtlinienkonformen Auslegung und Neuregelung der „Bagatellklausel“ in § 3 UWG, WRP 2008, 10; Köhler, Die Problematik automatisierter Rechtsvorgänge, insbesondere von Willenserklärungen, AcP 182 (1982), 126; M. Köhler/Arndt/Fetzer, Recht des Internet, 7. Aufl. 2011; Köhler/Bornkamm (Hrsg.), Gesetz gegen den unlauteren Wettbewerb, 34. Aufl. 2016 (zitiert: Köhler/Bornkamm/Bearbeiter, UWG); Köhler/ Lettl, Das geltende europäische Lauterkeitsrecht, der Vorschlag für eine Richtlinie über unlautere Geschäftspraktiken und die UWG-Reform, WRP 2003, 1019; König/Börner, Erweiterter Minderjährigenschutz im rechtsgeschäftlichen Verkehr?, MMR 2012, 215; Körber/Ess, Hartplatzhelden und der ergänzende Leistungsschutz im Web 2.0, WRP 2011, 697; Köster/Jürgens, Die Haftung von Suchmaschinen für Suchergebnislisten, K&R 2006, 108; Köster/Jürgens, Haftung professioneller Informationsvermittler im Internet, MMR 2002, 420; Kosmides, Providing-Verträge, 2010 (Diss. 2009); Kotthoff, Fremde Kennzeichen in Metatags: Marken- und Wettbewerbsrecht, K&R 1999, 157; Kotthoff, Die Anwendbarkeit des deutschen Wettbewerbsrechts auf Werbemaßnahmen im Internet, CR 1997, 676; Kramme, Die Einbeziehung von Pflichtinformationen in Fernabsatz- und Außergeschäftsraumverträge, NJW 2015, 279; Krebs, Verbraucher, Unternehmer oder Zivilpersonen, DB 2002, 517; Kredig/Uffmann, Verbesserung der Rechtslage durch die Buttonlösung des § 312e II BGB-RefE?, ZRP 2011, 36; Krekel, Dienstanbieter als Überwachungsgaranten?, WRP 2009, 1029; Kreutzer, Napster, Gnutella & Co.: Rechtsfragen zu Filesharing-Netzen aus der Sicht des deutschen Urheberrechts de lege lata und de lege ferenda – Teil 1, GRUR 2001, 195; Krieg/ Roggenkamp, Astroturfing – rechtliche Probleme bei gefälschten Kundenbewertungen im Internet, K&R 2010, 689; Krois/Lindner, Die rechtliche Behandlung von Hinsendekosten nach Widerruf und Rücktritt, WM 2011, 442; Krüger/Apel, Haftung von Plattformbetreibern für urheberrechtlich geschützte Inhalte – Wie weit geht die Haftung und wann droht Schadensersatz?, MMR 2012, 144; Kühling/Schall, E-MailDienste sind Telekommunikationsdienste i.S.d. § 3 Nr. 24 TKG (§ 3 Nr. 24 TKG). Warum OTT-Kommunikationsdienste sehr wohl TK-Dienste sein können – zugleich Anmerkung zum Gmail-Urteil des VG Köln (Urt. v. 11.11.2015 – Az. 21 K 450/15, CR 2016, 131) und Erwiderung auf die Aufsätze von Gersdorf, K&R 2016, 91 und Schuster, CR 2016, 173 (in diesem Heft), CR 2016, 185; Küppers, BGH v. 8.6.2011 – VIII ZR 305/10, CR 2011, 610; Kulke, Sittenwidrigkeit und Beschaffenheitsvereinbarungen bei Internetauktionen, NJW 2012, 2697; von Lackum, Verantwortlichkeit der Betreiber von Suchmaschinen, MMR 1999, 697; Laga, Neue Techniken im World Wide Web – Eine Spielwiese für Juristen?, jur-pc Web-Dok. 25/1998; Lapp, Zulässigkeit von Deep Links, ITRB 2004, 114; Lapp/Lapp, Online-Handel und Originalverpackung, CR 2008, 649; Lauber-Rönsberg, Rechtsdurchsetzung bei Persönlichkeitsrechtsverletzungen im Internet, MMR 2014, 10; Lederer, Grenzüberschreitender E-Commerce und internetbasierte Streitbeilegung – Zusätzliche Informationspflichten für Online-Händler, CR 2015, 380; Leenen, BGB AT. Rechtsgeschäftslehre, 2. Aufl. 2015; Lehmann, E-Commerce in der EU und die neue Richtlinie über die Rechte der Verbraucher, CR 2012, 261; Lehmann (Hrsg.), Electronic Business in Europa, 2002; Lehmann, Rechtsgeschäfte und Verantwortlichkeit im Netz, ZUM 1999, 180; Lehmann (Hrsg.), Rechtsgeschäfte im Netz, 1999; Lehmann, Unvereinbarkeit des § 5 TDG mit Völkerrecht und Europarecht, CR 1998, 232; Lehment, Zur Haftung von Internet-Auktionshäusern, GRUR 2005, 210; Lehment, Zur Störerhaftung von Online-Auktionshäusern, WRP 2003, 1058; Lehr, Internationale medienrechtliche Konflikte und Verfahren, NJW 2012, 705; Leible, Spam oder Nicht-Spam, das ist hier die Frage, K&R 2006, 485; Leible/Sosnitza, Haftung von Internetauktionshäusern, NJW 2007, 3324; Leible/Sosnitza, Neues zur Störerhaftung von Internet-Auktionshäusern, NJW 2004, 3225; Leible/Sosnitza, Versteigerungen im Internet, 2004; Leible/Wildemann, Von Powersellern, Spaßbietern und einem Widerrufsrecht bei Internetauktionen, K&R 2005, 26; Leier, Die Rückabwicklung des widerrufenen Vertrags, VuR 2013, 457; Leier, Die Buttonlösung gegen Kostenfallen im Internet, CR 2012, 378; Leistner, Richtiger Vertrag und lauterer Wettbewerb, 2007 (Habil. 2006); Leistner/Pohlmann, E-Mail-Direktmarketing im neuen europäischen Recht und in UWG-Reform, WRP 2003, 815; Leistner/Stang, Die Bildersuche im Internet aus urheberrechtlicher Sicht, CR 2008, 499; Leitgeb, Virales Marketing – Rechtliches Umfeld für Werbefilme auf Internetportalen wie YouTube, ZUM 2009, 39; Lejeu-
436
Kosmides
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
ne, Cross Border E-Commerce: USA (Teil 1), ITRB 2013, 283; Le More/Backu, Cross Border E-Commerce: Frankreich, ITRB 2013, 207; Lenz/Rabe, Telefonwerbung – Eine Betrachtung aus der Praxis der Versicherungswirtschaft, VersR 2010, 1541; Lerm, Die Verbraucherrechte-Richtlinie im Widerspruch zur Kompetenzordnung des europäischen Primärrechts, GPR 2012, 166; Lettl, Werbung mit einem Telefonanruf gegenüber einem Verbraucher nach § 7 Abs 2 Nr. 2 Alt 1 UWG n.F., WRP 2009, 1315; Lettl, Versteigerung im Internet, JuS 2002, 219; Lettl, Die AGB-rechtliche Relevanz einer Option in der formularmäßigen Einwilligungserklärung zur Telefonwerbung, NJW 2001, 42; Lettl, Rechtsfragen des Direktmarketings per Telefon und e-mail, GRUR 2000, 977; Leupold, Die Telefonnummer in der Anbieterkennzeichnung, VuR 2009, 295; Leupold, Informationspflichten bei eBay, VuR 2008, 321; Leupold/Bräutigam/Pfeiffer, Von der Werbung zur kommerziellen Kommunikation, WRP 2000, 575; Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, 3. Aufl. 2013; Libertus/Schneider, Die Anbieterhaftung bei internetspezifischen Kommunikationsplattformen, CR 2006, 626; Libor, Persönlichkeitsschutz und Internet, AfP 2011, 450; Lichtnecker, Die Werbung in sozialen Netzwerken und mögliche hierbei auftretende Probleme, GRUR 2013, 135; Liesching, Jugendschutzprogramme für „ab 18“ – Internetangebote, MMR 2013, 368; Liesching, Alkoholwerbung in Rundfunk und Telemedien, MMR 2012, 211; Liesching/Knupfer, Verantwortlichkeit von Internetcafe-Betreibern für die Zugangsgewährung von jugendgefährdenden Inhalten, MMR 2003, 562; Lincke/Melchior, Cross Border E-Commerce: Spanien, ITRB 2013, 233; Lindacher, Die internationale Dimension lauterkeitsrechtlicher Unterlassungsansprüche: Marktterritorialität versus Universalität, GRUR Int 2008, 453; Lindenberg, Internetauktionen im Gewerbe- und Lauterkeitsrecht, 2007 (Diss. 2006); Lindner, Persönlichkeitsrecht und Geo-Dienste im Internet, ZUM 2010, 292; Linsenbarth/Schiller, Datenschutz und Lauterkeitsrecht, WRP 2013, 576; Loacker, Verbraucherverträge mit gemischter Zwecksetzung, JZ 2013, 234; Lober, Spielend werben: Rechtliche Rahmenbedingungen des Ingame-Advertising, MMR 2006, 643; Lober/Karg, Unterlassungsansprüche wegen User Generated Content gegen Betreiber virtueller Welten und Online-Spiele, CR 2007, 647; Lober/Weber, Den Schöpfer verklagen – Haften Betreiber virtueller Welten ihren Nutzern für virtuelle Güter?, CR 2006, 837; Lober/Weber, Money for Nothing? Der Handel mit virtuellen Gegenständen und Charakteren, MMR 2005, 653; Löhnig, „Verbotene Schriften“ im Internet, JR 1997, 496; Lorenz, Auswirkungen der Dienstleistungs-Informationspflichten-Verordnung auf Internetangebote, VuR 2010, 323; Lorenz, Informationspflichten bei eBay, VuR 2008, 321; Luckhaus, Haftung einer Handelsplattform für ‚gebrauchte Domains‘, GRUR-RR 2008, 122; Lüghausen, Rechtsgrundlagen für den Datenschutz in sozialen Netzwerken, K&R 2011, 458; Lützen, „Schriftlich“ und „Schriftform“ – der unbekannte Unterschied, NJW 2012, 1627; Lutzi, Aktuelle Rechtsfragen zum Handel mit virtuellen Gegenständen in Computerspielen, NJW 2012, 2070; Malcher/Paterna, Bezahlung durch Mehrwertdienste-Rufnummern in Online-Games Payment-Verträge unter dem Verdacht der Sittenwidrigkeit, MMR 2013, 275; Mand, E-Commerce mit Arzneimitteln, MMR 2003, 77; Mankowski, Apps und fernabsatzrechtliches Widerrufsrecht, CR 2013, 508; Mankowski, Postwurfsendungen nein danke!, WRP 2012, 269; Mankowski, Der Nachweis der Unternehmereigenschaft, VuR 2004, 79; Mankowski, Für einen Anscheinsbeweis hinsichtlich der Identität des Erklärenden bei E-Mails, CR 2003, 44; Mankowski, Zum Vertragsschluss im Internet, EWiR 2003, 961; Mankowski, Welche Bedeutung hat das Fernabsatzrecht für die Wohnungswirtschaft?, ZMR 2002, 317; Mankowski, Identität des Erklärenden bei E-Mails, NJW 2002, 2822; Mankowski, Das Herkunftslandprinzip als Internationales Privatrecht der e-commerceRichtlinie, ZVglRWiss 2001, 137; Mantz, Die Haftung des Betreibers eines gewerblich betriebenen WLANs und die Haftungsprivilegierung des § 8 TMG, GRUR-RR 2013, 497; Marberth-Kubicki, Der Beginn der Internet-Zensur – Zugangssperren durch Access-Provider, NJW 2009, 1792; Martens, Haftungsrisiko und Gestaltung von User Generated Content-Angeboten, ITRB 2007, 268; Martinek, Das neue Teilzeit-Wohnrechtegesetz – mißratener Verbraucherschutz bei Time-Sharing-Verträgen, NJW 1997, 1393; Matthies, Providerhaftung für Online-Inhalte, 2004 (Diss. 2003); Maume, Bestehen und Grenzen des virtuellen Hausrechts, MMR 2007, 620; Mederle, Die Regulierung von Spam und unerbetenen kommerziellen E-Mails, 2010 (Diss. 2009); Mehrings, Im Süd-Westen wenig Neues: BGH zum Vertragsabschluss bei Internet-Auktionen, BB 2002, 469; Mehrings, Internet-Verträge und internationales Privatrecht, CR 1998, 613; Mehrings, Vertragsschluss im Internet, MMR 1998, 30; Melullis, Zum Regelungsbedarf bei der elektronischen Willenserklärung, MDR 1994, 109; Menke/Witte, Aktuelle Rechtsprobleme beim E-Mail-Marketing, K&R 2013, 25; Meyer, Zur Abgrenzung von Unternehmen und privaten Verkäufern bei eBay, K&R 2007, 572; Meyer, Google AdWords: Wer haftet für vermeintliche Rechtsverletzungen?, K&R 2006, 557; Meyer, Elektronischer Geschäftsverkehr des Unternehmers mit Verbrauchern und Unternehmern, DB 2004, 2739; Meyer, Haftung der Internet-Auktionshäuser für Bewertungsportale, NJW 2004, 3151; Micklitz/Schirmbacher, Distanzkommunikation im europäischen Lauterkeitsrecht, WRP 2006, 148; Minnerup, Vertragsbeziehungen bei App-Nutzung, ITRB 2013, 119; Möller, Die Umsetzung der Verbraucherrechterichtlinie im deutschen Recht, BB 2014, 1411; Möller, Noch einmal: Widerrufsfrist bei Online-Auktion, BB 2012, 985; Möller, Die Änderung der rechtlichen Rahmenbedingungen des Direktmarketings, WRP 2010, 321; Möllers, Pressefreiheit im Internet, AfP 2008, 241; Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, 2014; Moritz, Quo vadis elektronischer Geschäftsverkehr, CR 2000, 61; Moritz/Dreier (Hrsg.), Rechtshandbuch zum E-Commerce, 2. Aufl. 2005; Müggenborg/Frenz, Versteckte Servicegebühren bei Flugbuchungen im Internet, NJW 2012, 1537 ff.; Müglich, Neue Formvorschriften für den E-Commerce, MMR 2000, 7; Mühlberger, Die Haftung des Internetanschlussinhabers bei Filesharing-Konstellationen
Kosmides
437
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
nach den Grundsätzen der Störerhaftung, GRUR 2009, 1022; Mülbert, Außengesellschaften – manchmal ein Verbraucher?, WM 2004, 905; Müller, Alternative Streitbeilegung für Domainnamen nach dem Uniform Rapid Suspension System (URS), CR 2016, 446; Müller, Kundenhotline zum „Grundtarif“, MMR 2013, 76; Müller, Die Button-Lösung gegen Kostenfallen im Internet, K&R 2012, 791; Müller-Hengstenberg/Kirn, Intelligente (Software-)Agenten: Eine neue Herausforderung unseres Rechtssystems, MMR 2014, 307; Mummenhoff, Persönlichkeitsschutz gegen unerbetene Werbung auf privaten Telefonanschlüssen, 2011; Nemeczek, Neueste gesetzgeberische Bemühungen um die Bestätigungslösung bei unerlaubter Telefonwerbung, WRP 2011, 530; Neubauer, Zur Haftung und Auskunftsverpflichtung von Providern, MR-Int 2008, 25; Neubauer, Haftung der Betreiber von Internet-Auktionsplattformen für (marken-)rechtsverletzende Inhalte Dritter, K&R 2004, 482; Nickels, Der elektronische Geschäftsverkehr und das Herkunftslandprinzip, DB 2001, 1919; Niebling, AGB-Klauseln in Online-Partnerschaftsvermittlungsverträgen, MDR 2015, 6; Nieland, Störerhaftung bei Meinungsforen im Internet, NJW 2010, 1494; Nippe, Lieferund Versandkosten im Internet-Versandhandel, WRP 2009, 690; Nippe, Belästigung zwischen Wettbewerbshandlung und Werbung, WRP 2006, 951; Noack, Digitaler Rechtsverkehr: Elektronische Signatur, elektronische Form und Textform, DStR 2001, 1893; Noack/Kremer, Online-Auktionen: „eBay-Recht“ als Herausforderung für den Anwalt, AnwBl 2004, 602; Nobbe, Das Günstigkeitsprinzip im Verbrauchervertragsrecht, 2007 (Diss. 2007); Nolte/Wimmers, Wer stört? Gedanken zur Haftung von Intermediären im Internet, GRUR 2014, 16; Nordemann/Dustmann, To Peer Or Not To Peer: Urheberrechtliche und datenschutzrechtliche Fragen der Bekämpfung der Internet-Piraterie, CR 2004, 380; Nordmann/Nelles, Consumer Protection Laws vs. Growth in M-Commerce, CRi 2006, 105; Nowak, Der elektronische Vertrag – Zustandekommen und Wirksamkeit unter Berücksichtigung des neuen „Formvorschriftenanpassungsgesetzes“, MDR 2001, 841; Nussbaum/Krienke, Telefonwerbung gegenüber Verbrauchern nach dem Payback-Urteil, MMR 2009, 372; Obergfell, Die Onlineauktion als Chimäre des deutschen Vertragsrechts, MMR 2005, 495; Oechsler, Der vorzeitige Abbruch einer Internetauktion und die Ersteigerung unterhalb des Marktwerts der Sache, NJW 2015, 665; Oechsler, Der Allgemeine Teil des Bürgerlichen Gesetzbuchs und das Internet (2.Teil), Jura 2012, 497; Oechsler, Haftung beim Missbrauch eines eBay-Mitgliedskontos, MMR 2011, 631; Oelschlägel, Neues Verbraucherrecht mit Auswirkungen auf den Fernabsatz/E-Commerce, MDR 2013, 1317; Oertel, Elektronische Form und notarielle Aufgaben im elektronischen Rechtsverkehr, MMR 2001, 419; Ohly, Verändert das Internet unsere Vorstellung von Persönlichkeit und Persönlichkeitsrecht?, AfP 2011, 428; Ohly, Keyword-Advertising auf dem Weg von Karlsruhe nach Luxemburg, GRUR 2009, 709; Ohly, Herkunftslandprinzip und Kollisionsrecht, GRUR Int 2001, 899; Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb, 7. Aufl. 2016 (zitiert: Ohly/Sosnitza/Bearbeiter, UWG); Omlor, Zahlungsentgelte unter dem Einfluss von Verbraucherrechte- und Zahlungsdienste-Richtlinie, NJW 2014, 1703; Omsels, Die Auswirkungen einer Verletzung richtlinienwidriger Marktverhaltensregelungen auf § 4 Nr. 11 UWG, WRP 2013, 1286; Ott, Die Entwicklung des Suchmaschinen- und Hyperlink-Rechts im Jahr 2007, WRP 2008, 393; Ott, Haftung für Embedded Videos von YouTube und anderen Videoplattformen im Internet, ZUM 2008, 556; Ott, Suchmaschinenmanipulation im Zusammenhang mit fremden Marken, MMR 2008, 222; Ott, Erfüllung von Löschungspflichten bei Rechtsverletzungen im Internet, WRP 2007, 605; Ott, Marktbeherrschende und öffentlich-rechtliche Suchmaschinen, K&R 2007, 375; Ott, Impressumspflicht für Webseiten, MMR 2007, 354; Ott, Haftung für Hyperlinks, WRP 2006, 691; Ott, Ich will hier rein! Suchmaschinen und das Kartellrecht, MMR 2006, 195; Paepe, Cross Border E-Commerce: Belgien, ITRB 2013, 279; Pagenkopf, Der neue Glücksspielstaatsvertrag, NJW 2012, 2918; Pankoke, Beweisund Substanziierungslast im Haftungsrecht der Internetprovider, MMR 2004, 211; Pankoke, Von der Presse- zur Providerhaftung, 2000 (Diss. 1999/2000); Park, Die Strafbarkeit von Internet-Providern wegen rechtswidriger Internet-Inhalte, GA 2001, 23; Pattberg, Haftung eines Geschäftsführers für Schutzrechtsverletzungen der Gesellschaft, GWR 2013, 314; Pauli, Die Einwilligung in Werbung bei Gewinnspielen, WRP 2011, 1232; Pauli, Die Einwilligung in Telefonwerbung per AGB bei der Gewinnspielteilnahme, WRP 2009, 1192; Pauly, Die Vorverlagerung der Widerrufsbelehrung im Fernabsatzrecht, MMR 2005, 811; Pauly/Jankowski, Rechtliche Aspekte der Telefonwerbung im B-to-B-Bereich, GRUR 2007, 118; Peifer, Neue Regeln für die Datennutzung zu Werbezwecken, MMR 2010, 524; Peintinger, Der Verbraucherbegriff im Lichte der Richtlinie über die Rechte von Verbrauchern und des Vorschlags für ein Gemeinsames Europäisches Kaufrecht, GPR 2013, 24; Peter, PowerSeller als Unternehmer, ITRB 2007, 18; Peter, Der Apothekengutschein – ein Wettbewerbsverstoß?, GRUR 2006, 910; Petersdorff-Campen, Persönlichkeitsrecht und digitale Archive, ZUM 2008, 102; Petershagen, Augen auf beim Internetverkauf – Auktionsabbruch nach alten und neuen eBay-AGB: Was von der Rechtsprechung geklärt und wo Streitpotential verblieben ist, CR 2015, 589; Petershagen, Der Schutz des Rechts am eigenen Bild vor Hyperlinks, NJW 2011, 705; Petershagen, Rechtsschutz gegen Negativkommentare im Bewertungsportal von Internetauktionshäusern, NJW 2008, 953; Pfeiffer, Erneut: Marktanknüpfung und Herkunftslandprinzip im E-Commerce, IPrax 2014, 360; Pfeiffer, Neues internationales Vertragsrecht, Zur Rom I-VO, EuZW 2008, 622; Pfeiffer, Vom kaufmännischen Verkehr zum Unternehmensverkehr, NJW 1999, 169; Piesker, Aufbau einer Online-Vertriebsstruktur – Die GVO in der Praxis, K&R 2012, 398; Plath/Frey, Direktmarketing nach der BDSG-Novelle, BB 2009, 1762; Pohle, Rechtliche Aspekte des Mobile Marketing, K&R 2008, 711; Pohle/Dorschel, Verantwortlichkeit und Haftung für die Nutzung von Telekommunikationsanschlüssen, CR 2007, 628; Prasse, Spam-E-Mails in der neueren Rechtsprechung, MDR 2006, 547; Purnhagen, Die Auswirkungen der
438
Kosmides
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
neuen EU-Richtlinie auf das deutsche Verbraucherrecht, ZRP 2012, 36; van Raay-Meyer/van Raay, Opt-in, Opt-out und (k)ein Ende der Diskussion, VuR 2009, 103; Rath, Zur Haftung von Internet-Suchmaschinen, AfP 2005, 324; Rath-Glawatz, Rechtsfragen der Haushaltswerbung (Briefkastenwerbung), K&R 2007, 295; Raue, „Kostenpflichtig bestellen“ – ohne Kostenfall? Die neuen Informations- und Formpflichten im Internethandel, MMR 2012, 438; Redeker, Linking-Vertragsklauseln, ITRB 2003, 207; Rehm/Sassenberg, Ansprüche gegen den Verbindungsnetzbetreiber bei nichtigen Mehrwertdienstentgelten, CR 2009, 290; Reich, Die wettbewerbsrechtliche Beurteilung der Haustürwerbung, GRUR 2011, 589; Reich, Die wettbewerbsrechtliche Beurteilung der Haustürwerbung in Deutschland, 2010 (Diss. 2009); Reinke, Die Verbreiterhaftung des Onlinehandels für die unkörperliche Verbreitung digitaler Inhalte, K&R 2012, 459; Remien, Zwingendes Vertragsrecht und Grundfreiheiten des EG-Vertrages, 2003 (Habil. 2000); Remmertz, Werbebotschaften per Handy, MMR 2003, 314; Riedel, Onlinevertriebsrecht, 2014; Riesenhuber (Hrsg.), Europäische Methodenlehre, 3. Aufl. 2015; Riesenhuber, Europäisches Vertragsrecht, 2. Aufl. 2006; Riesenhuber, System und Prinzipien des Europäischen Vertragsrechts, 2003 (Habil. 2002); Rinkler, AGB-Regelungen zum Rückgriff des Unternehmers und zu Rechtsmängeln auf dem Prüfstand, ITRB 2006, 68; Rösler, Werbende E-Karten – Zur Zulässigkeit von Mischformen zwischen elektronischem Direktmarketing und privater Kommunikation, WRP 2005, 438; Rössel, Transparenzgebote im M-Commerce AGB-Einbeziehung und Informationspflichten, ITRB 2006, 235; Rössel, Der Wettlauf um Suchmaschinen, CR 2003, 349; Rössel/Kruse, Schadensersatzhaftung bei Verletzung von Filterpflichten, CR 2008, 35; Rössel/Rössel, Filterpflichten des Providers, CR 2005, 809; Rohlfing, Unternehmer qua Indizwirkung? – Darlegungs- und Beweislast bei geschäftsmäßigem Handeln in elektronischen Marktplätzen, MMR 2006, 271; Rohnke, Die Preisangabenverordnung und die Erwartungen des Internetnutzers, GRUR 2007, 381; Roos/Lind, Cross Border E-Commerce: Schweden, ITRB 2013, 62; Rose, Preistransparenz im Online-Handel, K&R 2012, 725; Rose/Taeger, Reduzierte Informationspflichten für den M-Commerce, K&R 2010, 159; Roßnagel (Hrsg.), Beck’scher Kommentar zum Recht der Telemediendienste, 2013 (zitiert: BeckRTD-Komm/Bearbeiter); Roßnagel, Rechtsregeln für einen sicheren elektronischen Rechtsverkehr, CR 2011, 23; Roßnagel, Fremderzeugung von qualifizierten Signaturen?, MMR 2008, 22; Roßnagel, Die signaturrechtliche Herstellererklärung, MMR 2007, 487; Roßnagel, Elektronische Signaturen mit der Bankkarte? – Das Erste Gesetz zur Änderung des Signaturgesetzes, NJW 2005, 385; Roßnagel (Hrsg.), Recht der Multimedia-Dienste, 7. Aufl. 2005; Roßnagel, Rechtliche Unterschiede von Signaturverfahren, MMR 2002, 215; Roßnagel, Das neue Recht elektronischer Signaturen, NJW 2001, 1817; Roßnagel/Fischer-Dieskau, Elektronische Dokumente als Beweismittel, NJW 2006, 806; Roßnagel/Fischer-Dieskau/Wilke, Transformation von Dokumenten, CR 2005, 903; Roßnagel/Pfitzmann, Der Beweiswert von E-Mail, NJW 2003, 1209; Roßnagel/Wilke, Die rechtliche Bedeutung gescannter Dokumente, NJW 2006, 2145; Roth, „Button“-Lösung – Gesetz zum Schutz der Verbraucher vor Abo- und Kostenfallen im Internet, VuR 2012, 477; Roth, Die richtlinienkonforme Auslegung, EWS 2005, 385; Roth, Vertrieb von Dienstleistungen im Internet, ITRB 2002, 248; Rudkowski/Werner, Neue Pflichten für Anbieter jenseits der „Button-Lösung“. Paid-Content-Verträge nach der Verbraucherrechte-Richtlinie, MMR 2012, 711; Rücker, Notice and take down-Verfahren für die deutsche Providerhaftung?, CR 2005, 347; Rüfner, Verbindlicher Vertragsschluss bei Versteigerungen im Internet, JZ 2000, 715; Ruess/Slopek, Zum unmittelbaren wettbewerbsrechtlichen Leistungsschutz nach hartplatzhelden.de, WRP 2011, 834; Ruessmann/Melin, Ode to the Digital Single Market: And the Google AdWords case plays a part, CRi 2009, 161; Ruhl/Bohner, Vorsicht Anzeige! Als Information getarnte Werbung nach der UWG-Reform 2008, WRP 2011, 375; Rumyantsev, Journalistisch-redaktionelle Gestaltung, ZUM 2008, 33; Sack, Internationales Lauterkeitsrecht nach der Rom II-VO, WRP 2008, 845; Sankol, Die Qual der Wahl: § 113 TKG oder §§ 100g, 100h StPO?, MMR 2006, 361; Schaar, In-Game-Advertising: Zulässigkeit und Grenzen nach Europäischem Gemeinschaftsrecht, CR 2006, 619; Schaefer, Kennzeichenrechtliche Haftung von Suchmaschinen für AdWords, MMR 2005, 807; Schäfer, „Schriftliche“ Einladung zur Mitgliederversammlung eines eingetragenen Vereins auch per E-Mail?, NJW 2012, 891; Schäfer/Jahn, Vom Klick zum Kühlschrank – Sicherheits- und schuldrechtliche Aspekte des Lebensmittelhandels im Internet, K&R 2011, 614; Schafft, Umfang der Widerrufsbelehrung bei Bestellung übers Internet, K&R 2002, 44; Schapiro, Anhaltende Rechtsunsicherheit für die Betreiber von Internetmeinungsportalen? ZUM 2014, 201; Scherer, Kehrtwende bei der vergleichenden Werbung – Welche Konsequenzen hat die Änderung der BGH-Rechtsprechung?, GRUR 2012, 545; Scherer/Butt, Rechtsprobleme bei Vertragsschluss via Internet, DB 2000, 1009; Schillig, Konkretisierungskompetenz und Konkretisierungsmethoden im Europäischen Privatrecht, 2009; Schinkels, Drum prüfe, wer sich ewig bindet – Die Wertersatzverpflichtung des Verbrauchers bei Widerruf im Warenfernabsatz nach EuGH, Urt. v. 3.9.2009 – C-489/07 (Messner), ZGS 2009, 539; Schirmbacher, Metatags und Keyword-Advertising, ITRB 2007, 117; Schirmbacher, Der Schutz des Verbrauchers vor unerbetener Werbung per E-Mail, VuR 2007, 54; Schirmbacher/Bühlmann, Der Cross-Border-Onlineshop: Probleme und Lösungsansätze im grenzüberschreitenden E-Commerce zwischen Deutschland und der Schweiz, ITRB 2010, 188; Schirmbacher/Creutz, Neues Verbraucherrecht: Änderungen beim Widerrufsrecht und erweiterte Informationspflichten für digitale Inhalte, ITRB 2014, 44; Schirmbacher/Engelbrecht, Suchmaschinenoptimierung und (un)zulässige SEO-Maßnahmen, CR 2015, 659; Schirmbacher/Engelbrecht, Neues Verbraucherrecht: Erleichterte Informationspflichten bei begrenzter Darstellungsmöglichkeit, ITRB 2014, 89; Schirmbacher/Freytag, Neues Verbraucherrecht: Entgelte für Zahlungsmittel und Kundenhotlines, ITRB 2014, 144; Schirmbacher/Grassmück, Neues Verbraucher-
Kosmides
439
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
recht: Kostenpflichtige Zusatzleistungen im E-Commerce, ITRB 2014, 66; Schirmbacher/Grassmück, Neues Verbraucherrecht: Muster-Widerrufsformular und Online-Widerrufserklärung, ITRB 2014, 20; Schirmbacher/Ihmor, Affiliate-Werbung – Geschäftsmodell, Vertragsgestaltung und Haftung, CR 2009, 245; Schirmbacher/Schätzle, Einzelheiten zulässiger Werbung per E-Mail, WRP 2014, 1143; Schirmbacher/Schmidt, Verbraucherrecht 2014 – Handlungsbedarf für den E-Commerce, CR 2014, 107; Schlegel, Hinweispflichten des Internetshopbetreibers auf Umsatzsteuer und Versandkosten, MDR 2008, 417; Schlömer/Dittrich, eBay & Recht – Rechtsprechungsübersicht zum Jahr 2012, K&R 2013, 158; Schlömer/ Dittrich, eBay & Recht – Rechtsprechungsübersicht zum Jahr 2011, K&R 2012, 160; Schlömer/Dittrich, eBay & Recht – Rechtsprechungsübersicht zum Jahr 2010, K&R 2011, 159; Schlömer/Dittrich, eBay & Recht – Rechtsprechungsübersicht zum Jahr 2009, K&R 2010, 148; Schlömer/Dittrich, eBay & Recht – Rechtsprechungsübersicht zum Jahr 2008, K&R 2009, 145; Schlömer/Dittrich, eBay & Recht – Rechtsprechungsübersicht zum Jahr 2007/I, K&R 2007, 433; Schmidl, To Disclaim or not to Disclaim – Vertraulichkeitsverpflichtung auf Grund von E-Mail-Disclaimern?, MMR 2005, 501; Schmidl, Die elektronische Signatur, CR 2002, 508; Schmidt, Das Widerrufsrecht bei Fernabsatz- und Haustürgeschäften, VuR 2013, 448; Schmidt, Heilmittelwerberecht, PharmR 2012, 285; Schmidt, „Unternehmer“ – „Kaufmann“ – „Verbraucher“, BB 2005, 837; Schmidt-Bogatzky, Die Verwendung von Gattungsbegriffen als Internetdomains, GRUR 2002, 941; Schmittmann, Überblick über die rechtliche Zulässigkeit von SMS-Werbung, K&R 2004, 58; Schmittmann, Eingriff in die Privatsphäre durch unverlangte Werbung mittels SMS-Spamming, K&R 2003, 250; Schmittmann, Kosten beim Empfänger unerwünschter E-Mail-Werbung, K&R 2002, 135; Schmittmann, Rechtliche Aspekte der Short-Message-Werbung, MMR 1998, 346; Schmittmann/Lorenz, Die rechtliche Beurteilung von E-Mail-Werbung nach Inkrafttreten des TMG, K&R 2007, 609; Schmitz, Signaturpad – Ersatz für Unterschrift?, NVwZ 2013, 410; Schmitz/Dierking, Inhalte- und Störerverantwortlichkeit bei Telekommunikations- und Telemediendiensten, CR 2005, 420; Schmitz/Eckhardt, AGB – Einwilligung in Werbung, CR 2006, 533; Schmitz/Laun, Die Haftung kommerzieller Meinungsportale im Internet, MMR 2005, 208; Schnabel, Porn not found – Die Arcor-Sperre, K&R 2008, 26; Schnabel, Böse Zensur, guter Filter? – Urheberrechtliche Filterpflichten für Access-Provider, MMR 2008, 281; Schneider, Rechtsfragen von Social Networks, ITRB 2011, 10; Schneider, Sperren und Filtern im Internet, MMR 2004, 18; Schneider, Urheberrechtsverletzungen im Internet bei Anwendungen des § 5 TDG, GRUR 2000, 969; Schomburg, Mehr Verbraucherschutz bei Kosten für Nebenleistungen – Die Regelungen des neuen § 312a Abs. 2 bis 6 BGB, VuR 2014, 18; Schreibauer/Mulch, Neuere Rechtsprechung zum Internetrecht, WRP 2005, 442; Schrick, Direktmarketing mittels E-Mail und seine Entwicklung, MMR 2000, 399; Schröder, Ein Plädoyer gegen den Missbrauch des „Fliegenden Gerichtsstands“ im Online-Handel, WRP 2013, 153; Schröder, Über den Wolken … Zugleich Kommentar zu EuGH, Urt. v. 19.7.2012 – C 112/11, K&R 2012, 590, K&R 2012, 658; Schröder/Bühlmann, Übernahme der Anbieterkennzeichnung durch den Portalbetreiber, CR 2012, 318; Schultz, Die Haftung von Internetauktionshäusern für den Vertrieb von Arzneimitteln, WRP 2004, 1347; Schulze/Dörner/Ebert/Hoeren/Kemper/Saenger/Schreiber/Schulte-Nölke/Staudinger (Hrsg.), Bürgerliches Gesetzbuch: Handkommentar, 8. Aufl. 2014 (zitiert: Hk-BGB/Bearbeiter); Schulze zur Wiesche, Die neuen Zulässigkeitsgrenzen für Direktmarketing, CR 2004, 742; Schuppert, Anm. zu BGH v. 27.3.2007 – VI ZR 101/06, CR 2007, 588; Schuster, E-Mail-Dienste als Telekommunikationsdienste?: Warum OTT-Dienste keine TK-Dienste sein können – zugleich Erwiderung auf Kühling/Schall, CR 2015, 641 und VG Köln zu „Google Mail“, CR 2016, 173; Schuster, Die Störerhaftung von Suchmaschinenbetreibern bei Textausschnitten („Snippets“), CR 2007, 443; Schwab/Giesemann, Die Verbraucherrechte-Richtlinie, EuZW 2012, 253; Schwarz/Peschel-Mehner (Hrsg.), Recht im Internet 45. EL Dezember 2015; Schweda/Rudowicz, Verkaufsverbote über Online-Handelsplattformen und Kartellrecht, WRP 2013, 590; Schweizer, Grundsätzlich keine Anwendbarkeit des UWG auf die Medien- und insgesamt auf die Marktund Meinungsforschung, ZUM 2010, 400; Schwiddessen, IARC und USK – Alterskennzeichen für Apps und Online-Games – Rechtliche und praktische Analyse des ersten globalen Jugendschutzsystems, CR 2015, 515; Sefton-Green, Ruth (ed.): Mistake, Fraud and Duties to Inform in European Contract Law, 2005; Seichter/Witzmann, Die Einwilligung in die Telefonwerbung, WRP 2007, 699; Seidl, Strafbarkeit von Ping-Anrufen, jurisPR-ITR 20/2010 Anm. 3; Sester, Vertragsabschluss bei Internet-Auktionen, CR 2001, 98; Sieber/Höfinger, Drittauskunftsansprüche nach § 101a UrhG gegen Internetprovider zur Verfolgung von Urheberrechtsverletzungen, MMR 2004, 575; Sieber/Klimek, Werbung in Push-Diensten: Zulässige unaufgeforderte kommerzielle Kommunikation?, K&R 1999, 305; Sieber/Liesching, Die Verantwortlichkeit der Suchmaschinenbetreiber nach dem Telemediengesetz, MMR-Beilage 8/2007, 1; Sobola/Kohl, Haftung von Providern für fremde Inhalte, CR 2005, 443; Sokolowski, E-Mail-Werbung als Spamming, WRP 2008, 888; Soldner/Jahn, Koexistenz versus Kohärenz – Onlineverbote für Glücksspiel (erneut) auf dem Prüfstand des EuGH, K&R 2013, 301; Solmecke (Hrsg.), Handel im Netz, 2014; Sonnentag, Vertragliche Haftung bei Handeln unter fremden Namen im Internet, WM 2012, 164; Sosnitza, Verleiten zum Vertragsbruch, WRP 2009, 373; Sosnitza, Auktionen im Internet aus Verbrauchersicht – Aktuelle Rechtsfragen im Spiegel der Rechtsprechung – Teil 2, VuR 2007, 172; Sosnitza, Auktionen im Internet aus Verbrauchersicht – Aktuelle Rechtsfragen im Spiegel der Rechtsprechung – Teil 1, VuR 2007, 143; Sosnitza, Gattungsbegriffe als Domain-Namen im Internet, K&R 2000, 209; Spickhoff, Persönlichkeitsverletzungen im Internet, IPRax 2011, 131; Spieker, Verantwortlichkeit von Internetsuchdiensten für Persönlichkeitsrechtsverletzungen in ihren Suchergebnislisten, MMR 2005, 727; Spindler, Die neue Providerhaftung für WLANs – Deutsche
440
Kosmides
B
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Störerhaftung adé?, NJW 2016, 2449; Spindler, Störerhaftung des Host-Providers bei Persönlichkeitsrechtsverletzungen, CR 2012, 176; Spindler, Das De-Mail-Gesetz – ein weiterer Schritt zum sicheren E-Commerce, CR 2011, 309; Spindler, „Die Tür ist auf“ – Europarechtliche Zulässigkeit von Auskunftsansprüchen gegenüber Providern, GRUR 2008, 574; Spindler, Das neue Telemediengesetz – Konvergenz in sachten Schritten, CR 2007, 239; Spindler, Irrtümer bei elektronischen Willenserklärungen, JZ 2005, 793; Spindler, Haftung und Verantwortlichkeit im IT-Recht, CR 2005, 741; Spindler, Die Verantwortlichkeit der Provider für „Sich-zu-Eigen-gemachte“ Inhalte und für beaufsichtigte Nutzer, MMR 2004, 440; Spindler, Das Gesetz zum elektronischen Geschäftsverkehr, NJW 2002, 921; Spindler, Verantwortlichkeit und Haftung für Hyperlinks im neuen Recht, MMR 2002, 495; Spindler, Vertragsabschluß und Inhaltskontrolle bei Internet-Auktionen, ZIP 2001, 809; Spindler, E-Commerce in Europa, MMR-Beil. 7/2000, 4; Spindler, Störerhaftung im Internet, K&R 1998, 177; Spindler/Dorschel, Auskunftsansprüche gegen Internet-Service-Provider, CR 2005, 38; Spindler/Nink, Verträge via Internetauktion, DRiZ 2007, 193; Spindler/Schmittmann, Unerwünschte E-Mail-Werbung – Zivil- und wettbewerbsrechtliche Zulässigkeit in Europa, MMRBeil. 8/2001, 10; Spindler/Volkmann, Die zivilrechtliche Störerhaftung der Internet-Provider, WRP 2003, 1; Spindler/Wiebe (Hrsg.), Internet-Auktionen und Elektronische Marktplätze, 2. Aufl. 2005; Splittgerber/ Klytta, Auskunftsansprüche gegen Internetprovider, K&R 2007, 78; Splittgerber/Zscherpe/Goldmann, Werbe-E-Mails – Zulässigkeit und Verantwortlichkeit, WRP 2006, 178; Stadler, Proaktive Überwachungspflichten der Betreiber von Diskussionsforen im Internet, K&R 2006, 253; Stadler, Haftung für Informationen im Internet, 2. Aufl. 2005; Stadler, Haftung des Admin-C und des Tech-C, CR 2004, 521; Stadler, Sperrungsverfügung gegen Access-Provider, MMR 2002, 343; Steinbarth, Unmittelbare Wirkung von EGRichtlinien und richtlinienkonforme Auslegung des innerstaatlichen Rechts in der Rechtsprechung des EuGH, Jura 2005, 607; Steinbeck, Die neuen Formvorschriften im BGB, DStR 2003, 644; Stieper, Vorzeitige Beendigung einer eBay-Auktion: Ausgestaltung von Willenserklärungen durch AGB als Herausforderung für die Rechtsgeschäftslehre, MMR 2015, 627; Stögmüller, Markenrechtliche Zulässigkeit kontextsensitiver Werbung im Internet, CR 2007, 446; Stopp, Verantwortlichkeit für Inhalte im Internet, ITRB 2003, 89; Strafner, Urheber- und wettbewerbsrechtliche Abwehransprüche des Anbieters von Informationen im World Wide Web gegen Hyperlinks, 2005 (Diss. 2004); Strauß, Rechtliche Verantwortlichkeit für Wikipedia, ZUM 2006, 274; Strömer, Online-Recht, 4. Aufl. 2006; Strömer, Haftung des Zonenverwalters (zone-c), K&R 2004, 460; Strömer/Grootz, Internet-Foren: „Betreiber- und Kenntnisverschaffungspflichten“ – Wege aus der Haftungsfalle, K&R 2006, 553; Süßenberger, Das Rechtsgeschäft im Internet, 2000; Sutschet, Anforderungen an die Rechtsgeschäftslehre im Internet – Bid Shielding, Shill Bidding und Mr. Noch Unbekannt, NJW 2014, 1041; Szczesny, Aktuelles zur Unternehmereigenschaft im Rahmen von Internet-Auktionen, NJW 2007, 2586; Szczesny/Holthusen, Aktuelles zur Unternehmereigenschaft im Rahmen von Internet-Auktionen, NJW 2007, 2589; Szczesny/Holthusen, Zur Unternehmereigenschaft und ihren zivilrechtlichen Folgen im Rahmen von Internetauktionen, K&R 2005, 302; Tacou, Verbraucherschutz auf hohem Niveau oder Mogelpackung?, ZRP 2009, 140; Taeger/Wiebe (Hrsg.), Tagungsband Herbstakademie 2009, 2009; Tamm, Informationspflichten nach dem Umsetzungsgesetz zur Verbraucherrechterichtlinie, VuR 2014, 9; Taupitz/Kritter, Electronic Commerce – Probleme bei Rechtsgeschäften im Internet, JuS 1999, 844; Taupitz/Kritter, Electronic commerce – Probleme bei Rechtsgeschäften im Internet, JuS 1999, 839; Terhaag/Schwarz, Quo vadis, Freundschaftsempfehlung – Mächtiges PR-Instrument oder wettbewerbswidrige Datenschleuder?, K&R 2012, 377; Tettinger, Nichts Halbes und nichts Ganzes? Der Kommissionsvorschlag einer europäischen Richtlinie über Rechte der Verbraucher, ZGS 2009, 106; Thalmair, Kunden-Online-Postfächer: Zugang von Willenserklärungen und Textform, NJW 2011, 14; Thiele/Rohlfing, Gattungsbezeichnungen als Domain-Namen, MMR 2000, 591; Thode, Die Electronic-CommerceRichtlinie, NZBau 2001, 345; Thünken, Die EG-Richtlinie über den elektronischen Geschäftsverkehr und das internationale Privatrecht des unlauteren Wettbewerbs, IPRax 2001, 15; Tietge, Ist die Verwendung fremder Marken im Rahmen des Keyword-Advertising nach jüngster Rechtsprechung zulässig?, K&R 2007, 503; Tietze/McGuire/Bendel/Kähler/Nickel/Reich/Sachse/Wehling (Hrsg.), Jahrbuch Junger Zivilrechtswissenschaftler 2004, 2005 (zitiert: Bearbeiter, in: Jahrbuch Junger Zivilrechtswissenschaftler 2004: Europäisches Privatrecht); Tonner, Das Gesetz zur Umsetzung der Verbraucherrechterichtlinie, VuR 2013, 443; Tonner/Reich, Die Entwicklung der wettbewerbsrechtlichen Beurteilung der Telefonwerbung, VuR 2009, 95; Tyra, Ausgewählte Probleme aus der Abmahnpraxis bei Privatnutzungen in Musiktauschsystemen, ZUM 2009, 934; Ulbricht/Meuss, Juristische Aspekte von Extended Links und Smart Tags, CR 2002, 162; Ullmann, Wer sucht, der findet – Kennzeichenverletzung im Internet, GRUR 2007, 633; Ulrici, Zum Vertragsschluss bei Internet-Auktionen, NJW 2001, 112; Ultsch, Zivilrechtliche Probleme elektronischer Erklärungen – dargestellt am Beispiel der Electronic Mail, DZWIR 1997, 466; Ultsch, Zugangsprobleme bei elektronischen Willenserklärungen, NJW 1997, 3007; Unger, Die Richtlinie über die Rechte der Verbraucher, ZEuP 2012, 270; Vander, Vorschlag einer Richtlinie über Rechte der Verbraucher, in: Taeger/ Wiebe (Hrsg.), Tagungsband Herbstakademie 2009, 2009, S. 369; Vander, Reform des Fernabsatzrechts. Probleme und Fallstricke der neuen Widerrufsbelehrung, MMR 2015, 75; Vehslage, Elektronisch übermittelte Willenserklärungen, AnwBl. 2002, 86; Verweyen, Grenzen der Störerhaftung in Peer to Peer-Netzwerken, MMR 2009, 590; Verweyen/Schulz, Die Rechtsprechung zu den „Onlinearchiven“, AfP 2008, 133; Viefhues, Das Gesetz über die Verwendung elektronischer Kommunikationsformen in der Justiz, NJW 2005, 1009; Viefhues, Wenn die Treuhand zum Pferdefuß wird, MMR 2005, 76; Viefhues, Internet und
Kosmides
441
B Rz. 1
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Kennzeichenrecht – Meta-Tags, MMR 1999, 336; Viniol/Hofmann, Liberalisierte Glücksspielwerbung in Deutschland 2013?, MMR 2013, 434; von Vogel, Verbrauchervertragsrecht und allgemeines Vertragsrecht, 2006 (Diss. 2006); Vogenauer, Richtlinienkonforme Auslegung nationalen Rechts, ZEuP 1997, 159; Vogl, Vertragsschluss im Internethandel, ITRB 2005, 145; Voigt, Einwilligungsbasiertes Marketing, K&R 2013, 371 ff.; Voigt/Heilmann, Hinweise zur rechtssicheren Ausgestaltung gewerblicher Warenangebote bei eBay, ITRB 2010, 107; Volkmann, Freies WLAN für einen Cappuccino, K&R 2015, 289; Volkmann, Verantwortlichkeit von Plattformbetreibern für rechtsverletzende Nutzerkommentare, K&R 2013, 762; Volkmann, Verkehrspflichten für Internet-Provider, CR 2008, 232; Volkmann, Haftung für fremde Inhalte: Unterlassungs- und Beseitigungsansprüche gegen Hyperlinksetzer im Urheberrecht, GRUR 2005, 200; Volkmann, Haftung des Internet-Auktionsveranstalters für markenrechtsverletzende Inhalte Dritter, K&R 2004, 231; Vykydal/von Diemar, Gatoring – Eine zulässige Form der Werbung im Internet?, WRP 2004, 1237; Wagner/Zenger, Vertragsschluss bei eBay und Angebotsrücknahme – Besteht ein „Loslösungsrecht“ vom Vertrag contra legem?, MMR 2013, 343; Wahl, Die Einwilligung des Verbrauchers in Telefonwerbung durch AGB, WRP 2010, 599; Waldenberger, Electronic Commerce: der Richtlinienvorschlag der EG-Kommission, EuZW 1999, 296; von Wallenberg, Ist das Telefonmarketing gegenüber Verbrauchern tot?, BB 2009, 1768; Wandtke (Hrsg.), Medienrecht Praxishandbuch, 2. Aufl. 2011; Weber, E-Mail-Werbung im geschäftlichen Verkehr, WRP 2010, 462; Weber/Meckbach, E-Mail-basierte virale Werbeinstrumente – unzumutbare Belästigung oder modernes Marketing?, MMR 2007, 482; Wegmann, Anforderungen an die Einwilligung in Telefonwerbung nach dem UWG, WRP 2007, 1141; Wegner/Odefey, Grundsätze der zivilrechtlichen Unterlassungshaftung bei Veröffentlichung und Online-Angeboten von fremden Inhalten, K&R 2008, 641; Weidert, In „Bio“ we trust: Werbung mit Genehmigungen, Gütesiegeln und anderen Qualitätskennzeichen, GRUR-Prax 2010, 351; Weiler, Spamming – Wandel des europäischen Rechtsrahmens, MMR 2003, 223; Weiss, Die Untiefen der Button-Lösung, JuS 2013, 590; Wendehorst, Das neue Gesetz zur Umsetzung der Verbraucherrechterichtlinie, NJW 2014, 577; Wendehorst, Dauerbaustelle Verbrauchervertrag: Wertersatz bei Widerruf von Fernabsatzverträgen, NJW 2011, 2551; Wendlandt, Europäische, deutsche und amerikanische Regelungen von E-Mail-Werbung, MMR 2004, 365; Wendlandt, Cybersquatting, Metatags und Spam, 2002 (Diss. 2001); Wendt/Lorscheid-Kratz, Das Widerrufsrecht bei „zusammenhängenden Verträgen“, BB 2013, 2434; Wenzel, Vertragsabschluss bei Internet-Auktionen, NJW 2002, 1550; Werner, Eingriff in das (Rollen-)Spielsystem, CR 2013, 516; Graf von Westphalen, AGB-rechtliche Reformbestrebungen und das Europäische Kaufrecht, NJW 2012, 893; Weyer, Handelsgeschäfte (§§ 343 ff. HGB) und Unternehmergeschäfte (§ 14 BGB), WM 2005, 490; Weyers (Hrsg.), Electronic Commerce, 2001; Wiebe, Die elektronische Willenserklärung, 2002; Wiebe, Identität eines Teilnehmers an einer Internetauktion, MMR 2002, 257; Wiebe, Nachweis der Authentizität bei Internettransaktionen, MMR 2002, 128; Wiebe, Vertragsschluss bei Online-Auktionen, MMR 2000, 323; Wietzorek, Der Beweis des Zugangs von Anhängen in E-Mails, MMR 2007, 156; Wilke/Jandt/Löwe/Roßnagel, Eine Beweisführung von Format – Die Transformation signierter Dokumente auf dem Prüfstand, CR 2008, 607; Wilmer, Überspannte Prüfpflichten für Host-Provider?, NJW 2008, 1845; Wilmer, Rechtliche Probleme der Online-Auktionen, NJWCoR 2000, 94; Wimmers/Schulz, Stört der Admin-C?, CR 2006, 754; Witt, Unternehmereigenschaft einer GmbH beim Verbrauchsgüterkauf, NJW 2011, 3402; Wittreck, Persönlichkeitsbild und Kunstfreiheit, AfP 2009, 6; Wolber/Eckhardt, Zulässigkeit unaufgeforderter E-Mail-Werbung, DB 2002, 2581; Wolf/Neuner, Allgemeiner Teil des Bürgerlichen Rechts, 10. Aufl. 2012; Wrede/Kirsch, Identifizierungsmöglichkeiten bei De-Mail-Nutzung, ZD 2013, 433; Wüstenberg, Die Haftung der Internetauktionatoren auf Unterlassung wegen Markenrechtsverletzungen im Internet, WRP 2002, 497; Wüstenberg, Die Haftung der Veranstalter von Teleshopping-Programmen wegen Patentrechtsverletzungen durch Verkauf, GRUR 2002, 649; Zagouras, Eltern haften für ihre Kinder? – R-Gespräche zwischen Anscheinsvollmacht, Widerruf und Wucher, NJW 2006, 2368; Zahrte, Aktuelle Entwicklungen beim Pharming – Neue Angriffsmethoden auf das Online-Banking, MMR 2013, 207; Zapf, Zur Haftung bei der Veredelung von Online-Anzeigen durch den Verlag, AfP 2003, 489; Zenefels, Die digitalen Inhalte im neuen Gemeinsamen Europäischen Kaufrecht, K&R 2012, 463; Zimmermann, Die Zahlung für Onlinespielfeatures per 0900er Nummer, K&R 2012, 731; Zimmermann, Bei Anruf Zahlung? – Das Pay by Call-Verfahren zwischen Rechtsscheinhaftung und Minderjährigenschutz, MMR 2011, 516; Zoebisch, Der Gegendarstellungsanspruch im Internet, ZUM 2011, 390.
I. Grundlagen 1. Verbraucher-, Fernabsatz-, E-Commerce-Vertragsrecht (Überblick) 1.1 Begrifflichkeiten 1 Vom Begriff „Verbraucherschutzrecht“ wird die Gesamtheit aller Rechtsnormen erfasst, die für die Rechtsstellung des Verbrauchers von Bedeutung sind, unabhängig davon, ob sie am
442
Kosmides
Grundlagen
Rz. 5
B
Begriff des Verbrauchers anknüpfen.1 Der Begriff Verbrauchervertragsrecht als Teilgebiet des privatrechtlichen Verbraucherschutzrechts erfasst wiederum diejenigen Regelungen, die die rechtsgeschäftlichen Verhältnisse betreffen, an denen ein Verbraucher einerseits und ein Unternehmer andererseits beteiligt sind und in denen dem Verbraucher subjektive Rechte zur Wahrnehmung seiner rechtlichen Interessen eingeräumt werden.2 Hierzu gehören auch die Regelungen des Fernabsatzvertragsrechts (zu Begriff und Anwendungsbereich s. Rz. 68 ff.). Die Anwendungsbereiche des Verbrauchervertrags- und des Fernabsatzrechts sind nicht de- 2 ckungsgleich. Das Fernabsatzrecht (§§ 312c ff. BGB), das mit der Schuldrechtsmodernisierung materiell in das BGB inkorporiert wurde, bildet zusammen mit den sonstigen verbraucherschützenden Bestimmungen in den §§ 312–312k BGB i.V.m. mit den Informationsregeln in den Art. 246 ff. EGBGB, den entsprechenden AGB-Regeln der §§ 305–310 BGB, den §§ 355–361 BGB (Widerruf und Rückabwicklung) sowie etlichen Vorschriften des besonderen Schuldrechts (z.B. §§ 474 ff. BGB – Verbrauchsgüterkauf; §§ 491 ff. BGB – Verbraucherdarlehensverträge) den Hauptteil des deutschen, überwiegend europarechtlich geprägten Verbrauchervertragsrechts.3 Dem Verbrauchervertragsrecht zuzurechnen sind ebenfalls § 13 und § 14 BGB, welche bei der Definierung der Begriffe des Verbrauchers und des Unternehmers gerade an einem Rechtsgeschäftsabschluss anknüpfen (s. Rz. 32 ff.). Jede fernabsatzrechtliche Vorschrift gilt insoweit dem Verbrauchervertragsrecht. Aber umgekehrt gilt es nicht: Denn es gibt verbrauchervertragsrechtliche Vorschriften, die nicht für Fernabsatzverträge gelten. Das Verbrauchervertragsrecht und das E-Commerce-Vertragsrecht haben im Wesentlichen 3 unterschiedliche Anwendungsbereiche. Im Vergleich zum Anwendungsbereich des Verbrauchervertragsrechts ist der des E-Commerce-Vertragsrechts (zum Begriff und Anwendungsbereich s. Rz. 389 ff.) einmal enger und einmal weiter. So werden vom E-CommerceVertragsrecht einerseits ausschließlich Verträge im elektronischen Geschäftsverkehr erfasst. Demgegenüber umfasst das Verbrauchervertragsrecht neben (Verbraucher)Verträgen im elektronischen Geschäftsverkehr auch weitere besondere Vertriebsformen, wie etwa außerhalb von Geschäftsräumen geschlossene Verträge (§ 312b BGB) und die Fernabsatzverträge (§ 312c BGB). Das E-Commerce-Vertragsrecht ist andererseits aber nicht auf Verbraucherverträge beschränkt (s. Rz. 396). In Anbetracht seines persönlichen Anwendungsbereichs (s. Rz. 394 ff.) gilt das E-Commerce- 4 Vertragsrecht per se nicht dem Verbrauchervertragsrecht.4 Es dient aber, wenn auch nicht ausschließlich, jedoch zumindest gleichfalls dem Verbraucherschutz (vgl. auch § 2 Abs. 2 Nr. 2 UKlaG).5 Dies gilt in erster Linie deshalb, weil es gewisse Spezialregelungen gibt, die ausschließlich auf zwischen einem Unternehmer und einem Verbraucher geschlossene E-Commerce-Verträge Anwendung finden (§§ 312a Abs. 3 Satz 2; 312j BGB). Hinzu kommt, dass die allgemeinen E-Commerce-Regeln gleichfalls auf Verbraucherverträge im elektronischen Geschäftsverkehr Anwendung finden. Das Verbrauchervertragsrecht und das E-Commerce-Vertragsrecht sind insoweit nicht über- 5 schneidungsfrei. Gleiches gilt für das Fernabsatz- und das E-Commerce-Vertragsrecht. Aufgrund der bestehenden Querverbindungen und Überschneidungen sowie ihrer sachlichen Nähe sollen insofern Fernabsatz- und E-Commerce-Vertragsrecht nebeneinander als Teile eines Ganzen begriffen und behandelt werden.6 Dafür sprechen zudem die Vertragspraxis sowie die Gesetzessystematik. Die verschiedenen Regelungen sind gerade in einem einzigen Teil des BGB (Buch 2, Abschnitt 3, Titel 1 Untertitel 2) niedergelegt.
1 2 3 4 5 6
Vgl. nur Drexl, Die wirtschaftliche Selbstbestimmung des Verbrauchers, S. 11, 85. von Vogel, Verbrauchervertragsrecht und allgemeines Vertragsrecht, S. 9. Vgl. auch Hk-BGB/Schulte-Nölke, Vor §§ 312–312k Rz. 1. Vgl. auch R. Koch, in: Erman, BGB, § 312i Rz. 2; Frings, VuR 2002, 390 (396). Ebenso Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 8. Ebenso etwa Enders/Kosmides, in: Lehmann/Meents, Kap. 11.
Kosmides
443
B Rz. 6
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1.2 Regelungsgegenstand und -zweck 6 Der Vertrieb von Waren und Dienstleistungen im Fernabsatz, insb. im Wege des E-Commerce,7 bringt erhebliche Vorteile sowohl für die einzelnen Marktteilnehmer als auch für die Wirtschaft als Ganzes mit sich.8 Diese besonderen Vertriebsformen tragen einerseits zur Vereinfachung und Erleichterung der Vertragsschlüsse, zur Verbesserung und Vermehrung der angebotenen Produkte sowie zur Senkung der Transaktionskosten zugunsten der Kunden bei. Damit geht andererseits eine qualitative und quantitative Zunahme der Transaktionen zugunsten der Anbieter einher (individuelle Ebene). Darüber hinaus werden mit Hilfe dieser Vertriebsformen das Wirtschaftswachstum sowie die Investitionen in Innovationen angeregt, was zu einer Stärkung der Wettbewerbsfähigkeit der Wirtschaft führen kann (institutionelle Ebene).9 7 Fernabsatz- und E-Commerce-Verträge bergen allerdings nicht nur Vorteile in sich, sondern sind auch Quelle möglicher Gefahren und Risiken.10 Hierbei herrschen aus Sicht des Gesetzgebers besondere Umstände, die die Freiheit der rechtsgeschäftlichen Entscheidungsfindung des Verbrauchers beeinträchtigen könn(t)en und damit seine gesteigerte Schutzbedürftigkeit rechtfertigen.11 8 Diese Erwägungen rechtfertigen nicht nur ein Widerrufsrecht, sondern auch umfangreiche Informationspflichten. Informationspflichten (z.B. §§ 312d Abs. 1 BGB i.V.m. 246a EGBGB) und Widerrufsrecht (§§ 312g i.V.m. 355 BGB) stellen die zentralen Schutzinstrumente i.R.d. Fernabsatzvertragsrechts dar.12 Beim Fernabsatz von Produkten können infolge der besonderen Vertragsabschlusssituation, die sich von der Situation beim Vertragsschluss im Laden erheblich unterscheidet, Informationsdefizite aufseiten des Verbrauchers bestehen.13 Durch die Informationsgewährung soll die individuelle Informationslage des Verbrauchers verbessert und damit die Voraussetzungen freier Willensbildung eines aufgeklärten und eigenverantwortlichen Verkehrsteilnehmers sichergestellt werden. Insb. soll der Verbraucher bzw. Kunde durch die Information in die Lage versetzt werden, die wesentlichen Vertragsinhalte zu beurteilen und über das Geschäft in Kenntnis aller Umstände zu entscheiden. In einer Linie mit dem europäischen Verbrauchervertragsrecht, das – ebenso wie das gesamte europäische Privatrecht – vorwiegend dem Informationsmodell folgt,14 ist das deutsche Fernabsatzrecht auf die Herstellung und Gewährleistung der Bedingungen tatsächlicher, eigenverantwortlicher Entscheidungsfreiheit der Konsumenten ausgerichtet. 9 Informationspflichten zielen mit dem Abbau gegebener Informationsasymmetrien zudem darauf ab, zur Erreichung einer wettbewerbsfähigen Marktordnung beizutragen.15 Ohne angemessene Information kann der Markt seine Allokationsfunktion16 nicht (oder jeden7 Vgl. dazu schon das Pionierwerk von Lehmann (Hrsg.), Rechtsgeschäfte im Netz; vgl. auch Lehmann (Hrsg.), Electronic Business in Europa. 8 Vgl. auch R. Koch, in: Erman, BGB, Vorbemerkung zu §§ 312–312k Rz. 2. 9 Vgl. Erw.grd. 2 RL 2000/31/EG. 10 Wie hier R. Koch, in: Erman, BGB, Vorbemerkung zu §§ 312–312k Rz. 3. 11 BT-Drs. 14/2658, S. 15 f. S.a. Erw.grd. 37 RL 2011/83/EU (Verbraucherrechte-Richtlinie); Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates v. 25.10.2011 über die Rechte der Verbraucher (ABl. Nr. L 304 v. 22.11.2011, S. 64). 12 Grüneberg, in: Palandt, § 312c BGB Rz. 1; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 5. 13 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 3. 14 Vgl. nur Bechtold, Die Grenzen zwingenden Vertragsrechts, S. 53 ff.; Schillig, Konkretisierungskompetenz und Konkretisierungsmethoden im Europäischen Privatrecht, S. 361; von Vogel, Verbrauchervertragsrecht und allgemeines Vertragsrecht, S. 43 ff.; Grundmann, in: Grundmann (Hrsg.), Systembildung und Systemlücken in Kerngebieten des Europäischen Privatrechts, S. 1 (44). 15 Vgl. auch LG Dortmund v. 24.1.2014 – 10 O 42/13, juris Rz. 25: §§ 312c ff. BGB a.F. sind Marktverhaltensregelungen i.S.d. § 4 Nr. 11 UWG. 2008 (vgl. nunmehr § 3a UWG n.F.). 16 Die Problematik der Allokation betrifft die Frage, wie Güter und Ressourcen auf alternative Konsumund Produktionsmöglichkeiten aufgeteilt werden sollen; Weimann, Wirtschaftspolitik, 4. Aufl. 2006, S. 109.
444
Kosmides
Grundlagen
Rz. 13
B
falls nicht vollständig) erfüllen.17 Dies entspricht dem Verständnis des deutschen Gesetzgebers.18 Die effektive Wirkung der Informationspflichten wird durch das Widerrufsrecht sicher- 10 gestellt.19 Mit dem Widerrufsrecht wird dem Rechteinhaber die Möglichkeit eingeräumt, sich von der aus einem bereits abgeschlossenen Vertrag resultierenden Bindung innerhalb einer bestimmten Frist zu lösen und somit den Vertrag nicht zu erfüllen.20 Im Ergebnis entfällt so die Bindung des Rechteinhabers an diesen Vertrag. Während des Laufs der Widerrufsfrist kann er einerseits die vertragsrelevanten Informationen sichten, zur Kenntnis nehmen und auswerten und andererseits ggf. das erhaltene Produkt prüfen.21 Ihm wird insofern die Möglichkeit eingeräumt, aufgrund dieser verbesserten Informationsgrundlage, eine Entscheidung darüber zu treffen, ob die Aufrechterhaltung der vertraglichen Bindung oder aber die Abstandnahme hiervon seinen Interessen eher entspricht. Für den zweitgenannten Fall gestattet ihm das Widerrufsrecht, dieser Überzeugung entsprechend mit rechtsgestaltender Wirkung zu handeln.22 So gesehen zielt das Widerrufsrecht darauf ab, die wirtschaftliche Entschließungsfreiheit des (schwächeren) Vertragspartners i.S. einer cooling off-Periode zu gewährleisten.23 Zugleich fungiert es als Maßnahme, welche eine nachträgliche autonome Vertragsinhaltsprüfung ermöglicht. Der Inhaber des Widerrufsrechts erhält nämlich die Möglichkeit, die Vertragsvereinbarung einer nachträglichen selbstbestimmten Richtig- und Gerechtigkeitskontrolle zu unterziehen und sich von ihr, falls sie seinen wirtschaftlichen Interessen widerspricht, zu entbinden. Mit diesen Regelungen wird zwar die Rechtsposition des Kunden bzw. Verbrauchers im elektronischen Geschäftsverkehr erheblich gestärkt. Der große Umfang und die hohe Komplexität des Online-Verbraucherschutzrechts, insb. des Fernabsatzvertragsrechts, bringen allerdings eine hohe Belastung des Anbieters bzw. Unternehmers mit sich.24 Für den einzelnen Unternehmer kann es insofern günstiger sein, sein Angebot auf Unternehmer, also den B2B-Bereich, unter Ausschluss des Verbraucherschutzrechts zu beschränken.25 Es gelten dann nur allgemeine Pflichten.
11
Ein dem Fernabsatzrecht ähnliches Schutzanliegen liegt dem E-Commerce-Vertragsrecht 12 zugrunde. Insb. in Anbetracht des immateriellen (unkörperlichen) Charakters übermittelter Willenserklärungen und Informationen sowie der Unsichtbarkeit von Vertragsgegenstand und Vertragspartner26 befindet sich der Kunde im elektronischen Geschäftsverkehr typischerweise in einer unterlegenen Machtposition gegenüber dem Unternehmer. Diese strukturelle Unterlegenheit des Kunden soll durch die Etablierung einer Reihe von transparenzschaffenden Informations- (z.B. § 312i Abs. 1 Satz 1 Nr. 2 BGB i.V.m. Art. 246c EGBGB) sowie Bereitstellungs- und Gestaltungspflichten (z.B. §§ 312i Abs. 1 Satz 1 Nr. 1 BGB und 312j Abs. 3 BGB) kompensiert werden. Hervorzuheben ist allerdings, dass das Hauptanliegen des E-Commerce-Rechts (europäischer 13 Herkunft) nicht der Kundenschutz, sondern die Weiterentwicklung der Dienste der Informationsgesellschaft in der Union ist.27 Als Instrument zur Erreichung dieser Zielsetzung wird 17 18 19 20 21 22 23 24 25 26 27
Fleischer, Informationsasymmetrie im Vertragsrecht, S. 121 ff., 131. BT-Drs. 16/1408, S. 7. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 109. Vgl. BGH v. 16.3.2016 – VIII ZR 146/15, CR 2016, 389 (Rz. 16). Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 109. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 109. Leistner, Richtiger Vertrag und lauterer Wettbewerb, S. 442; Riesenhuber, Europäisches Vertragsrecht, Rz. 371. So zutreffend Kahlert/Dovas, ITRB 2014, 285 (286). Dazu Kahlert/Dovas, ITRB 2014, 285 ff. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 6. EuGH v. 16.10.2008 – C-298/07, Slg. 2008, I-7841, Rz. 19 – Verbraucherzentrale Bundesverband eV/ deutsche Internet Versicherung AG; Bender/Sommer, RIW 2000, 260 (261).
Kosmides
445
B Rz. 14
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
durch den Unionsgesetzgeber das in Art. 3 RL 2000/31/EG28 verankerte Herkunftslandprinzip (s. Rz. 55 ff.) eingesetzt. 1.3 Gesetzessystematik 14
Die Regelungen zu Fernabsatz- und E-Commerce-Verträgen, die Teil des Rechts der besonderen Vertriebsformen sind, finden sich seit der Schuldrechtsmodernisierung im Jahr 2002 im BGB, nämlich im Buch 2, Abschnitt 3, Titel 1, Untertitel 2.29 Neben besonderen Vertriebsformen beschäftigt sich der Untertitel 2 – ausweislich seiner Überschrift – mit Grundsätzen bei Verbraucherverträgen. Der Untertitel enthält vier Kapitel:
15
Kapitel 1: Anwendungsbereich und Grundsätze bei Verbraucherverträgen § 312 BGB bestimmt den Anwendungsbereich der §§ 312a–312h BGB. In § 312a BGB werden die allgemeinen Pflichten und Grundsätze bei Verbraucherverträgen geregelt.
16
Kapitel 2: Außerhalb von Geschäftsräumen geschlossene Verträge und Fernabsatzverträge §§ 312b–312h BGB beziehen sich auf außerhalb von Geschäftsräumen geschlossene Verträge und Fernabsatzverträge. In § 312b BGB wird der Begriff des außerhalb von Geschäftsräumen geschlossenen Vertrags legal definiert. § 312c BGB hält die Definition des Fernabsatzvertrags bereit. §§ 312d und 312e BGB betreffen Informationspflichten. In § 312f BGB handelt es sich um Dokumentationspflichten. § 312g BGB legt das Widerrufsrecht fest und verweist dabei auf § 355 BGB. § 312h BGB regelt die Kündigung und die Vollmacht zur Kündigung.
17
Kapitel 3: Verträge im elektronischen Geschäftsverkehr In § 312i BGB sind allgemeine Pflichten im elektronischen Geschäftsverkehr enthalten, wohingegen § 312j BGB besondere Pflichten im elektronischen Geschäftsverkehr gegenüber Verbrauchern begründet. Eine Sonderregelung für (zwischen einem Unternehmer und einem Verbraucher geschlossene) E-Commerce-Verträge findet sich in § 312a Abs. 2 Satz 3 BGB.
18
Kapitel 4: Abweichende Vereinbarungen und Beweislast § 312k Abs. 1 BGB betrifft vertragliche Vereinbarungen, die von den §§ 312–312j BGB abweichen. In § 312k Abs. 2 BGB ist die Beweislast für die Erfüllung der gesetzlich vorgesehenen Informationspflichten geregelt.
19
Von Bedeutung sind ferner zwei Normenkomplexe, namentlich die §§ 355–361 BGB, die Vorschriften für die Ausübung und die Wirkungen von Widerrufsrechten bei Verbraucherrechten enthalten,30 sowie die Art. 246–246c EGBGB, welche die allgemeinen Informationspflichten bei Verbraucherverträgen sowie die speziellen Informationspflichten bei außerhalb von Geschäftsräumen geschlossenen Verträgen und Fernabsatzverträgen sowie E-Commerce-Verträgen normieren. Zu beachten sind schließlich die Überleitungsvorschriften des Art. 229 §§ 5, 9, 11 und 32 EGBGB.31
28 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates v. 8.6.2000 über bestimmte rechtliche Aspekte des elektronischen Geschäftsverkehrs im Binnenmarkt (ABl. Nr. L 178 v. 17.7.2000, S. 1). 29 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 9. 30 S.a. Hk-BGB/Schulze, § 355 Rz. 1. 31 S.a. R. Koch, in: Erman, BGB, Vorbemerkung zu §§ 312–312k Rz. 21.
446
Kosmides
Grundlagen
Rz. 24
B
1.4 Entstehungshistorie und Regelungshintergrund In seiner ursprünglichen Fassung beruhte das Fernabsatzrecht im Wesentlichen auf den Vorgaben der Fernabsatzrichtlinie.32 Diese Richtlinie wurde in Deutschland mit Wirkung zum 30.6.2000 durch das Fernabsatzgesetz33 umgesetzt. Das Fernabsatzgesetz wurde im Zuge der Schuldrechtsreform34 aufgehoben. Die Fernabsatzregelungen wurden mit Wirkung zum 1.1.2002 in das BGB aufgenommen (§§ 312b ff. BGB a.F.). Die im Zshg. mit diesen Bestimmungen etablierten Informationspflichten wurden zunächst in der BGB-Informationspflichten-Verordnung (BGB-InfoVO) und später im EGBGB präzisiert.
20
Die Vorschriften des Fernabsatzrechts im BGB erfuhren im Laufe der letzten Jahre mehrfache Änderungen und Ergänzungen.35 Zuletzt wurde das Fernabsatzrecht durch das VRRLUG36 modifiziert. Durch das VRRL-UG wurde die (im Wesentlichen vollharmonisierende) RL 2011/83/EU in nationales Recht transformiert.
21
Die RL 2011/83/EU hat die Fernabsatzrichtlinie (RL 97/7/EG) – ebenso wie die Haustür- 22 geschäfterichtlinie (RL 85/577/EWG)37 – aufgehoben und zu einer durchgreifenden Neufassung und -strukturierung der §§ 312 ff. BGB sowie zu entsprechenden Änderungen bei den §§ 355 ff. BGB und Art. 246 ff. EGBGB geführt.38 Die Richtlinie hat ferner eine Neudefinition des Verbraucherbegriffs in § 13 BGB bewirkt.39 Die aufgrund des VRRL-UG geschaffenen Regelungen sind am 13.6.2014 in Kraft getreten (Art. 15 VRRL-UG) und auf Verträge anwendbar, die ab dem 13.6.2014, 00:00 Uhr zustande gekommen sind.40 Die wesentlichen Änderungen wurden im Gesetzesentwurf der Bundesregierung zusammengefasst41: §§ 312 ff. BGB
23
– Es werden grundlegende Informationspflichten des Unternehmers sowie allgemeine Grundsätze festgelegt, die unabhängig von der jeweiligen Vertriebsform für alle Verbraucherverträge gelten. – Es wird ein Gleichlauf der gesetzlichen Informationspflichten und der Regelungen des Widerrufsrechts bei Fernabsatzverträgen und geschäftsraumfernen Verträgen herbeigeführt. §§ 355 ff. BGB
24
– Die Widerrufsrechtsregeln werden zentral zusammengefasst. Zunächst werden allgemeine Regelungen für alle Verbraucherverträge vorgesehen. Sonderregelungen für besondere
32 Richtlinie 97/7/EG des Europäischen Parlaments und des Rates v. 20.5.1997 über den Verbraucherschutz bei Vertragsabschlüssen im Fernabsatz (ABl. Nr. L 144 v. 4.6.1997, S. 19). 33 FernAbsG v. 27.6.2000, BGBl. I, S. 897. 34 Gesetz zur Modernisierung des Schuldrechts v. 26.11.2001 (BGBl. I, S. 3138). 35 Dazu Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312c Rz. 3; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 10 f. 36 Gesetz zur Umsetzung der Verbraucherrechterichtlinie und zur Änderung des Gesetzes zur Regelung der Wohnungsvermittlung v. 20.9.2013 (BGBl. I, S. 3642). 37 Richtlinie 85/577/EWG des Rates v. 20.12.1985 betreffend den Verbraucherschutz im Falle von außerhalb von Geschäftsräumen geschlossenen Verträgen (ABl. Nr. L 372 v. 31.12.1985, S. 31). 38 Zur Umsetzung sowie zu den Neuregelungen vgl. u.a. Bierekoven, MMR 2014, 283; Bierekoven/Crone, MMR 2013, 687 ff.; Buchmann, K&R 2013, 535 ff.; Buchmann, K&R 2014, 221 ff.; Buchmann, K&R 2014, 293 ff.; Buchmann, K&R 2014, 369 ff.; Brönneke/Schmidt, VuR 2014, 3 ff.; Föhlisch/Dyakova, MMR 2013, 71 ff.; Hoeren/Föhlisch, CR 2014, 242 ff.; Möller, BB 2014, 1411; Oelschlägel, MDR 2013, 1317 ff.; Schmidt, VuR 2013, 448 ff.; Schomburg, VuR 2014, 18 ff.; Tamm, VuR 2014, 9 ff.; Tonner, VuR 2013, 443 ff.; Wendehorst, NJW 2014, 577 ff. 39 Änderungen ergeben sich auch an anderen Stellen des BGB, insb. in den §§ 126b, 241a, 314, 323, 443 und 474 BGB. 40 Vgl. auch Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312 Rz. 4. 41 BT-Drs. 17/12637, S. 1 f.
Kosmides
447
B Rz. 25
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Verbraucherverträge, die früher im Rahmen der einzelnen Vertragstypen normiert wurden, werden in die §§ 355 ff. BGB aufgenommen. – Eine Bezugnahme auf die Rücktrittsregelungen in den §§ 346 ff. BGB entfällt. – Auch die Regelungen über verbundene Verträge werden modifiziert und um eine einheitliche Vorschrift über zusammenhängende Verträge ergänzt. 25
Das bürgerlich-rechtliche E-Commerce-Vertragsrecht war ursprünglich in § 312e BGB a.F. niedergelegt. Diese Vorschrift, die mit dem Schuldrechtsmodernisierungsgesetz ins BGB eingeführt wurde, diente der Umsetzung von Art. 10 und Art. 11 RL 2000/31/EG (E-CommerceRichtlinie).42 Es erfolgten verschiedene Änderungen in den Jahren 2010 bis 2012:43 Nach redaktionellen Anpassungen zum 11.6.201044 wurde zum 4.8.2011 der ursprüngliche § 312e BGB a.F. BGB in § 312g BGB a.F. überführt. Zum 1.8.2012 wurden in Umsetzung des Art. 8 Abs. 2 RL 2011/83/EU in § 312g BGB a.F. die Abs. 2–4 BGB (Button-Lösung einschleßlich Informationspflichten)45 eingefügt.46 Durch das VRRL-UG wurde der Inhalt des § 312g BGB a.F. zwecks besserer Übersichtlichkeit47 auf zwei Bestimmungen aufgeteilt.48 Die Regeln zur Umsetzung von Art. 10 und Art. 11 RL 2000/31/EG finden sich nunmehr in § 312i BGB und die Regeln zur Umsetzung des Art. 8 RL 2011/83/EU in § 312j BGB. Im Rahmen der Neufassung wurde § 312g Abs. 1, 5 und 6 BGB a.F. zu § 312i Abs. 1, 2 und 3 BGB. § 312g Abs. 2, 3 und 4 BGB a.F. entspricht nunmehr § 312j Abs. 2, 3 und 4 BGB. § 312g Abs. 6 Satz 2 BGB a.F. wurde ersatzlos gestrichen. § 312j Abs. 1 BGB setzt Art. 8 Abs. 3 RL 2011/83/EU um.
26
Vor dem Hintergrund der unionalen Herkunft der nationalen Regelungen des Fernabsatzvertragsrechts sowie des E-Commerce-Vertragsrechts sind sie entsprechend dem aus Art. 288 Abs. 3 AEUV abgeleiteten Gebot richtlinienkonformer Auslegung49 (vgl. ergänzend Art. 4 Abs. 3 EUV) im Lichte des Wortlauts sowie des Sinns und Zwecks der europäischen Vorgabe zu interpretieren.50 Dabei gilt es zu beachten, dass die RL 2011/83/EU im Wesentlichen einen Vollharmonisierungsansatz51 verfolgt (Art. 4 RL 2011/83/EU).
27
Zum vor Inkrafttreten des VRRL-UG geltenden Fernabsatz- und E-Commerce-Vertragsrecht ist eine umfangreiche Rspr. ergangen. Diese Rspr. ist trotz der jüngsten Gesetzesänderung in vielen Fällen noch verwertbar. Zur neuen Gesetzeslage sind bisher nur wenige gerichtliche Entscheidungen vorhanden. Im Folgenden wird daher auf die zum alten Recht ergangene Rspr. Bezug genommen, soweit deren Erkenntnisse auf die neue Rechtslage (mutatis mutandis) übertragbar sind. Gleiches gilt für die das alte Recht betreffende Lit.
42 Zu einem Überblick Lehmann, in: Lehmann/Meents, Kap. 11 Rz. 2 ff. 43 Vgl. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 2; Conrad/ Schneider, ITRB 2013, 61: „Flut ständiger Novellen“. 44 BT-Drs. 16/11643, S. 70. 45 Zur Button-Lösung aus Sicht der RL 2011/83/EU Heinig, MDR 2012, 323 (325); Janal, WM 2012, 2314 (2318). 46 BT-Drs. 17/7745, S. 5. 47 BT-Drs. 17/12637, S. 58. 48 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 2. 49 St. Rechtsprechung: EuGH v. 18.12.1997 – C-129/96, Slg. 1997, I-7411, Rz. 40 – Inter-Environnement Wallonie; EuGH v. 14.7.1994 – C-91/92, Slg. 1994, I-3325, Rz. 26 – Faccini Dori; v. 13.11.1990 – C-106/89, Slg. 1990, I-4135, Rz. 8 – Marleasing. Aus der Lehre vgl. nur Klamert, Die richtlinienkonforme Auslegung nationalen Rechts; Canaris, in: Koziol/Rummel (Hrsg.), FS F. Bydlinski, S. 47 ff.; Auer, NJW 2007, 1106 ff. 50 Wie hier Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 14. 51 Heiderhoff, Europäisches Privatrecht, Rz. 300; Lerm, GPR 2012, 166; Schwab/Giesemann, EuZW 2012, 253; KOM (2008) 614/4 endg., S. 3.
448
Kosmides
Grundlagen
Rz. 33
B
1.5 Unabdingbarkeit (halbzwingender Charakter), Umgehungsverbot Entsprechend der halbzwingenden Ausgestaltung der europäischen Vorgaben52 bestimmt 28 § 312k Abs. 1 Satz 1 BGB, dass die §§ 312 ff. BGB zugunsten des Verbrauchers oder Kunden halbzwingend (oder anders formuliert: einseitig zwingend) sind.53 § 312k Abs. 1 BGB dient der Umsetzung von Art. 25 RL 2011/83/EU. Nach § 312k Abs. 1 Satz 1 BGB sind vertragliche Abweichungen vom Gesetzesrecht zulasten des Verbrauchers oder Kunden ausgeschlossen. Vertragliche Vereinbarungen, die einen Verzicht auf die sich aus den §§ 312 ff. BGB (ggf. i.V.m. den Art. 246 ff. EGBGB) ergebenden Rechte oder deren Einschränkung bewirken, sind i.S.d. § 134 BGB nichtig.54 An die Stelle der nachteiligen Vereinbarung tritt die gesetzliche Regelung.55 Gleiches gilt grds. für den einseitigen Verzicht (Art. 25 Abs. 1 RL 2011/83/EU).56 Ein durch ein gegenseitiges Nachgeben gekennzeichneter Vergleich kann hingegen als wirksam erachtet werden.57 Aus der halbzwingenden Ausgestaltung der §§ 312 ff. BGB folgt, dass es den Parteien freisteht, von der gesetzlichen Regelung zugunsten des Verbrauchers bzw. Kunden abzuweichen und insoweit für ihn günstigere Regelungen zu treffen.58
29
Das Abweichungsverbot gem. § 312k Abs. 1 Satz 1 BGB wird um ein Umgehungsverbot in § 312k Abs. 1 Satz 2 BGB ergänzt. Eine verbotene Umgehung liegt vor, wenn die §§ 312 ff. BGB nach ihrem Regelungszweck Anwendung finden müssten, jedoch eine rechtliche Gestaltung gewählt wird, die dazu führt, dass diese Regelungen bei formaler Betrachtung mangels Einschlägigkeit des Tatbestands nicht herangezogen werden können.59
30
Ein entsprechendes Abweichungs- und ein Umgehungsverbot werden für die §§ 355 ff. BGB in § 361 Abs. 2 BGB vorgesehen.60
31
2. Verbraucher- und Unternehmereigenschaft I.R.d. Fernabsatz- sowie des E-Commerce-Vertragsrechts ist die Bestimmung der Begriffe „Verbraucher“ und „Unternehmer“ besonders relevant. Sie sind für die Eröffnung des (persönlichen) Anwendungsbereichs der gesetzlichen Regelung entscheidend.
32
Die Legaldefinition in § 13 BGB a.F. wurde im Zuge der Umsetzung der RL 2011/83/EU an 33 die Konzeption der Richtlinie angepasst (Art. 2 Nr. 1 und Erw.grd. 17 RL 2011/83/EU). Der Verbraucherbegriff in der RL 2011/83/EU gilt nur in ihrem Anwendungsbereich. Im Unionsrecht ist kein einheitlicher Verbraucherbegriff vorhanden. Der (neu gefasste) Verbraucherbegriff definiert sich nach § 13 BGB.61 Hiernach ist Verbraucher „jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden können“.
52 53 54 55 56 57 58 59 60 61
So ausdrücklich für die Regelungen der Verbraucherrechte-Richtlinie Art. 25 dieser Richtlinie. Grüneberg, in: Palandt, § 312k BGB Rz. 2. R. Koch, in: Erman, BGB, § 312k Rz. 8. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312k Rz. 21. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 166; a.A. R. Koch, in: Erman, BGB, § 312k Rz. 6 f. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 166; Grüneberg, in: Palandt, § 312k BGB Rz. 2. BT-Drs. 14/2658, S. 45; Grüneberg, in: Palandt, § 312k BGB Rz. 2; R. Koch, in: Erman, BGB, § 312k Rz. 3; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 166. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 166; vgl. auch Grüneberg, in: Palandt, § 312k BGB Rz. 3. Vgl. auch Grüneberg, in: Palandt, § 361 BGB Rz. 2. Dazu u.a. Bülow, WM 2014, 1 ff.; Loacker, JZ 2013, 234 ff.; Peintinger, GPR 2013, 24 ff.; Föhlisch, in: Bittner/Clausnitzer/Föhlisch, Das neue Verbrauchervertragsrecht, Rz. 27 ff.
Kosmides
449
B Rz. 34
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
34
Für die Begriffsbestimmung kommt es auf zwei Kriterien an, nämlich zum einen auf die Personenqualität und zum anderen auf die Zweckbestimmung des abgeschlossenen Rechtsgeschäfts.62 Gem. § 13 BGB kann nur eine natürliche Person Verbraucher sein. Auch der Arbeitnehmer, der einen Arbeitsvertrag abschließt, ist grds. als Verbraucher einzustufen.63 Juristische Personen stellen hingegen keine Verbraucher dar.64 Qualifizierte Einrichtungen i.S.v. § 4 UKlaG in der Rechtsform eines eingetragenen Vereins genießen insofern keinen Schutz als Verbraucher.65
35
Die Zweckbestimmung wird negativ festgelegt: Das rechtsgeschäftliche Handeln des Verbrauchers muss ein Privatgeschäft darstellen, das nicht überwiegend einer gewerblichen oder selbständigen beruflichen Tätigkeit zugerechnet werden kann.66 Seit der Umsetzung der RL 2011/83/EU wird die praktisch bedeutsame Frage der rechtlichen Beurteilung von Verträgen mit gemischtem Zweck, also jenen, die sowohl zu gewerblichen als auch zu privaten Zwecken geschlossen werden (z.B. Kauf eines Rechners, der nicht nur beruflich, sondern auch privat genutzt werden soll, sog. Dual-use-Verträge), in § 13 BGB ausdrücklich geregelt. Bei solchen Verträgen ist der überwiegende Zweck maßgeblich.67 Schließt eine natürliche Person einen Vertrag nicht überwiegend zu gewerblichen oder selbständigen beruflichen Zwecken, handelt sie als Verbraucher.68
36
Bei einem finanzierten Neuwagenkauf hat etwa das LG Wuppertal den Käufer, der das Fahrzeug sowohl zur Gewinnerzielung als auch als Familienfahrzeug genutzt hat, als Verbraucher eingestuft, weil die Einnahmen aus der beruflichen Tätigkeit nur einen geringen Teil der Ausgaben für den Erwerb des Neuwagens abgedeckt haben.69
37
Die Bezugnahme auf ein abgeschlossenes Rechtsgeschäft in § 13 BGB wird zu Recht als verfehlt gewertet.70 Vom Schutzbereich der Norm wird auch die Anbahnungsphase erfasst.71 § 13 BGB ist auf § 241a BGB analog anzuwenden.72
38
Die Darlegungs- und Beweislast dafür, dass ein dem privaten Rechtskreis der natürlichen Person zuzuordnendes Rechtsgeschäft vorliegt, trägt der Verbraucher.73
39
Der Unternehmerbegriff74 in § 14 BGB wurde durch die RL 2011/83/EU nicht tangiert. Das Unionsrecht kennt keinen einheitlichen Unternehmerbegriff. Im von der RL 2011/83/EU erfassten Bereich ist die Legaldefinition in Art. 2 Nr. 2 RL 2011/83/EU maßgeblich. Die RL 2000/31/EG enthält wiederum eine Begriffsbestimmung nur für den Verbraucher (Art. 2 lit. e RL 2000/31/EG), nicht aber den Unternehmer. Im Umkehrschluss aus dieser Begriffsbestimmung folgt aber, dass der Unternehmer im E-Commerce-Vertragsrecht im Wesentli62 S.a. I. Saenger, in: Erman, BGB, § 13 Rz. 4. 63 BVerfG v. 23.11.2006 – 1 BvR 1909/06, NJW 2007, 286; BAG v. 25.5.2005 – 5 AZR 572/04, NJW 2005, 3305; Micklitz/Purnhagen, in: MüKoBGB, § 13 Rz. 57; Martinek, in: Herberger/Martinek/Rüßmann/ Weth (Hrsg.), jurisPK-BGB, § 13 Rz. 34. 64 Martinek, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 13 Rz. 14. 65 BGH v. 23.2.2010 – XI ZR 186/09, Rz. 8. 66 Martinek, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 13 Rz. 35; I. Saenger, in: Erman, BGB, § 13 Rz. 13. 67 BT-Drs. 17/13951, S. 61; I. Saenger, in: Erman, BGB, § 13 Rz. 17; Föhlisch, in: Bittner/Clausnitzer/Föhlisch, Das neue Verbrauchervertragsrecht, Rz. 29; Härting, Internetrecht, Rz. 793; vgl. schon LG Wuppertal v. 24.6.2008 – 5 O 13/08, juris Os. 2. 68 BT-Drs. 17/13951, S. 61. 69 LG Wuppertal v. 24.6.2008 – 5 O 13/08, juris Rz. 41 ff. 70 Martinek, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 13 Rz. 40. 71 Micklitz/Purnhagen, in: MüKoBGB, § 13 Rz. 37 f., 84; I. Saenger, in: Erman, BGB, § 13 Rz. 22. 72 Micklitz/Purnhagen, in: MüKoBGB, § 13 Rz. 84; vgl. auch Martinek, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 13 Rz. 40; I. Saenger, in: Erman, BGB, § 13 Rz. 22. 73 BGH v. 30.9.2009 – VIII ZR 7/09, CR 2010, 43 (44); LG München v. 7.8.2008 – 34 S 20431/04, juris Os. 1 = ZUM-RD 2009, 360. 74 Dazu Schmidt, BB 2005, 837 ff.; Weyer, WM 2005, 490 ff.
450
Kosmides
Grundlagen
Rz. 43
B
chen identisch mit demjenigen im Fernabsatzrecht ist. Der Unternehmer wird als Gegenbegriff zum Verbraucher verstanden.75 Unternehmer ist gem. § 14 Abs. 1 BGB jede (natürliche oder juristische) Person oder eine 40 rechtsfähige Personengesellschaft i.S.d. Abs. 2 dieser Regelung, die „bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt“.76 Ein Existenzgründer besitzt die Unternehmereigenschaft, wenn das fragliche Geschäft „im Zuge der Aufnahme einer gewerblichen oder selbständigen beruflichen Tätigkeit (sog. Existenzgründung) geschlossen wird“.77 Für die Abgrenzung von Verbraucher- und Unternehmerhandeln ist auf eine objektive Be- 41 trachtungsweise unter Berücksichtigung der Erklärungen der Parteien und der sonstigen Umstände bei Vertragsschluss abzustellen.78 Eine Zurechnung entgegen dem mit dem rechtsgeschäftlichen Handeln einer natürlichen Person objektiv verfolgten Zweck ist nach dem BGH nur möglich, „wenn die dem Vertragspartner erkennbaren Umstände eindeutig und zweifelsfrei darauf hinweisen, dass die natürliche Person in Verfolgung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt“.79 Subjektive Vorstellungen des einen Vertragsteils, die für den anderen Vertragsteil nicht erkennbar sind, spielen keine Rolle.80 Vor dem Hintergrund der Auslegungsregel „in dubio pro consumatore“ ist im Zweifel anzunehmen, dass ein Vertragspartner als Verbraucher handelt.81
42
Nicht zuletzt in Anbetracht der Intransparenz von Online-Auktionen kann die Abgrenzung 43 zwischen (noch) privatem und (schon) gewerblichem Handeln i.R.v. Internet-Plattformen wie eBay im Einzelfall besonders schwer fallen.82 Ob ein Verkäufer, der seine Waren auf elektronischem Wege anbietet, als Unternehmer einzustufen ist oder als Verbraucher private Gebrauchsgegenstände veräußert, ist bei Würdigung der Gesamtumstände des Einzelfalls anhand von Indizien zu bestimmen.83 Indizien, aus denen die Unternehmereigenschaft aufgrund professionellen Auftretens gefolgert werden kann, sind84: – Zahl und Häufigkeit der vom Verkäufer durchgeführten Auktionen, – dabei der Geschäftsgegenstand – Neuware, Veräußerung gleicher oder unterschiedlicher Waren,85 Angebote erst kurz zuvor erworbener Waren, 75 Zur Abgrenzung von Unternehmer- und Verbraucherhandeln (Existenzgründung, kein Internetbezug) s. BGH v. 15.11.2007 – III ZR 295/06, NJW 2008, 435, und v.a. BGH v. 30.4.2008 – I ZR 73/05, CR 2008, 579 – Internetversteigerung III. 76 S.a. Kahlert/Dovas, ITRB 2014, 285 (286). 77 BGH v. 24.2.2005 – III ZB 36/04, NJW 2005, 1273 (1274); Kahlert/Dovas, ITRB 2014, 285 (288). 78 BGH v. 30.9.2009 – VIII ZR 7/09, CR 2010, 43 (44, Rz. 10 f.); OLG Karlsruhe v. 6.10.2011 – 9 U 8/11, NJW-RR 2012, 289; vgl. auch LG Hamburg v. 16.12.2008 – 309 S 96/08, CR 2009, 261 (Ls. 1 und 2): keine Verbrauchereigenschaft bei Angabe beruflicher Rechnungs- und Lieferadresse sowie E-Mail-Adresse eines Rechtsanwalts; ausführlich zur Problematik, ob der Zweck des Rechtsgeschäfts subjektiv oder objektiv zu bestimmen ist. 79 BGH v. 30.9.2009 – VIII ZR 7/09, CR 2010, 43 (44). 80 OLG Karlsruhe v. 6.10.2011 – 9 U 8/11, NJW-RR 2012, 289. 81 BGH v. 30.9.2009 – VIII ZR 7/09, CR 2010, 43 (44); vgl. auch Härting, Internetrecht, Rz. 794. 82 Ebenso Härting, Internetrecht, Rz. 805; Martinek, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 14 Rz. 17. 83 BGH v. 4.12.2008 – I ZR 3/06, CR 2009, 753 (Ls. 1) – Ohrclips; OLG Zweibrücken v. 28.6.2007 – 4 U 210/06, juris Rz. 22, CR 2007, 681; LG Coburg v. 19.10.2006 – 1 HK 32/06, ITRB 2007, 111; LG Berlin v. 5.9.2006 – 103 O 75/06, ITRB 2008, 10; dazu s. Szczesny/Holthusen, NJW 2007, 2589. 84 V.a. aus BGH v. 4.12.2008 – I ZR 3/06, CR 2009, 753 (Ls. 1) – Ohrclips; OLG Zweibrücken v. 28.6.2007 – 4 U 210/06, juris Rz. 22 ff., CR 2007, 681 und LG Coburg v. 19.10.2006 – 1 HK 32/06, ITRB 2007, 111, ergänzt unter Berücksichtigung von Meyer, K&R 2007, 572 ff.; Härting, Internetrecht, Rz. 808. 85 Auch bei hoher Zahl von Angeboten wird dem Merkmal der gleichen Warenkategorie besondere Bedeutung zukommen; Szczesny/Holthusen, NJW 2007, 2586 (2589) m.w.N.
Kosmides
451
B Rz. 44
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
– Auktionsumsatz bzw. Handelsvolumen, – Auftritt, – Verwendung von Werbebeschreibungen, die einen professionellen Eindruck machen, oder – das Betreiben eines (eBay-)Shops, – Zahl der Bewertungen, – der Powerseller-Status, – „Gesamtaufmachung“ des Internetauftritts, – Angebot des Versands nach ‚Deutschland, Österreich, Schweiz‘ mit Eindruck eines professionellen Händlers, – Ankauf von Waren (über Flohmärkte), – Verwendung unternehmenstypischer Hilfsmittel wie AGB, – eine ansonsten gewerbliche Tätigkeit des Anbieters, – häufige sog. Feedbacks und Verkaufsaktivitäten – Anmeldung eines Gewerbes.86 44
Auf die Indizien der Anzahl der Auktionen oder der abgegebenen Bewertungen der Ersteigerer allein und für sich genommen darf die Qualifizierung als Unternehmer nicht gestützt werden.87
45
Bei einem gelegentlichen Verkauf privater Gegenstände ist eine unternehmerische Tätigkeit grds. zu verneinen. Eine beständige Nutzung einer Verkaufsplattform spricht hingegen für die Einordung des Verkäufers in die Gruppe der Unternehmer.88 Auch bei Verkäufen aus Privatvermögen kann eine vom Umfang und von der geschäftsbezogenen Ausgestaltung her „wirtschaftliche Betätigung“ vorliegen.89 Auch eine nebenberufliche Tätigkeit kann unter den Unternehmerbegriff fallen (z.B. eBay-Verkäufer).90
46
Ein Anbieter, der bei eBay innerhalb von 4–5 Wochen 18 Schmuckstücke, acht Handtaschen, vier Sonnenbrillen und drei Paar Schuhe zum Verkauf anbietet und mehr als 25 Käuferreaktionen bzw. Bewertungen erhalten hat, ist i.d.R. als Unternehmer einzustufen.91
47
Das LG Berlin hat bei 100 angebotenen Artikeln über eBay in einem Monat, von denen in etwa 3/5 Kinderbekleidungsartikel waren, und bei einem Anteil von 1/3 Neuware die Unternehmereigenschaft bejaht. Insb. der hohe Anteil von Neuwaren sei für Verkäufe aus dem Haushalt ungewöhnlich und spreche für eine gewerbliche Tätigkeit.92
48
Nach Auffassung des BGH ist ein eBay-Versteigerer, der eine Vielzahl von Akkus anbietet und innerhalb von 10 Monaten 74 Bewertungen erhält, grds. als Unternehmer anzusehen.93
86 OLG Zweibrücken v. 28.6.2007 – 4 U 210/06, juris Rz. 24, CR 2007, 681; s. aber z.B. OLG Jena v. 18.8.2004 – 2 W 355/04, CR 2005, 467 – Onlineshop kein Indiz für Gewerbe. 87 OLG Zweibrücken v. 28.6.2007 – 4 U 210/06, juris Rz. 22, CR 2007, 681; zur Erforderlichkeit einer Gesamtschau LG Coburg v. 19.10.2006 – 1 HK 32/06, ITRB 2007, 111. 88 Härting, Internetrecht, Rz. 806. 89 OLG Frankfurt v. 4.7.2007 – 3-11 O 66/07, K&R 2007, 585. 90 I. Saenger, in: Erman, BGB, § 14 Rz. 11. 91 BGH v. 4.12.2008 – I ZR 3/06, CR 2009, 753 (754) – Ohrclips; vgl. auch BGH v. 30.4.2008 – I ZR 73/05, CR 2008, 579 (Ls. 1) = ITRB 2008, 218 – Internetversteigerung III; Härting, Internetrecht, Rz. 809. 92 LG Berlin v. 5.9.2006 – 103 O 75/06, ITRB 2008, 10. 93 BGH v. 4.12.2008 – I ZR 3/06, CR 2009, 753 – Ohrclips; s.a. OLG Hamm v. 17.1.2013 – I-4 U 147/12, MMR 2013, 717.
452
Kosmides
Grundlagen
Rz. 53
B
Der Verkauf eines privat geschenkten Neuwarenbestands nach einer Stückelung in kleine Einheiten bei eBay besitzt gewerblichen Charakter.94 Der Umstand, dass innerhalb von sechs Wochen 552 Schallplatten auf einer Internetverstei- 49 gerungsplattform zum Verkauf angeboten werden, spricht für eine gewerbliche Tätigkeit des Verkäufers.95 Die gewerbliche Tätigkeit kann durch den Vortrag widerlegt werden, dass es sich bei den angebotenen Waren um eine einzelne Sammlung handelt. Dies ist der Fall, wenn diese Waren die erforderliche Geschlossenheit besitzen.96 Nach Ansicht des LG München ist hingegen die Unternehmereigenschaft zu verneinen, 50 wenn sich der Verkäufer lediglich als Hobby mit der verkauften Ware beschäftigt und zum Zeitpunkt des Verkaufs nur mit 82 Umsätzen bei dem Auktionshaus registriert war.97 EBay-Verkäufer können als Powerseller registriert werden. Laut eBay sind Powerseller pro- 51 fessionelle gewerbliche Verkäufer, die kontinuierlich ein hohes Handelsvolumen vorweisen können. Ein wesentliches Merkmal ist die Dauer der Betätigung.98 Als weitere Kriterien kommen insb. die Zahl der Transaktionen, der Bruttoumsatz sowie die (positiven) Bewertungen in Betracht.99 Im Zshg. mit Internet-Versteigerungen stellt sich insoweit die Frage, ob jeder Powerseller 52 automatisch Unternehmer ist. Es besteht weitgehende Übereinstimmung darüber, dass ein registrierter Powerseller regelmäßig „gewerblich“ einzustufen ist.100 Denn der PowersellerStatus setzt eine gewisse Nachhaltigkeit und Dauerhaftigkeit der Betätigung sowie einen Mindestumsatz voraus, den Privatpersonen nicht erzielen können.101 Dies gilt auch für die Folgethese: Ein Verstoß gegen Informationspflichten durch Powerseller ist wettbewerbswidrig.102 Mit der Registrierung als Powerseller soll die Wirkung eines Anscheinsbeweises für gewerbliche Tätigkeit und Unternehmereigenschaft einhergehen.103 Den Powerseller trifft die Last, den Anscheinsbeweis zu erschüttern.104 In der Rspr. wird überwiegend zugunsten des Käufers/Kunden und der Konkurrenten sogar eine Beweislastumkehr angenommen, sodass der Verkäufer beweisen muss, dass er kein Unternehmer ist.105 Eine solche Beweislastumkehr wird in der Lit. weitgehend verneint.106 Der Umstand allein, dass sich ein Verkäufer nicht als Powerseller, sondern als Privatverkäu- 53 fer registrieren lassen hat, reicht nicht aus, um die Annahme der Unternehmereigenschaft
94 95 96 97 98 99 100
101 102 103 104 105 106
OLG Hamm v. 17.1.2013 – I-4 U 147/12, MMR 2013, 717. OLG Hamm v. 15.3.2011 – I-4 U 204/10, MMR 2011, 537 (Ls. 1). OLG Hamm v. 15.3.2011 – I-4 U 204/10, MMR 2011, 537 (Ls. 2). LG München v. 7.8.2008 – 34 S 20431/04, juris Os. 1, ZUM-RD 2009, 360. Becker/Föhlisch, NJW 2005, 3377 (3378). S.a. OLG Frankfurt v. 4.7.2007 – 6 W 66/07, K&R 2007, 585 zur Bedeutung der Nachhaltigkeit zwecks Abgrenzung von Privatbietern und somit von OLG Frankfurt v. 21.3.2007 – 6 W 27/07, CR 2007, 682. S. http://pages.ebay.de/services/buyandsell/powerseller (abgerufen am 16.8.2016). OLG Frankfurt v. 21.3.2007 – 6 W 27/07, CR 2007, 682 (Ls.); v. 4.7.2007 – 6 W 66/07, K&R 2007, 585; so auch OLG Karlsruhe v. 27.4.2006 – 4 U 119/04, ITRB 2007, 11; OLG Frankfurt v. 22.12.2004 – 6 W 153/04, CR 2005, 883; OLG Koblenz v. 17.10.2005 – 5 U 1145/05, CR 2006, 209 (Vermutung für die Unternehmereigenschaft). Mankowski, CR 2006, 132 (133). OLG Karlsruhe v. 27.4.2006 – 4 U 119/04, CR 2006, 689. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.3 Rz. 169; Mankowski, CR 2006, 132 (133); vgl. auch Härting, Internetrecht, Rz. 807: „tatsächliche Vermutung unternehmerischen Handelns“. Mankowski, CR 2006, 132 (133). OLG Hamm v. 5.1.2012 – 4 U 161/11, juris Rz. 52; OLG Zweibrücken v. 28.6.2007 – 4 U 210/06, juris Rz. 22, CR 2007, 681; OLG Frankfurt v. 22.12.2004 – 6 W 153/04, CR 2005, 883; OLG Koblenz v. 17.10.2005 – 5 U 1145/05, CR 2006, 209; OLG Karlsruhe v. 27.4.2006 – 4 U 119/04, CR 2006, 689. Vgl. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.3 Rz. 172; Mankowski, MMR 2006, 236 (237).
Kosmides
453
B Rz. 54
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
des Verkäufers auszuschließen.107 Die Powerseller-Eigenschaft ist freilich aber auch keine Voraussetzung dafür, dass auf den Verkäufer der Unternehmerbegriff angewandt wird.108 Gleiches gilt für die Einrichtung eines eBay-Shops.109 54
Es gilt allg.: Eine Selbstqualifikation des Anbieters als Privatverkäufer oder die Verwendung einer bloßen salvatorischen Klausel (z.B.: „Es handelt sich um einen Privatverkauf“) bzw. eines entsprechenden Disclaimers (z.B.: „Privatverkauf: daher keine Rücknahme, Garantie oder Gewährleistung“) ist i.d.R. ohne rechtliche Bedeutung für die Einstufung als Privatanbieter oder unternehmerischer Anbieter.110 3. Herkunftslandprinzip
55
Das Herkunftslandprinzip111 bildet das Herzstück der RL 2000/31/EG.112 Es ist in Art. 3 RL 2000/31/EG niedergelegt. Grund und zugleich Anwendungsvoraussetzung für das Herkunftslandprinzip ist, dass der Diensteanbieter seine Niederlassung in einem Mitgliedstaat hat.113 Da solche Diensteanbieter ihr Angebot an verschiedenen mitgliedstaatlichen Rechtsordnungen ausrichten (wollen), können bestehende Rechtsunterschiede zwischen den europäischen Mitgliedstaaten zu Wettbewerbsverzerrungen und einer Beeinträchtigung des freien Verkehrs von Diensten der Informationsgesellschaft innerhalb der Union führen. Dies könnte für das Wachstum der elektronischen Informationswirtschaft hinderlich sein.
56
Mit dem Herkunftslandprinzip soll diese wirtschaftshindernde Rechtszersplitterung dadurch ausgeräumt werden, dass die Tätigkeit der E-Commerce-Diensteanbieter einer einzigen Rechtsordnung unterworfen wird.114 In dieser Hinsicht ist den Mitgliedstaaten gem. Art. 3 Abs. 2 RL 2000/31/EG eine Einschränkung des freien Verkehrs von Diensten der Informationsgesellschaft aus einem anderen Mitgliedstaat aus Gründen verwehrt, die in den koordinierten Bereich fallen. In Ergänzung dazu wird durch Art. 3 Abs. 1 RL 2000/31/EG das Prinzip der Erstverantwortlichkeit des Herkunftslands eingeführt.115 Vor diesem Hintergrund richten sich die rechtlichen Anforderungen an einem in einem Mitgliedstaat niedergelassenen Diensteanbieter nach dem Recht dieses Mitgliedstaats (sog. Prinzip der Kontrolle an der Quelle).116 Dienste der Informationsgesellschaft, die nach den Rechtsvorschriften des Niederlassungsstaats zulässig sind, sind unionsweit zulässig. Das Recht des Empfangsstaats wird damit „zur quantité négligeable“.117
107 OLG Hamm v. 5.1.2012 – 4 U 161/11, juris Rz. 52; OLG Zweibrücken v. 28.6.2007 – 4 U 210/06, juris Rz. 22, CR 2007, 681; vgl. auch OLG Frankfurt v. 27.7.2004 – 6 W 80/04, NJW 2004, 3433. 108 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.3 Rz. 173. 109 OLG Hamm v. 5.1.2012 – 4 U 161/11, juris Rz. 52. 110 Ähnlich Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 13 (33. EL Stand 12/2012); zum Problem der Bedeutung der Selbstqualifikation durch die Parteien auf dem Gebiet des Vertragsrechts vgl. Kosmides, Providing-Verträge, S. 23 ff. 111 Zum Herkunftslandprinzip i.S. v. Art. 3 der E-Commerce-Richtlinie (RL 2000/31/EG) vgl. statt vieler Leistner, in: Bettinger/Leistner (Hrsg.), Werbung und Vertrieb im Internet, Teil 1 A Rz. 82 ff.; Ahrens, CR 2000, 835 (837 ff.); s. allg. zu diesem Prinzip: Koch, Internet-Recht, S. 858 ff. 112 Wie hier Haubold, in: Gebauer/Wiedmann (Hrsg.), Zivilrecht unter europäischem Einfluss, Kap. 9 Rz. 22; Hoeren, MMR 1999, 192 (194); ähnlich Bender/Sommer, RIW 2000, 260 (261); Spindler, MMRBeil. 7/2000, 4 (7). 113 EuGH v. 15.3.2012 – C-292/10, MMR 2012, 560 (562 f.) – de Visser; Spindler, MMR-Beil. 7/2000, 4 (8). 114 EuGH v. 15.3.2012 – C-292/10, MMR 2012, 560 (563) – de Visser; EuGH v. 25.10.2011 – C-509/09u. C-161/10, Slg. 2011, I-10269-10328 Rz. 66, IPRB 2011, 269 – eDate/X; OLG Hamm v. 17.12.2013 – 4 U 100/13, ITRB 2014, 103. 115 Vgl. auch Haubold, in: Gebauer/Wiedmann (Hrsg.), Zivilrecht unter europäischem Einfluss, Kap. 9 Rz. 22. 116 Vgl. auch Haubold, in: Gebauer/Wiedmann (Hrsg.), Zivilrecht unter europäischem Einfluss, Kap. 9 Rz. 22. 117 So ausdrücklich Spindler, MMR-Beil. 7/2000, 4 (7).
454
Kosmides
Grundlagen
Rz. 60
B
In Entsprechung mit den Richtlinienvorgaben bestimmt § 3 Abs. 1 TMG, dass in Deutsch- 57 land niedergelassene Diensteanbieter gem. § 2a TMG nur den Anforderungen des deutschen Rechts unterliegen. Dies gilt nach § 3 Abs. 1 TMG selbst dann, wenn die Telemedien in einem anderen Mitgliedstaat der EU (oder in einem anderen EWR-Staat) angeboten werden.118 Mit dieser Rechtsbestimmung soll die Maßgeblichkeit des Rechts des Niederlassungsorts unterstrichen werden.119 Der weitere Regelungsbestandteil des Herkunftslandprinzips ist in § 3 Abs. 2 TMG niedergelegt: Der freie Dienstleistungsverkehr von Telemedien, die in Deutschland von Diensteanbietern mit Sitz in einem anderen EU-Mitgliedstaat (oder EWRStaat) angeboten werden, wird – mit Ausnahme der in § 3 Abs. 3–5 TMG genannten Fälle – vom nationalen Recht unberührt. Für diese Diensteanbieter ist das Recht des Sitzstaats maßgeblich.120 Nach § 2 Satz 1 Nr. 2 TMG ist niedergelassener Diensteanbieter jeder Anbieter, der mittels einer festen Einrichtung auf unbestimmte Zeit Telemedien geschäftsmäßig anbietet oder erbringt; der Standort der technischen Einrichtung allein begründet keine Niederlassung des Anbieters. Insoweit besteht ein Unterschied hinsichtlich der Geltung des BDSG (s. § 1 Abs. 5 Satz 2 BDSG)
58
Wo der Niederlassungsort ist, wird in § 2a TMG näher bestimmt. Was die Anbieter von Te- 59 lemedien angeht, so kommt es darauf an, in welchem Staat der Anbieter seine Geschäftstätigkeit tatsächlich ausübt. Maßgeblich ist dabei der Ort, an dem sich der Mittelpunkt der Tätigkeiten des Diensteanbieters im Hinblick auf ein bestimmtes Telemedienangebot befindet (§ 2a Abs. 1 TMG). Die Belegenheit eines Servers im Ausland reicht nicht aus, wie auch eine Briefkasten-Adresse nicht ausreichen würde.121 Für einen deutschen Anbieter bedeutet dies, dass er sich nicht etwa durch einen Server oder eine Niederlassung im Ausland dem deutschen Recht entziehen kann. Für die Anbieter audiovisueller Mediendienste sind die Regelungen in § 2a Abs. 2–3 TMG maßgeblich. Im Einklang mit den Richtlinienbestimmungen122 (Art. 3 RL 2000/31/EG) stellt das Her- 60 kunftslandprinzip in § 3 TMG keine Kollisionsnorm zur Bestimmung des anwendbaren Rechts dar, sondern eine Sachnorm,123 die dafür sorgen soll, eine Beeinträchtigung der Niederlassungsfreiheit im Binnenmarkt wegen der bestehenden Rechtsverschiedenheiten abzuwenden (vgl. Art. 1 Abs. 4 RL 2000/31/EG). Die Regelungen in § 3 TMG sind nicht in dem Sinne zu verstehen, dass sie „für den Bereich des Zivilrechts unter Verdrängung der nationalen Kollisionsnormen die alleinige Anwendung des im Herkunftsland geltenden Rechts anordnen“.124 Nach dem BGH wird Art. 40 EGBGB nicht durch § 3 Abs. 2 Satz 1 TMG verdrängt, weil letztere Vorschrift keinen kollisionsrechtlichen Charakter besitzt.125 Relevant ist dies v.a. im Bereich der Haftung der Betreiber, wobei noch zwischen Access- und Host-Provider zu unterscheiden sein wird.126 Brisant ist dies insb. durch die E. des BGH zu Unterlassungsansprüchen wegen Rechtsverletzungen der Nutzer gegen Plattformbetreiber geworden (s. Rz. 1338 ff.).
118 119 120 121 122 123
Vgl. auch Fülbier, CR 2007, 515. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 1 Rz. 147. BeckRTD-Komm/Gitter, § 3 TMG Rz. 20; Fülbier, CR 2007, 515. Vgl. Grützmacher/Lindhorst, ITRB 2005, 34. BT-Drs. 14/7345, S. 31. EuGH v. 25.10.2011 – C-509/09 u. C-161/10, Slg. 2011, I-10269-10328 Rz. 61 – eDate/X; BGH v. 8.5.2012 – VI ZR 217/08, CR 2012, 525 (527); OLG Hamm v. 17.12.2013 – I-4 U 100/13, ITRB 2014, 103; s.a. BeckRTD-Komm/Gitter, § 3 TMG Rz. 23. 124 Vgl. BGH v. 8.5.2012 – VI ZR 217/08, CR 2012, 525 (526 f., Rz. 26 ff.). 125 BGH v. 8.5.2012 – VI ZR 217/08, CR 2012, 525 (526). 126 Fülbier, CR 2007, 515.
Kosmides
455
B Rz. 61
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
61
Das Herkunftslandprinzip ist nur auf das geschäftsmäßige Angebot von Telemediendiensten anwendbar.127 Die Unternehmereigenschaft kann im Einzelfall unklar sein, wann genau die Grenze zur Geschäftsmäßigkeit überschritten ist bzw. wann noch keine Unternehmereigenschaft vorliegt, damit die Voraussetzungen für einen niedergelassenen Diensteanbieter erfüllt sind. Gewinnerzielungsabsicht ist nicht erforderlich, jedoch Planmäßigkeit und auf Dauer angelegt Angebote von Leistungen gegen Entgelt.128
62
Das Herkunftslandprinzip gilt im Geltungsbereich der RL 2000/31/EG i.V.m. dem TMG. Daraus folgt, dass die Regelung des § 3 TMG einerseits nicht im Bereich Telekommunikation und Rundfunk gilt, andererseits nicht für die Lieferung von Produkten.129
63
Die in den § 3 Abs. 3–5 TMG vorgesehenen Ausnahmetatbestände und Einschränkungen des Herkunftslandprinzips haben abschließenden Charakter.130 Gem. § 3 Abs. 3 TMG bleiben einige Prinzipien unberührt, z.B. die Freiheit der Rechtswahl, aber auch die Vorschriften für vertragliche Schuldverhältnisse in Bezug auf Verbraucherverträge. Nach § 3 Abs. 4 TMG gilt das Herkunftslandprinzip nicht für bestimmte Arten von Berufen und Geschäften (z.B. Glücksspiele)131. § 3 Abs. 5 TMG lässt einschränkende Maßnahmen zu bestimmten Schutzzielen zu.
64
Eine EU-ausländische Online-Apotheke unterliegt nach Ansicht des OLG München den deutschen Vorschriften zur Arzneimittelpreisbindung, soweit sie sich an deutsche Endverbraucher wendet.132 In einem solchen Fall ist das Herkunftslandprinzip nicht anwendbar. Das OLG München hat diese Beurteilung u.a. auf § 3 Abs. 5 Satz 1 Nr. 2 TMG (Schutz der öffentlichen Gesundheit) gestützt.133
65
Nach dem Gemeinsamen Senat der obersten Gerichtshöfe des Bundes gelten die deutschen Vorschriften für den Apothekenabgabepreis gleichfalls für verschreibungspflichtige Arzneimittel, die Apotheken mit Sitz in einem anderen Mitgliedstaat der EU im Wege des OnlineVersands nach Deutschland an Endverbraucher abgeben.134
66
In Anbetracht der verbraucherschutzspezifischen Ausnahmeregelung in § 3 Abs. 5 Satz 1 Nr. 3 TMG gilt als sachrechtlicher Prüfungsmaßstab für eine Widerrufsbelehrung eines in einem anderen EU-Mitgliedstaat niedergelassenen Versandhändlers, der seine Produkte über „ebay.de“ zum Verkauf anbietet, deutsches Recht.135
67
Das Herkunftslandprinzip ist in Fällen, in denen Telemedien von einem im außereuropäischen Ausland residierenden Diensteanbieter angeboten werden, nicht maßgeblich.136 In einem solchen Fall fehlt es an einer Beeinträchtigung der innergemeinschaftlichen Niederlassungsfreiheit durch unterschiedliche mitgliedstaatliche Rechtsvorschriften.137 Insofern können sich Diensteanbieter aus Drittstaaten, die in Deutschland Telemedien anbieten, nicht auf
127 128 129 130 131 132 133 134 135 136 137
456
BeckRTD-Komm/Gitter, § 3 TMG Rz. 17. Grützmacher/Lindhorst, ITRB 2005, 34 (35) m.w.N. BGH v. 30.3.2006 – I ZR 24/03, CR 2006, 539 – Arzneimittelwerbung im Internet. S.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 1 Rz. 149. Vgl. VG Düsseldorf v. 24.6.2009 – 27 L 1131/08, juris Rz. 106. OLG München v. 2.7.2009 – 29 U 3992/08, GRUR-RR 2010, 53 (Ls.) – Treuebonus II; vgl. auch OLG München v. 2.7.2009 – 29 U 3744/08, juris Ls.; OLG München v. 2.7.2009 – 29 U 3648/08, MMR 2010, 827 (Ls.). OLG München v. 2.7.2009 – 29 U 3992/08, GRUR-RR 2010, 53 (54) – Treuebonus II; zu dieser Ausnahmevorschrift s.a. BGH v. 30.3.2006 – I ZR 24/03, CR 2006, 539 (541) – Arzneimittelwerbung im Internet. GmS-OGB v. 22.8.2012 – GmS-OGB 1/10, CR 2013, 532 (Ls.). LG Karlsruhe v. 16.12.2011 – 14 O 27/11 KfH III, CR 2013, 265 red. Ls. 2. BGH v. 25.10.2011 – VI ZR 93/10, CR 2012, 103 – Blog-Eintrag; OLG Hamm v. 17.12.2013 – 4 U 100/13, ITRB 2014, 103; s.a. BeckRTD-Komm/Gitter, § 3 TMG Rz. 16. OLG Hamm v. 17.12.2013 – 4 U 100/13, ITRB 2014, 103.
Kosmides
Fernabsatzvertragsrecht
Rz. 71
B
§ 3 Abs. 2 TMG berufen. Das Einschränkungsverbot greift nicht, mit der Folge, dass auf solche Anbieter deutsches Recht Anwendung finden kann. Unter diesem Blickwinkel gilt das Herkunftslandprinzip gem. § 3 Abs. 1 TMG nicht für Anbieter mit Sitz in Deutschland, wenn sie in einem Staat außerhalb der EU Telemedien anbieten.
II. Fernabsatzvertragsrecht 1. Anwendungsbereich 1.1 Allgemein Die fernabsatzrechtlichen Regelungen in den §§ 312c ff. BGB sind nur anwendbar, soweit 68 der Anwendungsbereich des Verbrauchervertragsrechts gemäß § 312 BGB eröffnet ist.138 Nach § 312 Abs. 1 BGB gelten die §§ 312–312h BGB nur für Verbraucherverträge i.S.d. § 310 Abs. 3 BGB, die eine entgeltliche Leistung des Unternehmers zum Gegenstand haben. Insofern wird von der Legaldefinition des Fernabsatzvertrags in § 312c Abs. 1 BGB ein solcher Verbrauchervertrag vorausgesetzt. Nach dieser Vorschrift handelt es sich um „Verträge, bei denen der Unternehmer oder eine in seinem Namen oder Auftrag handelnde Person und der Verbraucher für die Vertragsverhandlungen und den Vertragsschluss ausschließlich Fernkommunikationsmittel verwenden, es sei denn, dass der Vertragsschluss nicht im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgt“. Ein Fernabsatzvertrag liegt demnach vor, wenn folgende Merkmale kumulativ erfüllt werden:
69
– Verbrauchervertrag i.S.d. § 310 Abs. 3 BGB, – mit einer entgeltlichen Leistung des Unternehmers, – bei dem die Vertragsverhandlungen und der Vertragsschluss unter ausschließlicher Verwendung von Fernkommunikationsmitteln durchgeführt werden und – der Vertragsschluss im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgt ist. Aus den genannten Begriffsmerkmalen, insb. der alleinigen Anknüpfung an die Abschluss- 70 technik folgt, dass mit dem Fernabsatzvertrag kein eigenständiger Vertragstyp eines bestimmten Inhalts beschrieben wird.139 Das charakteristische Unterscheidungsmerkmal gegenüber anderen Verträgen ist in der Vertragsschlusssituation zu sehen. 1.2 Der Begriff „Fernabsatzvertrag“ (§ 312c Abs. 1 BGB) 1.2.1 Verbrauchervertrag (§ 310 Abs. 3 BGB) Verbraucherverträge sind gem. § 310 Abs. 3 BGB Verträge, die zwischen einem Unternehmer 71 auf der einen Seite und einem Verbraucher auf der anderen Seite abgeschlossen werden. Die Rechtsordnung hält keine Begriffsbestimmung des Vertrags bereit. Nach allgemeiner Definition in der Lehre ist unter einem Vertrag ein Rechtsgeschäft zu verstehen, das aus inhaltlich übereinstimmenden mit Bezug aufeinander abgegebenen Willenserklärungen (Antrag und Annahme) von mindestens zwei Personen besteht (§ 311 Abs. 1 BGB).140 Einseitige Rechtsgeschäfte, d.h. Rechtsgeschäfte, die durch eine Willenserklärung entstehen, scheiden aus dem Anwendungsbereich der §§ 312 ff. BGB aus.
138 Wie hier Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312c Rz. 5. 139 R. Koch, in: Erman, BGB, § 312c Rz. 6. 140 Vgl. nur Wolf/Neuner, AT des Bürgerlichen Rechts, § 37 Rz. 1.
Kosmides
457
Fernabsatzvertragsrecht
Rz. 71
B
§ 3 Abs. 2 TMG berufen. Das Einschränkungsverbot greift nicht, mit der Folge, dass auf solche Anbieter deutsches Recht Anwendung finden kann. Unter diesem Blickwinkel gilt das Herkunftslandprinzip gem. § 3 Abs. 1 TMG nicht für Anbieter mit Sitz in Deutschland, wenn sie in einem Staat außerhalb der EU Telemedien anbieten.
II. Fernabsatzvertragsrecht 1. Anwendungsbereich 1.1 Allgemein Die fernabsatzrechtlichen Regelungen in den §§ 312c ff. BGB sind nur anwendbar, soweit 68 der Anwendungsbereich des Verbrauchervertragsrechts gemäß § 312 BGB eröffnet ist.138 Nach § 312 Abs. 1 BGB gelten die §§ 312–312h BGB nur für Verbraucherverträge i.S.d. § 310 Abs. 3 BGB, die eine entgeltliche Leistung des Unternehmers zum Gegenstand haben. Insofern wird von der Legaldefinition des Fernabsatzvertrags in § 312c Abs. 1 BGB ein solcher Verbrauchervertrag vorausgesetzt. Nach dieser Vorschrift handelt es sich um „Verträge, bei denen der Unternehmer oder eine in seinem Namen oder Auftrag handelnde Person und der Verbraucher für die Vertragsverhandlungen und den Vertragsschluss ausschließlich Fernkommunikationsmittel verwenden, es sei denn, dass der Vertragsschluss nicht im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgt“. Ein Fernabsatzvertrag liegt demnach vor, wenn folgende Merkmale kumulativ erfüllt werden:
69
– Verbrauchervertrag i.S.d. § 310 Abs. 3 BGB, – mit einer entgeltlichen Leistung des Unternehmers, – bei dem die Vertragsverhandlungen und der Vertragsschluss unter ausschließlicher Verwendung von Fernkommunikationsmitteln durchgeführt werden und – der Vertragsschluss im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgt ist. Aus den genannten Begriffsmerkmalen, insb. der alleinigen Anknüpfung an die Abschluss- 70 technik folgt, dass mit dem Fernabsatzvertrag kein eigenständiger Vertragstyp eines bestimmten Inhalts beschrieben wird.139 Das charakteristische Unterscheidungsmerkmal gegenüber anderen Verträgen ist in der Vertragsschlusssituation zu sehen. 1.2 Der Begriff „Fernabsatzvertrag“ (§ 312c Abs. 1 BGB) 1.2.1 Verbrauchervertrag (§ 310 Abs. 3 BGB) Verbraucherverträge sind gem. § 310 Abs. 3 BGB Verträge, die zwischen einem Unternehmer 71 auf der einen Seite und einem Verbraucher auf der anderen Seite abgeschlossen werden. Die Rechtsordnung hält keine Begriffsbestimmung des Vertrags bereit. Nach allgemeiner Definition in der Lehre ist unter einem Vertrag ein Rechtsgeschäft zu verstehen, das aus inhaltlich übereinstimmenden mit Bezug aufeinander abgegebenen Willenserklärungen (Antrag und Annahme) von mindestens zwei Personen besteht (§ 311 Abs. 1 BGB).140 Einseitige Rechtsgeschäfte, d.h. Rechtsgeschäfte, die durch eine Willenserklärung entstehen, scheiden aus dem Anwendungsbereich der §§ 312 ff. BGB aus.
138 Wie hier Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312c Rz. 5. 139 R. Koch, in: Erman, BGB, § 312c Rz. 6. 140 Vgl. nur Wolf/Neuner, AT des Bürgerlichen Rechts, § 37 Rz. 1.
Kosmides
457
B Rz. 72
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
72
Vertragsparteien müssen ein Unternehmer i.S.v. § 14 BGB und ein Verbraucher i.S.v. § 13 BGB sein. Ein Vertrag zwischen Unternehmern (B2B) ist ebenso unzureichend wie ein Vertrag zwischen Verbrauchern (C2C).141 Mit diesem tatbestandlichen Merkmal wird der persönliche Anwendungsbereich des Verbraucher- und damit auch des Fernabsatzvertragsrechts abgesteckt. Unter den Verbrauchervertragsbegriff fallen alle Verträge zwischen Unternehmen und Verbrauchern.142 Maßgeblich ist lediglich der persönliche Status der Vertragsparteien. Auf weitere Momente wie v.a. etwa Vertragsgegenstand, -inhalt oder Vertragstyp kommt es nicht an.143 Streitig ist die Geltung der fernabsatzrechtlichen Regelungen für Powerseller bei Online-Auktionen (s. Rz. 51 ff.), die oft nicht die Unternehmereigenschaft erfüllen (wollen) und insofern auch nicht die dafür vorgesehenen Informationspflichten erfüllen.
73
Der Wortlaut des § 310 Abs. 3 BGB lässt unklar, ob sog. C2B-Geschäfte in den Anwendungsbereich des Verbrauchervertragsrechts fallen. Dieses invertierte Geschäftsmodell hat in den letzten Jahren eine gewisse Verbreitung erlangt. Es stellt das Gegenteil zum traditionellen B2C-Geschäftsmodell dar. Hier wird die für den Vertragstypus charakteristische Leistung vom Verbraucher geschuldet. Der Unternehmer stellt den Gläubiger dieser Leistung dar. Bei einem Kaufvertrag verkauft also der Verbraucher und der Unternehmer kauft. C2B-Geschäfte an sich sind grds. vom Schutzbereich der §§ 312–312h BGB ausgenommen.144 Dafür sprechen in erster Linie der Sinn und Zweck der unionalen und der nationalen gesetzlichen Regelung (RL 2011/83/EU, §§ 312 ff. BGB). Das lässt sich u.a. den Legaldefinitionen des Kaufvertrags und des Dienstleistungsvertrags in Art. 2 Nr. 5 und 6 RL 2011/83/EU sowie der Logik der darin vorgesehenen Informationspflichten (vgl. insb. Art. 6 Abs. 1 RL 2011/83/EU) entnehmen.145 Ausschlaggebend ist schließlich § 312 Abs. 1 BGB, der eine entgeltliche Leistung des Unternehmers voraussetzt.146 Der Verbraucher hat demgemäß die Gegenleistung zu erbringen.
74
Verbraucher- und Fernabsatzvertragsrecht sind folglich auf B2C beschränkt.147 Vor diesem Hintergrund hat das OLG Dresden entschieden, dass die Bürgschaft eines Verbrauchers kein Fernabsatzgeschäft darstellt.148
75
Anderes gilt nur dann, wenn die Gegenleistung des Verbrauchers im Rahmen eines B2C-Vertrags darin besteht, einen weiteren Vertrag (z.B. einen Kaufvertrag) mit dem Unternehmer (C2B-Vertrag) abzuschließen und zu erfüllen. In einem solchen Fall steht eine Vertragsverbindung, bestehend aus B2C- und C2B-Elementen, in Rede, welche als Ganzes dem Verbrauchervertragsrecht unterliegen sollte. Der Anwendungsbereich der §§ 312–312h BGB ist einer solchen gemischten Vertragsverbindung deshalb eröffnet, weil deren Grundlage ein B2C-Geschäft bildet. Bei sonstigen gemischten Vertragsverbindungen unterfällt grds. nur der B2CVertragsteil den §§ 312–312h BGB.
76
Bei Verträgen, bei denen auf beiden Seiten eine Sachleistung geschuldet wird, kann es schwer oder gar unmöglich sein, ein B2C- von einem C2B-Geschäft zu unterscheiden. Für den Tausch ergibt sich etwa aus § 480 BGB, dass jede Vertragspartei für ihre Sachleistung die Stellung eines Verkäufers hat. Bei derartigen Verträgen ist mittels Vertragsauslegung (§§ 133, 157 BGB) zu ermitteln, wer die Leistung und wer die Gegenleistung schuldet, ob also ein B2C- oder ein C2B-Geschäft vorliegt und damit die verbrauchervertragsrechtlichen Regelungen Anwendung finden können. Im Zweifelsfall ist die Anwendbarkeit der §§ 312 ff. BGB zu bejahen (in dubio pro consumatore). 141 142 143 144 145 146 147
Ebenso Härting, Internetrecht, Rz. 791; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 19. Lapp/Salamon, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 310 Rz. 22. Vgl. auch S. Roloff, in: Erman, BGB, § 310 Rz. 12. Vgl. auch BGH v. 10.12.2014 – VIII ZR 90/14, CR 2015, 189; BT-Drs. 17/13951, S. 72. BT-Drs. 17/13951, S. 72. S. BT-Drs. 17/13951, S. 72; vgl. auch Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPKBGB, § 312 Rz. 22. 148 OLG Dresden v. 30.1.2009 – 8 U 1540/08, juris Ls. 1 = OLGR Dresden 2009, 521.
458
Kosmides
Fernabsatzvertragsrecht
Rz. 80
B
1.2.2 Entgeltlichkeit der Leistung des Unternehmers Nach § 312 Abs. 1 BGB muss es sich darüber hinaus um einen entgeltlichen Verbraucherver- 77 trag handeln. Der Unternehmer hat sich im Rahmen eines solchen Vertrags zu verpflichten, eine Leistung zu erbringen, für die der Verbraucher eine irgendwie geartete Gegenleistung (Entgelt) erbringen muss.149 Der Verpflichtung der einen Partei zur Leistung muss demnach nach dem Inhalt des Vertrags die Verpflichtung der anderen zu einer Gegenleistung gegenüberstehen, die nach der Einschätzung der Vertragsschließenden einen Gegenwert, ein Äquivalent darstellt.150 Auf die objektive Gleichwertigkeit von Leistung und Entgelt kommt es ebenso wenig an wie auf deren Bezeichnung.151 Die Merkmale „entgeltlich“ und „Leistung“ sind im Interesse des Verbraucherschutzes und im Lichte der RL 2011/83/EU auszulegen. Es ist also von einem weiten Leistungs- und Gegenleistungsbegriff auszugehen.152 Gegenstand des Verbrauchervertrags kann die Lieferung von Waren (§ 241a Abs. 1 BGB) oder 78 die Erbringung von Dienstleistungen aller Art sein.153 Die Begriffe Warenlieferung und Dienstleistungserbringung sind europarechtskonform weit auszulegen.154 Unter den Begriff der Ware sollten aus teleologischen Gesichtspunkten auch Gutscheine (sowohl in Papierform als auch in elektronischer Form) gefasst werden (zum Widerruf von Gutscheingeschäften Rz. 327).155 Als Waren sind auch auf einem körperlichen Datenträger bereitgestellte digitale Inhalte anzusehen (Erw.grd. 19 RL 2011/83/EU). Der Schutz des Fernabsatzrechts erstreckt sich auch auf Finanzdienstleistungen.156 Entgeltlich sind alle gegenseitigen Verträge (z.B. Kauf, Tausch, Miete, Dienst-, Werk- und Reisevertrag, Geschäftsbesorgung nach § 675 Abs. 1 BGB).157 Es genügt irgendeine Leistung des Verbrauchers.158 Die Gegenleistung des Verbrauchers kann in der Zahlung eines Geldbetrags oder der Erbringung einer Sachleistung liegen. Auch die Stellung einer Sicherheit ist als Gegenleistung anzusehen.159 Nach der Gesetzesbegründung kann die Gegenleistung des Verbrauchers ferner darin bestehen, dass er dem Unternehmer im Gegenzug personenbezogene Daten mitteilt und in deren Speicherung, Nutzung oder Weitergabe einwilligt.160 Die Daten werden in diesem Zshg. als Ersatzwährung verwendet.161
79
Fehlt es überhaupt an einer Gegenleistung, ist ein unentgeltlicher Vertrag anzunehmen (z.B. 80 Schenkung, Leihe und Auftrag). Bei einem unentgeltlichen Vertrag genießt der Verbraucher nicht den Schutz der §§ 312–312h BGB. Dabei ist er nach Ansicht des nationalen Gesetzgebers nicht schutzbedürftig.162 Dies entspricht nach der Gesetzesbegründung auch dem Willen des Unionsgesetzgebers.163 149 150 151 152
153 154 155 156 157 158 159 160 161 162 163
Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312 Rz. 16. Vgl. Wolf/Neuner, AT des Bürgerlichen Rechts, § 29 Rz. 81. BT-Drs. 17/13951, S. 72. S.a. Grüneberg, in: Palandt, § 312 BGB Rz. 3, und OLG Düsseldorf v. 13.6.2014 – 7 U 37/13 und dazu Anm. Junker, in: Heckmann (Hrsg.), jurisPR-ITR 2/2015 Anm. 5. S. aber OLG Schl.-Holst. v. 22.1.2015 – 16 U 89/14 enger zu Immobilienmaklervertrag, lt. juris anhängig BGH – I ZR 30/15 s.a. Lange/Werneburg, NJW 2015, 193 zu Maklerverträgen. BT-Drs. 17/13951, S. 72; Grüneberg, in: Palandt, § 312 BGB Rz. 3; Junker, in: Herberger/Martinek/ Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312 Rz. 24 ff.; vgl. auch Härting, Internetrecht, Rz. 814. Zu diesen Begriffen und den entsprechenden Vertragsgegenständen vgl. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 41 ff. So Föhlisch/Löwer, K&R 2015, 298 ff. Härting, Internetrecht, Rz. 815; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 44. Zu weiteren Beispielen Grüneberg, in: Palandt, § 312 BGB Rz. 4 ff. Grüneberg, in: Palandt, § 312 BGB Rz. 3. Brönneke/Schmidt, VuR 2014, 3. BT-Drs. 17/13951, S. 72. Brönneke/Schmidt, VuR 2014, 3. BT-Drs. 17/13951, S. 72; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312 Rz. 21. BT-Drs. 17/13951, S. 72.
Kosmides
459
B Rz. 81
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1.2.3 Vertragsverhandlungen und Vertragsschluss unter ausschließlicher Verwendung von Fernkommunikationsmitteln 81
Liegt ein entgeltlicher Verbrauchervertrag vor, so müssen für die Bejahung eines Fernabsatzvertrags noch folgende Kriterien erfüllt werden. Es müssen erstens für die Vertragsverhandlungen und den Vertragsschluss ausschließlich Fernkommunikationsmittel verwendet werden. Es reicht dabei aus, wenn nicht der Unternehmer selbst, sondern ein von ihm beauftragter Dritter die Fernkommunikationsmittel einsetzt.164 Der Vertragsschluss muss zweitens im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgen.
82
Was das erste Merkmal angeht, so ist der Begriff „Fernkommunikationsmittel“ in § 312c Abs. 2 BGB legal definiert. Danach handelt es sich um alle Kommunikationsmittel, die zur Anbahnung oder zum Abschluss eines Vertrags eingesetzt werden können, ohne dass die Vertragsparteien gleichzeitig körperlich anwesend sind. Der Begriff erfasst jede Form des Vertragsschlusses unter physisch abwesenden Vertragsparteien. Die Vertragsparteien brauchen aber nicht tatsächlich physisch abwesend zu sein. Maßgeblich ist vielmehr lediglich die Eignung des eingesetzten Mittels zur Anbahnung oder zum Abschluss eines Vertrags ohne gleichzeitige körperliche Anwesenheit der Parteien.165 Nach der Gesetzesbegründung ist etwa als Fernabsatzvertrag auch ein Vertrag anzusehen, der zwischen einem Verbraucher und einem Unternehmer abgeschlossen wird, die nebeneinander in demselben Internetcafé oder im Wartesaal des Flughafens sitzen und über ihre Smartphones kommunizieren, ohne die Anwesenheit des anderen zu bemerken.166 In aller Regel sind allerdings die Parteien bei einem Fernabsatzvertrag nicht gleichzeitig anwesend. Denn die absichtliche Verwendung von Fernkommunikationsmitteln, um mit einem Anwesenden zu kommunizieren, ist nicht sinnvoll.167
83
Als Beispiele für Fernkommunikationsmittel werden in § 312c Abs. 2 BGB genannt: Briefe, Kataloge, Telefonanrufe, Telekopien, E-Mails, SMS sowie Rundfunk und Telemedien. Der Katalog des § 312c Abs. 2 BGB ist nicht abschließend zu verstehen.168 Unter den Begriff „Fernabsatzvertrag“ können somit neben dem traditionellen Distanzgeschäft, insb. der Versandhandel, auch E-Commerce-Verträge (Rz. 394 ff.) fallen.169
84
Wird ein Fernabsatzvertrag ohne Einsatz von Telemedien abgeschlossen, gelten allein die §§ 312–312h BGB. Wird ein Fernabsatzvertrag unter Einsatz von Telemedien abgeschlossen, ist zugleich auch ein Vertrag im elektronischen Geschäftsverkehr i.S.d. § 312i Abs. 1 BGB anzunehmen. Für einen solchen Vertrag sind sowohl die §§ 312–312h BGB als auch die §§ 312i ff. BGB einschlägig. Diese Vorschriften gelangen grds. nebeneinander zur Anwendung, soweit keine Normenkollision (zur Auflösung von Normenkollisionen s. Rz. 393) besteht oder sich nicht ein anderes aus dem Gesetz ergibt. Eine Sonderregelung für konkurrierende Informationspflichten bei einem Zahlungsdienstevertrag, der zugleich ein Fernabsatzvertrag ist, ist in Art. 248 § 1 EGBG enthalten.170 Ein unter Einsatz von Telemedien geschlossener Vertrag (E-Commerce-Vertrag) stellt allerdings nicht unbedingt einen Fernabsatzvertrag dar. Dies ist der Fall, wenn die (sonstigen) Voraussetzungen des § 312c Abs. 1 BGB nicht erfüllt (z.B. B2B) werden.171 Für einen solchen Vertrag sind nur die §§ 312i ff. BGB maßgeblich.
164 165 166 167 168 169 170 171
460
Schirmbacher/Schmidt, CR 2014, 107 (108). Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312c Rz. 24. BT-Drs. 17/13951, S. 72. BT-Drs. 17/13951, S. 72. Härting, Internetrecht, Rz. 817. Grüneberg, in: Palandt, § 312c BGB Rz. 2. Dazu Sprau, in: Palandt, Art. 248 § 1 EGBGB Rz. 1 f. Vgl. aber Grüneberg, in: Palandt, § 312i BGB Rz. 4.
Kosmides
Fernabsatzvertragsrecht
Rz. 88
B
Für die Vertragshandlungen zwecks Abschlusses eines Fernabsatzvertrags müssen aus- 85 schließlich Fernkommunikationsmittel verwendet werden. „Ausschließlich“ bedeutet in diesem Zshg. „nur“ bzw. „lediglich“. D.h., dass keine sonstigen Mittel eingesetzt worden sein müssen. Ob ein oder mehrere verschiedenartige Fernkommunikationsmittel für die Vertragsverhandlungen und den Vertragsschluss eingesetzt werden, ist unerheblich (Art. 2 Nr. 7 und Erw.grd. 20 Satz 1 RL 2011/83/EU).172 Die Vertragsverhandlungen können etwa telefonisch durchgeführt werden und der Vertragsschluss per E-Mail, also elektronisch erfolgen. Das Ausschließlichkeitsgebot betrifft beide Vertragsparteien: sowohl der Unternehmer oder eine in seinem Namen oder Auftrag handelnde Person als auch der Verbraucher müssen also (ausschließlich) Fernkommunikationsmittel verwenden.173 Hat etwa der Verbraucher die Ware telefonisch bestellt und der Unternehmer die Annahme bei gleichzeitiger körperlicher Anwesenheit beider Parteien in seinen Geschäftsräumen erklärt, ist ein Fernabsatzvertrag abzulehnen.174 Der ausschließliche Einsatz von Fernkommunikationsmitteln hat den Zeitraum von der An- 86 bahnung des Vertrags bis einschließlich zum Moment des Vertragsschlusses, damit sowohl den Antrag auf Abschluss des Vertrags (§ 145 BGB) als auch dessen Annahme (§§ 146 ff. BGB), abzudecken.175 Lediglich ein Vertragsschluss mit Fernkommunikationsmitteln ist ebenso unzureichend wie lediglich Vertragsverhandlungen mittels Fernkommunikationsmitteln.176 Ein Vertrag, der in den Geschäftsräumen eines Unternehmers angebahnt und über ein Fernkommunikationsmittel geschlossen wird, stellt keinen Fernabsatzvertrag dar (Erw.grd. 20 Satz 3 RL 2011/83/EU). Gleiches gilt für einen Vertrag, der über ein Fernkommunikationsmittel verhandelt und in den Geschäftsräumen des Unternehmers geschlossen wird (Erw.grd. 20 Satz 4 RL 2011/83/EU). Meldet sich der Verbraucher bei einem Fachmann (z.B. Arzt, Friseur) über ein Fernkommunikationsmittel, um einen Termin mit ihm zu vereinbaren, scheidet die Anwendung des Fernabsatzrechts aus.177 Denn der Vertrag kommt erst zustande, wenn die zu erbringende Leistung beim persönlichen Kontakt bestimmt wird (Erw.grd. 20 Satz 4 RL 2011/83/EU).178 Der Qualifikation als Fernabsatzvertrag steht es allerdings nicht entgegen, wenn ein persön- 87 licher Kontakt i.S. einer gleichzeitigen physischen Anwesenheit der Vertragsparteien vor Beginn der Vertragsanbahnungsphase stattgefunden hat, z.B. ein Besuch des Verbrauchers im Ladengeschäft des Unternehmers zum Zwecke der Information über die angebotenen Waren oder Dienstleistungen, um anschließend den Vertrag aus der Ferne zu verhandeln und abzuschließen.179 Aus dem Erw.grd. 20 Satz 2 und 3 RL 2011/83/EU folgt, dass ein Kontakt zwischen den Parteien im Vorfeld des Vertragsschlusses, der ausschließlich auf die Information über die angebotenen Produkte beschränkt ist, nicht der Phase der Vertragsverhandlungen zuzurechnen ist, sondern dieser Phase vorgelagert ist. Maßgeblich ist insofern die Qualität des jeweiligen Gesprächs im Vorfeld des Vertragsschlusses.180 Der BGH hat allerdings unter Geltung des vor Umsetzung der RL 2011/83/EU geltenden 88 Rechts (§ 312b Abs. 1 Satz 1 BGB a.F.) den Schutzzweck des Fernabsatzrechts wie folgt dargestellt:
172 LG Wuppertal v. 24.6.2008 – 5 O 13/08, juris Os. 1 („Informations- und Vertragserklärungsaustausch per Telefon und Post“); s.a. Grüneberg, in: Palandt, § 312c BGB Rz. 4. 173 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312c Rz. 9. 174 Vgl. auch Schirmbacher/Schmidt, CR 2014, 107 (108). 175 Grüneberg, in: Palandt, § 312c BGB Rz. 4; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 33. 176 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312c Rz. 11 f. 177 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 37. 178 Grüneberg, in: Palandt, § 312c BGB Rz. 6. 179 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312c Rz. 13; a.A. Föhlisch/ Dyakova, MMR 2013, 3 (4). 180 Vgl. Föhlisch/Dyakova, MMR 2013, 3 (4).
Kosmides
461
B Rz. 89
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
„Der Schutzzweck der §§ 312b–312d BGB gebietet es, es als Einsatz von Fernkommunikationsmitteln zu bewerten, wenn bei Vertragsschluss oder -anbahnung ein Bote beauftragt wird, der zwar dem Verbraucher in unmittelbarem persönlichen Kontakt gegenüber tritt, jedoch über den Vertragsinhalt und insb. über die Beschaffenheit der Vertragsleistung des Unternehmers keine näheren Auskünfte geben kann und soll“.181
89
So gesehen hat er für den Fall, dass der Unternehmer die Deutsche Post AG mit der Einholung der Unterschrift des Verbrauchers unter das Vertragsformular im Wege des Postident 2-Verfahrens beauftragt hat, den damit verbundenen unmittelbaren persönlichen Kontakt des mit der Ausführung betrauten Postmitarbeiters, d.h. des Boten, mit dem Verbraucher für einen Ausschluss des Fernabsatzrechts nicht für ausreichend gehalten.182 Denn der Postmitarbeiter könne und solle keine Auskünfte über Vertragsinhalt und -leistung geben.183
90
Im Umkehrschluss aus dieser BGH-Beurteilung sollte demnach die Anwendung des § 312c BGB grds. ausgeschlossen sein, wenn der Verbraucher vor Abschluss des Vertrags bei einem unmittelbaren persönlichen Kontakt mit dem Unternehmer oder einer in seinem Namen oder Auftrag handelnden Person Informationen über den Vertragsgegenstand erhalten hat.184 Unter diesem Blickwinkel hat das AG Saarbrücken gerade einen Fernabsatzvertrag abgelehnt, wenn sich der Käufer eines Autos dieses vor der Unterzeichnung des Vertragsformulars bei dem Verkäufer angeschaut und es Probe gefahren hat. Er habe sich damit persönlich über alle für ihn wesentlichen Umstände vor Ort beim Verkäufer informiert.185 Nach Ansicht des AG Frankfurt ist für die Ablehnung eines Fernabsatzvertrags entscheidend, ob sich der Verbraucher während des Anbahnungskontakts über alle für den Vertragsschluss wesentlichen Umstände informiert hat und der Vertrag im unmittelbaren zeitlichen Zshg. mit diesem persönlichen Kontakt zustande gekommen ist.186
91
Diese Rspr. ist vor Inkrafttreten der RL 2011/83/EU ergangen. Es bleibt insofern abzuwarten, ob sie im Lichte dieser Richtlinie, insb. des Erw.grd. 20 RL 2011/83/EU, aufrechterhalten bleibt. Eine im Einklang mit Sinn und Zweck der RL 2011/83/EU stehende Lösung könnte darin bestehen, dass zwischen einer Informationsbeschaffung während der Vorverhandlungen und einer Informationsbeschaffung im Rahmen der Vertragsverhandlungen unterschieden wird. Mit anderen Worten ist zu ermitteln, ob der fragliche Kontakt vor oder nach der Aufnahme der Vertragsverhandlungen stattgefunden hat. Für die Beurteilung dieser Frage kommt es in erster Linie auf eine objektive Betrachtungsweise unter Berücksichtigung der Erklärungen der Parteien und der sonstigen Umstände des Einzelfalls an.
92 Diese Frage ist in der Praxis öfter kaum einfach zu beurteilen. Die Grenzen zwischen (bloßer) Information und (informationsbeschaffender) Vertragsverhandlung sind fließend. Aus dem klaren Wortlaut des Erw.grd. 20 Satz 2 RL 2011/83/EU ergibt sich indessen, dass es nicht auf die Wesentlichkeit der Information ankommen soll.187 Informationen über für den Vertragsschluss und den Vertragsinhalt wesentliche Umstände können auch im Vorfeld der Vertragsverhandlungen erteilt werden. Dies ist auch sinnvoll, weil der informierte Verbraucher die Grundlage und Grundbedingung für gleichberechtigte Vertragsverhandlungen und damit für die Gewährleistung rechtsgeschäftlicher Entscheidungsfreiheit sind. 93
Sowohl aus dem Regelungszweck des Fernabsatzrechts als auch aus dem Wortlaut des Erw.grd. 20 Sätze 2 und 3 RL 2011/83/EU ergibt sich andererseits, dass ein Fernabsatzvertrag
181 182 183 184 185 186 187
462
BGH v. 21.10.2004 – III ZR 380/03, CR 2005, 126 (127). BGH v. 21.10.2004 – III ZR 380/03, CR 2005, 126 (Ls. 2). BGH v. 21.10.2004 – III ZR 380/03, CR 2005, 126 (Ls. 2). Vgl. OLG Hamburg v. 11.6.2014 – 13 U 17/13, WM 2014, 1538 (Ls. 2). AG Saarbrücken v. 9.11.2005 – 42 C 204/05, juris Rz. 28. AG Frankfurt v. 6.6.2011 – 31 C 2577/10 (17), MMR 2011, 804. A.A. AG Saarbrücken v. 9.11.2005 – 42 C 204/05, juris Rz. 28; AG Frankfurt v. 6.6.2011 – 31 C 2577/10 (17), MMR 2011, 804.
Kosmides
Fernabsatzvertragsrecht
Rz. 96
B
abzulehnen ist, wenn der Vertrag zeitlich unmittelbar nach einer unter körperlicher Anwesenheit stattgefundenen Informationsverschaffung zustande gekommen ist.188 Dies ist z.B. der Fall, wenn der Verbraucher kurz nach einem Besuch in den Geschäftsräumen des Unternehmers, während dessen er die gewünschten Informationen erhalten hat, das Produkt per E-Mail bestellt. Nach Ansicht des AG Frankfurt ist ein unmittelbarer zeitlicher Zshg. nicht mehr gegeben, wenn zwischen dem Vertragsschluss und dem persönlichen Kontakt mehr als eineinhalb Monate liegen.189 1.2.4 Vertragsschluss im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems Ein unter ausschließlicher Verwendung von Fernkommunikationsmitteln verhandelter und 94 abgeschlossener entgeltlicher Verbrauchervertrag stellt nur dann einen Fernabsatzvertrag dar, wenn der Vertragsschluss im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgt ist. Eine Definition dessen, was unter einem solchen Vertriebs- oder Dienstleistungssystem zu verstehen ist, ist weder in der RL 2011/83/EU noch im BGB zu finden.190 Ein solches System setzt voraus, dass der Unternehmer in personeller und sachlicher Ausstattung innerhalb seines Betriebs die Voraussetzungen organisatorisch geschaffen hat, die erforderlich sind, um regelmäßig im Fernabsatz zu tätigende Geschäfte zu bewältigen.191 Nicht erforderlich ist, dass sich der Unternehmer subjektiv und bewusst für den Fernabsatz entschieden hat. Es reicht vielmehr aus, dass diese Voraussetzungen objektiv geschaffen wurden.192 Der Unternehmer muss sich in dieser Hinsicht Techniken der Fernkommunikation systematisch zunutze machen. Die intendierten Geschäfte müssen sich dem Gesamtbild nach als typische Distanzgeschäfte darstellen.193 Der zufällige oder gelegentliche Einsatz von Fernkommunikationsmitteln reicht nicht aus.194 So gesehen scheidet aus dem Anwendungsbereich des Fernabsatzrechts ein Vertrag aus, wenn der Unternehmer ausnahmsweise eine telefonische Bestellung entgegennimmt und die Ware dem Kunden nicht in seinen Geschäftsräumen übergibt, sondern ausnahmsweise per Post versendet.195 Auch wird diese Voraussetzung beim telefonischen Verkauf von Zertifikaten durch eine lokale Sparkasse grds. nicht erfüllt.196
95
Das vorausgesetzte Vertriebs- bzw. Dienstleistungssystem kann sowohl vom Unternehmer 96 als auch von einem Dritten betrieben werden. Für die vorausgesetzte Organisation sind keine aufwendigen Maßnahmen erforderlich.197 Es reicht vielmehr aus, wenn etwa eine Website mit Bestellmöglichkeiten per Telefon, Telefax oder Email im Internet unterhalten wird (Erw.grd. 20 Satz 6 RL 2011/83/EU).198 Unzureichend ist hingegen, wenn auf einer Website
188 Vgl. auch AG Frankfurt v. 6.6.2011 – 31 C 2577/10 (17), MMR 2011, 804. 189 AG Frankfurt v. 6.6.2011 – 31 C 2577/10 (17), MMR 2011, 804. 190 So auch i.R.d. früheren Fernabsatzrechts; vgl. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 36. 191 BT-Drs. 14/2658, S. 30; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 36. 192 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 36. 193 OLG Hamm v. 14.3.2011 – I-31 U 162/10, juris Rz. 15, WM 2011, 1412; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 37. 194 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 36. S.z.B. zur Differenzierung beim Anwaltsvertrag: AG Hildesheim v. 8.8.2014 – 84 C 9/14, ob Kanzlei sich auf die Abwicklung ihrer Mandate über ein Internetportal ausrichtet; weiter: AG Offenbach v. 9.10.2013 – 380 C 45/13. 195 BT-Drs. 14/2658, S. 30. 196 OLG Hamm v. 14.3.2011 – I-31 U 162/10, juris Rz. 15, WM 2011, 1412. 197 Grüneberg, in: Palandt, § 312c BGB Rz. 6; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 36. 198 OLG Düsseldorf v. 13.6.2014 – I-7 U 37/13, MDR 2014, 1067; vgl. auch Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312c Rz. 19.
Kosmides
463
B Rz. 97
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
nur Informationen über den Unternehmer und die von ihm angebotenen Produkte angeboten werden (Erw.grd. 20 Satz 7 RL 2011/83/EU). 97
Das in Rede stehende Tatbestandsmerkmal stellt einen Ausnahmetatbestand dar („es sei denn“).199 Der Unternehmer hat insoweit darzulegen und zu beweisen, dass der Vertrag nicht im Rahmen eines für den Fernabsatz organisierten Vertriebs- bzw. Dienstleistungssystems abgeschlossen wurde.200
98
Online-Auktionen können unter den Fernabsatz201 fallen, mit der Folge, dass auch insoweit die Rechte des Verbrauchers, hier als Nutzer und Bieter, der den Zuschlag erhalten hat, gemäß Fernabsatz bestehen. Infolgedessen muss der Verbraucher einerseits korrekt informiert werden, andererseits hat er die Rechte hinsichtlich des Widerrufs wie beim normalen Fernabsatz auch.
99
Auch das anwaltliche Beratungsverhältnis (Online-Rechtsanwalt) kann wegen des Einsatzes von Internet oder sogar SMS bei Verbrauchern als Mandanten den Regeln des Fernabsatzes unterliegen.202 1.3 Bereichsausnahmen (§ 312 Abs. 2–6 BGB)
100 In § 312 Abs. 2 BGB werden Bereichsausnahmen vom Anwendungsbereich des allgemeinen Verbrauchervertragsrechts sowie des Fernabsatzvertragsrechts i.S.d. §§ 312–312h BGB abschließend vorgesehen.203 Auf die in § 312 Abs. 2 Nr. 1–13 BGB aufgezählten Vertragsarten findet nur § 312a Abs. 1, 3, 4 und 6 BGB Anwendung. Vertragliche Vereinbarungen und gesetzliche Regelungen, die außerhalb der §§ 312–312h BGB niedergelegt sind, bleiben unberührt („von den Vorschriften der Kapitel 1 und 2 dieses Untertitels ist nur … anzuwenden“). Hierzu zählen auch die E-Commerce-rechtlichen Vorschriften der §§ 312i und 312j BGB. 101 Weitere Bereichsausnahmen sind in § 312 Abs. 3–6 BGB enthalten. Die Regelungstechnik der § 312 Abs. 3–6 BGB entspricht im Wesentlichen der des § 312 Abs. 2 BGB. Die §§ 312–312h BGB werden hiernach nicht zur Gänze für unanwendbar erklärt. Vielmehr werden für den jeweils genannten Vertragsfall nur bestimmte Vorschriften von den §§ 312–312h BGB für anwendbar erklärt, die – neben vertraglichen Vereinbarungen und sonstigen gesetzlichen Bestimmungen – gelten sollen.204 2. Fernabsatzrechtliche Informationspflichten 2.1 Allgemeines 102 Den Unternehmer trifft beim Fernabsatz eine Reihe von Informationspflichten.205 Regelungstechnisch hat sich der Gesetzgeber dafür entschieden, im BGB selber nur die Rechtspflicht zur Information anzuordnen.206 Zwecks Vereinfachung und besserer Übersichtlichkeit der BGB-Regeln sind die Einzelheiten der Information (Inhalt, Form und Zeitpunkt) nunmehr im EGBGB verortet.207 Die zentrale Bestimmung für die Informationspflichten bei 199 Grüneberg, in: Palandt, § 312c BGB Rz. 6. 200 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312c Rz. 16. 201 BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 m. Anm. Wiebe i.V.m. BGH v. 3.11.2004 – VIII ZR 375/03, CR 2005, 53 m. Anm. Wiebe. 202 Zur Zulässigkeit der Versteigerung anwaltlicher Leistungen s. BVerfG v. 19.2.2008 – 1 BvR 1886/06, ITRB 2008, 73. 203 Grüneberg, in: Palandt, § 312 BGB Rz. 8. 204 Vgl. auch Grüneberg, in: Palandt, § 312 BGB Rz. 8. 205 Dazu aus europäischer Sicht de Franceschi, GRUR Int. 2013, 865 ff. 206 R. Koch, in: Erman, BGB, § 312d Rz. 1. 207 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 1; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 68.
464
Kosmides
Fernabsatzvertragsrecht
Rz. 105
B
Fernabsatzverträgen ist § 312d BGB. Die Vorschrift verweist in Abs. 1 auf Art. 246a EGBGB und in Abs. 2 auf Art. 246b EGBGB. Aus § 312d Abs. 2 BGB („abweichend von Absatz 1“) ergibt sich, dass zwischen – Informationspflichten bei Fernabsatzverträgen über Finanzdienstleistungen (§ 312d Abs. 2 BGB i.V.m. Art. 246b EGBGB) und – Informationspflichten bei sonstigen Fernabsatzverträgen (§ 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a EGBGB) zu unterscheiden ist.208 Von Bedeutung ist diese Unterscheidung für eine weitere Differenzierung: Um die Bedin- 103 gungen einer tatsächlichen, gleichberechtigten Entscheidung über den Vertragsschluss effizienter sicherzustellen, baut das Gesetz bei Fernabsatzverträgen, die keine Finanzdienstleistung betreffen, auf ein zweistufiges System der Informationsbeschaffung auf.209 Hiernach hat zweimalig eine Unterrichtung des Verbrauchers stattzufinden: Die Unterrichtung betrifft in einer ersten Stufe – vor Abgabe der Vertragserklärung seitens des Kunden – die Informationen, die in der Rechtsordnung gem. § 312d Abs. 1 BGB i.V.m. Art. 246a §§ 1–3 EGBGB vorgesehen sind (Art. 246a § 4 Abs. 1 EGBGB). Hierbei handelt es sich um vorvertragliche Informationspflichten (s. Rz. 105 ff.). Des Weiteren ist der Unternehmer in einer zweiten Stufe verpflichtet, innerhalb einer angemessenen Frist nach Vertragsschluss, spätestens jedoch bei der Lieferung der Ware oder bevor mit der Ausführung der Dienstleistung begonnen wird, dem Verbraucher auf einem dauerhaften Datenträger eine Bestätigung des Vertrags, in der der Vertragsinhalt wiedergegeben ist, zur Verfügung zu stellen (§ 312f Abs. 2 Satz 1 BGB). In § 312f Abs. 3 BGB wird eine Sonderregelung für Verträge über die Lieferung von nicht auf einem körperlichen Datenträger befindlichen digitalen Inhalten getroffen. Mit § 312f Abs. 2 und 3 BGB werden vertragliche Dokumentationspflichten begründet (s. Rz. 192 ff.). Vom Anwendungsbereich des § 312f Abs. 2 und 3 BGB sind gem. § 312f Abs. 4 BGB Fern- 104 absatzverträge über Finanzdienstleistungen ausgenommen. Bei solchen Verträgen muss der Verbraucher im Grundsatz bereits vorvertraglich sämtliche vertragsrelevanten Informationen zur Verfügung gestellt bekommen (§ 312d Abs. 2 i.V.m. Art. 246b § 1 Abs. 1, § 2 Abs. 1 Satz 1 EGBGB).210 Eine Ausnahme bildet Art. 246b § 2 Abs. 1 Satz 2 EGBGB, der eine vertragliche Informationspflicht begründet („unverzüglich nach Abschluss des Fernabsatzvertrags“). Art. 246b § 2 Abs. 2 EGBGB sieht wiederum einen vertraglichen Anspruch des Verbrauchers auf Dokumentation vor („während der Laufzeit des Vertrags … jederzeit …“). 2.2 Vorvertragliche Informationspflichten § 312d Abs. 1 BGB begründet die Pflicht des Unternehmers, bei einem Fernabsatzvertrag, der keine Finanzdienstleistung zum Gegenstand hat, den Verbraucher nach Maßgabe von Art. 246a EGBGB zu informieren. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a EGBGB basieren auf Art. 6, Art. 8 und Art. 11 Abs. 1 RL 2011/83/EU. Art. 246a § 1 EGBGB enthält die grundlegenden Informationspflichten. In Art. 246a § 3 EGBGB werden erleichterte Informationspflichten im Falle einer begrenzten Darstellungsmöglichkeit geregelt.211 Art. 246a § 4 EGBGB legt die formalen Anforderungen an die Erfüllung der Informationspflichten fest. Art. 246a § 2 EGBGB ist nicht auf Fernabsatzverträge, sondern nur auf außerhalb von Geschäftsräumen geschlossene Verträge anwendbar.212
208 209 210 211 212
S.a. R. Koch, in: Erman, BGB, § 312d Rz. 1. Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 67. Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 67. S.a. Grüneberg, in: Palandt, EG 246a § 1 Rz. 1. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 72; Grüneberg, in: Palandt, EG 246a § 2 Rz. 2.
Kosmides
465
105
B Rz. 106
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
106 Bei Fernabsatzverträgen über Finanzdienstleistungen richtet sich das vorvertragliche Pflichtenprogramm des Unternehmers nach § 312d Abs. 2 BGB i.V.m. Art. 246b EGBGB. Diese Bestimmungen dienen der Umsetzung von Art. 3 und 5 RL 2002/65/EG (Finanzdienstleistungs-Fernabsatz-Richtlinie).213 Art. 246b § 1 Abs. 1 EGBGB enthält den allgemeinen Pflichtenkatalog. In Art. 246b § 1 Abs. 2 EGBGB werden die Pflichtangaben genannt, die bei Vertragsschlüssen im telefonischen Fernabsatz zu machen sind. Durch Art. 246b § 2 EGBGB werden die in Art. 246b § 1 EGBGB aufgeführten Informationspflichten ergänzt. 107 Werden die Voraussetzungen des § 312i Abs. 1 Satz 1 BGB erfüllt, sodass ein Fernabsatzvertrag im elektronischen Geschäftsverkehr in Betracht kommt, sind prinzipiell zusätzlich die für E-Commerce-Verträge geltenden Informationspflichten zu erfüllen (s. Rz. 84).214 Die Informationspflichten beim Verbrauchervertrag gem. § 312a Abs. 2 i.V.m. Art. 246 EGBGB sind – entgegen der weitgefassten Überschrift des Art. 246 EGBGB – auf dem Gebiet des Fernabsatzrechts nicht anwendbar.215 Dies wird in § 312a Abs. 2 Satz 3 BGB explizit vorgesehen. 108 Die Informationspflichten sind nicht nur im klassischen Online-Shop, sondern auch im mobilen Handel zu erfüllen. Der Händler haftet insofern für Fehler in Apps, die zum Zwecke des Einkaufens vom Verbraucher genutzt werden (sog. Shopping-Apps), etwa wenn beim mobilen Abruf des Online-Angebots Pflichtangaben wie das Bestehen des Widerrufsrechts oder die Anbieterkennzeichnung nicht mehr angezeigt werden.216 2.2.1 Fernabsatzverträge (mit Ausnahme von Verträgen über Finanzdienstleistungen) 2.2.1.1 Informationsinhalt (Art. 246a § 1 Abs. 1 EGBGB) 109 Der notwendige Inhalt der Information bei Fernabsatzverträgen, die keine Finanzdienstleistung betreffen, wird in Art. 246a § 1 EGBGB bestimmt. Im allgemeinen Pflichtenkatalog des Art. 246a § 1 Abs. 1 Satz 1 EGBGB finden sich umfangreiche Informationsangaben. Dabei ist zwischen Informationen zu unterscheiden, die bei jedem Vertragsschluss relevant sind (z.B. Art. 246a § 1 Abs. 1 Satz 1 Nr. 1 EGBGB), und Informationen, die nur in bestimmten Vertragskonstellationen zu erteilen sind (z.B. Art. 246a § 1 Abs. 1 Satz 1 Nr. 5 EGBGB).217 Art. 246a § 1 Abs. 1 EGBGB setzt Art. 6 Abs. 1 lit. a–g sowie lit. l–t RL 2011/83/EU um. 110 Die Informationen betreffen – stichpunktartig formuliert – folgende Punkte: – Wesentliche Eigenschaften der Waren oder Dienstleistungen (Art. 246a § 1 Abs. 1 Satz 1 Nr. 1 EGBGB); – Identität,218 Anschrift sowie Kontaktdaten des Unternehmers sowie ggf. Anschrift und Identität des Unternehmers, in dessen Auftrag der Informationspflichtige handelt (Art. 246a § 1 Abs. 1 Satz 1 Nr. 2 EGBGB); bei einem im Rahmen einer öffentlich zugänglichen Versteigerung geschlossenen Vertrag können anstelle dieser Informationen die entsprechenden Angaben des Versteigerers mitgeteilt werden (Art. 246a § 1 Abs. 1 Satz 2 EGBGB); – Geschäftsanschrift des Unternehmers und ggf. die Anschrift des Unternehmers, in dessen Auftrag der Informationspflichtige handelt, falls diese Anschrift von der Anschrift unter 213 Richtlinie 2002/65/EG des Europäischen Parlaments und des Rates v. 23.9.2002 über den Fernabsatz von Finanzdienstleistungen an Verbraucher (ABl. Nr. L 271 v. 9.10.2002, S. 16). 214 Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 69. 215 Ebenso Grüneberg, in: Palandt, Art. 246 EGBGB Rz. 1. 216 OLG Hamm v. 20.5.2010 – 4 U 225/09, CR 2010, 609. 217 Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 72. 218 Bei Identitätsangaben wird die Angabe des vollen Namens verlangt, was nicht erfüllt ist, wenn nur der 1. Buchstabe des Vornamens zusätzlich zum Familiennamen angegeben ist. S. KG v. 13.2.2007 – 5 W 34/07, ITRB 2007, 204 mit Bejahung der Eignung, den Wettbewerb nicht nur unerheblich zu beeinträchtigen. S. aber KG v. 11.4.2008 – 5 W 41/08, CR 2008, 586 – nur Bagatellverstoß.
466
Kosmides
Fernabsatzvertragsrecht
Rz. 111
B
Nummer 2 abweicht (Art. 246a § 1 Abs. 1 Satz 1 Nr. 3 EGBGB); bei einem im Rahmen einer öffentlich zugänglichen Versteigerung geschlossenen Vertrag können anstelle dieser Informationen die entsprechenden Angaben des Versteigerers mitgeteilt werden (Art. 246a § 1 Abs. 1 Satz 2 EGBGB); – Gesamtpreis der Waren oder Dienstleistungen bzw. Art der Preisberechnung sowie ggf. alle zusätzlichen Kosten (Art. 246a § 1 Abs. 1 Satz 1 Nr. 4 EGBGB); – Gesamtpreis bei unbefristeten oder Abonnement-Verträgen (Art. 246a § 1 Abs. 1 Satz 1 Nr. 5 EGBGB); – Kosten für den Einsatz des für den Vertragsabschluss genutzten Fernkommunikationsmittels (Art. 246a § 1 Abs. 1 Satz 1 Nr. 6 EGBGB); – Zahlungs-, Liefer- und Leistungsbedingungen, Termin der Warenlieferung bzw. Dienstleistungserbringung sowie ggf. Beschwerdeverfahren (Art. 246a § 1 Abs. 1 Satz 1 Nr. 7 EGBGB);219 – Bestehen eines gesetzlichen Mängelhaftungsrechts (Art. 246a § 1 Abs. 1 Satz 1 Nr. 8 EGBGB); – ggf. Bestehen und Bedingungen von Kundendienst, Kundendienstleistungen und Garantien (Art. 246a § 1 Abs. 1 Satz 1 Nr. 9 EGBGB); – ggf. einschlägige Verhaltenskodizes (Art. 246a § 1 Abs. 1 Satz 1 Nr. 10 EGBGB); – ggf. Vertragslaufzeit oder Kündigungsbedingungen unbefristeter Verträge bzw. sich automatisch verlängernder Verträge (Art. 246a § 1 Abs. 1 Satz 1 Nr. 11 EGBGB);220 – ggf. Mindestdauer der Vertragsverpflichtungen des Verbrauchers (Art. 246a § 1 Abs. 1 Satz 1 Nr. 12 EGBGB); – ggf. die Pflicht des Verbrauchers, eine finanzielle Sicherheit zu leisten, und deren Bedingungen (Art. 246a § 1 Abs. 1 Satz 1 Nr. 13 EGBGB); – ggf. Funktionsweise digitaler Inhalte (Art. 246a § 1 Abs. 1 Satz 1 Nr. 14 EGBGB);221 – ggf. wesentliche Beschränkungen der Interoperabilität und der Kompatibilität digitaler Inhalte mit Hard- und Software (Art. 246a § 1 Abs. 1 Satz 1 Nr. 15 EGBGB); – ggf. die Möglichkeit der Nutzung eines außergerichtlichen Beschwerde- und Rechtsbehelfsverfahrens vom Verbraucher und dessen Zugangsvoraussetzungen (Art. 246a § 1 Abs. 1 Satz 1 Nr. 16 EGBGB). 2.2.1.2 Widerrufsbelehrung (Art. 246a § 1 Abs. 2 und 3 EGBGB) In Art. 246a § 1 Abs. 2 und 3 EGBGB sind Informationsregeln enthalten, die an das Widerrufsrecht gem. § 312g Abs. 1 BGB anknüpfen. Während Art. 246a § 1 Abs. 2 EGBGB die Informationspflichten des Unternehmers im Falle des Bestehens eines Widerrufsrechts vorschreibt, legt Art. 246a § 1 Abs. 3 EGBGB die Informationspflichten des Unternehmers fest, sofern dem Verbraucher nach § 312g Abs. 2 BGB kein Widerrufsrecht zusteht oder dieses nach § 312g Abs. 2 BGB oder § 356 Abs. 4 und § 356 Abs. 5 BGB vorzeitig erlöschen kann.
219 Nach Schirmbacher/Schmidt, CR 2014, 107 (109) ist die Informationspflicht dahingehend zu verstehen, dass auch zukünftig Angaben zur Lieferzeit in Form einer Frist angegeben werden dürfen. Zur Nennung des Liefertermins Hoeren/Föhlisch, CR 2014, 242 (244). 220 Zu unzureichender Information über das Kündigungsrecht und deren Modalitäten bei Dating-Portalen: LG Berlin v. 30.6.2016 – 52 O 340/15: „Soweit es in der Information im Kasten heißt, „… Kündigungsrecht, wie in AGB geregelt …“ ist dies nicht klar und verständlich, da erst durch Aufrufen der AGB ermittelt werden kann, welche Kündigungsfrist einzuhalten ist“. 221 Zu dieser Informationspflicht Schirmbacher/Schmidt, CR 2014, 107 (109); Schirmbacher/Creutz, ITRB 2014, 44 (46).
Kosmides
467
111
B Rz. 112
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Aus dem klaren Wortlaut des Art. 246a § 1 Abs. 2 Satz 1 EGBGB ergibt sich, dass diese Vorschrift kein Widerrufsrecht begründet, sondern ein solches voraussetzt. 112 Im Rahmen der Widerrufsbelehrung222 gem. Art. 246a § 1 Abs. 2 Satz 1 EGBGB hat der Unternehmer den Verbraucher über folgende Aspekte zu informieren (vgl. Art. 6 Abs. 1 lit. h–j RL 2011/83/EU): – die Bedingungen, die Fristen223 und das Verfahren für die Ausübung des Widerrufsrechts nach § 355 Abs. 1 BGB sowie das Muster-Widerrufsformular in der Anlage 2 zu dieser Vorschrift (Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB); – ggf. den Umstand, dass der Verbraucher im Widerrufsfall die Kosten für die Rücksendung der Waren zu tragen hat, sowie über die Höhe der Kosten für die Rücksendung, wenn die Waren aufgrund ihrer Beschaffenheit nicht auf dem normalen Postweg zurückgesendet werden können (Art. 246a § 1 Abs. 2 Satz 1 Nr. 2 EGBGB); – den Umstand, dass der Verbraucher dem Unternehmer bei einem Vertrag über die Erbringung von Dienstleistungen oder über die nicht in einem bestimmten Volumen oder in einer bestimmten Menge vereinbarte Lieferung von Wasser, Gas, Strom oder die Lieferung von Fernwärme einen angemessenen Betrag nach § 357 Abs. 8 BGB für die vom Unternehmer erbrachte Leistung schuldet, wenn der Verbraucher das Widerrufsrecht ausübt, nachdem er auf Aufforderung des Unternehmers von diesem ausdrücklich den Beginn der Leistung vor Ablauf der Widerrufsfrist verlangt hat (Art. 246a § 1 Abs. 2 Satz 1 Nr. 3 EGBGB). 113 Zu den Pflichtangaben nach Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB gehört nach dem BGH auch die Angabe der Postanschrift des Widerrufsadressaten. Sie ist hiernach „erforderlich, damit der Verbraucher, insb. wenn der am Verbrauchervertrag beteiligte Unternehmer einen Dritten als Empfangsvertreter oder Empfangsboten benannt hat, keinem Zweifel unterliegt, an wen er den Widerruf zu richten hat“.224 Die Angabe der Postanschrift als Empfangsadresse ist für den Widerruf beim geschäftlichen Verkehr im Internet nicht ausreichend, soweit der Anbieter über eine Telefonnummer, Telefaxnummer und E-Mail-Adresse verfügt.225 In diesem Falle sind vielmehr diese Kontaktdaten innerhalb der Widerrufsbelehrung zwingend anzugeben.226 114 Eine Widerrufsbelehrung, die lediglich über die Pflichten des Verbrauchers im Falle des Widerrufs, nicht jedoch über dessen wesentliche Rechte informiert, entspricht nicht den Anforderungen des Gesetzes.227 Die ordnungsgemäße Unterrichtung des Verbrauchers gem. Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB ist nicht zuletzt deshalb für den Unternehmer von Bedeutung, weil nur dadurch die 14-tägige Widerrufsfrist in Gang gesetzt wird, § 356 Abs. 3 Satz 1 BGB (Rz. 312 ff.). 115 Dem EGBGB liegt in der Anlage 1 zu Art. 246a § 1 Abs. 2 Satz 2 EGBGB ein Muster für die Widerrufsbelehrung bei. Nach Art. 246a § 1 Abs. 2 Satz 2 EGBGB genügt der Unternehmer seinen Informationspflichten nach Art. 246a § 1 Abs. 2 Satz 1 EGBGB, wenn er dieses Muster zutreffend ausgefüllt in Textform (§ 126b BGB) übermittelt (vgl. auch Art. 6 Abs. 4 Satz 2 222 S.a. Vander, MMR 2015, 75 zu Problemen der Neuregelung. 223 Die Widerrufsbelehrung ist nach OLG Frankfurt v. 7.5.2015 – 6 W 42/15, CR 2015, 601 f. (Ls.) inhaltlich richtig, wenn in ihr eine längere als die gesetzlich vorgeschriebene Widerrufsfrist enthalten ist. 224 BGH v. 25.1.2012 – VIII ZR 95/11, CR 2012, 268 (Rz. 13). 225 OLG Hamm v. 24.3.2015 – 4 U 30/15, CR 2015, 462; v. 3.3.2015 – I-4 U 171/14; LG Bochum v. 6.8.2014 – 13 O 102/14, K&R 2014, 824 m. Anm. Föhlisch/Stariradeff. 226 OLG Hamm v. 24.3.2015 – 4 U 30/15, CR 2015, 462; v. 3.3.2015 – I-4 U 171/14; LG Bochum v. 6.8.2014 – 13 O 102/14, K&R 2014, 824 m. Anm. Föhlisch/Stariradeff. 227 BGH v. 12.4.2007 – VII ZR 122/06, CR 2007, 529 (Ls.); generell zur Deutlichkeit der Widerrufsbelehrung, BGH v. 31.10.2002 – I ZR 132/00, GRUR 2003, 252.
468
Kosmides
Fernabsatzvertragsrecht
Rz. 119
B
RL 2011/83/EU).228 Die Verwendung des Musters für die Widerrufsbelehrung ist fakultativ.229 Der Unternehmer kann insoweit auf seine Nutzung verzichten und seinen eigenen Text verwenden.230 Die Verwendung des Musters bietet allerdings den Vorteil einer rechtssicheren Unterrichtung des Verbrauchers, was nicht zuletzt vor dem Hintergrund des § 356 Abs. 3 Satz 1 BGB für den Unternehmer besonders wichtig ist (Rz. 312). Dem Verwender des gesetzlichen Musters kommt die Schutzwirkung des Art. 246a § 1 116 Abs. 2 Satz 2 EGBGB zugute. Der Unternehmer darf also auf das gesetzliche Muster vertrauen. Dabei wird aber vorausgesetzt, dass die Belehrung unverändert sowie vollständig und richtig ausgefüllt und verwandt wird.231 Eine reine Formulierungsänderung, mit der nur ein folgenloser Wortaustausch (z.B. „Frist“ statt „Widerrufsfrist“) einhergeht, ist allerdings unschädlich.232 Eine Widerrufsbelehrung, bei der die in der Musterbelehrung vorgeschriebene Überschrift sowie die die Belehrung gliedernden Zwischenüberschriften fehlen, ist hingegen grds. unzureichend.233 Wenn die Widerrufsbelehrung aufgrund von Art. 246a § 1 Abs. 2 Satz 2 EGBG i.V.m. der Anlage 1 nicht den Anforderungen des Gesetzes entspricht (z.B. das Muster für die Widerrufsbelehrung wird nicht zutreffend ausgefüllt oder unter Verstoß gegen das vorgesehene Formerfordernis übermittelt), so kann sich der Unternehmer nicht auf die Schutzwirkung von Art. 246a § 1 Abs. 2 Satz 2 EGBGB berufen.234 Die in Art. 246a § 1 Abs. 2 Satz 1 EGBGB vorgesehene Informationspflicht wird nicht erfüllt. Gleiches gilt für die Verwendung einer rechtlich überholten Musterwiderrufsbelehrung, die den Verbraucher über den Beginn der Widerrufsfrist in die Irre führt.235
117
Der Unternehmer ist nicht verpflichtet, im Einzelfall zu prüfen, ob der Adressat der Wider- 118 rufsbelehrung Verbraucher oder Unternehmer ist, zumal ihm eine solche Prüfung bei Fernabsatzverträgen i.d.R. nicht möglich ist.236 Im Rahmen der Widerrufsbelehrung trifft den Unternehmer ferner keine Verpflichtung, den einzelnen Empfänger darüber aufzuklären, ob er widerrufsberechtigt ist. Er hat demnach nicht dafür einzustehen, dass ein Verbraucher sich irrtümlich nicht für einen Verbraucher und damit für nicht widerrufsberechtigt hält.237 Dem Verbraucher kann ein Widerrufsrecht vom Unternehmer vertraglich gewährt werden (s. Rz. 246 f.). Bei einem vertraglich eingeräumten Widerrufsrecht kann der Unternehmer das gesetzliche Muster für die Widerrufsbelehrung nutzen.238
228 Vgl. auch R. Koch, in: Erman, BGB, § 312d Rz. 26; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 63. 229 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 64. 230 Grüneberg, in: Palandt, Art. 246a EGBGB § 1 Rz. 8; vgl. auch OLG Frankfurt v. 7.7.2014 – 23 U 172/13, CR 2015, 319 zu § 14 Abs. 1 BGB-InfoV. 231 BGH v. 15.8.2012 – VIII ZR 378/11, CR 2012, 726 (Ls.); v. 1.3.2012 – III ZR 83/11, Rz. 17, NZG 2012, 427; v. 28.6.2011 – XI ZR 349/10, Rz. 36, ITRB 2012, 5; v. 1.12.2010 – VIII ZR 82/10, Rz. 15, IPRB 2011, 79; OLG Celle v. 21.5.2015 – 13 U 38/14, CR 2015, 600 f. (Ls.). Zu folgenloser, weil geringer Abweichung s. OLG Hamburg v. 15.4.2014 –13 U 52/14. 232 OLG Frankfurt v. 7.7.2014 – 23 U 172/13, CR 2015, 319 zu § 14 Abs. 1 BGB-InfoV. 233 BGH v. 1.12.2010 – VIII ZR 82/10 – Rz. 16, 18, CR 2011, 257; OLG Celle v. 21.5.2015 – 13 U 38/14, CR 2015, 600 f. (Ls.). 234 Vgl. BGH v. 18.3.2014 – II ZR 109/13, ITRB 2014, 201; v. 1.3.2012 – III ZR 83/11, Rz. 17, NZG 2012, 427; v. 1.12.2010 – VIII ZR 82/10, Rz. 17, IPRB 2011, 79; v. 12.4.2007 – VII ZR 122/06, CR 2007, 529 (Rz. 11); Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 63. 235 LG Cottbus v. 23.8.2011 – 11 O 73/11, WRP 2012, 91. (93). 236 BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 – Überschrift zur Widerrufsbelehrung. 237 BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 – Überschrift zur Widerrufsbelehrung. 238 BGH v. 22.5.2012 – II ZR 88/11, Rz. 11 ff.; v. 22.5.2012 – II ZR 14/10, NJW 2013, 155 (157); OLG Köln v. 22.7.2009 – 27 U 5/09, juris Rz. 25; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 66.
Kosmides
469
119
B Rz. 120
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
120 Die gesetzlichen Regelungen über das Widerrufsrecht (s. Rz. 241 ff.) sowie die Widerrufsbelehrung (Art. 246a § 1 Abs. 2 EGBGB) greifen grds. nicht, sofern dem Verbraucher kein gesetzlich vorgesehenes Widerrufsrecht gem. § 312g Abs. 1 BGB zusteht, sondern ihm ein Widerrufsrecht vom Unternehmer ohne gesetzliche Verpflichtung eingeräumt wird.239 Hier steht es dem Unternehmer im Prinzip frei, sowohl das Widerrufsrecht an sich als auch die Widerrufsbelehrung abweichend von den gesetzlichen Regelungen auszugestalten.240 121 Nach Art. 246a § 1 Abs. 3 EGBGB, der auf Art. 6 Abs. 1 lit. k RL 2011/83/EU zurückgeht, besteht auch in folgenden Fällen eine Informationspflicht des Unternehmers: – Dem Verbraucher steht gem. § 312g Abs. 2 Satz 1 Nr. 1, 2, 5 und 7–13 BGB kein Widerrufsrecht zu. In diesem Fall muss der Verbraucher darüber informiert werden, dass er seine Willenserklärung nicht widerrufen kann (Art. 246a § 1 Abs. 3 Nr. 1 EGBGB);241 – das Widerrufsrecht des Verbrauchers kann gem. § 312g Abs. 2 Satz 1 Nr. 3, 4 und 6 BGB sowie § 356 Abs. 4 und 5 BGB vorzeitig erlöschen. Hier ist der Verbraucher über die Umstände zu unterrichten, unter denen er sein Widerrufsrecht verliert (Art. 246a § 1 Abs. 3 Nr. 2 EGBGB). Hierzu reicht die bloße Mitteilung des Gesetzeswortlauts aus.242 2.2.1.3 Erleichterte Informationspflichten bei begrenzter Darstellungsmöglichkeit (Art. 246a § 3 EGBGB) 122 Art. 246a § 3 EGBGB dient der Umsetzung von Art. 8 Abs. 4 RL 2011/83/EU.243 Damit geht eine explizite Erleichterung der Informationslast aufseiten des Unternehmers gegenüber Art. 246a § 1 EGBGB einher. Es handelt sich um eine Ausnahmeregelung zugunsten des Unternehmers.244 Voraussetzung für den Eintritt der Erleichterung ist, dass das für den Vertragsschluss verwendete Fernkommunikationsmittel (§ 312c Abs. 2 BGB) nur begrenzten Raum oder begrenzte Zeit für die dem Verbraucher zu erteilenden Informationen bietet. Als Beispiele für die vorausgesetzte begrenzte Darstellungsmöglichkeit werden im Erw.grd. 36 Satz 1 RL 2011/83/EU die beschränkte Anzahl der Zeichen auf bestimmten Displays von Mobiltelefonen sowie der Zeitrahmen für Werbespots im Fernsehen genannt.245 Gleiches gilt für Radio-Werbespots.246 123 Der Unternehmer kann sich nicht auf Art. 246a § 3 EGBGB berufen, wenn er den Raum oder die Zeit selbst begrenzt, um die Voraussetzungen dieser Bestimmung herbeizuführen (§ 312k Abs. 1 Satz 2 BGB analog).247 124 Die Ausnahmeregelung in Art. 246a § 3 EGBGB lässt die vertraglichen Dokumentationspflichten gem. § 312 f Abs. 2 und 3 BGB unberührt.248
239 Vgl. BGH v. 22.5.2012 – II ZR 88/11, Rz. 14; v. 22.5.2012 – II ZR 14/10, NJW 2013, 155 (157); a.A. OLG Hamm v. 4.2.2010 – I-27 U 14/09, juris Rz. 37. 240 OLG Nürnberg v. 10.1.2012 – 14 U 1314/11, WM 2012, 650; (651); OLG Hamm v. 10.3.2011 – 27 U 91/10, juris Rz. 14; OLG Köln v. 22.7.2009 – 27 U 5/09, juris Rz. 25. 241 Zur Informationspflicht zum Nichtbestehen eines Widerrufsrechts nach altem Recht BGH v. 9.6.2011 – I ZR 17/10, CR 2012, 110 (Ls. 1) – Computer-Bild. 242 Grüneberg, in: Palandt, Art. 246a § 1 EGBGB Rz. 10. 243 Buchmann/Hoffmann, K&R 2016, 462 (463). 244 Schirmbacher/Engelbrecht, ITRB 2014, 89 (91). 245 Vgl. auch Grüneberg, in: Palandt, Art. 246a § 3 EGBGB Rz. 1; Schirmbacher/Engelbrecht, ITRB 2014, 89 (90). 246 Schirmbacher/Engelbrecht, ITRB 2014, 89 (90); Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 79. 247 Ebenso Grüneberg, in: Palandt, Art. 246a § 3 EGBGB Rz. 1; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 80. 248 Schirmbacher/Engelbrecht, ITRB 2014, 89 (91).
470
Kosmides
Fernabsatzvertragsrecht
Rz. 129
B
Im Gesetz wird zwischen Informationen unterschieden, die aufgrund deren Bedeutung mit- 125 tels des für den Abschluss des Fernabsatzvertrags verwendeten Fernkommunikationsmittels zur Verfügung gestellt werden müssen (Art. 246a § 3 Satz 1 EGBGB),249 und sonstigen Informationen (Art. 246a § 3 Satz 2 EGBGB). Die Erleichterung bezieht sich auf die letztgenannten Informationen. Die Kerninformationen gem. Art. 246a § 3 Satz 1 EGBGB, die der Unternehmer mittels des Fernkommunikationsmittels bereitzustellen hat, betreffen:
126
– die wesentlichen Eigenschaften der Waren oder Dienstleistungen (Art. 246a § 3 Satz 1 Nr. 1 EGBGB; die Vorschrift entspricht Art. 246a § 1 Abs. 1 Satz 1 Nr. 1 EGBGB); – die Identität des Unternehmers (Art. 246a § 3 Satz 1 Nr. 2 EGBGB; die Vorschrift entspricht im Wesentlichen Art. 246a § 1 Abs. 1 Satz 1 Nr. 2 EGBGB); – den Gesamtpreis oder in den Fällen, in denen der Preis aufgrund der Beschaffenheit der Waren oder Dienstleistungen vernünftigerweise nicht im Voraus berechnet werden kann, die Art der Preisberechnung (Art. 246a § 3 Satz 1 Nr. 3 EGBGB; die Vorschrift entspricht im Wesentlichen Art. 246a § 1 Abs. 1 Satz 1 Nr. 4 EGBGB) – ggf. das Bestehen eines Widerrufsrechts (Art. 246a § 3 Satz 1 Nr. 4 EGBGB; vgl. Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB) – ggf. die Vertragslaufzeit und die Bedingungen für die Kündigung eines Dauerschuldverhältnisses (Art. 246a § 3 Satz 1 Nr. 5 EGBGB; die Vorschrift entspricht im Wesentlichen Art. 246a § 1 Abs. 1 Satz 1 Nr. 11 EGBGB). Was die Informationsangaben nach Art. 246a § 1 EGBGB angeht, die nicht von Art. 246a § 3 127 Satz 1 Nr. 1–5 EGBGB erfasst sind, so wird der Unternehmer von seiner entsprechenden Informationspflicht nicht befreit.250 Dafür spricht Art. 246a § 3 Satz 2 EGBGB. Danach hat der Unternehmer die weiteren Informationen nach Art. 246a § 1 EGBGB in geeigneter Weise unter Beachtung von Art. 246a § 4 Abs. 3 EGBGB zugänglich zu machen (s. Rz. 154 ff.). 2.2.1.4 Formale Anforderungen an die Informationserteilung Um die Effizienz des dem Fernabsatzrecht zugrunde liegenden Informationsmodells zu gewährleisten, legt das Gesetz verschiedene formale Voraussetzungen für die Pflichterfüllung fest. Sie betreffen im Einzelnen:
128
– Zeitpunkt, – inhaltliche Art und Weise sowie – Form der Informationsverschaffung. Eine ordnungsgemäße Erfüllung der Informationspflichten setzt voraus, dass der Unter- 129 nehmer die gesetzlich angeordneten formalen Erfordernisse an die Informationsversorgung beachtet. Dadurch soll sichergestellt werden, dass der Verbraucher von der Information Kenntnis nehmen und diese auch i.R.d. Entscheidungsprozesses verwerten kann. Dieses Regelungsziel ist der entscheidende Maßstab dafür, ob der Unternehmer seine Informationspflichten ordnungsgemäß erfüllt. Ob der Verbraucher die Informationen auch tatsächlich vollständig zur Kenntnis nimmt, ist nicht zuletzt in Anbetracht des gesetzlich vorgeschriebenen Informationsumfangs nicht ausschlaggebend.251
249 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 81. 250 Vgl. auch Buchmann/Hoffmann, K&R 2016, 462 (463). 251 Ähnlich Grüneberg, in: Palandt, Art. 246 EGBGB Rz. 2; vgl. auch BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 – Überschrift zur Widerrufsbelehrung.
Kosmides
471
B Rz. 130
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
130 Regelungstechnisch hat sich der Gesetzgeber dafür entschieden, die allgemeinen formalen Anforderungen an die Erfüllung der Informationspflicht in Art. 246a § 4 EGBGB zu regeln. Die entsprechenden fernabsatzrechtlichen Richtlinienbestimmungen sind in Art. 8 Abs. 1 und Art. 8 Abs. 4 RL 2011/83/EU niedergelegt. Weitere Modalitäten in Bezug auf einzelne Rechtspflichten finden sich verstreut in den jeweiligen Einzelbestimmungen in Art. 246a §§ 1 und 3 EGBGB. 2.2.1.4.1 Zeitpunkt 131 Von zentraler Bedeutung für die Gewährleistung der Leistungsfähigkeit eines auf Informationsregeln aufbauenden Regelungssystems ist die Sicherstellung einer rechtzeitigen Informationserteilung. Der Verbraucher kann die bereitgestellten Informationen zur Kenntnis nehmen und eine informierte Entscheidung nur dann treffen, wenn die Information in einem ausreichenden zeitlichen Abstand vor dem Zeitpunkt der Entscheidungsfindung bereitgestellt wird.252 Dementsprechend bestimmt Art. 246a § 4 Abs. 1 EGBGB, dass der Unternehmer dem Verbraucher die Informationen gem. Art. 246a §§ 1–3 EGBGB vor Abgabe von dessen Vertragserklärung zur Verfügung zu stellen hat.253 132 Die Vorschrift stellt auf die auf den Vertragsschluss gerichtete Willenserklärung des Verbrauchers, nicht den Abschluss des Fernabsatzvertrags ab.254 Dies gilt deshalb, weil der Zeitpunkt der Abgabe der Vertragserklärung des Verbrauchers dem Schutzzweck der Informationspflicht, dem Verbraucher für seine Entscheidung über den Vertragsschluss sämtliche wesentlichen Informationen zur Verfügung zu stellen, am ehesten genügt.255 Der Verbraucher muss informiert sein, bevor er sein bindendes Angebot oder die Annahme erklärt (vgl. auch Erw.grd. 34 Satz 1 RL 2011/83/EU).256 Für die ordnungsgemäße Erfüllung der Informationspflicht genügt es nach dem eindeutigen Wortlaut des Art. 246a § 4 Abs. 1 EGBGB nicht, wenn die Information nach Abgabe der Willenserklärung des Verbrauchers, aber vor der Annahmeerklärung des Unternehmers, also vor Vertragsschluss gegeben wird.257 Die Information erfolgt indessen rechtzeitig, wenn sie nach Abgabe der Angebotserklärung des Unternehmers, jedoch vor der Annahmeerklärung des Verbrauchers zur Verfügung gestellt wird. Aus dem Gesagten folgt, dass die fraglichen Informationspflichten vorvertraglichen Charakter besitzen. 133 Für die Beurteilung der Rechtzeitigkeit der Informationserteilung kommt es nicht darauf an, ob eine invitatio ad offerendum oder ein Angebot des Unternehmers in Betracht kommt. Allein die Kontaktaufnahme durch den Unternehmer oder den Verbraucher kann die vorvertragliche Informationspflicht gem. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a EGBGB auslösen.258 Gleiches gilt für die invitatio ad offerendum des Unternehmers. Denn, gibt der Verbraucher unmittelbar im Anschluss an die Kontaktaufnahme oder aufgrund einer invitatio ad offerendum ein Angebot ab, führt dies für ihn bereits zu einer vertraglichen Bindung.259 Eine rechtzeitige Informationserteilung gem. Art. 246a § 4 Abs. 1 EGBGB scheidet aus. Diesem Umstand ist in der Praxis durch eine frühestmögliche Bereitstellung der Information Rechnung zu tragen.260
252 Vgl. auch Fleischer, ZEuP 2000, 772 (789); R. Koch, in: Erman, BGB, § 312a Rz. 21; Druey, Information als Gegenstand des Rechts, S. 246. 253 S.a. Schirmbacher/Schmidt, CR 2014, 107 (111). 254 Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 79. 255 Vgl. BT-Drs. 15/2946, S. 20. 256 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 79; s.a. R. Koch, in: Erman, BGB, § 312a Rz. 21. 257 R. Koch, in: Erman, BGB, § 312a Rz. 21. 258 Pauly, MMR 2005, 811 (813); Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 79. 259 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 79. 260 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 79.
472
Kosmides
Fernabsatzvertragsrecht
Rz. 137
B
Anders als in Art. 246 § 1 Abs. 1 EGBGB a.F. lautet die Formulierung des Art. 246a § 4 Abs. 1 134 EGBGB nunmehr nicht „rechtzeitig vor Abgabe“, sondern lediglich „vor Abgabe“. Im Zuge der Gesetzesänderung wurde nämlich die Bezugnahme auf das Merkmal der Rechtzeitigkeit ersatzlos gestrichen.261 Das ist im Zshg. mit Fernabsatzverträgen über Finanzdienstleistungen nicht der Fall. Art. 246b § 1 Abs. 1 EGBGB setzt – genau wie Art. 246 § 1 Abs. 2 EGBGB a.F. – voraus, dass die Information „rechtzeitig vor Abgabe“ der Vertragserklärung des Verbrauchers erfolgt (s. Rz. 170 ff.). Vor diesem Hintergrund ist anzunehmen, dass es i.R.v. Art. 246a § 4 Abs. 1 EGBGB auf die Rechtzeitigkeit der Informationserteilung nicht ankommt.262 Vielmehr genügt grds. jede Information, die vor Abgabe der Vertragserklärung des Verbrauchers erfolgt, auch eine erst unmittelbar vor deren Abgabe erfolgende Information, den gesetzlichen Anforderungen an eine ordnungsgemäße Pflichterfüllung. Es reicht mit anderen Worten einfach aus, wenn die Bereitstellung der Information nicht mit der Abgabe der Vertragserklärung des Verbrauchers zusammenfällt oder nach deren Abgabe stattfindet. 2.2.1.4.2 Inhaltliche Art und Weise Die dem Verbraucher zur Verfügung gestellte Information muss zuvörderst vollständig und 135 richtig sein. Man kann in dieser Hinsicht generell von einem Richtigkeitsgebot sprechen, zumal die Vollständigkeit der Information als Teilaspekt deren Richtigkeit zu verstehen ist. Dieses Richtigkeitsgebot wird zwar nicht ausdrücklich im Gesetz geregelt. Es ergibt sich allerdings aus Sinn und Zweck der gesetzlich vorgeschriebenen Informationspflichten. Nur eine richtige Information kann die Basis für eine informierte rechtsgeschäftliche Entscheidung des Verbrauchers bilden. Das Richtigkeitsgebot kann auch vom gesetzlich verankerten Transparenzgebot abgeleitet werden (s. Rz. 137). Insb. spricht dafür ein Argument a minori ad maius: Ist eine (nur) unklare oder unverständliche (aber doch richtige) Informationserteilung verboten, so gilt erst recht, dass die Angabe zutreffend sein muss. Unvollständig ist die Information dann, wenn sie – gemessen an den gesetzlichen Vorgaben 136 – nicht sämtliche Pflichtangaben erfasst, also nicht die nötige Breite oder Tiefenschärfe aufweist.263 Als unrichtig ist eine Information einzustufen, wenn sie der Wahrheit nicht entspricht,264 wobei nicht existierende Umstände als existierend oder existierende als nicht existierend präsentiert werden.265 Ferner gelten die ungenaue sowie die nicht aktuelle Information gleichfalls als unrichtig. Ergänzt wird das Richtigkeitsgebot durch ein Täuschungsverbot, das sich gleichfalls aus dem Transparenzgebot ergibt. Aus dem Täuschungsverbot folgt, dass jede irreführende (unzutreffende oder missverständliche) Darstellung oder Verschleierung der Rechtslage unzulässig ist.266 Die Art und Weise der Information für einen Fernabsatzvertrag wird in erster Linie in 137 Art. 246a § 4 Abs. 1 EGBGB gesetzlich konkretisiert. Die Vorschrift begründet für das Gebiet der vorvertraglichen Informationsverschaffung ein Transparenzgebot.267 Vergleichbare Transparenzgebote sind in § 307 Abs. 1 Satz 2 BGB und der Preisangabenverordnung (z.B. § 1 Abs. 6 PAngV) niedergelegt.268 Die Erfüllung der Anforderungen der Preisangabenverordnung erzeugt ständigen Streit, z.B. bei Preisinformation durch Link269 oder auf unterschied261 262 263 264 265 266
S.a. Schirmbacher/Schmidt, CR 2014, 107 (111). A.A. R. Koch, in: Erman, BGB, § 312a Rz. 21. Ähnlich Druey, Information als Gegenstand des Rechts, S. 244. Vgl. auch Grohmann, Das Informationsmodell im europäischen Gesellschaftsrecht, S. 118. Zum Ganzen Druey, Information als Gegenstand des Rechts, S. 243 f. Vgl. für die Transparenzkontrolle gem. § 307 Abs. 1 Satz 2 BGB (bzw. § 9 Abs. 1 AGBG) BGH v. 5.10.2005 – VIII ZR 382/04, CR 2006, 120 (122); v. 27.9.2000 – VIII ZR 155/99, BGHZ 145, 203 (220 f.); v. 23.3.1988 – VIII ZR 58/87, BGHZ 104, 82 (92 f.) jeweils m.w.N. 267 S.a. Schirmbacher/Schmidt, CR 2014, 107 (111). 268 S.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 87. 269 OLG Köln v. 7.5.2004 – 6 U 4/04, CR 2004, 861 bei Mobilfunkvertrag; s. v.a. BGH v. 4.10.2007 – I ZR 22/05, CR 2008, 446.
Kosmides
473
B Rz. 138
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
lichen Internetseiten. Es genügt aber, „wenn die fraglichen Informationen alsbald sowie leicht erkennbar und gut wahrnehmbar auf einer gesonderten Seite gegeben würden, die der Internetnutzer bei näherer Befassung mit dem Angebot noch vor Einleitung des Bestellvorgangs aufrufen müsse“.270 138 Nach Art. 246a § 4 Abs. 1 EGBGB müssen die Informationen „in klarer und verständlicher Weise“ erteilt werden.271 Durch das Transparenzgebot werden den Gestaltungsmöglichkeiten des Unternehmers bei der Informationserteilung gewisse Grenzen gesetzt.272 Dabei hat der Unternehmer darauf zu achten, dass der Verbraucher infolge der Informationsfassung nicht von der Geltendmachung bestehender Rechte (insb. des Widerrufsrechts) oder der Wahrnehmung seiner rechtsgeschäftlichen Interessen abgehalten wird.273 Vielmehr hat er für genügende Transparenz der Information zu sorgen und so die Bedingungen freier Willensbildung und -entschließung des Verbrauchers zu gewährleisten. 139 Der Begriff der Klarheit bezieht sich zum einen auf die äußere Darreichungsform. Mit ihm wird die Anforderung beschrieben, dass eine Angabe übersichtlich, gut strukturiert und lesbar sowie durchschaubar sein muss,274 sodass sie hinreichend gut wahrgenommen werden kann. In diesem Zshg. sind v.a. die grafische oder sonst optische Gestaltung (z.B. Schriftgröße, Schriftart, Zeilenabstand, Kontrast) sowie die Stelle, an der die Angabe Erwähnung findet, von Bedeutung.275 Empfehlenswert sind bei elektronischen Medien besondere Hervorhebungstechniken (z.B. farbige Hinterlegungen). Zu kleine Angaben sind nicht ausreichend.276 140 Zur Klarheit der Information gehört zum anderen, dass die Angabe den eigentlichen Informationsinhalt deutlich und vollständig zum Ausdruck bringt und es somit dem Adressaten ermöglicht, die Rechts- und Sachlage richtig zu beurteilen.277 Zum Begriffskern der Klarheit gehört die Bestimmtheit: Die Information muss hinreichend präzis sein.278 Der Verbraucher muss dabei den Informationsinhalt mit größtmöglicher Bestimmtheit entnehmen können. Dies ist der Fall, wenn die Information keine ungerechtfertigten Beurteilungsspielräume bietet, die Freiräume für Mehrdeutigkeiten und unterschiedliche Interpretationen zulassen.279 Ungenaue Begriffe und Ausdrücke sind möglichst zu vermeiden. Typische Hinweise, 270 BGH v. 4.10.2007 – I ZR 143/04, CR 2008, 108 m. Anm. Kaufmann – Versandkosten – unter Aufhebung OLG Hamburg v. 12.8.2004 – 5 U 187/03, CR 2005, 129; LG Hamburg v. 4.11.2003 – 312 O 484/03. S.a. a.M. OLG Hamburg v. 3.2.2005 – 5 U 128/04, CR 2005, 366 (Sternchen-Hinweis wird nicht auf derselben Bildschirmseite aufgelöst). 271 BGH v. 9.6.2011 – I ZR 17/10, CR 2012, 110 (111) – Computer-Bild; v. 5.10.2005 – VIII ZR 382/04, CR 2006, 120 (121); KG v. 27.6.2014 – 5 U 162/12, Rz. 33 ITRB 2014, 228; LG Leipzig v. 26.7.2013 – 8 O 3495/12, CR 2014, 344 Rz. 21. 272 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 83. 273 Vgl. für das Gebiet der AGB-Kontrolle BGH v. 5.10.2005 – VIII ZR 382/04, CR 2006, 120 (122); v. 27.9.2000 – VIII ZR 155/99, BGHZ 145, 203 (220 f.); v. 23.3.1988 – VIII ZR 58/87, BGHZ 104, 82 (92 f.). 274 Vgl. aus europäischer Sicht von Bar/Clive (eds.), DCFR, Vol. I, S. 228 (Notes: I. 1). 275 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 83; s.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 88 f.; OLG Düsseldorf v. 28.5.2014 – I-15 U 54/14, GRUR-RR 2014, 458 (459); OLG Köln v. 15.7.2011 – I-6 U 59/11, GRUR-RR 2012, 32; OLG Hamburg v. 27.3.2003 – 5 U 113/02, CR 2003, 927; LG Berlin v. 22.2.2011 – 15 O 276/10, juris Rz. 45; LG Leipzig v. 26.7.2013 – 8 O 3495/12, CR 2014, 344 Rz. 21; AG Bonn v. 19.8.2008 – 15 C 127/08, CR 2008, 740 (741). 276 OLG Hamburg v. 27.3.2003 – 5 U 113/02, CR 2003, 927 – CINEMA zu klein, Störer. 277 Vgl. für das Transparenzgebot gem. § 307 Abs. 1 Satz 2 BGB, BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506 (509): Zum Transparenzgebot gehöre auch, dass „Allgemeine Geschäftsbedingungen wirtschaftliche Nachteile und Belastungen soweit erkennen lassen, wie dies nach den Umständen gefordert werden kann“. 278 Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 83. 279 Vgl. BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506 (509); v. 26.10.2005 – VIII ZR 48/05, BGHZ 165, 12 (21 f.); v. 20.7.2005 – VIII ZR 121/04, BGHZ 164, 11 (16); vgl. ferner Wurmnest, in: MüKoBGB,
474
Kosmides
Fernabsatzvertragsrecht
Rz. 144
B
wie der Nutzer (leicht) an die Information gelangt, sind erlaubt bzw. ausreichend, ungewöhnliche reichen nicht, etwa nicht „Backstage“.280 Gegen das Klarheitsgebot verstößt generell eine Informationserteilung, welche mitzuteilen- 141 de Angaben verdunkelt oder versteckt. So dürfen die Pflichtangaben nicht an versteckter Stelle erfolgen, sondern müssen im Zshg. mit dem Bestellvorgang gemacht werden.281 Die Überflutung des Verbrauchers mit unwesentlichen Informationen (Informationsüberforderung)282, welche den Adressaten verwirren und damit die Informationsverwertung erschweren kann, ist gleichfalls unter das Verdikt der Unklarheit unterzuordnen. Die erteilte Information muss nicht nur klar, sondern auch verständlich sein. Das Verständ- 142 lichkeitsgebot begründet die Pflicht des Unternehmers, die Verwendung einer komplizierten Sprache, insb. einer dem Verbraucher unbekannten oder ungewohnten Fachsprache nach Möglichkeit zu vermeiden und ihn stattdessen in üblicher Ausdrucksweise zu unterrichten, um auf diese Weise sicherzustellen, dass der Letztere die Information begreifen kann.283 Aus dem Transparenzgebot folgen spezielle Anforderungen an die Erfüllung der Pflicht zur 143 Widerrufsbelehrung. Da die Widerrufsbelehrung gerade das Ziel verfolgt, das Widerrufsrecht zu verdeutlichen und dadurch dessen Ausübung zu ermöglichen, ist keine ordnungsgemäße Widerrufsbelehrung anzunehmen, wenn (zwei) unterschiedliche Widerrufsbelehrungen verwendet werden.284 Denn der Verbraucher wird dadurch irritiert und weiß nicht, welche der Belehrungen gelten soll und damit welche einzelnen Bedingungen für die Ausübung des Widerrufsrechts gelten und welche Folgen die Ausübung dieses Rechts hat.285 In Anbetracht des Regelungsziels der Widerrufsbelehrung darf diese keine anderen Erklärun- 144 gen enthalten, die die Erreichung dieses Regelungsziels beeinträchtigen können.286 Ergänzungen der Muster-Widerrufsbelehrung sind insofern nur unter strengen Voraussetzungen gestattet. Zusätzliche Erklärungen, die einen eigenen Inhalt aufweisen und weder für das Verständnis noch für die Wirksamkeit der Widerrufsbelehrung von Bedeutung sind und deshalb von ihr ablenken, sind nach der BGH-Rspr. grds. unzulässig.287 Etwas anderes gilt jedoch, wenn durch die ergänzende Erklärung der Inhalt der Widerrufsbelehrung verdeutlicht
280 281 282
283 284 285 286 287
§ 307 Rz. 59, der hinsichtlich des Bestimmtheitsgebots im Rahmen der Transparenzkontrolle gemäß § 307 Abs. 1 Satz 2 BGB hervorhebt, dass es intransparent sei, wenn die Klausel dem Verwender ein mehr oder weniger schrankenloses Ermessen ausbedinge und den Kunden dadurch in einen Zustand der Unsicherheit versetze, den dieser nicht – auch nicht durch Einholung fachmännischen Rates – beheben könne. OLG Hamburg v. 20.11.2002 – 5 W 80/02, CR 2003, 283. OLG Hamburg v. 27.3.2003 – 5 U 113/02, CR 2003, 927; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 83. Zum Phänomen bzw. Problem der Informationsüberforderung („information overload“) vgl. Bechtold, Die Grenzen zwingenden Vertragsrechts, S. 59 f.; Bergkamp, European Community Law for the New Economy, S. 61; Ramsay, in: Howells/Janssen/Schulze (Hrsg.), Information Rights and Obligations, S. 47 (52 f.); Martinek, in: Grundmann (Hrsg.), Systembildung und Systemlücken in Kerngebieten des Europäischen Privatrechts, S. 511 (524 f.); Rehberg, in: Eger/Schäfer (Hrsg.), Ökonomische Analyse der europäischen Zivilrechtsentwicklung, S. 284 (320); Sefton-Green, in: Sefton-Green (ed.), Mistake, Fraud and Duties to Inform in European Contract Law, S. 369 (396); Eidenmüller, JZ 2005, 216 (218, 221); Martinek, NJW 1997, 1393 (1396): „Informationsbombardemend“. BT-Drs. 17/12637, S. 75; vgl. aus europäischer Sicht von Bar/Clive (eds.), DCFR, Vol. I, S. 227 f. (Comments: B; Notes: I. 1). OLG Hamm v. 24.5.2012 – I-4 U 48/12, MMR 2012, 594 (595). OLG Hamm v. 24.5.2012 – I-4 U 48/12, MMR 2012, 594 (595); Härting, Internetrecht, Rz. 991. Vgl. auch BGH v. 26.5.2009 – XI ZR 242/08, Rz. 15; v. 13.1.2009 – XI ZR 118/08, Rz. 14. BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 – Überschrift zur Widerrufsbelehrung; v. 26.5.2009 – XI ZR 242/08, Rz. 15; v. 13.1.2009 – XI ZR 118/08, Rz. 14.
Kosmides
475
B Rz. 145
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
wird.288 Eine Widerrufsbelehrung, die gemessen an den gesetzlichen Vorgaben einen unrichtigen Inhalt aufweist, ist rechtswidrig.289 145 Der einleitende Satz „Verbraucher haben das folgende Widerrufsrecht“ vor der Widerrufsbelehrung verstößt nicht gegen das Transparenzgebot i.S.v. Art. 246a § 4 Abs. 1 EGBGB.290 146 Eine Widerrufsbelehrung genügt hingegen nicht den Anforderungen an eine klare und verständliche Gestaltung, wenn sie in Bezug auf den Beginn der Widerrufsfrist das Wort „frühestens“ verwendet (z.B. „frühestens mit Vertragsschluss“). Denn die Nutzung dieses Worts „ermöglicht es dem Verbraucher nicht, den Fristbeginn ohne weiteres zu erkennen. Er vermag lediglich zu entnehmen, dass die Widerrufsfrist „jetzt oder später“ beginnen, der Beginn des Fristablaufs also gegebenenfalls noch von weiteren Voraussetzungen abhängen soll. Der Verbraucher wird jedoch im Unklaren gelassen, welche – etwaigen – weiteren Umstände dies sind.“291
147 Die Einbettung der zu erteilenden Information in AGB ist grds. unproblematisch,292 sofern freilich neben dem allgemeinen Transparenzgebot in § 307 Abs. 1 Satz 2 BGB und den weiteren AGB-rechtlichen Zulässigkeitsvoraussetzungen das in Art. 246a § 4 Abs. 1 EGBGB vorgeschriebene Transparenzgebot sowie die sonstigen formalen Anforderungen an die Pflichterfüllung beachtet werden. Das fernabsatzrechtliche Transparenzgebot kann im Einzelfall über das AGB-rechtliche Transparenzgebot hinausgehen.293 Für die AGB-rechtlich erforderliche Möglichkeit der Kenntnisverschaffung reicht i.d.R., wenn die AGB über einen auf der Bestellseite gut sichtbaren Link aufgerufen und ausgedruckt werden können.294 148 Problematisch ist hingegen unter Transparenzgesichtspunkten die Angabe von Informationen uno actu mit anderen AGB. Damit ist die Gefahr des Überlesens und der Verschleierung verbunden.295 149 Bei der Bewertung der Transparenz ist eine generalisierend-überindividuelle Betrachtungsweise anzusetzen. Maßstab hierfür sind die Erwartungen und Erkenntnismöglichkeiten eines durchschnittlich aufmerksamen und verständigen Verbrauchers im Zeitpunkt der Pflichterfüllung.296 Diese Betrachtungsweise soll durch eine Berücksichtigung der Umstände des Einzelfalls ergänzt werden.297 Im Erw.grd. 34 Satz 2 RL 2011/83/EU wird ausdrücklich darauf hingewiesen, dass der Unternehmer den besonderen Bedürfnissen von Verbrauchern Rechnung tragen soll, sofern sie aufgrund ihrer geistigen oder körperlichen Behinderung, ihrer psychischen Labilität, ihres Alters oder ihrer Leichtgläubigkeit besonders schutzbedürftig sind und dies für den Unternehmer vernünftigerweise erkennbar ist. 150 Neben dem in Art. 246a § 4 Abs. 1 EGBGB vorgesehenen Transparenzgebot, das für alle Informationspflichten gem. Art. 246a §§ 1–3 EGBGB gilt, werden besondere Anforderungen an 288 BGH v. 26.5.2009 – XI ZR 242/08, Rz. 15; v. 13.1.2009 – XI ZR 118/08, Rz. 14; v. 24.4.2007 – XI ZR 191/06, Rz. 12 f. 289 BGH v. 26.5.2009 – XI ZR 242/08, Rz. 15; v. 13.1.2009 – XI ZR 118/08, Rz. 14. 290 BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 (Ls. 1) – Überschrift zur Widerrufsbelehrung; OLG Hamburg v. 3.6.2010 – 3 U 125/09, MMR 2011, 100; s.a. Junker, in: Herberger/Martinek/Rüßmann/ Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 65. 291 BGH v. 1.3.2012 – III ZR 83/11, Rz. 15, NZG 2012, 427; v. 28.6.2011 – XI ZR 349/10 – Rz. 34, ITRB 2012, 5; v. 2.2.2011 – VIII ZR 103/10, Rz. 14; v. 1.12.2010 – VIII ZR 82/10 – Rz. 12, IPRB 2011, 79; v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (805 f.) – Holzhocker; v. 9.12.2009 – VIII ZR 219/08, CR 2010, 388 (389). 292 S.a. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 107. 293 Ebenso nach altem Recht BT-Drs. 14/2658, S. 38; offen gelassen von BGH v. 5.10.2005 – VIII ZR 382/04, CR 2006, 120 (121). 294 BGH v. 14.6.2006 – I ZR 75/03, CR 2006, 773. 295 Vgl. auch R. Koch, in: Erman, BGB, § 312a Rz. 20. 296 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 83; vgl. für das Transparenzgebot gem. § 307 Abs. 1 Satz 2 BGB BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506 (509). 297 So i.E. BT-Drs. 17/12637, S. 75.
476
Kosmides
Fernabsatzvertragsrecht
Rz. 156
B
die Pflichterfüllung in einzelnen Informationsregeln geregelt. Z.B. bestimmt Art. 246a § 1 Abs. 1 Satz 1 Nr. 1 EGBGB dass die wesentlichen Eigenschaften der Waren oder Dienstleistungen in dem für das Kommunikationsmittel und für die Waren und Dienstleistungen angemessenen Umfang bereitzustellen sind. Mit diesem Wesentlichkeits- und Angemessenheitsgebot soll einerseits der Verbraucher vor einer Informationsüberlastung geschützt werden. Andererseits werden dadurch aber auch die Interessen des Unternehmers berücksichtigt: Die Anforderungen an die Erfüllung der Informationspflicht sollen nicht überspannt und der Unternehmer überfordert werden.298 Ein ähnliches Schutzanliegen liegt dem Wesentlichkeitsgebot in Art. 246a § 1 Abs. 1 Satz 1 151 Nr. 15 EGBGB zugrunde, wonach die Beschränkungen der Interoperabilität und der Kompatibilität digitaler Inhalte mit Hard- und Software nur zur Verfügung zu stellen sind, soweit sie wesentlich sind. In Art. 246a § 1 Abs. 2 Satz 2 EGBGB wird eine Selbstverständlichkeit geregelt: Der Unternehmer hat hiernach das gesetzliche Muster für die Widerrufsbelehrung zutreffend auszufüllen.
152
Art. 246a § 4 Abs. 3 Satz 2 EGBGB sieht in Bezug auf eine Zurverfügungstellung der Infor- 153 mationen auf einem dauerhaften Datenträger vor, dass sie lesbar sein müssen. Der „dauerhafte Datenträger“ wird in § 126b Satz 2 BGB gesetzlich definiert (s. Rz. 608). 2.2.1.4.3 Form Die allgemeinen Erfordernisse an die Form der Informationserteilung bei Fernabsatzverträgen aus Art. 8 RL 2011/83/EU setzt Art. 246a § 4 Abs. 1 und 3 EGBGB um.
154
In Bezug auf die Erfüllung der vorvertraglichen Informationspflichten legt das Gesetz den 155 Unternehmer generell weder auf die Verwendung eines bestimmten Mediums noch auf die Beachtung spezifischer Formvorgaben fest.299 Die Information hat allein „in einer den benutzten Fernkommunikationsmitteln angepassten Weise“ zu erfolgen (Art. 246a § 4 Abs. 3 Satz 1 EGBGB). Nach altem Recht musste die Information „in einer dem eingesetzten Fernkommunikationsmittel entsprechenden Weise“ zur Verfügung gestellt werden (Art. 246 § 1 Abs. 1 EGBGB a.F.). Aus dieser Entsprechungsklausel wurde eine formale Einschränkung dahingehend abgeleitet, dass die Angaben dem Verbraucher unter Verwendung genau der Fernkommunikationsmittel bereitgestellt werden müssen, unter deren Einsatz der Vertrag geschlossen wurde.300 Nach der Gesetzesbegründung handelt es sich bei der neuen Formulierung um eine redaktionelle Änderung, um den Gesetzestext stärker an den Wortlaut der RL 2011/83/EU anzupassen.301 Insoweit ist nach wie vor davon auszugehen, dass für die Information des Verbrauchers i.d.R. die für den Vertragsschluss verwendeten Fernkommunikationsmittel zu nutzen sind.302 Bei einem Vertragsschluss im elektronischen Geschäftsverkehr muss etwa die Information auf der für den Vertragsschluss zur Verfügung gestellten Website abrufbar sein; ein Verweis auf eine Telefonhotline reicht hingegen grds. nicht aus.303 Die in Art. 246a §§ 1 und 3 EGBGB vorgeschriebenen Informationen sind grds. vom Unternehmer dem Verbraucher „zur Verfügung zu stellen“ (Art. 246a § 4 Abs. 1 EGBGB). Der Unternehmer muss – um der Anforderung an eine Zurverfügungstellung zu genügen – sicherstellen, dass der Verbraucher die Angaben ohne weiteres und ohne Behinderung zur Kenntnis 298 299 300 301 302 303
Vgl. in diesem Sinne BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506 (509). Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 82. S. nur Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 82. BT-Drs. 17/13951, S. 70. S.a. R. Koch, in: Erman, BGB, § 312d Rz. 34. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 82.
Kosmides
477
156
B Rz. 157
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
nehmen kann.304 Ob er sie tatsächlich zur Kenntnis nimmt, liegt nicht im Verantwortungsbereich des Unternehmers.305 Der BGH hat es insofern ausreichen lassen, wenn die Information auf der Internetseite des Unternehmers von jedermann in gleicher Weise abgerufen werden kann.306 Dazu genügt das Bereithalten der Information auf einer Internetseite, die über zwei Links erreicht werden kann. Ein Bereithalten der Angaben auf der Startseite ist nicht erforderlich.307 157 Nach Art. 246a § 1 Abs. 2 Satz 2 EGBGB hat der Unternehmer das gesetzliche Muster für die Widerrufsbelehrung (Anlage 1) in Textform zu übermitteln. Aus dem Erfordernis der „Übermittlung“ der Widerrufsbelehrung an den Verbraucher „in Textform“ (dazu Rz. 606 ff.) folgt, dass die dem Verbraucher zu erteilenden Informationen in einer zur dauerhaften Wiedergabe in Schriftzeichen geeigneten Weise nicht nur vom Unternehmer abgegeben werden, sondern auch dem Verbraucher zugehen müssen.308 Es ist dabei nicht Aufgabe des Verbrauchers, sich die Widerrufsbelehrung selbst zu verschaffen, sondern Aufgabe des Unternehmers, diese Belehrung zu übermitteln. Der Empfänger darf i.R.d. Übermittlungsverfahrens keine besondere Handlung vornehmen müssen.309 Dementsprechend genügt die bloße Abrufbarkeit der Widerrufsbelehrung über einen Hyperlink auf einer Website des Unternehmers bzw. eines Dritten (z.B. des Betreibers einer Internetauktionsplattform wie eBay) nicht den gesetzlichen Anforderungen an eine formgerechte Mitteilung der Belehrung.310 Erforderlich ist vielmehr, dass die Belehrung in einer unveränderlichen textlich verkörperten Gestalt in den Machtbereich des Verbrauchers ohne dessen weiteres Zutun gelangt. Dies ist etwa der Fall, wenn die Belehrung per Briefpost oder E-Mail an den Verbraucher übermittelt wird.311 158 Bei begrenzter Darstellungsmöglichkeit i.S.v. Art. 246a § 3 Satz 1 EGBGB (s. Rz. 122 ff.) hat der Unternehmer nach Art. 246a § 3 Satz 2 EGBGB die Informationsangaben in geeigneter Weise unter Beachtung von Art. 246a § 4 Abs. 3 EGBGB zugänglich zu machen. Art. 246a § 4 Abs. 3 Satz 3 EGBGB legt wiederum fest, dass der Unternehmer dem Verbraucher die in Art. 246a § 3 Satz 2 EGBGB genannten Angaben abweichend von Art. 246a § 4 Abs. 3 Satz 1 EGBGB in geeigneter Weise zugänglich machen kann. Die Information hat demnach nicht in einer den benutzten Fernkommunikationsmitteln angepassten Weise zu erfolgen. Es ist dabei eine Einzelbetrachtung des zur Information eingesetzten Mittels vorzunehmen und vorwiegend auf die spezifische Interessenlage des Verbrauchers abzustellen. Der Unternehmer kommt etwa seiner Pflicht gem. Art. 246a § 3 Satz 2 EGBGB nach, wenn er eine gebührenfreie Telefonnummer angibt oder einen Hyperlink zu seiner Internetseite setzt, auf der die entsprechenden Angaben unmittelbar abrufbar und leicht zugänglich sind (Erw.grd. 36 Satz 2 RL 2011/83/EU). 304 305 306 307 308 309 310 311
478
BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 – Überschrift zur Widerrufsbelehrung. BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 – Überschrift zur Widerrufsbelehrung. BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 – Überschrift zur Widerrufsbelehrung. BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 (Ls. 2, 852, Rz. 33); s.a. Junker, in: Herberger/Martinek/ Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 90. So BGH v. 15.5.2014 – III ZR 368/13, CR 2014, 736 (737) zum Erfordernis der „Mitteilung“ nach altem Recht; ebenso v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (Ls.) – Holzhocker; s.a. EuGH v. 5.7.2012 – C -49/11, CR 2012, 793 (Ls.) – Content Services. Vgl. BGH v. 15.5.2014 – III ZR 368/13, CR 2014, 736 (737); EuGH v. 5.7.2012 – C-49/11, CR 2012, 793 (794, Rz. 32 ff.) – Content Services. BGH v. 15.5.2014 – III ZR 368/13, CR 2014, 736 (Ls. 1); v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (Ls.) – Holzhocker; s.a. EuGH v. 5.7.2012 – C-49/11, (Ls.), CR 2012, 793 – Content Services; Grüneberg, in: Palandt, Art. 246a § 1 EGBGB Rz. 8. BGH v. 15.5.2014 – III ZR 368/13, CR 2014, 736 (737); v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (805, Rz. 17 ff.) – Holzhocker; vgl. auch OLG Stuttgart v. 4.2.2008 – 2 U 71/07, CR 2009, 61; OLG Hamburg v. 12.9.2007 – 5 W 129/07, CR 2008, 116; OLG Naumburg v. 13.7.2007 – 10 U 14/07 (Hs), NJW-RR 2008, 776 (777 f.); OLG Köln v. 24.8.2007 – 6 U 60/07, GRUR-RR 2008, 88 (89 f.); OLG Hamburg v. 24.8.2006 – 3 U 103/06, CR 2006, 854; KG v. 5.12.2006 – 5 W 295/06, CR 2007, 331; v. 18.7.2006 – 5 W 156/06, CR 2006, 680; vgl. auch Grüneberg, in: Palandt, Art. 246a § 1 EGBGB Rz. 8.
Kosmides
Fernabsatzvertragsrecht
Rz. 161
B
2.2.2 Fernabsatzverträge über Finanzdienstleistungen Die vorvertraglichen Informationspflichten bei Verträgen über Finanzdienstleistungen, die im Fernabsatz geschlossen werden, richten sich nach § 312d Abs. 2 BGB i.V.m. Art. 246b EGBGB. Finanzdienstleistungen sind nach der Legaldefinition in § 312 Abs. 5 Satz 1 BGB Bankdienstleistungen sowie Dienstleistungen im Zshg. mit einer Kreditgewährung, Versicherung, Altersversorgung von Einzelpersonen, Geldanlage oder Zahlung.
159
Bei einem Fernabsatzvertrag, der eine Finanzdienstleistung zum Gegenstand hat, ist die Be- 160 reichsausnahme in § 312 Abs. 5 BGB zu berücksichtigen. Daneben ist speziell für Verträge über Versicherungen § 312 Abs. 6 BGB einschlägig. 2.2.2.1 Informationsinhalt Bei Finanzdienstleistungen im Fernabsatz reichen die vorvertraglichen Informationen weiter als bei sonstigen Dienstleistungen oder Waren (s. Rz. 109 ff.). Der allgemeine Pflichtenkatalog ist in Art. 246b § 1 Abs. 1 EGBGB enthalten. Der Anbieter von Finanzdienstleistungen schuldet im Einzelnen Informationen betreffend die folgenden Gegenstände: – Identität des Unternehmers, öffentliches Unternehmensregister sowie Registernummer oder gleichwertige Kennung (Art. 246b § 1 Abs. 1 Nr. 1 EGBGB); – Hauptgeschäftstätigkeit des Unternehmers sowie die zuständige Aufsichtsbehörde (Art. 246b § 1 Abs. 1 Nr. 2 EGBGB); – ggf. Identität des Vertreters des Unternehmers oder einer anderen gewerblich tätigen Person als dem Anbieter, wenn der Verbraucher mit dieser Person geschäftlich zu tun hat (Art. 246b § 1 Abs. 1 Nr. 3 EGBGB); – ladungsfähige Anschrift des Unternehmers und jede andere für seine Geschäftsbeziehungen maßgebliche Anschrift (Art. 246b § 1 Abs. 1 Nr. 4 EGBGB); – wesentliche Merkmale der Finanzdienstleistung sowie Art und Weise des Zustandekommens des Vertrags (Art. 246b § 1 Abs. 1 Nr. 5 EGBGB); – Gesamtpreis der Finanzdienstleistung (Art. 246b § 1 Abs. 1 Nr. 6 EGBGB); – ggf. Zusatzkosten und Steuern (Art. 246b § 1 Abs. 1 Nr. 7 EGBGB); – ggf. Risikohinweise in Bezug auf das konkrete Finanzinstrument (Art. 246b § 1 Abs. 1 Nr. 8 EGBGB); – Befristung der Gültigkeitsdauer der bereitgestellten Angaben (Art. 246b § 1 Abs. 1 Nr. 9 EGBGB); – Zahlung und Erfüllung (Art. 246b § 1 Abs. 1 Nr. 10 EGBGB); – Kosten für die Benutzung des Fernkommunikationsmittels (Art. 246b § 1 Abs. 1 Nr. 11 EGBGB); – Bestehen oder Nichtbestehen eines Widerrufsrechts sowie Ausübungs- und Abwicklungsmodalitäten (Art. 246b § 1 Abs. 1 Nr. 12 EGBGB); – Mindestlaufzeit des Vertrags (Art. 246b § 1 Abs. 1 Nr. 13 EGBGB); – Kündigungsbedingungen einschließlich Vertragsstrafen (Art. 246b § 1 Abs. 1 Nr. 14 EGBGB); – das Recht, das der Unternehmer der Vertragsanbahnung (Art. 246b § 1 Abs. 1 Nr. 15 EGBGB) und dem Vertrag zugrunde legt sowie das zuständige Gericht (Art. 246b § 1 Abs. 1 Nr. 16 EGBGB); – Sprache des Vertrags, der Vorabinformation sowie der Vertragsabwicklung (Art. 246b § 1 Abs. 1 Nr. 17 EGBGB); Kosmides
479
161
B Rz. 162
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
– ggf. Zugang des Verbrauchers zu einem außergerichtlichen Beschwerde- und Rechtsbehelfsverfahren (Art. 246b § 1 Abs. 1 Nr. 18 EGBGB); – Bestehen eines Garantiefonds oder anderer Entschädigungsregelungen (Art. 246b § 1 Abs. 1 Nr. 19 EGBGB). 162 Diese Informationen müssen nach Art. 246b § 1 Abs. 1 EGBGB unter Angabe des geschäftlichen Zwecks zur Verfügung gestellt werden.312 Mit anderen Worten: Der Unternehmer muss dem Verbraucher mitteilen, dass er einen geschäftlichen Zweck verfolgt. Dazu genügt es, wenn er deutlich macht, mit dem Verbraucher in Geschäftskontakt treten zu wollen, z.B. durch ein eindeutig gekennzeichnetes Verkaufsportal im Internet.313 163 Die generellen Pflichten in Art. 246b § 1 EGBGB werden durch Art. 246b § 2 EGBGB ergänzt. Art. 246b § 2 Abs. 1 Satz 1 EGBGB sieht als weitere Informationen vor, die der Unternehmer dem Verbraucher auf einem dauerhaften Datenträger mitzuteilen (dazu Rz. 608) hat: – die Vertragsbedingungen einschließlich der AGB (Art. 246b § 2 Abs. 1 Satz 1 Nr. 1 EGBGB) sowie – die in Art. 246b § 1 Abs. 1 EGBGB genannten Informationen (Art. 246b § 2 Abs. 1 Satz 1 Nr. 2 EGBGB). 164 In Art. 246b § 2 Abs. 1 Satz 2 EGBGB ist eine Sonderregelung enthalten, die den Zeitpunkt der Erfüllung der Informationspflichten gem. Art. 246b § 2 Abs. 1 Satz 1 EGBGB betrifft (s. Rz. 170 ff.). 165 Bezüglich der Erfüllung seiner Pflicht nach Art. 246b § 2 Abs. 1 Satz 1 Nr. 2 i.V.m. Art. 246b § 1 Abs. 1 Nr. 12 EGBGB (Widerrufsbelehrung) bestimmt Art. 246b § 2 Abs. 3 EGBGB, dass der Unternehmer das gesetzliche Muster in der Anlage 3 verwenden kann. In diesem Zshg. gelten die Ausführungen zum Muster für die Widerrufsbelehrung in der Anlage 1 zu Art. 246a § 1 Abs. 2 Satz 2 EGBGB entsprechend (Rz. 115 ff.). 166 Zum vertraglichen Anspruch des Verbrauchers nach Art. 246b § 2 Abs. 2 EGBGB s. Rz. 199. 167 Bei Telefongesprächen bewirkt die Sonderregelung in Art. 246b § 1 Abs. 2 EGBGB eine Erleichterung der Informationslast aufseiten des Unternehmers. Der Unternehmer hat gem. Art. 246b § 1 Abs. 2 Satz 1 EGBGB einen Bruchteil der in Art. 246b § 1 Abs. 1 EGBGB genannten Informationen zur Verfügung zu stellen. Die Informationsangaben nach Art. 246b § 1 Abs. 2 Satz 1 Nr. 1–5 EGBGB entsprechen im Wesentlichen den in Art. 246b § 1 Abs. 1 Nr. 1, 5, 6, 7 und 12 EGBGB aufgeführten Angaben. Die Erleichterung greift allerdings nur ein, wenn der Verbraucher über die Möglichkeit der Übermittlung weiterer Informationen und deren Art informiert wurde und daraufhin ausdrücklich auf die Informationsübermittlung vor Abgabe seiner Vertragserklärung verzichtet hat (Art. 246b § 1 Abs. 2 Satz 2 EGBGB). Die Beweislast für das Bestehen dieser Umstände trägt der Unternehmer.314 168 Die Informationspflichten gem. Art. 246b § 2 EGBGB bleiben von der in Art. 246b § 1 Abs. 2 EGBGB vorgesehenen Erleichterung unberührt.315 2.2.2.2 Formale Anforderungen an die Informationserteilung 169 Bei Fernabsatzverträgen über Finanzdienstleistungen hält das Gesetz keine Art. 246a § 4 EGBGB entsprechende Bestimmung bereit, welche den allgemeinen formalen Anforderungen an die Erfüllung der Informationspflichten gewidmet ist. Der Zeitpunkt, die Form sowie 312 313 314 315
480
S.a. R. Koch, in: Erman, BGB, § 312d Rz. 40. Enders/Kosmides in: Lehmann/Meents, Kap. 11 Rz. 71. Grüneberg, in: Palandt, Art. 246b § 1 EGBGB Rz. 19. Grüneberg, in: Palandt, Art. 246b § 1 EGBGB Rz. 19.
Kosmides
Fernabsatzvertragsrecht
Rz. 173
B
die Art und Weise der zu erteilenden Information sind vielmehr der jeweiligen Informationsregel in Art. 246b EGBGB zu entnehmen. Die formalen Erfordernisse an die Pflichterfüllung bei Fernabsatzverträgen über Finanzdienstleistungen entsprechen im Wesentlichen denjenigen bei den sonstigen Fernabsatzverträgen, sodass weitgehend auf die obigen Ausführungen verwiesen werden kann. 2.2.2.2.1 Zeitpunkt Anders als in Art. 246a § 4 Abs. 1 EGBGB, der für sonstige Fernabsatzverträge gilt (s. 170 Rz. 131 ff.), bestimmt Art. 246b § 1 Abs. 1 EGBGB hinsichtlich Fernabsatzverträge über Finanzdienstleistungen nicht lediglich, dass die Informationen „vor Abgabe“ der Vertragserklärung des Verbrauchers, sondern vielmehr, dass sie „rechtzeitig vor Abgabe von dessen Vertragserklärung“ zur Verfügung gestellt werden müssen. Genauso lautet die Formulierung des Art. 246b § 2 Abs. 1 Satz 1 EGBGB. Das Gesetz lässt insofern nicht jede Information ausreichen, die in einem beliebigen Zeitpunkt vor Abgabe der Vertragserklärung des Verbrauchers erfolgt. Erforderlich ist vielmehr, dass die Information rechtzeitig vor diesem Zeitpunkt zur Verfügung steht. Ob dies der Fall ist, lässt sich nicht einheitlich für alle Einzelfallumstände beantworten.316 Bei der Rechtzeitigkeit handelt es sich um einen unbestimmten Rechtsbegriff, der aufgrund der Umstände des Einzelfalls, insb. des Vertragsschlusses sowie der wesentlichen Merkmale der vertraglichen Vereinbarung und der Interessenlage des Verbrauchers unter Berücksichtigung von Ziel und Zweck der gesetzlichen Informationspflicht (dazu Rz. 8 f.) zu konkretisieren ist.317 Maßstab für die rechtzeitige Information ist, ob die Informationserteilung im konkret-faktischen Fall zu dem konkreten Zeitpunkt zur Erreichung des Schutzzwecks der Norm genügt.318 Eine ordnungsgemäße Informationserteilung scheidet etwa aus, wenn der Unternehmer – so die Gesetzesbegründung – die Gültigkeitsdauer seines Angebots so kurz bemisst und dem Verbraucher die notwendigen Informationen erst so spät zur Verfügung stellt, dass diesem keine angemessene Zeit für eine Entscheidungsfindung bleibt.319 Sind die Informationen in Werbeprospekten, Katalogen oder auf Internetseiten enthalten, aufgrund derer sich der Verbraucher zur Bestellung entschließt, ist dem Merkmal der Rechtzeitigkeit i.d.R. Genüge getan.320 Zum Merkmal „vor Abgabe von dessen Vertragserklärung“ gelten die Ausführungen zu Art. 246a § 4 Abs. 1 EGBGB (Rz. 131 ff.).
171
Der Zeitpunkt der Pflichterfüllung wird weder für die erleichterte Information nach 172 Art. 246b § 1 Abs. 2 EGBGB noch die Übermittlung des Musters für die Widerrufsbelehrung nach Art. 246b § 2 Abs. 3 EGBGB i.V.m. der Anlage 3 expressis verbis bestimmt. In beiden Fällen ergibt sich allerdings aus der Gesetzessystematik sowie dem Sinn und Zweck der gesetzlichen Regelung, dass der maßgebliche Zeitpunkt für die Pflichterfüllung mit dem gem. Art. 246b § 1 Abs. 1 EGBGB sowie Art. 246b § 2 Abs. 1 Satz 1 EGBGB („rechtzeitig vor Abgabe der Vertragserklärung des Verbrauchers“) identisch ist. Eine Sonderregelung ist in Art. 246b § 2 Abs. 1 Satz 2 EGBGB enthalten. Diese Sonderrege- 173 lung betrifft den Zeitpunkt der Bereitstellung der Information gem. Art. 246b § 2 Abs. 1 Satz 1 EGBGB. Nach Art. 246b § 2 Abs. 1 Satz 2 EGBGB hat der Unternehmer die Pflichtangaben unverzüglich (i.S.d. § 121 Abs. 1 Satz 1 BGB) nach Abschluss des Fernabsatzvertrags mitzuteilen, sofern der Vertrag auf Verlangen des Verbrauchers unter Verwendung eines Fernkommunikationsmittels geschlossen wird, das die Übermittlung auf einem dauerhaften
316 317 318 319 320
BT-Drs. 14/2658, S. 38. BT-Drs. 14/2658, S. 38. BT-Drs. 15/2946, S. 20. BT-Drs. 14/2658, S. 38. BT-Drs. 14/2658, S. 38.
Kosmides
481
B Rz. 174
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Datenträger vor Vertragsschluss nicht gestattet. Erfasst sind die Nutzung aller Arten von Telefonendgeräten zur Sprachkommunikation sowie die Kontaktaufnahme per SMS.321 2.2.2.2.2 Inhaltliche Art und Weise 174 Art. 246b § 1 Abs. 1 EGBGB legt das Transparenzgebot für Fernabsatzverträge über Finanzdienstleistungen fest: Die Informationen müssen „klar und verständlich“ zur Verfügung gestellt werden. Dieses Transparenzgebot ist nahezu wortidentisch und inhaltsgleich mit dem in Art. 246a § 4 Abs. 1 EGBGB (s. insoweit Rz. 137 ff.). Das Transparenzgebot gilt freilich nicht nur für die in Art. 246b § 1 Abs. 1 EGBGB genannten Pflichtangaben, sondern für alle zu erteilenden Informationen bei einem Fernabsatzvertrag über Finanzdienstleistungen gem. Art. 246b EGBGB. 175 Wie Art. 246a § 1 Abs. 2 Satz 2 EGBGB in Bezug auf sonstige Fernabsatzverträge bestimmt Art. 246b § 2 Abs. 3 hinsichtlich Fernabsatzverträge über Finanzdienstleistungen, dass das gesetzliche Muster für die Widerrufsbelehrung in der Anlage 3 zutreffend auszufüllen ist. 2.2.2.2.3 Form 176 Wie nach Art. 246a § 4 Abs. 3 EGBGB in Bezug auf sonstige Fernabsatzverträge müssen die Pflichtangaben gem. Art. 246b § 1 Abs. 1 EGBGB in einer dem benutzten Fernkommunikationsmittel angepassten Weise zur Verfügung gestellt werden (s. Rz. 155). Diese formale Anforderung gilt auch für die Informationserteilung aufgrund der Ausnahmeregelung in Art. 246b § 1 Abs. 2 EGBGB. 177 Art. 246b § 1 Abs. 1 und 2 EGBGB bestimmen, dass die Pflichtangaben „zur Verfügung zu stellen“ sind. Dies entspricht der Regelung in Art. 246a § 4 Abs. 1 EGBGB (s. Rz. 156). 178 Die in Art. 246b § 1 Abs. 1 EGBGB genannten Angaben sowie die Vertragsbestimmungen einschließlich der AGB sind wiederum gem. Art. 246b § 2 Abs. 1 Satz 1 EGBGB „auf einem dauerhaften Datenträger“ (s. Rz. 608) „mitzuteilen“. Die Mitteilung auf einem dauerhaften Datenträger soll dazu dienen, dem Verbraucher es zu ermöglichen, Informationen so lange zu speichern, wie es für den Schutz seiner rechtsgeschäftlichen Interessen erforderlich ist (Erw.grd. Nr. 23 Satz 1 RL 2011/83/EU). Das Erfordernis der „Mitteilung“ der Pflichtangaben ist – wie dasjenige der „Übermittlung“ – dahingehend zu verstehen, dass sie sowohl vom Unternehmer abgegeben werden als auch dem Verbraucher zugehen müssen (näher s. Rz. 157).322 179 Von einem „Übermitteln“ der zu erteilenden Informationen wird in Art. 246b § 2 Abs. 1 Satz 2 EGBGB gesprochen. Nach Art. 246b § 2 Abs. 3 EGBGB ist das in der Anlage 3 enthaltene Muster für die Widerrufsbelehrung – wie nach Art. 246a § 1 Abs. 2 Satz 2 EGBGB – in Textform i.S.v. § 126b BGB (s. Rz. 606 ff.) zu übermitteln (s. Rz. 157). 2.2.3 Rechtsfolgen von Pflichtverstößen 180 Die Verletzung einer vorvertraglichen Informationspflicht gem. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a EGBGB bzw. § 312d Abs. 2 BGB i.V.m. Art. 246b BGB kann unterschiedliche Rechtsfolgen nach sich ziehen. Dem Kunden steht ein Anspruch auf nachträgliche Erfüllung der verletzten Pflichten zu. Kommt ein Vertrag zustande, kann der Kunde die nachträgliche Erfüllung aus dem abgeschlossenen Vertrag verlangen.323 321 S.a. R. Koch, in: Erman, BGB, § 312d Rz. 65; Grüneberg, in: Palandt, Art. 246b § 2 EGBGB Rz. 4. 322 Vgl. BGH v. 15.5.2014 – III ZR 368/13, CR 2014, 736 (737) = ITRB 2014, 199; ebenso v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (Ls.) – Holzhocker; s.a. EuGH v. 5.7.2012 – C-49/11, CR 2012, 793 (Ls.) – Content Services. 323 Vgl. BT-Drs. 14/6040, S. 173.
482
Kosmides
Fernabsatzvertragsrecht
Rz. 186
B
Aus einer schuldhaften Pflichtverletzung können dem Verbraucher Schadensersatzansprü- 181 che, insb. aus culpa in contrahendo (§§ 280 Abs. 1, 311 Abs. 2 BGB) erwachsen.324 Ein Schadensersatzanspruch scheidet angesichts der vorausgesetzten haftungsbegründenden Kausalität aus, wenn die unterlassene bzw. fehlerhafte Informationspflicht für den Verbraucher so unwesentlich war, dass er den Vertrag auch bei ordnungsgemäßer Pflichterfüllung wie geschehen abgeschlossen hätte.325 In solchen Fällen gibt es grds. nur den Widerruf. Die Begründung eines Schadensersatzanspruchs kann ferner daran scheitern, dass ein Schaden in Fällen, in denen ein Widerrufsrecht besteht, nur selten vorliegen wird.326 Ist hingegen ein Widerrufsrecht nicht vorhanden, kann über § 249 BGB im Wege der Naturalrestitution ein Anspruch auf Vertragsaufhebung, u.U. sogar die Anpassung des abgeschlossenen Vertrags, geltend gemacht werden. Voraussetzung dafür ist, dass die Pflichtverletzung für den Abschluss oder den ungünstigen Abschluss des Vertrags ursächlich war.327 Die Nichtbeachtung der Informationspflichten kann grds. keine Unwirksamkeit des Vertrags auslösen (s.a. Rz. 471 ff.). Zu möglichen Auswirkungen auf das Anfechtungsrecht s. Rz. 574.
182
Handelt es sich bei einer gegebenen Information nicht nur um die Erfüllung einer gesetzli- 183 chen Informationspflicht, sondern ausnahmsweise auch um eine verbindliche Leistungsbeschreibung, so sind Erfüllungsansprüche und sonstige vertragliche Ansprüche denkbar.328 Umstritten ist, ob ein Verstoß gegen die Informationspflichten deliktische Schadensersatzansprüche gem. § 823 Abs. 2 BGB sowie Unterlassungs- und Beseitigungsansprüche nach § 1004 BGB analog auslösen kann. Diese Frage betrifft nicht nur die vorliegenden Informationspflichten, sondern vielmehr grds. alle Rechtspflichten, die in den §§ 312 ff. BGB sowie in den Art. 246 ff. EGBGB vorgesehen werden. Die Beantwortung dieser Frage hängt in erster Linie davon ab, ob die jeweils verletzte Rechtspflicht als Schutzgesetz anzusehen ist sowie ob deren Charakter als vertragliche bzw. quasi-vertragliche Pflicht der Bejahung einer deliktischen Verantwortlichkeit entgegensteht.329
184
Die wohl wichtigste Rechtsfolge einer Pflichtverletzung tritt nach § 356 Abs. 3 Satz 1 BGB ein (vgl. Art. 10 RL 2011/83/EU). Sie betrifft den Beginn der Widerrufsfrist. Tatbestandlich relevant sind allerdings – anders als bei der Schadensersatzverpflichtung – nur bestimmte, nämlich die in dieser Regelung ausdrücklich genannten Informationspflichten.330 Ein Verstoß gegen andere Informationspflichten bewirkt keine Änderung des Fristbeginns.331 Fehlt es an einer ordnungsgemäßen Unterrichtung des Verbrauchers gem. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB bzw. § 312d Abs. 2 BGB i.V.m. Art. 246b § 2 Abs. 1 EGBGB, so beginnt gem. § 356 Abs. 3 Satz 1 BGB die Widerrufsfrist nicht zu laufen. Eine Verletzung von Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB (bei Dienstleistungsverträgen und bestimmten Verträgen über die Lieferung von Energie auch von Art. 246a § 1 Abs. 2 Satz 1 Nr. 3 EGBGB) führt zum Verlust des Anspruchs des Unternehmers gegenüber dem Verbraucher auf Wertersatzleistung (§ 357 Abs. 7 Nr. 2 BGB und § 357 Abs. 8 Satz 2 BGB; Rz. 341 ff.)
185
Um den Unternehmer vor einem unendlichen Widerrufsrecht bei unterbliebener oder mangelhafter Pflichterfüllung zu schützen, sieht § 356 Abs. 3 Satz 2 BGB ein endgültiges Erlö-
186
324 Grüneberg, in: Palandt, § 312d BGB Rz. 4; R. Koch, in: Erman, BGB, § 312d Rz. 68; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 87; s.a. BT-Drs. 17/12637, S. 54. 325 S.a. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 87. 326 So R. Koch, in: Erman, BGB, § 312d Rz. 68. 327 R. Koch, in: Erman, BGB, § 312d Rz. 68. 328 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 87. 329 Zu dieser Problematik vgl. nur Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 801 ff. m.w.N. zum Meinungsstand. 330 BT-Drs. 17/12637, S. 61; Schirmbacher/Schmidt, CR 2014, 107 (111). 331 Wie hier Grüneberg, in: Palandt, § 312d BGB Rz. 4.
Kosmides
483
B Rz. 187
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
schen des Widerrufsrechts (spätestens) zwölf Monate und 14 Tage nach dem in § 355 Abs. 2 Satz 2 BGB oder § 356 Abs. 2 BGB genannten Zeitpunkt vor. Dabei kommt es nicht darauf an, ob der Unternehmer seine entsprechende Informationspflicht ordnungsgemäß erfüllt hat.332 § 356 Abs. 3 Satz 2 BGB ist allerdings nur auf Fernabsatzverträge anwendbar, die keine Finanzdienstleistung betreffen. Die Beschränkung nach dieser Regel ist insoweit nur bei einer den Anforderungen des Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB nicht genügenden Widerrufsbelehrung relevant. Fernabsatzverträge über Finanzdienstleistungen werden nach § 356 Abs. 3 Satz 3 BGB vom Anwendungsbereich des § 356 Abs. 3 Satz 2 BGB ausgenommen, sodass insoweit kein entsprechender Schutz des Unternehmers besteht und das Widerrufsrecht des Verbrauchers unbegrenzt besteht, sofern der Unternehmer seinen Informationspflichten nach § 312d Abs. 2 BGB i.V.m. Art. 246b § 2 Abs. 1 EGBGB nicht in vollem Umfang nachkommt.333 187 Die gesetzesmäßige Information des Verbrauchers über das Bestehen eines Widerrufsrechts kann Gegenstand eines zwischen Unternehmern geschlossenen Unterlassungsvertrags und eines entsprechenden Unterlassungsanspruchs sein. Hat sich die eine Vertragspartei im Rahmen eines solchen Vertrags gegenüber der anderen verpflichtet, es zu unterlassen, im geschäftlichen Verkehr den Verbraucher bei Fernabsatzverträgen nicht ordnungsgemäß über das Widerrufsrecht zu unterrichten, so stellt nach Ansicht des OLG Düsseldorf nicht jede Unrichtigkeit der danach verwendeten Widerrufsbelehrung eine Verletzung des Unterlassungsvertrags dar.334 Der Umfang der Unterlassungspflicht ist nach allgemeinen Grundsätzen, nämlich im Wege der Vertragsauslegung (§§ 133, 157 BGB) unter Berücksichtigung der Gründe für den Vertragsschluss, zu bestimmen.335 188 Eine Sonderregelung für die Verletzung der Informationspflicht aus § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 Nr. 4 EGBGB findet sich in § 312e BGB. Die Vorschrift dient der Umsetzung von Art. 6 Abs. 6 RL 2011/83/EU. Sie ist inhaltsgleich mit § 312a Abs. 2 Satz 2 BGB, der vorwiegend für Verbraucherverträge im stationären Handel, aber auch für E-Commerce-Verträge (Rz. 394 ff.) gilt (§ 312a Abs. 2 Satz 3 BGB). Der Bezugnahme auf § 312d Abs. 1 BGB und Art. 246a § 1 Abs. 1 Satz 1 Nr. 4 EGBGB in § 312e BGB ist zu entnehmen, dass diese Regel auf Verträge beschränkt ist, die keine Finanzdienstleistung zum Gegenstand haben.336 Der Anspruch des Unternehmers gegenüber dem Verbraucher auf Zahlung von Fracht-, Lieferoder Versandkosten sowie sonstigen Kosten i.S.v. Art. 246a § 1 Abs. 1 Satz 1 Nr. 4 EGBGB wird an die ordnungsgemäße Erfüllung der entsprechenden gesetzlichen Informationspflicht angeknüpft. Verletzt der Unternehmer diese Pflicht, steht ihm insoweit kein Anspruch gegenüber dem Verbraucher zu. Bereits geleistete Leistungen sind vom Unternehmer zu erstatten, denn sie erfolgten ohne Rechtsgrund (§ 812 Abs. 1 Satz 1 Var. 1 BGB).337 Bei der Angabe „Verkauf nach Europa … Versand Europa … auf Anfrage“ handelt es sich um eine unvollständige Versandkostenangabe und damit eine Pflichtverletzung, denn die Höhe der Versandkosten innerhalb der EU kann i.d.R. ohne unzumutbaren Aufwand im Voraus berechnet werden.338 189 § 312e BGB ist nicht einschlägig, wenn sich die Parteien nicht über die Zahlung zusätzlicher Kosten geeinigt haben. Denn in diesem Fall besteht ohnehin kein vertraglicher Anspruch auf Zahlung. Gleiches gilt, wenn eine Vereinbarung über die Tragung solcher Kosten gem. § 312a Abs. 3 BGB nicht Vertragsbestandteil geworden ist (dazu Rz. 481 ff.). Dennoch er-
332 333 334 335 336 337
BT-Drs. 17/13951, S. 65; R. Koch; in: Erman, BGB, § 356 Rz. 14. R. Koch, in: Erman, BGB, § 356 Rz. 14; s.a. BT-Drs. 17/12637, S. 61. OLG Düsseldorf v. 1.9.2009 – I-20 U 220/08, 20 U 220/08, juris Os., IPRB 2010, 7. OLG Düsseldorf v. 1.9.2009 – I-20 U 220/08, 20 U 220/08, juris Os. und Rz. 14, IPRB 2010, 7. Ebenso Grüneberg, in: Palandt, § 312e BGB Rz. 1. R. Koch, in: Erman, BGB, § 312e Rz. 2; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312e Rz. 6; s.a. BT-Drs. 17/12637, S. 54. 338 KG v. 2.10.2015 – 5 W 196/15, K&R 2015, 819.
484
Kosmides
Fernabsatzvertragsrecht
Rz. 193
B
gänzt § 312e BGB in bestimmten Fällen die allgemeine Regelung des § 312a Abs. 3 BGB. Der erstgenannten Vorschrift verbleibt dann neben der zweitgenannten Vorschrift ein eigenständiger Anwendungsbereich, wenn zwar eine ausdrückliche Zustimmung des Verbrauchers, weitere Kosten zu tragen, vorliegt, der Unternehmer den Verbraucher jedoch nicht ordnungsgemäß über diese zusätzlichen Kosten unterrichtet hat.339 § 312e BGB kommt keine Ausschlusswirkung zu. Weitere Rechtsfolgen, die sich aus einem Verstoß gegen die Informationspflicht nach § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 Nr. 4 EGBGB ergeben, werden dadurch nicht verdrängt.340 Für die Erstattung der Rücksendekosten bei einem Widerruf des Verbrauchers enthält § 357 Abs. 6 BGB eine vergleichbare Sonderregelung.341 Auf Ansprüche und sonstige Rechte des Verbrauchers im Falle von Pflichtverstößen findet die Beweislastregel des § 312k Abs. 2 BGB Anwendung (dazu Rz. 205).
190
Nach § 2 i.V.m. § 3 UKlaG stehen den in § 3 UKlaG bezeichneten Stellen ein Unterlassungs- 191 sowie ein Beseititungsklageanspruch wegen verbraucherschutzgesetzwidriger Praktiken zu.342 Auf dem Gebiet des Wettbewerbsrechts ist v.a. an Beseitigungs- und Unterlassungsansprüche nach § 8 UWG zu denken (Rz. 995 ff.).343 Schadensersatzansprüche nach § 9 UWG344 sowie Gewinnabschöpfungsansprüche nach § 10 UWG345 können auch in Betracht kommen.346 2.3 Vertragliche Dokumentationspflichten 2.3.1 Die Pflichten im Einzelnen 2.3.1.1 Fernabsatzverträge (die keine Finanzdienstleistung betreffen) Bei Fernabsatzverträgen wird eine vertragliche Dokumentationspflicht durch § 312f Abs. 2 192 BGB begründet. § 312f Abs. 2 BGB gilt nur für Fernabsatzverträge, die keine Finanzdienstleistung zum Gegenstand haben (§ 312f Abs. 4 BGB).347 Die Vorschrift dient der Umsetzung von Art. 8 Abs. 7 RL 2011/83/EU. Der Unternehmer hat gem. § 312f Abs. 2 Satz 1 BGB dem Verbraucher nach dem Abschluss eines Fernabsatzvertrags eine Bestätigung des Vertrags auf einem dauerhaften Datenträger zur Verfügung zu stellen. Die Regelung bezweckt den Schutz des Verbrauchers durch eine umfassende Dokumentation.348 Sie begründet kein Schriftformerfordernis für den Vertrag.349 In der Vertragsbestätigung ist der Vertragsinhalt wiederzugeben. Zum Vertragsinhalt gehö- 193 ren auch wirksam nach § 305 Abs. 1 Satz 1 BGB in den Vertrag einbezogene AGB.350 Da die 339 BT-Drs. 17/12637, S. 55. 340 S.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312e Rz. 6. 341 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312e Rz. 6; s.a. BT-Drs. 17/12637, S. 55. 342 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 87; Grüneberg, in: Palandt, § 312d BGB Rz. 4; R. Koch, in: Erman, BGB, § 312d Rz. 68. 343 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 87; Grüneberg, in: Palandt, § 312d BGB Rz. 4; s.a. Schirmbacher/Schmidt, CR 2014, 107 (112); vgl. etwa BGH v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (Rz. 11) = ITRB 2011, 29 – Holzhocker; v. 9.11.2011 – I ZR 123/10, GRUR 2012, 643 – Rz. 12 – Überschrift zur Widerrufsbelehrung; OLG Hamm v. 24.5.2012 – I-4 U 48/12, MMR 2012, 594 (595). 344 Vgl. etwa LG Leipzig v. 23.5.2008 – 5 O 280/08, juris Rz. 15. 345 Vgl. OLG Frankfurt v. 4.12.2008 – 6 U 186/07, MMR 2009, 341 (Ls. 1 und 2); v. 4.12.2008 – 6 U 187/07, CR 2009, 253 (Ls. 1 und 2) (allerdings zur Verletzung von Hinweispflichten, die sich aus der PAngV ergeben). 346 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 87. 347 Grüneberg, in: Palandt, § 312f BGB Rz. 3; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312f Rz. 16. 348 BT-Drs. 17/12637, S. 55. 349 Grüneberg, in: Palandt, § 312f BGB Rz. 3. 350 BT-Drs. 17/12637, S. 55; Grüneberg, in: Palandt, § 312f BGB Rz. 2.
Kosmides
485
B Rz. 194
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
vorvertraglichen Informationen nach Art. 246a § 4 Abs. 3 EGBGB nicht auf einem dauerhaften Datenträger bereitgestellt werden müssen, sieht § 312f Abs. 2 Satz 2 BGB vor, dass in die Bestätigung auch die in Art. 246a EGBGB genannten Angaben aufzunehmen sind.351 Die Vertragsbestätigung muss diese Angaben nicht enthalten, wenn der Unternehmer diese dem Verbraucher bereits vor Vertragsschluss im Rahmen der Erfüllung seiner Informationspflichten gem. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a EGBGB auf einem dauerhaften Datenträger (freiwillig) überlassen hat.352 194 Der dauerhafte Datenträger ist i.S.v. § 126b Satz 2 BGB zu verstehen (dazu Rz. 608). „Zur Verfügung stellen“ bedeutet nach dem BGH, dass der Adressat die Information ohne weiteres und ohne Behinderung zur Kenntnis nehmen kann.353 Die Abrufbarkeit der Information auf der Website des Unternehmers ist nach Ansicht des BGH grds. ausreichend (s. Rz. 156).354 Dies entspricht nicht der Auffassung des Gesetzgebers. Nach der Gesetzesbegründung müsse die Vertragsbestätigung „dem Verbraucher zugehen“.355 Es reiche nicht aus, wenn der Verbraucher auf eine Website des Unternehmers verwiesen wird.356 Dieser gesetzgeberische Wille wird durch die Verwendung des Begriffs „zur Verfügung stellen“ nicht klar zum Ausdruck gebracht. Hierzu würden sich hingegen die Begriffe „Mitteilen“ (z.B. Art. 246b § 2 Abs. 1 Satz 1 EGBGB) oder gar „Übermitteln“ (z.B. Art. 246a § 1 Abs. 2 Satz 2 EGBGB; Art. 246b § 2 Abs. 3 EGBGB) eignen (s. Rz. 157).357 Es erscheint insoweit angezeigt, das Gesetz zugunsten einer einheitlichen Begriffsverwendung an diesem Punkt zu korrigieren. 195 Dem Unternehmer steht es nicht frei, den Zeitpunkt der Bereitstellung der Information selber zu bestimmen. Er ist vielmehr verpflichtet, diese „innerhalb einer angemessenen Frist nach Vertragsschluss“, spätestens jedoch mit der Lieferung der Ware oder vor Ausführung der Dienstleistung zur Verfügung zu stellen. Maßstab dafür, ob die Information innerhalb einer angemessenen Frist erfolgt ist, sind die Umstände des Einzelfalls.358 Die Angemessenheit ist zu bejahen, wenn die Information in einer Zeitspanne bereitgestellt wird, in der üblicherweise mit der Informationsverschaffung gerechnet werden kann.359 Werden die Informationsangaben nach Lieferung der Ware bzw. nach Beginn der Ausführung der Dienstleistung zur Verfügung gestellt, ist die Angemessenheit stets zu verneinen. 196 Bei Fernabsatzverträgen über die Lieferung von digitalen Inhalten kommt neben § 312f Abs. 2 BGB die Bestimmung des § 312f Abs. 3 BGB zur Anwendung. Digitale Inhalte sind nach der Legaldefinition in § 312f Abs. 3 BGB „Daten, die in digitaler Form hergestellt und bereitgestellt werden“. Diese Legaldefinition beruht auf Art. 2 Nr. 11 RL 2011/83/EU.360 Unter den Begriff „digitale Inhalte“ fallen etwa Computerprogramme, Apps, Spiele, Musik, Videos,
351 BT-Drs. 17/12637, S. 55. 352 BT-Drs. 17/12637, S. 55; Grüneberg, in: Palandt, § 312f BGB Rz. 3. 353 BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 – Überschrift zur Widerrufsbelehrung; s.a. Grüneberg, in: Palandt, § 312f BGB Rz. 2. 354 BGH v. 9.11.2011 – I ZR 123/10, CR 2012, 549 – Überschrift zur Widerrufsbelehrung. 355 BT-Drs. 17/12637, S. 55; s.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312f Rz. 18. 356 BT-Drs. 17/12637, S. 55; ebenso Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPKBGB, § 312f Rz. 18; Grüneberg, in: Palandt, § 312f BGB Rz. 2, der aber gleichzeitig die Meinung vertritt, dass es genügt, wenn der Verbraucher die „Bestätigung ohne großen Aufwand zur Kenntnis nehmen kann“. 357 Vgl. BGH v. 15.5.2014 – III ZR 368/13, CR 2014, 736 (737); v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (Ls.) – Holzhocker. 358 Grüneberg, in: Palandt, § 312f BGB Rz. 3; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312f Rz. 19. 359 R. Koch, in: Erman, BGB, § 312f Rz. 5. 360 Schirmbacher/Creutz, ITRB 2014, 44.
486
Kosmides
Fernabsatzvertragsrecht
Rz. 200
B
E-Books und sonstige Texte.361 Dabei ist gleichgültig, ob die Daten heruntergeladen, gespeichert und hiernach sichtbar gemacht werden oder während des Herunterladens in Echtzeit sichtbar gemacht werden (Streaming).362 Die Dokumentationspflicht nach § 312f Abs. 3 BGB besteht nur beim Erwerb digitaler Inhalte, die nicht auf einem körperlichen Datenträger wie CD-ROM, DVD oder USB-Stick363 geliefert werden. Auch dabei hat der Verbraucher ein Widerrufsrecht, das aber unter den Voraussetzungen des § 356 Abs. 5 BGB (vorzeitig) erlischt. Die Dokumentationspflicht umfasst die für das Erlöschen des Widerrufsrechts erforderlichen Erklärungen des Verbrauchers i.S.v. § 356 Abs. 5 Nr. 1 und 2 BGB. Die Vertragsbestätigung muss ggf. im Einzelnen festhalten:
197
1. die vorherige ausdrückliche Zustimmung des Verbrauchers zur Ausführung des Vertrags vor Ablauf der Widerrufsfrist (§ 312f Abs. 3 Nr. 1 BGB). Eine konkludente Zustimmung des Verbrauchers ist ebenso unzureichend wie die Vereinbarung einer Fiktion des Schweigens des Verbrauchers als Zustimmung.364 2. die Bestätigung der Kenntnis des Verbrauchers davon, dass er durch seine Zustimmung sein Widerrufsrecht verliert (§ 312f Abs. 3 Nr. 2 BGB). § 312f Abs. 3 BGB ist für die Beweisführung durch den Unternehmer von Bedeutung.365 Fehlt es an einer Dokumentation der obigen Erklärungen des Verbrauchers, wird der Unternehmer die vorherige Zustimmung des Verbrauchers zur vorzeitigen Ausführung in Kenntnis der Folge (Erlöschen des Widerrufsrechts) nur schwer beweisen können. Gelingt dem Unternehmer dieser Beweis nicht, kann § 356 Abs. 5 BGB nicht greifen, mit der Folge, dass es bei der regulären Widerrufsfrist verbleibt.366
198
2.3.1.2 Fernabsatzverträge über Finanzdienstleistungen Bei Fernabsatzverträgen über Finanzdienstleistungen findet Art. 246b § 2 Abs. 2 EGBGB Anwendung (vgl. § 312c Abs. 3 BGB a.F.). Die Vorschrift setzt Art. 5 Abs. 3 Satz 1 RL 2002/65/EG um. Sie begründet einen vertraglichen Anspruch des Verbrauchers auf Überlassung der in Art. 246b § 2 Abs. 1 Satz 1 Nr. 1 EGBGB genannten Informationen (Vertragsbedingungen einschließlich AGB) in Papierform. Für die Erfüllung des Anspruchs dürfen dem Verbraucher keine Kosten berechnet werden.367
199
Dieser Anspruch entsteht mit Zustandekommen des Vertrags368 und besteht nach dem ein- 200 deutigen Wortlaut der Norm während dessen (gesamten) Laufzeit. Der Unternehmer wird insoweit nicht von seiner entsprechenden Pflicht befreit, wenn er die Pflichtangaben vor Vertragsschluss, freiwillig oder in Erfüllung einer gesetzlichen Pflicht, z.B. nach Art. 246b § 1 EGBGB oder nach Art. 246b § 2 Abs. 1 Satz 1 EGBGB, zur Verfügung gestellt hat.369 Der Verbraucher kann seinen Anspruch auf Informationsüberlassung jederzeit während der Vertragslaufzeit geltend machen. Der Anspruch erlischt nach § 362 BGB mit der ordnungsgemäßen Zurverfügungstellung der Pflichtangaben. Ein Unterschriftserfordernis besteht nicht.370 361 BT-Drs. 17/12637, S. 55; Grüneberg, in: Palandt, § 312f BGB Rz. 4; Schirmbacher/Creutz, ITRB 2014, 44; zu den digitalen Inhalten im Entwurf eines Gemeinsamen Europäischen Kaufrechts (GEK) Zenefels, K&R 2012, 463 ff. 362 Erw.grd. 19 Satz 1 RL 2011/83/EU; BT-Drs. 17/12637, S. 55. 363 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312f Rz. 22. 364 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312f Rz. 25. 365 Grüneberg, in: Palandt, § 312f BGB Rz. 4. 366 BT-Drs. 17/12637, S. 55 f.; Grüneberg, in: Palandt, § 312f BGB Rz. 4; R. Koch, in: Erman, BGB, § 312f Rz. 10. 367 BT-Drs. 15/2946, S. 22; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 141. 368 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 141. 369 Wie hier Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 141. 370 BT-Drs. 15/2946, S. 30.
Kosmides
487
B Rz. 201
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
2.3.2 Rechtsfolgen von Pflichtverstößen 201 Die Verletzung einer vertraglichen Dokumentationspflicht kann einen Anspruch des Verbrauchers auf Schadensersatz wegen der Verletzung einer Nebenpflicht nach §§ 280 Abs. 1, 241 Abs. 2 BGB begründen.371 Darüber hinaus kommt ein Rücktrittsrecht nach § 324 BGB in Betracht, wenn dem Verbraucher aufgrund der Nebenpflichtverletzung das Festhalten am Vertrag nicht zuzumuten ist.372 Ein Rücktrittsrecht wird eher selten bestehen, weil an die Unzumutbarkeit hohe Anforderungen zu stellen sind. Auf Ansprüche und sonstige Rechte des Verbrauchers im Falle von Pflichtverstößen findet die Beweislastregel des § 312k Abs. 2 BGB Anwendung (Rz. 205). 202 Zur Frage, ob daneben auch deliktische Schadensersatzansprüche aus § 823 Abs. 2 BGB sowie Unterlassungs- und Beseitigungsansprüche nach § 1004 BGB analog geltend gemacht werden können s. Rz. 184. 203 Es besteht ferner – wie bei der Verletzung vorvertraglicher Informationspflichten (Rz. 191) – die Möglichkeit nach § 2 UKlaG Unterlassungs- und Beseitigungsklageansprüche geltend zu machen.373 Denkbar sind schließlich wettbewerbsrechtliche Ansprüche nach den §§ 8–10 UWG (s. Rz. 995 ff.).374 204 Ist eine Abweichung zwischen dem Inhalt der Vertragsbestätigung i.S.v. § 312f Abs. 2 und 3 BGB und dem Inhalt des abgeschlossenen Vertrags gegeben, darf dem Verbraucher hieraus kein Nachteil entstehen.375 Es gilt vielmehr die für den Verbraucher günstigere Regelung.376 Die Grundsätze über die Behandlung eines kaufmännischen Bestätigungsschreibens finden keine Anwendung.377 2.4 Beweislast für die Pflichterfüllung 205 In § 312k Abs. 2 BGB ist eine Beweislastregelung für die Erfüllung der in den §§ 312 ff. BGB vorgesehenen Informationspflichten enthalten. Sie geht auf Art. 6 Abs. 9 RL 2011/83/EU zurück. Nach ihr hat der Unternehmer die Beweislast zu tragen. Der Begriff „Informationspflichten“ ist weit zu verstehen. Erfasst werden alle Informationspflichten bei Fernabsatzverträgen, nämlich sowohl die vorvertraglichen Informationspflichten (Rz. 105 ff.) als auch die vertraglichen Dokumentationspflichten (Rz. 192 ff.). Praktisch von Bedeutung ist diese Beweislastregel insb. dann, wenn Ansprüche oder sonstige Rechte des Verbrauchers wegen Verletzung einer Informationspflicht durch den Unternehmer in Betracht kommen.378 3. Weitergehende Informationspflichten 3.1 BGB, TMG, TKG 206 Eine Reihe besonders bedeutsamer Informationspflichten, die (auch) auf Fernabsatzverträge anwendbar sind, finden sich außerhalb des Fernabsatzrechts.379 Zu nennen ist zunächst § 312a Abs. 1 BGB, der eine Offenlegungspflicht bei Telefonaten vorsieht. § 312a Abs. 1 BGB 371 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 103; Grüneberg, in: Palandt, § 312f BGB Rz. 5; R. Koch, in: Erman, BGB, § 312f Rz. 9; s.a. BT-Drs. 17/12637, S. 55. 372 Grüneberg, in: Palandt, § 312f BGB Rz. 5; R. Koch, in: Erman, BGB, § 312f Rz. 9; s.a. BT-Drs. 17/12637, S. 55. 373 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 103. 374 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 103. 375 BT-Drs. 17/12637, S. 55. 376 Grüneberg, in: Palandt, § 312f BGB Rz. 5. 377 BT-Drs. 17/12637, S. 55. 378 S.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312k Rz. 35; Grüneberg, in: Palandt, § 312k BGB Rz. 4. 379 Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 108.
488
Kosmides
Fernabsatzvertragsrecht
Rz. 211
B
soll den Verbraucher vor der mit der telefonischen Vertragsanbahnung verbundenen Überrumpelungs- und Verschleierungsgefahr schützen.380 Durch die vorgesehene Offenlegungspflicht wird dem Verbraucher gerade die Möglichkeit gegeben, darüber zu entscheiden, ob er das Gespräch fortsetzen will oder nicht.381 Er setzt Art. 8 Abs. 5 RL 2011/83/EU sowie Art. 3 Abs. 3 RL 2002/65/EG um.382 § 312a Abs. 1 BGB schafft keine Rechtsgrundlage für Anrufe durch den Unternehmer, son- 207 dern setzt eine solche voraus.383 Der Unternehmer oder sein Gehilfe ist danach verpflichtet, bei von ihm veranlassten Telefonaten, die auf den Abschluss eines Vertrags mit dem Verbraucher ausgerichtet sind, bereits zu Beginn des Gesprächs seine Identität und ggf. diejenige des Unternehmers sowie den geschäftlichen Zweck des Anrufs ausdrücklich mitzuteilen. Die Vorschrift ist nicht auf herkömmliche Telefongespräche beschränkt. Erfasst werden vielmehr alle Formen der verbalen Echtzeitkommunikation (z.B. VoIP-Telefonie).384 In Betracht kommen darüber hinaus die Informationspflichten im elektronischen Geschäfts- 208 verkehr nach §§ 312i und 312j BGB (Rz. 407 ff., 425 ff.). Weitere Informationspflichten können schließlich aus dem TMG (§§ 5 und 6 TMG; s. Rz. 454 ff.) sowie dem TKG (z.B. §§ 43a, 66a, 66b und 66c TKG sowie § 93 TKG) folgen. Der BGH hat eine Reihe von Informationspflichten gegenüber dem TK-Diensteanbieter aus 209 § 241 Abs. 2 BGB abgeleitet. Wer nach Vertragsbeginn zusätzliche Leistungen anbietet und für deren Entgeltberechnung andere Parameter verwendet als für die bisher angebotenen Dienste (z.B. mobiler Internetzugang mit volumen- und nicht zeitabhängigem Tarif), ist etwa verpflichtet, dem Kunden die neuen Abrechnungsparameter mitzuteilen.385 Den TK-Diensteanbieter trifft außerdem die Pflicht, den Kunden zu warnen, wenn bei Nutzung nicht außergewöhnlich erscheinender Internetangebote große Datenmengen in Anspruch genommen werden, die bei volumenabhängigen Verbindungsentgelten für den mobilen Netzzugang zu hohen Kosten führen können.386 Auch hat der Anbieter den Nutzer darüber zu informieren, dass die Kosten für die Inanspruchnahme des Internetdienstes den üblicherweise von einem durchschnittlichen Nutzer ausgeschöpften Rahmen deutlich übersteigen.387 Kunden, die TK-Dienste nur im Rahmen einer Kreditlinie nutzen dürfen, sind rechtzeitig vor Erreichen des Limits zu warnen, bevor der Anbieter seine Leistungen einstellt.388 Spezialanforderungen ergeben sich aus z.B. AMG,389 HWG oder Berufsrecht, z.B. für Anwäl- 210 te. Bei Produkten, die Altersbeschränkungen unterliegen, ist insb. auf die Kennzeichnungspflichten nach dem JuSchG (Jugenschutzgesetz) zu achten (z.B. § 12 Abs. 2 JuSchG).390 3.2 PAngV 3.2.1 Informationspflichten – Preisangabe, -ermittlung Weitergehende Informationspflichten ergeben sich außerhalb des BGB (auch) aus der 211 PAngV. Die PAngV ist darauf ausgerichtet, durch eine sachlich zutreffende und vollständige Verbraucherinformation Preiswahrheit und Preisklarheit sicherzustellen und durch optima380 381 382 383 384 385 386 387 388 389 390
R. Koch, in: Erman, BGB, § 312a Rz. 3. R. Koch, in: Erman, BGB, § 312a Rz. 3. BT-Drs. 17/12637, S. 51. Grüneberg, in: Palandt, § 312a BGB Rz. 2; BT-Drs. 17/12637, S. 51. R. Koch, in: Erman, BGB, § 312a Rz. 3. BGH v. 15.3.2012 – III ZR 190/11, CR 2012, 448 (Ls. 1). BGH v. 15.3.2012 – III ZR 190/11, CR 2012, 448 (Ls. 2). BGH v. 15.3.2012 – III ZR 190/11, CR 2012, 448 (Ls. 3). BGH v. 15.3.2012 – III ZR 190/11, CR 2012, 448 (449); v. 9.6.2011 – III 157/10, CR 2011, 506 (508). BGH v. 30.3.2006 – I ZR 24/03, CR 2006, 539 zur Arzneimittelwerbung. Vgl. OLG Frankfurt v. 7.8.2014 – 6 U 54/14, juris Rz. 18; zu Alterskennzeichen für Apps und OnlineGames Schwiddessen, CR 2015, 515.
Kosmides
489
B Rz. 212
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
le Preisvergleichsmöglichkeiten die Stellung der Verbraucher gegenüber Handel und Gewerbe zu stärken und den Wettbewerb zu fördern.391 Sie regelt nicht, ob bestimmte Preise zulässig sind, sondern allein die Pflicht zur Angabe dieser Preise sowie die Art und Weise deren Angabe.392 Diese Verordnung gilt nur für Preisangaben gegenüber Verbrauchern. 212 Nach § 1 Abs. 1 Satz 1 PAngV hat derjenige, der Verbrauchern gewerbs- oder geschäftsmäßig oder wer ihnen regelmäßig in sonstiger Weise Waren oder Leistungen anbietet393 oder als Anbieter von Waren oder Leistungen gegenüber Verbrauchern unter Angabe von Preisen wirbt, den Preis anzugeben, der einschließlich der Umsatzsteuer und sonstiger Preisbestandteile zu zahlen ist (Gesamtpreis).394 213 Gegen die PAngV verstößt etwa die Bewerbung von durch Typ-Bezeichnungen näher konkretisierten Produkten ohne Nennung eines Preises und mit dem Hinweis, es handele sich um ein „beratungsintensives Produkt“ und man möge die „Hotline für eine kompetente Fachberatung“ kontaktieren.395 Grds. besteht die Möglichkeit, Gesamtpakete zu bilden und deren Preis einheitlich ohne Einzelpreise auszuweisen.396 Eine Angabe von Einzelpreisen, ohne Gesamtpreisangabe ist hingegen nach § 1 Abs. 1 Satz 1 PAngV rechtswidrig.397 Auch die bloße Bezugnahme auf die (unverbindliche) Preisempfehlung des Herstellers stellt grds. keine ausreichende Preisangabe dar, es sei denn, dass der Verkehr in dem Inhalt der Werbeanzeige aufgrund ihres Gesamteindrucks eine Einzelpreisangabe des Händlers erblickt.398 214 Bei einer Werbung für Internet-Flatrate und Internet-Zugang gehören zum Gesamtpreis auch die Kosten des Kabelanschlusses, sofern ein Kabelanschluss des Anbieters für die Inanspruchnahme dieser Dienstleistungen notwendig ist.399 Hierzu gehören hingegen nicht die Kosten für Produkte, die zwar für die Verwendung der angebotenen bzw. beworbenen Produkte erforderlich sind, jedoch von anderen Dienstleistern angeboten werden.400 Zur Angabe des Minutenpreises für Handyklingeltöne gehört auch der Hinweis auf das einzurichtende Prepaid-Konto mit bestimmtem Guthaben.401 215 Wenn die Überführungskosten im Gesamtpreis fehlen und nur gesondert ausgewiesen sind, liegt ein Verstoß gegen § 1 Abs. 1 PAngV vor.402 Entscheidend ist die Verkehrsauffassung, wobei anderes gelten kann, wenn die Kostenhöhe variabel, also nicht feststehend ist.403 Auch das Fehlen der Angabe zu fakultativen Kfz-Überführungskosten kann ein Verstoß gegen § 1 Abs. 1 Satz 1 PAngV und damit wettbewerbswidrig sein, wenn nur ein Hinweis, keine Bezifferung erfolgt.404
391 St. Rspr.: vgl. BGH v. 3.7.2003 – I ZR 211/01, CR 2003, 816 (817); v. 28.11.1996 – I ZR 197/94, GRUR 1997, 767 (769) – Brillenpreise II; v. 25.2.1999 – I ZR 4/97, GRUR 1999, 762 (763). 392 BGH v. 22.3.2012 – I ZR 111/11, IPRB 2012, 270. 393 Die Voraussetzungen für die Maßgaben der PAngV i.S.v. „Anbieten“ sind nicht berührt, wenn nur für DSL-Zugang geworben wird, ohne dass Tarife genannt werden; so OLG Köln v. 24.2.2006 – 28 U 164/05, MMR 2006, 472. 394 BGH v. 29.4.2010 – I ZR 99/08, CR 2011, 39 (40). 395 OLG Hamburg v. 11.9.2003 – 5 U 69/03, CR 2004, 377. 396 BGH v. 27.2.2003 – I ZR 253/00, MMR 2003, 548. 397 Köhler/Bornkamm/Köhler, UWG, § 1 PAngV Rz. 21. 398 BGH v. 23.6.1983 – I ZR 75/81, GRUR 1983, 658 (661); Köhler/Bornkamm/Köhler, UWG, § 1 PAngV Rz. 21. 399 BGH v. 10.12.2009 – I ZR 149/07, CR 2010, 510 (Ls. 1). 400 BGH v. 20.12.2007 – I ZR 51/05, CR 2008, 488 – Werbung für Telefondienstleistungen. 401 OLG Frankfurt v. 10.3.2005 – 6 U 25/04, CR 2005, 808. 402 OLG Schleswig v. 23.1.2007 – 6 U 65/06, MIR 2007, Dok. 124. 403 OLG Schleswig v. 23.1.2007 – 6 U 65/06, MIR 2007, Dok. 124 und LG Krefeld v. 4.9.2007 – 12 O 12/07, ITRB 2008, 154. 404 LG Krefeld v. 4.9.2007 – 12 O 12/07, MIR 2007, Dok. 371 (Ls. 3).
490
Kosmides
Fernabsatzvertragsrecht
Rz. 217a
B
Zum nach § 1 Abs. 1 Satz 1 PAngV anzugebenden Gesamtpreis gehört auch das Service-Ent- 215a gelt, das bei einer Kreuzfahrt für jede Übernachtung an Bord vom Reisekunden zu entrichten ist.405 Im Rahmen eines Internet-Reservierungssystems war es nach der früheren zur PAngV ergan- 216 genen Rspr. akzeptabel, wenn der Anbieter für Linienflüge bei der erstmaligen Bezeichnung von Preisen (Flugtarifen) nicht bereits den Gesamtpreis einschließlich Steuern und Gebühren angegeben hatte. Der Gesamtpreis wurde erst bei fortlaufender Eingabe in das Reservierungssystem ermittelt. Hier wurde der Nutzer auf der Start-Seite (klar und unmissverständlich) darauf hingewiesen, dass der Gesamtpreis erst nach Durchlaufen des Reservierungsvorgangs genannt werden kann, da die Steuern und Gebühren jeweils vom Flugziel und der Flugroute abhängig sind.406 Entsprechend zum Flugpreis-online-Vergleich: „Der Anbieter eines Reservierungssystems für Linienflüge im Internet verstößt nicht gegen § 1 Abs. 1, 6 PAngV, wenn das System bei der erstmaligen Benennung eines Preises nicht bereits den Endpreis angibt, sondern erst nach fortlaufender Eingabe in das Reservierungssystem, sofern der Nutzer hierauf zuvor klar und unmissverständlich hingewiesen wird“.407
Diese Rspr. ist aufgrund der nunmehr geltenden Spezialregelungen in Art. 23 Abs. 1 VO (EG) 217 Nr. 1008/2008 (Luftverkehrsdiensteverordnung)408 überholt (s. auch Rz. 485).409 Dabei handelt es sich um eine ausführliche Regelung, die Informationspflichten über Flugpreise (auch im Internet) abschließend normiert und in ihrem Anwendungsbereich Vorrang vor der RL 2005/29/EG und damit dem UWG sowie der PAngV hat.410 Nach Art. 23 Abs. 1 Satz 2 VO (EG) Nr. 1008/2008 ist der Endpreis stets auszuweisen. Dieser schließt den anwendbaren Flugpreis bzw. die anwendbare Luftfrachtrate sowie alle anwendbaren Steuern und Gebühren, Zuschläge und Entgelte, die unvermeidbar und zum Zeitpunkt der Veröffentlichung vorhersehbar sind, ein. Neben dem Endpreis sind nach Art. 23 Abs. 1 Satz 3 VO (EG) Nr. 1008/2008 auszuweisen: der Flugpreis bzw. die Luftfrachtrate, die Steuern, die Flughafengebühren und die sonstigen Gebühren, Zuschläge und Entgelte, wie etwa diejenigen, die mit der Sicherheit oder dem Kraftstoff in Zshg. stehen.411 Art. 23 Abs. 1 VO (EG) Nr. 1008/2008 verpflichtet dazu, den Endpreis anzugeben, ohne aber 217a dabei zu bestimmen, in welcher Währung der entsprechende Betrag zu entrichten ist. In Anbetracht des Charakters dieser Bestimmung als Spezialregelung hat insoweit das OLG Köln entschieden, dass ein Luftfahrtunternehmen für einen Flug von London nach Stuttgart gegenüber Verbrauchern in Deutschland nicht verpflichtet ist, den Flugpreis in Euro anzugeben. Maßgeblich sei nicht § 1 PAngV, sondern Art. 23 Abs. 1 VO (EG) Nr. 1008/2008, sodass eine Angabe des Preises in Britischen Pfund zulässig sei.412
405 BGH v. 7.5.2015 – I ZR 158/14, CR 2016, 262 (Ls. 2); ebenso die Vorinstanz: OLG München v. 15.5.2014 – 6 U 3188/13, juris (Os. 2). 406 BGH v. 3.4.2003 – I ZR 222/00, CR 2003, 849 – Internet-Reservierungssystem. 407 OLG Köln v. 29.10.2004 – 6 U 126/04, ITRB 2005, 179, (Ls.), keine Irreführung durch Online-Flugpreisvergleich bei Darstellung der Gebühren und Steuern erst im Endpreis, im Anschluss an BGH v. 3.4.2003 – I ZR 222/00, CR 2003, 849 = ITRB 2003, 265. 408 Verordnung (EG) Nr. 1008/2008 des Europäischen Parlaments und des Rates v. 24.9.2008 über gemeinsame Vorschriften für die Durchführung von Luftverkehrsdiensten in der Gemeinschaft (ABl. Nr. L 293 v. 31.10.2008, S. 3). 409 S.a. Köhler/Bornkamm/Köhler, UWG, § 1 PAngV Rz. 18. 410 OLG Köln v. 4.9.2015 – 6 U 61/15, CR 2016, 258; Köhler/Bornkamm/Köhler, UWG, Vorb PAngV Rz. 16. 411 Zu versteckten Servicegebühren bei Flugbuchungen im Internet Müggenborg/Frenz, NJW 2012, 1537 ff. 412 OLG Köln v. 4.9.2015 – 6 U 61/15, CR 2016, 258 f.
Kosmides
491
B Rz. 218
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
218 In Bezug auf Art. 23 Abs. 1 Satz 2 VO (EG) Nr. 1008/2008 hat der EuGH auf Vorlage des BGH413 klargestellt, dass der zu zahlende Endpreis im Rahmen eines elektronischen Buchungssystems: 1. „bei jeder Angabe von Preisen für Flugdienste, einschließlich bei ihrer erstmaligen Angabe, auszuweisen ist“ sowie 2. „nicht nur für den vom Kunden ausgewählten Flugdienst, sondern auch für jeden Flugdienst auszuweisen ist, dessen Preis angezeigt wird.“414
219 In § 1 Abs. 2 PAngV werden spezielle für Angebote zum Abschluss eines Fernabsatzvertrags geltende Anforderungen geregelt. Dabei ist anzugeben, – dass die für Waren oder Leistungen geforderten Preise die Umsatzsteuer und sonstige Preisbestandteile enthalten (§ 1 Abs. 2 Satz 1 Nr. 1 PAngV)415 und – ob zusätzlich Fracht-, Liefer- oder Versandkosten oder sonstige Kosten anfallen (§ 1 Abs. 2 Satz 1 Nr. 2 PAngV).416 220 Bei Fracht-, Liefer- oder Versandkosten ist auch deren Höhe anzugeben, soweit diese Kosten vernünftigerweise im Voraus berechnet werden können (§ 1 Abs. 2 Satz 2 PAngV). Die Regeln der PAngV sind auch auf Auslandsversandkosten anwendbar, mit der Folge, dass bei Auslandslieferungen die Höhe dieser Kosten zu beziffern ist.417 221 Die Angabe des Gesamtpreises ist nicht ausreichend, wenn Waren in Fertigpackungen, offenen Packungen oder als Verkaufseinheiten ohne Umhüllung nach Gewicht, Volumen, Länge oder Fläche angeboten werden. Hier ist auch der Grundpreis, d.h. der Preis je Mengeneinheit einschließlich der Umsatzsteuer und sonstiger Preisbestandteile, anzugeben (§ 2 Abs. 1 Satz 1 PAngV). Beim Angebot eines Gleitgels in einer Verpackungsgröße von 200 Millilitern durch den gewerblicher Betreiber eines Online-Erotik-Shops ist nach Ansicht des OLG Hamm auch der Grundpreis pro 100 Millilitern mitzuteilen.418 3.2.2 Anforderungen an die Darstellung der Information 222 Nach § 1 Abs. 6 Satz 1 PAngV müssen die Pflichtangaben gem. dieser Verordnung der allgemeinen Verkehrsauffassung und den Grundsätzen von Preisklarheit und Preiswahrheit entsprechen. Die anzugebenden Preise müssen nach § 1 Abs. 6 Satz 2 PAngV dem Angebot oder der Werbung eindeutig zugeordnet sowie leicht erkennbar und deutlich lesbar oder sonst gut wahrnehmbar sein. 223 Den Anforderungen gem. § 1 Abs. 1 Satz 1 PAngV und § 1 Abs. 6 PAngV wird das Anbieten auf einer Internetseite der Möglichkeit des „Gratis Downloadens“ mit den Angaben „Jetzt kostenlos testen“ nicht gerecht, wenn in den AGB geregelt ist, dass nach Ablauf von 14 Ta-
413 BGH v. 18.9.2013 – I ZR 29/12, CR 2014, 47 (Ls.). 414 EuGH v. 15.1.2015 – C-573/13, ITRB 2015, 15; daran anschließend BGH v. 30.7.2015 – I ZR 29/12, CR 2016, 321 – Buchungssystem II. 415 BGH v. 16.7.2009 – I ZR 50/07, Rz. 23, ITRB 2010, 158. 416 BGH v. 16.7.2009 – I ZR 50/07, Rz. 23, ITRB 2010, 158. 417 OLG Hamm v. 1.2.2011 – I-4 U 196/10, MMR 2011, 523 (524 f.); vgl. aber OLG Frankfurt v. 27.7.2011 – 6 W 55/11, CR 2012, 59 = MMR 2011, 800 („Die sich aus der PAngV ergebenden Verpflichtungen gelten nur für Preisangaben ggü. im Inland ansässigen Verbrauchern. Fälle, in denen inländische Verbraucher anlässlich eines Kaufs bei der Antragsgegnerin einen Versand des Kaufgegenstands an eine ausländische Adresse wünschen, sind zwar denkbar; sie sind jedoch derart selten, dass der beanstandete Preisangabenverstoß unterhalb der Bagatellgrenze des § 3 Abs. 1, Abs. 2 UWG anzusiedeln ist“.). 418 OLG Hamm v. 9.2.2012 – I-4 U 70/11, MMR 2012, 377.
492
Kosmides
Fernabsatzvertragsrecht
Rz. 227
B
gen oder bei Überschreiten eines Testvolumens mangels Kündigung ein entgeltlicher Vertrag mit 12-monatiger Laufzeit zustande kommt.419 Die Anforderungen sollen nicht immer so hoch wie bei Print sein, sodass es genügen kann, 224 dass die notwendigen Preisangaben aufgrund einfacher elektronischer Verknüpfung festgestellt werden können, sofern der Nutzer hierauf klar und unmissverständlich hingewiesen wird.420 Eine klare und verständliche Information des Verbrauchers über zusätzlich zum Warenpreis anfallende Liefer- und Versandkosten im Online-Warenhandel kann erfolgen, ohne dass die Versandkosten noch einmal in einer – auf der für die Bestellung eingerichteten Internetseite unmittelbar vor Abschluss des Bestellvorgangs erscheinenden – „Bestell-Übersicht“ neben dem Warenpreis der Höhe nach ausgewiesen werden müssen. Es reicht also für § 1 Abs. 1, Abs. 6 PAngV, wenn der Gesamtpreis einer Internet-Reservierung erst im Laufe der Reservierung ermittelt wird, soweit der Nutzer darauf hingewiesen wird.421 Im Bereich des Internet ist es besonders problematisch, die Anforderungen des § 1 Abs. 6 225 Satz 2 PAngV zu erfüllen.422 Die Frage ist also, welche Abweichungen im Einzelfall noch tolerabel sind, indem auf die besonderen Umstände bei der Internet-Präsentation abgestellt wird. Evtl. fehlerhafte Preisauszeichnung im Internet wird Bestandteil des Vertrages, der evtl. durch die automatisch verfasste E-Mail, die eine konkludent erklärte Annahme des Angebots darstellt, zustande kommt.423 Allerdings kommt Irrtumsanfechtung, z.B. bei fehlerhafter Software, in Betracht.424 Viele Anbieter geben die Preise erst bei einem späten Schritt des gesamten Geschäftsprozes- 226 ses an. Dies ist grds. unzulässig. Denn der Verbraucher benötigt die gesetzlich vorgeschriebenen Preisangaben nicht erst im Zuge der Bestellung, sondern schon dann, wenn er sich mit dem Angebot näher befasst.425 Der BGH hat in diesem Zshg. entschieden, dass die Anforderungen des § 1 Abs. 6 Satz 2 PAngV nicht erfüllt werden, wenn die Pflichtangaben dem Verbraucher erst gegeben werden, wenn er den Bestellvorgang durch Einlegen der Ware in den virtuellen Warenkorb bereits eingeleitet hat.426 Die Pflichtangaben müssen vor Bestellung bzw. bei Einleitung des Bestellvorgangs erteilt werden.427 Etwas anderes gilt allerdings für die Liefer- und Versandkosten, wenn deren Höhe vom Um- 227 fang der Gesamtbestellung oder von der Art der ausgewählten Waren abhängig ist. In sol419 LG Berlin v. 28.11.2007 – 96 O 175/07, jur-pc 79/2008. 420 OLG Frankfurt v. 12.5.2004 – 6 W 72/04, CR 2005, 343 = ITRB 2005, 136 (Preisangabe bei Internetwerbung für Mobiltelefon); so auch LG Bonn v. 10.4.2007 – 11 O 165/06, CR 2007, 638. 421 BGH v. 3.4.2003 – I ZR 222/00, CR 2003, 849 = ITRB 2003, 265 – Internet-Reservierungssystem. S.a. v. 3.5.2005 – VIII ZR 382/04, MMR 2006, 101. 422 S. etwa für Umsatzsteuer zur Notwendigkeit unmittelbarer Nähe der Preise und der Bestandteile oder einer Führung zu diesen Angaben in räumlicher Nähe zur Werbung OLG Hamburg v. 9.7.2007 – 5 W 129/07, CR 2008, 116 = MIR 2007, Dok. 366 (Ls. 7). S. aber BGH v. 4.10.2007 – I ZR 22/05, CR 2008, 446 m. Anm. Schirmbacher = ITRB 2008, 250 und v. 4.10.2007 – I ZR 143/04. Ohnehin nur Bagatellverstoß gegen PAngV wegen nicht eindeutig dem Preis zugeordnetem Umsatzsteuerhinweis i.R.v. eBay: KG v. 11.5.2007 – 5 W 116/07, CR 2007, 595 = MIR 2007, Dok. 213. 423 BGH v. 26.1.2005 – VIII ZR 175/04, CR 2005, 355. 424 BGH v. 26.1.2005 – VIII ZR 175/04, CR 2005, 355. 425 BGH v. 16.7.2009 – I ZR 50/07, Rz. 24, ITRB 2010, 158; v. 4.10.2007 – I ZR 143/04, CR 2008, 108 (109) m. Anm. Kaufmann. 426 BGH v. 16.7.2009 – I ZR 50/07, Rz. 24, ITRB 2010, 158; v. 4.10.2007 – I ZR 143/04, CR 2008, 108 (109) m. Anm. Kaufmann. 427 BGH v. 4.10.2007 – I ZR 143/04, CR 2008, 108 m. Anm. Kaufmann = MMR 2008, 39 m. Anm. Hoffmann, 43, zu OLG Hamburg v. 12.8.2004 – 5 U 187/03, CR 2005, 129 und v. 4.10.2007 – I ZR 22/04 zu OLG Hamburg v. 21.12.2004 – 5 U 17/04, CR 2005, 605 = ITRB 2005, 226; OLG Frankfurt v. 6.3.2008 – 6 U 85/07, CR 2008, 741 = MIR 2008, Dok. 181. „Erforderlich ist allerdings, dass eine solche Seite vor Einleitung des Bestellvorgangs notwendig aufgerufen werden muss“. Zur Erforderlichkeit präziser Angabe der Auslandsversandkosten s. LG Berlin v. 24.6.2008 – 16 O 894/07, MIR 2008, Dok. 251.
Kosmides
493
B Rz. 228
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
chen Fällen ist der Hinweis „zzgl. Versandkosten“ unmittelbar bei der Werbung ausreichend, wenn „sich bei Anklicken oder Ansteuern dieses Hinweises ein Fenster mit einer übersichtlichen und verständlichen Erläuterung der allgemeinen Berechnungsmodalitäten für die Versandkosten öffnet und außerdem die tatsächliche Höhe der für den Einkauf anfallenden Versandkosten jeweils bei Aufruf des virtuellen Warenkorbs in der Preisaufstellung gesondert ausgewiesen wird“.428 228 Auch wird manchmal nur ein Link dafür gesetzt, mehr (Details) zu erfahren, z.B. den Grundpreis einer Flatrate.429 Das OLG Frankfurt hat hierzu („Details“) offen gelassen, ob ein Link überhaupt geeignet ist, den Anforderungen der PAngV gerecht zu werden: In „Rund um die Uhr für null Pfennig surfen“ liegt, wenn der monatliche Grundpreis nicht genannt wird, ein Verstoß gegen die PAngV.430 Im konkreten Fall reichte der Link nicht, weil aus der Bezeichnung „Details“ des Link nicht erkennbar sei, ob überhaupt bei seiner Aktivierung ein Hinweis auf eine anfallende Grundgebühr und deren Höhe erkennbar werde: „2. Ein Link, der nicht erkennen lässt, dass er zu einer Angabe über die monatliche Grundgebühr (auf einer anderen Website) führt, kann nicht wie ein Sternchenhinweis die Zuordnung zum Angebot ersetzen“.431
229 Unter ausdrücklicher Bezugnahme auf BGH432 und OLG Frankfurt433 hat das OLG Hamburg als Verstoß gegen die PAngV die Angabe „Top-Tagespreis“ angesehen.434 Danach war nicht ausreichend, dass man den Preis erst durch Anklicken dieser Worte in Erfahrung bringen konnte. Das Gericht nahm an, dass das „Unterstreichen“ zwar von einigen Beteiligten, wenn man mit dem Cursor auf dieses Wort geht und damit die Hand erscheint, dahingehend verstanden werde, dass ein Link zur Verfügung stehe bzw. sich dahinter verberge, jedoch keine „leichte Erkennbarkeit“ und keine „eindeutige“ Zuordnung der Preisangabe zum Produktangebot vorliege.435 230 Das Erfordernis der unmittelbaren räumlichen Nähe der Preisangaben mit allen Bestandteilen zur Werbung kann aber auch nach Ansicht des OLG Hamburg beim Internetversandhandel durch einen „sprechenden Link“ erfüllt werden.436 Nach Ansicht des OLG Hamburg genügt es nicht, „wenn am oberen Bildschirmrand auf die Seiten ‚allgemeine Geschäftsbedingungen‘ und ‚Service‘ hingewiesen wird, auf denen sich die Angaben nach § 1 Abs. 2 PAngV finden lassen. Auch genügt es nicht, wenn der Kunde während des Bestellvorgangs darüber informiert wird, dass der Preis die Umsatzsteuer enthält und in welcher Höhe Versandkosten anfallen“.437
231 Gegenteilig hatte sich der BGH schon früher geäußert: „Eine klare und verständliche Information des Verbrauchers über zusätzlich zum Warenpreis anfallende Liefer- und Versandkosten im Online-Warenhandel kann erfolgen, ohne dass die Versandkosten noch einmal in einer – auf der für die Bestellung eingerichteten Internetseite unmittelbar vor
428 BGH v. 16.7.2009 – I ZR 50/07, Rz. 27, ITRB 2010, 158. 429 OLG Hamburg v. 6.7.2006 – 3 U 234/05, MIR 2008, Dok. 020 zum Begriff der Flatrate: „Ausgehend von dem allgemeinen Wortsinn wird die Bezeichnung „Flatrate“ bzw. „Flatrate Plus“ von den angesprochenen Verkehrskreisen als Pauschaltarif verstanden, nach dem die Internetnutzung regelmäßig zeit- und/oder volumenunabhängig abgerechnet wird.“ 430 OLG Frankfurt v. 12.7.2001 – 6 U 38/01, GRUR-RR 2002, 113 – Null Pfennig. 431 OLG Frankfurt v. 12.7.2001 – 6 U 38/01, GRUR-RR 2002, 113 – Null Pfennig. 432 BGH v. 3.4.2003 – I ZR 222/00, CR 2003, 849 = ITRB 2003, 265 – Internet-Reservierungssystem. 433 OLG Frankfurt v. 12.7.2001 – 6 U 38/01, GRUR-RR 2002, 113 – Null Pfennig. 434 OLG Hamburg v. 6.11.2003 – 5 U 48/03, CR 2004, 460. 435 OLG Hamburg v. 6.11.2003 – 5 U 48/03, CR 2004, 460. 436 OLG Hamburg v. 12.8.2004 – 5 U 187/03, CR 2005, 128; s. dazu sogleich BGH v. 4.10.2007 – I ZR 143/04, CR 2008, 108 m. Anm. Kaufmann – Versandkosten. 437 OLG Hamburg v. 12.8.2004 – 5 U 187/03, CR 2005, 128 (Ls. 1 S. 3 und 4); s.a. sogleich BGH v. 4.10.2007 – I ZR 143/04, CR 2008, 108 m. Anm. Kaufmann – Versandkosten.
494
Kosmides
Fernabsatzvertragsrecht
Rz. 235
B
Abschluss des Bestellvorgangs erscheinenden – ‚Bestell-Übersicht‘ neben dem Warenpreis der Höhe nach ausgewiesen werden müssen“.438
Ob eine Zwangsführung zu den gesonderten Seiten, auf die so verwiesen wird, erforderlich 232 ist, bleibt offen. Mit Blick auf die E. des BGH zu AGB wird dieser Zwang jedoch nicht erforderlich sein.439 Auf dieser Linie iegt es, wenn der BGH anders als das OLG Hamburg einen klaren und unmissverständlichen Sternchenhinweis in der Werbung des Fernabsatzhändlers genügen lässt.440 Das OLG Hamburg forderte in einer weiteren E. etwas eng:
233
„Der Hinweis darauf, dass der Preis für Waren, die im Wege des Fernabsatzes vertrieben werden, die Umsatzsteuer enthält, muss gemäß § 1 Abs. 6 Satz 2 PAngV dem Angebot oder der Werbung mit Preisen eindeutig zugeordnet sowie leicht erkennbar, deutlich lesbar oder sonst gut wahrnehmbar sein. Dazu gehört, dass sich der Preis und seine Bestandteile entweder in unmittelbarer Nähe zu der Werbung mit den Artikeln befindet oder der Nutzer jedenfalls in unmittelbarer räumlicher Nähe zu der Werbung unzweideutig zu dem Preis mit allen seinen Bestandteilen geführt wird (BGH NJW 2003, 3055, 3056 – Internet-Reservierungssystem; Hanseatisches OLG GRUR-RR 2005, 27, 28 – Internetversandhandel). Die Unterbringung des Hinweises auf die Umsatzsteuer lediglich in den AGB eines Internetanbieters genügt nicht den Anforderungen der Preisangabenverordnung“.441
Der BGH sieht dies nicht so eng: Es muss nicht auf derselben Internetseite, auf der neben der Warenabbildung der Preis genannt wird, darauf hingewiesen werden, dass der Preis auch die Umsatzsteuer enthält und zusätzlich zu dem Preis Liefer- und Versandkosten anfallen. Den Verbrauchern ist bekannt, dass neben den Endpreisen noch Liefer- und Versandkosten anfallen und dass die Preise die Umsatzsteuer enthalten.
234
„Es kann deshalb genügen, wenn die durch § 1 Abs. 2 PAngV geforderten Angaben jedenfalls alsbald sowie leicht erkennbar und gut wahrnehmbar auf einer gesonderten Internetseite gemacht werden, die noch vor Einleitung des Bestellvorgangs notwendig ausgerufen werden muss“.442
Auch bereits bei Werbung muss dem Erfordernis der PAngV Rechnung getragen werden, indem ein Hinweis auf die enthaltene Umsatzsteuer erfolgt, also eindeutig zuzuordnen sowie leicht erkennbar und deutlich lesbar, jedoch nicht unmittelbar neben dem Preis: Es genügt bei Anzeigenwerbung eine eindeutige Zuordnung, die auch durch klaren und unmissverständlichen Sternchenhinweis erfolgen kann.443 Der „Sternchenhinweis“ gilt dann, wenn dadurch die Zuordnung der Angaben in der Werbung gewahrt bleibt und die Angaben gut lesbar und vollständig sind.444
438 BGH v. 5.10.2005 – VIII ZR 382/04, CR 2006, 120 = ITRB 2006, 50 (Ls. a). 439 BGH v. 14.6.2006 – I ZR 75/03, CR 2006, 773 = ITRB 2006, 271. 440 BGH v. 4.10.2007 – I ZR 22/05, CR 2008, 446 = ITRB 2008, 250 – Umsatzsteuerhinweis – zu OLG Hamburg v. 23.12.2004 – 5 U 17/04, CR 2005, 605 = ITRB 2005, 226. 441 OLG Hamburg v. 14.2.2007 – 5 U 152/06, CR 2007, 404 = MIR 2007, Dok. 366 = ITRB 2007, 156. 442 BGH v. 4.10.2007 – I ZR 143/04, CR 2008, 108: zu OLG Hamburg v. 12.8.2004 – 5 U 187/03, CR 2005, 128 (Aufhebung und Zurückverweisung). 443 BGH v. 4.10.2007 – I ZR 22/05, CR 2008, 446 = ITRB 2008, 250 – Umsatzsteuerhinweis. 444 BGH v. 8.10.1998 – I ZR 187/97, CR 1999, 76 = WRP 1999, 90 (93) – Handy für 0,00 DM, worauf OLG Frankfurt v. 12.7.2001 – 6 U 38/01 ausdrücklich verweist. S.a. BGH v. 4.10.2007 – I ZR 22/05, CR 2008, 446 m. Anm. Schirmbacher = ITRB 2008, 250 – Umsatzsteuerhinweis (durch klaren und unmissverständlichen Sternchenhinweis). Zu „Sternchenhinweis“ vergleichbar mit Link, LG Berlin v. 19.12.2002 – 16 O 675/01, CR 2003, 533. Zum räumlichen Bezug – USt zum Warenangebot und gesonderte Ausweisung der Verpackungskosten: OLG Hamburg v. 24.2.2005 – 5 U 72/04, CR 2006, 127; s.a. nicht gut lesbare „Fußnoten“, OLG Schleswig v. 15.7.2003 – 6 U 92/02, MMR 2003, 750; OLG Stuttgart v. 17.3.2005 – 2 U 173/04, MMR 2005, 852; bei Print: LG Bonn v. 11.4.2006 – 11 O 9/06, MMR 2006, 634.
Kosmides
495
235
B Rz. 236
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
236 Grds. wird man davon ausgehen können, dass ein unmissverständlich gekennzeichneter, zur Hand liegender Link ausreichend ist, um die Preisangaben zuzuordnen, die dahinter liegen.445 Bei Kopplungsangeboten wird der Gesamtpreis wegen diverser Optionen, die der Kunde ausüben kann, evtl. nur mittels Verlinkung festgestellt werden können, was ausreichend sein soll.446 Vom Kunden darf und muss bei solchen Kopplungsangeboten erwartet werden, dass er bei der (Gesamt-)Preisermittlung mitwirkt, z.B. bei „Festnetz, Internet und Handy – Alles aus einer Hand!“447: „Im Internethandel ist es ausreichend, wenn Endpreise bei Kopplungsangeboten mit Kundenoptionen für den Interessenten mittels Verlinkung festgestellt werden können“.448
237 Allerdings wird es erforderlich sein, dass der Benutzer die einzelnen Steps klar als solche erkennt und immer weiß bzw. feststellen kann, wo er sich gerade im Prozess der Gestaltung seiner Bestellung und deren Umfang befindet. Von der Komplexität und Variabilität des Angebots wird auch abhängig sein, wie viele Schritte erforderlich sind.449 Bei der Bewerbung eines Smartphones zu einem Kaufpreis von 1 Euro, wenn zugleich ein Mobilfunkvertrag bei einem bestimmten Anbieter abgeschlossen wird, handelt es sich um ein zulässiges Kopplungsangebot, wenn ein Endpreis für das einheitliche Leistungsangebot angegeben wird.450 Dabei ist der Anbieter bzw. Werbende nicht verpflichtet, den Mobilfunktarif dahingehend aufzuschlüsseln, dass neben den TK-Leistungen auch der Handyzuschlag gesondert dargestellt wird.451 238 Zusätzlich gilt dieses Transparenzgebot auch für die einzelnen Preise: „Wird für einen Bestandteil eines Kopplungsangebots mit einem besonders günstigen Preis geworben, muss der Preis für die anderen Bestandteile des Angebots in der Werbung deutlich kenntlich gemacht werden (im Anschluss an BGH v. 8.10.1998 – I ZR 187/97, BGHZ 139, 368 = CR 1999, 76 – Handy für 0,00 DM). Im Rahmen eines Angebots für ein Mobiltelefon und einen Netzkartenvertrag dürfen für die Freischaltung des Kartenvertrags anfallende Aktivierungskosten nicht zwischen untergeordneten Informationen versteckt sein“.452
239 Nach § 2 Abs. 1 Satz 1 PAngV ist der Grundpreis in unmittelbarer Nähe des Gesamtpreises anzugeben. Diese Voraussetzung wird erfüllt, wenn beide Preise auf einen Blick wahrgenommen werden können.453 240 Besonderheiten der Preisangabe und -gestaltung können sich noch aus Spezialgesetzen ergeben.454
445 Für AGB BGH v. 14.6.2006 – I ZR 75/03, CR 2006, 773 = ITRB 2006, 271 i.V.m. „Sternchenhinweis“-E. des BGH v. 3.4.2003 – I ZR 222/00, CR 2003, 849 = ITRB 2003, 265 – Internet-Reservierungssystem. 446 LG Bonn v. 10.4.2007 – 11 O 165/06, CR 2007, 638. 447 LG Bonn v. 10.4.2007 – 11 O 165/06, CR 2007, 638. 448 LG Bonn v. 10.4.2007 – 11 O 165/06, CR 2007, 638 unter Hinweis auf BGH v. 7.4.2005 – I ZR 314/02, CR 2005, 591 = ITRB 2005, 203 – Internet-Versandhandel. 449 LG Bonn v. 10.4.2007 – 11 O 165/06, CR 2007, 638, hier: Kopplungsangebot für Telekommunikationsdienste und Endgeräte, das auf Kundenoptionen beruht. 450 OLG Celle v. 27.11.2014 – 13 U 89/14, CR 2015, 226. 451 LG Bonn v. 10.4.2007 – 11 O 165/06, CR 2007, 638, hier: Kopplungsangebot für Telekommunikationsdienste und Endgeräte, das auf Kundenoptionen beruht. OLG Celle v. 27.11.2014 – 13 U 89/14, CR 2015, 226 (Ls. 2). 452 BGH v. 2.6.2005 – I ZR 252/02, CR 2006, 112 – Aktivierungskosten II. Zu mangels deutlicher Lesbarkeit irreführendem Kopplungsangebot in Fußnoten eines Prospekts s. LG Bonn v. 11.4.2006 – 11 O 9/06, MMR 2006, 634. 453 BGH v. 26.2.2009 – I ZR 163/06, CR 2009, 746 (Ls. b) – Dr. Clauder’s Hufpflege. 454 Z.B. Tabaksteuergesetz, Bindung an Kleinverkaufspreis: OLG Frankfurt v. 2.6.2004 – 6 W 79/04, CR 2004, 948 (Ls.) = ITRB 2005, 54; ArzneimittelpreisVO: OLG Hamm v. 21.9.2004 – 4 U 74/04, CR 2005, 209 = ITRB 2005, 105; Buchpreisbindung b. Internetversandhandel, OLG Frankfurt v. 22.6.2004 – 11 U (Kart) 2/04, CR 2004, 838.
496
Kosmides
Fernabsatzvertragsrecht
Rz. 244
B
4. Widerrufsrecht 4.1 Rechtsgrundlage und Gesetzessystematik Der Schutz des Verbrauchers bei Fernabsatzgeschäften wird durch das mit § 312g Abs. 1 241 BGB begründete Widerrufsrecht komplettiert (zur Schutzfunktion des Widerrufsrechts Rz. 8, 10). In Anbetracht dessen Schutzfunktion (dazu Rz. 10 f.) ist das Widerrufsrecht als ein „an keine materiellen Voraussetzungen gebundenes, einfach auszuübendes Recht zur einseitigen Loslösung vom Vertrag“455 anzusehen. Es steht dem Verbraucher neben und unabhängig von den allgemeinen Rechten zu, die jede Person im Falle einer Vertragsbindung hat.456 § 312g Abs. 2 und 3 BGB regeln die wichtigsten Fälle, in denen das gesetzlich gewährte Widerrufsrecht nicht besteht (Rz. 248 ff., 285 ff.). In Bezug auf das fernabsatzrechtliche Widerrufsrecht verweist § 312g Abs. 1 BGB auf § 355 BGB. In den §§ 355–361 BGB werden die Einzelheiten der Ausübung dieses Rechts und dessen Rechtsfolgen geregelt.457 Diese Bestimmungen gelten – wie die amtlichen Überschriften von § 355 BGB sowie von Titel 5 und Untertitel 2 (Buch 2, Abschnitt 3) zeigen – einheitlich für Widerrufsrechte bei Verbraucherverträgen. § 355 BGB beinhaltet die zentrale Vorschrift zum Widerrufsrecht, die für alle Verbraucherverträge, darunter auch für Fernabsatzverträge gilt. Die Vorschrift begründet an sich kein Widerrufsrecht, sondern setzt ein solches voraus.458 Sie legt dabei die allgemeinen gesetzlichen Vorgaben für die Ausübung sowie die Wirkung und die Rechtsfolgen des Widerrufsrechts fest.
242
Nach Vertragsart getrennt werden Einzelheiten der Ausübung des Widerrufsrechts in den 243 §§ 356–356c BGB geregelt. Besondere Vorgaben für Fernabsatzverträge, die die allgemeinen Regelungen in § 355 BGB ergänzen und modifizieren,459 werden in der Spezialvorschrift des § 356 BGB gemacht. Abweichende Regelungen gegenüber § 356 BGB sind für bestimmte Vertragsarten in den §§ 356a und 356b BGB enthalten. Teilzeit-Wohnrechteverträge, Verträge über ein langfristiges Urlaubsprodukt, Vermittlungsverträge und Tauschsystemverträge, die im Fernabsatz geschlossen werden, unterliegen (auch) § 356a BGB. § 356a BGB stellt eine Sonderregel dar, die im erfassten Bereich § 356 BGB vorgeht. Die §§ 355 und 356 BGB sind insofern auf die in der amtlichen Überschrift des § 356a BGB genannten (im Fernabsatz geschlossenen) Verträge soweit anwendbar, wie § 356a BGB keine abweichenden Spezialvorschriften enthält.460 Etwas anderes gilt für das Verhältnis von § 356b BGB zu § 356 BGB: § 356 BGB ist nicht auf Verbraucherdarlehensverträge anwendbar, auch wenn sie im Fernabsatz geschlossen wurden (vgl. § 312g Abs. 3 BGB). Dies gilt deshalb, weil § 356b BGB eine abschließende Sonderregelung enthält, die § 356 BGB verdrängt.461 Für diese Verträge wird § 355 BGB ausschließlich durch § 356b BGB ergänzt.462 Für Fernabsatzverträge über sonstige Finanzdienstleistungen gilt hingegen § 356 BGB. § 356c BGB betrifft insb. Ratenlieferungsverträge im stationären Handel. Für Ratenlieferungsverträge, die im Fernabsatz geschlossen wurden, ist hingegen § 356 BGB maßgeblich. Der Regelungstechnik der §§ 356–356c BGB folgend, werden in den §§ 357–357c BGB beson- 244 dere Rechtsfolgen im Falle der Ausübung des Widerrufsrechts bei bestimmten Vertragstypen festgelegt. Für das Verhältnis von § 357 BGB zu § 355 BGB sowie der §§ 357–357c BGB zu-
455 So ausdrücklich BGH v. 16.3.2016 – VIII ZR 146/15, CR 2016, 389 (Rz. 16); v. 25.11.2009 – VIII ZR 318/08, CR 2010, 188 (189, Rz. 17). 456 BGH v. 25.11.2009 – VIII ZR 318/08, CR 2010, 188 (189, Rz. 17). 457 Schirmbacher/Schmidt, CR 2014, 107 (112). 458 S.a. Bittner, in: Bittner/Clausnitzer/Föhlisch, Das neue Verbrauchervertragsrecht, Rz. 188. 459 Bittner, in: Bittner/Clausnitzer/Föhlisch, Das neue Verbrauchervertragsrecht, Rz. 189. 460 Wohl auch BT-Drs. 17/12637, S. 62. 461 BT-Drs. 17/12637, S. 60. 462 BT-Drs. 17/12637, S. 60.
Kosmides
497
B Rz. 245
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
einander gilt im Wesentlichen das im Zshg. mit den §§ 356–356c BGB Gesagte (Rz. 243): Auf Fernabsatzverträge findet grds. § 357 BGB Anwendung. Unter § 357 BGB fallen auch im Fernabsatz geschlossene Ratenlieferungsverträge. Soweit es sich allerdings um (Fernabsatzverträge über) Finanzdienstleistungen handelt, findet § 357 BGB keine Anwendung. Dies folgt bereits aus der amtlichen Überschrift von § 357 BGB. Für diese Verträge ist die abschließende Spezialvorschrift des § 357a BGB einschlägig. Für Teilzeit-Wohnrechteverträge, Verträge über ein langfristiges Urlaubsprodukt, Vermittlungsverträge und Tauschsystemverträge werden die von § 357 BGB abweichenden Rechtsfolgen des Widerrufs in § 357b BGB abschließend bestimmt.463 Solche Verträge, die im Fernabsatz geschlossen wurden, unterliegen beiden Regelungen, wobei § 357b BGB aufgrund des bestehenden Spezialitätsverhältnisses Vorrang gegenüber § 357 BGB gebührt. 245 In den §§ 358–360 BGB werden Bestimmungen über den Widerrufs- und Einwendungsdurchgriff bei Verbraucherverträgen vorgeschrieben, die auch auf Fernabsatzverträge anwendbar sind. § 361 BGB erfasst verschiedene Schlussbestimmungen zum Widerrufsrecht, namentlich über den Ausschluss weitergehender Ansprüche gegen den Verbraucher (§ 361 Abs. 1 BGB), die Unabdingbarkeit und das Umgehungsverbot (§ 361 Abs. 2 BGB) sowie die Beweislast (§ 361 Abs. 3 BGB). 246 Den Parteien steht es frei, ein Widerrufsrecht vertraglich zu vereinbaren.464 Dies wird durch § 312g Abs. 2 Satz 1 BGB ausdrücklich klargestellt („soweit die Parteien nichts anderes vereinbart haben“). Diese gesetzlich eingeräumte Möglichkeit steht in Einklang mit der ständigen Rspr., wonach ein Widerrufsrecht nicht nur von Gesetzes wegen bestehen, sondern sich auch aus einer Parteivereinbarung ergeben kann.465 Unklar und in Rspr. und Lit. umstritten ist, ob die Erteilung einer – objektiv nicht erforderlichen – nachträglichen Widerrufsbelehrung als Einräumung eines vertraglichen Widerrufsrechts verstanden werden kann.466 Es ist im Gegenteil klar, dass aus der Erteilung einer Widerrufsbelehrung im Falle des Nichtbestehens eines gesetzlichen Widerrufsrechts nicht generell auf die Gewährung eines vertraglichen Widerrufsrechts zu schließen ist.467 247 Ein vertraglich gewährtes Widerrufsrecht braucht grds. nicht den gesetzlichen Vorgaben zu genügen.468 Eine solche Verpflichtung besteht nur, wenn die Parteien aufgrund der Vertragsfreiheit für einen nicht unter § 312c Abs. 1 i.V.m. § 312g Abs. 1 BGB fallenden Vertrag ein Widerrufsrecht „nach den für das gesetzliche Widerrufsrecht geltenden Vorschriften“ vereinbaren.469 Dies ist insb. der Fall, wenn ein Widerrufsrecht im Vereinbarungswege festgelegt und für (die nähere Ausgestaltung sowie) die Rechtsfolgen auf die gesetzlichen Regelungen verwiesen wird. Die vertragliche Vereinbarung eines Widerrufsrechts „nach den gesetzlichen Vorgaben“ kann ferner dem Vertragswillen der Parteien mittels Vertragsaus-
463 BT-Drs. 17/12637, S. 65. 464 Vgl. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 132. 465 BGH v. 22.5.2012 – II ZR 88/11, Rz. 11; v. 22.5.2012 – II ZR 14/10, NJW 2013, 155 (157); OLG Nürnberg v. 10.1.2012 – 14 U 1314/11, WM 2012, 650; (651); OLG Hamm v. 10.3.2011 – 27 U 91/10, juris Rz. 12; v. 4.2.2010 – I-27 U 14/09, juris Rz. 37; OLG Köln v. 22.7.2009 – 27 U 5/09, juris Rz. 25. 466 Vgl. BGH v. 6.12.2011 – XI ZR 401/10, Rz. 19 m.w.N. zum Meinungsstand. 467 In diese Richtung BGH v. 6.12.2011 – XI ZR 401/10, Rz. 17. 468 OLG Nürnberg v. 10.1.2012 – 14 U 1314/11, WM 2012, 650. (651). 469 Vgl. BGH v. 22.5.2012 – II ZR 88/11, Rz. 14; v. 22.5.2012 – II ZR 14/10, NJW 2013, 155 (157); OLG Hamm v. 10.3.2011 – 27 U 91/10, juris Rz. 14 f.; OLG Frankfurt v. 25.5.2011 – 9 U 43/10, ZIP 2011, 2016 (2017); anders OLG Hamm v. 4.2.2010 – I-27 U 14/09, juris Rz. 37, wonach sich die Einzelheiten des vertraglichen Widerrufsrechts – mangels anderweitiger Bestimmungen – nach den Regelungen für Fernabsatzverträge richten. „Soweit die Modalitäten der Widerrufsausübung und die Rechtsfolgen einer Widerrufserklärung in der Widerrufsbelehrung nicht konkretisiert sind, bestimmen sich diese nach den gesetzlichen Regelungen“.
498
Kosmides
Fernabsatzvertragsrecht
Rz. 251
B
legung (§§ 133, 157 BGB) entnommen werden.470 In solchen Fällen muss sich ein vertraglich eingeräumtes Widerrufsrecht an den gesetzlichen Vorschriften messen lassen.471 4.2 Ausschluss des Widerrufsrechts 4.2.1 Ausnahmetatbestände (§ 312g Abs. 2 BGB) 4.2.1.1 Allgemeines § 312g Abs. 2 Satz 1 BGB sieht in Umsetzung des vollharmonisierten, abschließenden Katalogs aus Art. 16 RL 2011/83/EU gesetzliche Ausnahmen vom Widerrufsrecht vor. Es handelt sich um eine umfangreiche Liste von Fallgruppen, bei denen das gesetzliche Widerrufsrecht gem. § 312g Abs. 1 BGB nicht besteht. In der Mehrzahl der Fälle ist das Widerrufsrecht von vornherein ausgeschlossen. Einige Vorschriften sind hingegen als Erlöschenstatbestände konzipiert (z.B. § 312g Abs. 2 Satz 1 Nr. 6 BGB). Hier ist das Widerrufsrecht nicht von Anfang an ausgeschlossen. Es besteht vielmehr solange, wie ein im Gesetz vorgesehenes (ungewisses zukünftiges) Ereignis nicht stattgefunden hat, und entfällt gerade, sobald dieses Ereignis eintritt (z.B. Entfernung der Versiegelung).472 Vor dem Hintergrund der Gesetzessystematik und in einer Linie mit der in der RL 2011/83/EU verwendeten Terminologie (Art. 16 RL 2011/83/EU) wird allerdings im Zshg. mit den in § 312g Abs. 2 Satz 1 Nr. 1–13 BGB enthaltenen Tatbeständen gemeinhin von Ausnahmetatbeständen gesprochen.
248
Regelungshintergrund der Ausnahmetatbestände in § 312g Abs. 2 Satz 1 Nr. 1–13 BGB ist, dass ein Widerruf des Vertrags und damit eine Rücknahme des Vertragsgegenstands wegen Unzumutbarkeit für den Unternehmer oder aus sonstigen Gründen nicht möglich sein soll oder gar nicht möglich ist (z.B. weil die Ware nach Benutzung wertlos geworden ist oder dem Vertrag ein spekulatives Element innewohnt).473 Die (Un-)Zumutbarkeit einer Rücknahme des Vertragsgegenstands kann insoweit als Maßstab für das Eingreifen der Ausschlusstatbestände verwendet werden.474 Im Interesse eines möglichst umfassenden und effektiven Verbraucherschutzes sind diese Ausnahmetatbestände eng auszulegen.475 Sie sind ferner nicht analogiefähig (singularia non sunt extendenda).
249
Die Ausnahmeregelungen in § 312g Abs. 2 Satz 1 BGB dürfen nicht missverstanden werden, 250 dass in ihrem Geltungsbereich ein Widerrufsrecht des Verbrauchers generell ausscheidet. Selbst in den von § 312g Abs. 2 Satz 1 Nr. 1–13 BGB erfassten Fällen kann ein Widerrufsrecht aufgrund einer anderen gesetzlichen Regelung oder einer Parteivereinbarung bestehen.476 Ein gesetzliches Widerrufsrecht besteht – abgekürzt formuliert – nicht bei Fernabsatzverträgen: – zur Lieferung von Waren, die nach Kundenspezifikation angefertigt werden oder eindeutig auf die persönlichen Bedürfnisse zugeschnitten sind (§ 312g Abs. 2 Satz 1 Nr. 1 BGB; vgl. Art. 16 lit. c RL 2011/83/EU); 470 Vgl. BGH v. 22.5.2012 – II ZR 88/11, Rz. 14; v. 22.5.2012 – II ZR 14/10, NJW 2013, 155 (157); OLG Nürnberg v. 10.1.2012 – 14 U 1314/11, WM 2012, 650 (651). 471 OLG Frankfurt v. 25.5.2011 – 9 U 43/10, ZIP 2011, 2016; (2017); OLG Hamm v. 10.3.2011 – 27 U 91/10, juris Rz. 14 f.; OLG Köln v. 22.7.2009 – 27 U 5/09, juris Rz. 26; i.E. auch BGH v. 22.5.2012 – II ZR 14/10, NJW 2013, 155 (157). 472 Vgl. auch Schirmbacher/Schmidt, CR 2014, 107 (112); Härting, Internetrecht, Rz. 1050. 473 BT-Drs. 14/2658, S. 44; Erw.grd. 49 RL 2011/83/EU; BGH v. 19.3.2003 – VIII ZR 295/01, CR 2003, 480 (481) = ITRB 2003, 143; Grigoleit, NJW 2002, 1151 (1153); Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 128. 474 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 128. 475 Ebenso Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 241 (33. EL Stand 12/2012); R. Koch, in: Erman, BGB, § 312g Rz. 5; vgl. EuGH v. 13.12.2001 – C-481/99, Slg. 2001, I-9945, Rz. 31 – Heininger. 476 S.a. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 132.
Kosmides
499
251
B Rz. 252
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
– zur Lieferung von Waren, die schnell verderben oder deren Verfallsdatum schnell überschritten würde (§ 312g Abs. 2 Satz 1 Nr. 2 BGB; vgl. Art. 16 lit. d RL 2011/83/EU); – über versiegelt gelieferte Waren, die aus Gründen des Gesundheitsschutzes oder der Hygiene nicht zur Rückgabe geeignet sind (§ 312g Abs. 2 Satz 1 Nr. 3 BGB; vgl. Art. 16 lit. e RL 2011/83/EU); – zur Lieferung von Waren, die nach der Lieferung untrennbar mit anderen Gütern vermischt werden (§ 312g Abs. 2 Satz 1 Nr. 4 BGB; vgl. Art. 16 lit. f RL 2011/83/EU); – zur Lieferung alkoholischer Getränke, deren Preis von Schwankungen auf dem Markt abhängt (§ 312g Abs. 2 Satz 1 Nr. 5 BGB; vgl. Art. 16 lit. g RL 2011/83/EU); – über versiegelt gelieferte Ton- oder Videoaufnahmen oder Computersoftware, die entsiegelt wurden (§ 312g Abs. 2 Satz 1 Nr. 6 BGB; vgl. Art. 16 lit. i RL 2011/83/EU); – zur Lieferung von Zeitungen und dergl. (§ 312g Abs. 2 Satz 1 Nr. 7 BGB; vgl. Art. 16 lit. j RL 2011/83/EU); – zur Lieferung von Waren oder zur Erbringung von Dienstleistungen (inkl. Finanzdienstleistungen), deren Preis von Schwankungen auf dem Finanzmarkt abhängt (§ 312g Abs. 2 Satz 1 Nr. 8 BGB; vgl. Art. 16 lit. b RL 2011/83/EU); – über bestimmte Arten von zu reservierenden Service-Dienstleistungen wie z.B. in den Bereichen Beherbergung sowie der Lieferung von Speisen und Getränken (§ 312g Abs. 2 Satz 1 Nr. 9 BGB; vgl. Art. 16 lit. l RL 2011/83/EU); – bei öffentlich zugänglichen Versteigerungen (§ 312g Abs. 2 Satz 1 Nr. 10 BGB; vgl. Art. 16 lit. k RL 2011/83/EU); – über dringende Reparatur- oder Instandhaltungsarbeiten (§ 312g Abs. 2 Satz 1 Nr. 11 BGB; vgl. Art. 16 lit. h RL 2011/83/EU); – zur Erbringung von Wett- und Lotteriedienstleistungen (§ 312g Abs. 2 Satz 1 Nr. 12 BGB; vgl. Art. 3 Abs. 3 lit. c RL 2011/83/EU); – mit notarieller Beurkundung (§ 312g Abs. 2 Satz 1 Nr. 13 BGB; vgl. Art. 6 Abs. 3 lit. c RL 2002/65/EG und Art. 14 Abs. 6 RL 2008/48/EG)477. 252 Die Darlegungs- und Beweislast für einen Ausschluss des Widerrufsrechts liegt beim Unternehmer, der sich auf den Ausnahmetatbestand beruft.478 253 Das Bestehen des Widerrufsrechts ist nicht auf die Wirksamkeit des zu widerrufenen Fernabsatzvertrags angewiesen. Dem Verbraucher steht vielmehr – in den Grenzen des Grundsatzes von Treu und Glauben (§ 242 BGB)479 -ein Widerrufsrecht auch dann zu, wenn der Vertrag nichtig ist (§§ 134, 138 BGB).480 4.2.1.2 IT-relevante Ausnahmen 254 Im IT-Bereich besonders relevant sind die Ausnahme nach § 312g Abs. 2 Satz 1 Nr. 1 BGB, Anfertigung von Waren nach Kundenspezifikation u.Ä., und die Ausnahme nach § 312g Abs. 2 Satz 1 Nr. 6 BGB, entsiegelte Datenträger.
477 Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates v. 24.4.2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates (ABl. Nr. L 133 v. 22.5.2008, S. 66). 478 BGH v. 19.3.2003 – VIII ZR 295/01, CR 2003, 480 (Ls. 2) = ITRB 2003, 143. 479 Vgl. BGH v. 16.3.2016 – VIII ZR 146/15, CR 2016, 389 (Ls. 2). 480 BGH v. 25.11.2009 – VIII ZR 318/08, CR 2010, 188; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 161; Härting, Internetrecht, Rz. 981.
500
Kosmides
Fernabsatzvertragsrecht
Rz. 258
B
4.2.1.2.1 Kundenspezifikation (§ 312g Abs. 2 Satz 1 Nr. 1 BGB) Der Vertrag muss gem. § 312g Abs. 2 Satz 1 Nr. 1 BGB die Lieferung von Waren zum Gegen- 255 stand haben, „die nicht vorgefertigt sind und für deren Herstellung eine individuelle Auswahl oder Bestimmung durch den Verbraucher maßgeblich ist oder die eindeutig auf die persönlichen Bedürfnisse des Verbrauchers zugeschnitten sind“. Die zu liefernde Ware muss nur auf Basis der Bestellung des Verbrauchers, also nicht auf Vorrat angefertigt worden sein.481 Ein typischer Fall ist der Werklieferungsvertrag nach § 651 BGB.482 Verträge zur Erbringung einer Dienstleistung werden von diesem Ausnahmetatbestand hingegen nicht erfasst. In bestimmten Fällen kann es fraglich sein, ob ein Veräußerungs- oder ein Dienstleistungsvertrag anzunehmen ist. Dabei kommt es maßgeblich darauf an, ob die Übereignung bzw. die dauerhafte Zurverfügungstellung oder aber der tätigkeitsbezogene Aspekt, die (auf die Leistungserbringung gerichtete) Tätigkeit, im Vordergrund steht. Diese Problematik leitet gedanklich über zur Frage, ob ein Vertrag über die Software-Erstel- 256 lung unter diese Ausnahmebestimmung untergeordnet werden kann. In Anbetracht der werkvertraglichen Qualifizierung solcher Verträge (s. M Rz. 137) ist i.d.R. ein Fall des § 312g Abs. 2 Satz 1 Nr. 1 BGB wohl zu verneinen. Denkbar wäre aber die Anwendung dieses Ausnahmetatbestands auf Verträge über die Lieferung angepasster Software. Notwendige, jedoch nicht hinreichende Bedingung für eine Anfertigung nach Kundenspezi- 257 fikation ist, dass der Kunde durch seine Bestellung die Herstellung der Ware veranlasst und dafür genauere Angaben über deren Beschaffenheit macht.483 Nach „Verbraucherspezifikation“ angefertigt oder „eindeutig auf die persönlichen Bedürfnisse“ des Verbrauchers zugeschnitten i.S.d. § 312g Abs. 2 Satz 1 Nr. 1 BGB ist die Sache vor dem Hintergrund der insoweit gebotenen engen Auslegung nur dann, wenn die Angaben des Kunden die Sache so individualisieren, dass der Unternehmer durch die Rücknahme erhebliche wirtschaftliche Nachteile erleidet, die spezifisch damit zusammenhängen und dadurch entstehen, dass die Ware wirtschaftlich wertlos ist, weil sie wegen der vom Kunden veranlassten Individualisierung anderweitig nicht mehr oder allenfalls noch unter erhöhten Schwierigkeiten und mit erheblichem Preisnachlass abgesetzt werden kann.484 Eine Rücknahme der Ware muss kurzum für den Unternehmer wirtschaftlich unzumutbar sein.485 Die Nachteile, die mit der Rücknahme bereits produzierter Ware stets verbunden sind, reichen nicht aus.486 Nach Ansicht des LG Düsseldorf muss zudem die Anfertigung nach Kundenspezifikation bzw. der persönliche Zuschnitt für den Verbraucher erkennbar sein.487 Dies ist der Fall, wenn „nach Gestaltung des Rechtsgeschäfts und der Ware der Kunde nach der Verkehrsanschauung davon ausgehen muss, dass er keine fertig produzierte, sondern eine erst nach seinen Wünschen anzufertigende Ware kauft. Eine hohe Anzahl der vom Kunden zu steuernden Individualisierungsmöglich481 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 250. Z.B. abgelehnt von AG Dortmund v. 28.4.2015 – 425 C 1013/15, CR 2015, 466 = ITRB 2015, 161, Anschluss BGH v. 19.3.2003, – VIII ZR 295/01, BGHZ 154, 239; entgegen LG Düsseldorf v. 12.2.2014 – 23 S 111/13, CR 2014, 397 = ITRB 2014, 104 (s. Rz. 258), zumindest für einen Fall, bei dem über die „Sofort-Kaufen“-Funktion eines Online-Shops eine aus verschiedenen Elementen bestehende Couch, die in 17 verschiedenen Farben und 578 verschiedenen Kombinationen geliefert werden kann, bei der Bestellung im Internet bei jedem Element angezeigt bekommt, wie viele Artikel verfügbar sind und die Bestellung sich auf die im Netz angebotene Farbkombination schwarz/weiß bezieht. 482 S.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312g Rz. 16. 483 BGH v. 19.3.2003 – VIII ZR 295/01, CR 2003, 480 (481) = ITRB 2003, 143. 484 BGH v. 19.3.2003 – VIII ZR 295/01, CR 2003, 480 (481) = ITRB 2003, 143; s.a. AG Siegburg v. 25.9.2014 – 115 C 10/14, MMR 2015, 28 (29); dazu zust. Anm. Kläner, MMR 2015, 29; Hofmann, in: Heckmann (Hrsg.), jurisPR-ITR 5/2015 Anm. 6. 485 LG Düsseldorf v. 12.2.2014 – 23 S 111/13, CR 2014, 397 (398) = ITRB 2014, 104. 486 BGH v. 19.3.2003 – VIII ZR 295/01, CR 2003, 480 (481) = ITRB 2003, 143. 487 LG Düsseldorf v. 12.2.2014 – 23 S 111/13, CR 2014, 397 f. (Ls. 1) = ITRB 2014, 104.
Kosmides
501
258
B Rz. 259
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
keiten sowie lange Produktions-/Lieferzeiten fungieren hierbei als Indizien für eine solche Erkennbarkeit“.488
259 Für das Eingreifen des Ausnahmetatbestands kann es ausreichen, dass der Verbraucher eine vom Unternehmer nicht standardmäßig angebotene Ausführung wünscht (z.B. Wunsch einer Farbe, die in der Liste nicht enthalten ist).489 Als Beispiel werden in der RL 2011/83/EU nach Maß gefertigte Vorhänge genannt (Erw.grd. 49 Satz 4). Eine Anfertigung nach Kundenspezifikation ist auch anzunehmen, wenn eine auf Vorrat hergestellte Sache derart bearbeitet wird (z.B. die Namensgravur in einen Standard-MP3-Player oder die Bestellung digitaler Fotoabzüge oder Fotobücher), dass andere Kunden diese Sache nicht nachfragen werden.490 260 Im Gegensatz dazu entfällt das Widerrufsrecht nicht, wenn sich der Kunde ausschließlich aus vom Unternehmer angebotenen Varianten einen Gegenstand zusammenstellt (z.B. Auswahl der Farbe aus einem vom Unternehmer bereitgestellten Katalog).491 261 Die zu § 312d Abs. 4 Nr. 1 Var. 1 und 2 BGB a.F. ergangene Rspr. kann grds. aufrechterhalten werden.492 Eine Anwendung des § 312g Abs. 2 Satz 1 Nr. 1 BGB scheidet insofern aus, wenn die zu liefernde Ware auf Bestellung des Kunden aus vorgefertigten Standardbauteilen zusammengefügt wird, die mit verhältnismäßig geringem Aufwand ohne Beeinträchtigung ihrer Substanz oder Funktionsfähigkeit wieder von einander getrennt werden können und sich damit in den Zustand vor der Anfertigung versetzen lassen.493 Es müssen dabei im Einzelfall der Umfang des nötigen Aufwands bzw. der Kosten eines Rückbaus festgestellt werden und dieser Aufwand bzw. diese Kosten in einem angemessenen Verhältnis zu dem jeweiligen Warenwert liegen.494 Der Ausschluss des Widerrufsrechts wurde vom AG Dortmund – mangels individueller Auswahl und Herstellung – in einem Fall verneint, in dem der Kunde in Bezug auf eine aus mehreren Elementen bestehende Couch, die in unterschiedlichen Farben und Kombinationen lieferbar war, eine im Online-Shop angebotene Farbkombination bestellt hat.495 262 Bei der Online-Konfiguration von PC‘s wäre daran zu denken, dass dieser für den Kunden nach dessen Spezifikation angefertigt oder speziell auf den Kunden zugeschnitten wird. Der BGH nennt die Zusammenstellung des PC „Baukasten-PC“ und lehnt dafür den Ausschluss des Widerrufsrechts ab.496 Ein Ausschluss des Widerrufsrechts nach § 312g Abs. 2 Satz 1 Nr. 1 BGB wird nicht dadurch bewirkt, dass ein Computersystem, das aus Hardware- sowie Softwarekomponenten besteht, individuell zusammengestellt und den Wünschen des Käufers angepasst wurde, wenn eine Entkonfiguration und Zerlegung des aus vorgefertigten elektronischen Bauteilen zusammengefügten Systems möglich ist.497 Solche Computersysteme stellen die sog. „Built-to-order“- bzw. „Built-to-customer“-Rechner dar, die etwa im Internet vom Verbraucher selbst „konfiguriert“ werden.498
488 489 490 491 492 493
494 495 496 497 498
502
LG Düsseldorf v. 12.2.2014 – 23 S 111/13, CR 2014, 397 (398, Ls. 3) = ITRB 2014, 104. BT-Drs. 17/13951, S. 73. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 253. BT-Drs. 17/13951, S. 73. Wohl auch Hoeren/Föhlisch, CR 2014, 242 (244 f.). BGH v. 19.3.2003 – VIII ZR 295/01, CR 2003, 480 (Ls. 1) = ITRB 2003, 143; KG v. 27.6.2014 – 5 U 162/12, MMR 2014, 748 (749) = ITRB 2014, 228; LG Hamburg v. 31.1.2012 – 312 O 93/11, MMR 2012, 738 (739); AG Marienberg v. 6.6.2014 – 1 C 419/13, juris Rz. 29 = VuR 2014, 322; BT-Drs. 17/13951, S. 73; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 251. KG v. 27.6.2014 – 5 U 162/12, MMR 2014, 748 (749) = ITRB 2014, 228. KG v. 27.6.2014 – 5 U 162/12, MMR 2014, 748 (749) = ITRB 2014, 228. AG Dortmund v. 28.4.2015 – 425 C 1013/15, CR 2015, 466 f. (Ls.). BGH v. 19.3.2003 – VIII ZR 295/01, CR 2003, 480 = ITRB 2003, 143. BGH v. 19.3.2003 – VIII ZR 295/01, CR 2003, 480 (481) = ITRB 2003, 143; AG Hoyerswerda v. 22.11.2007 – 1 C 356/07, VuR 2009, 70. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 251.
Kosmides
Fernabsatzvertragsrecht
Rz. 266
B
Nach Ansicht des AG Hoyerswerda werden die Voraussetzungen für einen Widerrufsrechtsausschluss nicht erfüllt, wenn die vom Käufer zusätzlich bzw. abweichend vom Grundsystem bestellte Ausführung grds. im Angebot des Verkäufers war und es sich nicht um Spezialanfertigungen, sondern um übliche Computerbauteile bzw. Standardkomponenten handelt.499
263
Im Zshg. mit § 312g Abs. 2 Satz 1 Nr. 1 BGB (ebenso wie § 312g Abs. 2 Satz 1 Nr. 6 BGB) 264 stellt sich die Frage, ob auch eine Lieferung von digitalen Inhalten, die online erfolgt (z.B. Herunterladen von Software), davon erfasst ist. Teilweise wird diese Frage mit der Begründung bejaht, dass es in tatsächlicher Hinsicht keinen Unterschied macht, ob Dateien durch einen körperlichen Datenträger oder online, über ein Datennetz wie z.B. das Internet, übertragen werden.500 Die Anwendbarkeit dieser Ausnahmetatbestände ist allerdings bei der Online-Lieferung von digitalen Inhalten wohl zu verneinen,501 weil in der RL 2011/83/EU die auf einem körperlichen Datenträger befindlichen digitalen Inhalte als Waren betrachtet werden (Erw.grd. 19 Satz 3 und 4 RL 2011/83/EU; s.a. Rz. 78). Im Gegensatz dazu wird die Bereitstellung von digitalen Inhalten, die nicht auf einem körperlichen Datenträger geliefert werden, in dieser Richtlinie wie eine Dienstleistung behandelt (vgl. Art. 9 Abs. 2 lit. c und Art. 14 Abs. 4 lit. b RL 2011/83/EU). Von § 312g Abs. 2 Satz 1 Nr. 1 BGB wird allerdings lediglich die Warenlieferung erfasst. Der Wortlaut des § 312g Abs. 2 Satz 1 Nr. 6 BGB bezieht sich zwar nicht auf eine Warenlieferung (Rz. 266 ff.). Die Vorschrift spricht jedoch von einer Lieferung in „einer versiegelten Packung“, was auf eine physische Lieferung hindeutet und eine elektronische Lieferung ausschließt. Für die Beschaffung von nicht auf einem körperlichen Datenträger befindlichen digitalen Inhalten wird ferner in Art. 16 lit. m RL 2011/83/EU ein spezieller Erlöschenstatbestand mit eigenen Anwendungsvoraussetzungen bereitgehalten (vgl. § 356 Abs. 5 BGB). Hinzu kommt schließlich die Pflicht zur restriktiven Interpretation von Ausnahmen von verbraucherschützenden Vorschriften. Das durch die Verwendung der Software des Anbieters gewonnene Produkt stellt i.d.R. keine 265 Ware dar. Das gilt etwa auch für eine Persönlichkeitsanalyse oder ein sonstiges Datenergebnis.502 Dabei handelt es sich vielmehr um das Ergebnis eines automatisierten Rechenvorgangs, das als Dienstleistung einzustufen ist, weil im Vordergrund der Leistungserbringung der tätigkeitsbezogene Aspekt steht. Nicht zuletzt deshalb kann für den Erwerb einer solchen Persönlichkeitsanalyse, die im Rahmen einer Online-Partnerschaftsvermittlung als PDF-Datei übermittelt wird, das Widerrufsrecht wegen § 312g Abs. 2 Satz 1 Nr. 1 BGB nicht ausgeschlossen werden.503 4.2.1.2.2 Entsiegelte Datenträger (§ 312g Abs. 2 Satz 1 Nr. 6 BGB) Die Ausnahmeregelung in § 312g Abs. 2 Satz 1 Nr. 6 BGB greift bei Ton- und Videoaufnah- 266 men sowie Computersoftware, die auf einem versiegelten körperlichen Datenträger, wie z.B. CD-ROM oder DVD, geliefert werden, wenn sie vom Verbraucher nach der Lieferung entsiegelt wurden. Dieser Tatbestand entspricht § 312d Abs. 4 Nr. 2 BGB a.F.504 Er zielt insb. darauf ab, illegale Kopien und damit die Aneignung des wirtschaftlichen Werts von Software und anderen Multimedia-Anwendungen zu verhindern.505 Die Relevanz dieser Regelung scheint nicht allzu groß zu sein. Unklar könnte sein, wann die für die genannten Produkte typische Verpackung, bei der das Produkt bzw. der Datenträger eingeschweißt wird, vorliegt. 499 AG Hoyerswerda v. 22.11.2007 – 1 C 356/07, VuR 2009, 70. 500 Vgl. Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 276 (33. EL Stand 12/2012). 501 Ebenso Grüneberg, in: Palandt, § 312g BGB Rz. 9; R. Koch, in: Erman, BGB, § 312g Rz. 12; a.A. Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 276 (33. EL Stand 12/2012). 502 S.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 252. 503 LG Hamburg v. 31.1.2012 – 312 O 93/11, MMR 2012, 738. Zu AGB-Klauseln in Online-Partnerschaftsvermittlungsverträgen s.a. Niebling, MDR 2015, 6. 504 Dazu Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 263 ff. 505 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 130; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 263.
Kosmides
503
B Rz. 267
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
267 Eine versiegelte Packung i.S.d. § 312g Abs. 2 Satz 1 Nr. 6 BGB liegt vor, wenn bei der Verpackung des Datenträgers eine Sperre verwendet wird, die dem Schutz des Immaterialgüterrechts vor einer unberechtigten Nutzung dient. Eine Entsiegelung ist anzunehmen, wenn eine solche erkennbar zur Wahrung des Immaterialgüterrechts geschaffene Sperre überwunden wird (z.B. Durchtrennen eines Aufklebers an einer DVD, Öffnen der Cellophanhülle an einer CD).506 Keine versiegelte Packung ist hingegen anzunehmen, wenn das verwendete Verpackungsmaterial lediglich dem Schutz des körperlichen Datenträgers selbst dient. Eine widerrufsrechtsausschließende Entsiegelung scheidet insofern aus, wenn etwa ein TesafilmStreifen oder eine Cellophanhülle entfernt wird, die nur verhindern soll, dass die CD bzw. DVD während des Versands nicht beschädigt oder zerstört wird.507 Der Kunde kann das Zukleben mit Tesafilm – anders als die erneute Versiegelung – wieder vornehmen. 268 Nach altem Recht wurde teilweise angenommen, dass die Ausnahmebestimmung des § 312d Abs. 4 Nr. 2 BGB a.F. nicht auf eine physische Entsiegelung beschränkt sei. Vielmehr falle unter diese Ausnahmebestimmung auch eine elektronische Entsiegelung, die z.B. durch die Eingabe eines Lizenzcodes erfolgen könne.508 Eine Entsiegelung wurde allerdings bei Bekanntgabe und Verwendung des zur Inbetriebnahme erforderlichen BIOS-Passworts abgelehnt,509 da die BIOS-Software gerade als der Hardware zugehörige Grundausstattung zwingend bereits bei den Konfigurierungsarbeiten des Unternehmers oder Herstellers verwendet werden muss und somit bereits entsiegelt ist.510 Der klare Wortlaut des § 312g Abs. 2 Satz 1 Nr. 6 BGB („in einer versiegelten Packung“) lässt keine Zweifel aufkommen: hiervon werden nur physische Versiegelungen erfasst.511 Der Passwortschutz einer Datei ist nicht ausreichend.512 269 Ist die Verpackung dem Verbraucher nicht als Versiegelung erkennbar, weil dabei die Prüfund Besinnungsfunktion nicht gegeben ist, sodass ihm nicht deutlich gemacht wird, dass er die Ware behalten muss, wenn er diese spezielle Verpackung entfernt, ist im Falle einer Entfernung dieser Verpackung eine Entsiegelung zu verneinen.513 Der Verbraucher muss hinreichend vor den Folgen einer Entsiegelung gewarnt werden.514 270 Nach Ansicht des AG Kelheim ist der Ausnahmetatbestand des § 312d Abs. 4 Nr. 2 BGB a.F. (nunmehr: § 312g Abs. 2 Satz 1 Nr. 6 BGB) von vornherein nicht einschlägig, wenn beim Kauf von versiegelten Hardwarekomponenten (hier: Diagnosekabel) mit integrierter Software der Schwerpunkt der vertraglichen Leistungen auf der Hardware- und nicht der Softwarekomponente liegt. In diesem Fall kann die Entsiegelung der Hardware nicht zum Aus-
506 Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 273 f. (33. EL Stand 12/2012); Schirmbacher/ Schmidt, CR 2014, 107 (113); LG Frankfurt v. 18.12.2002 – 2/1 S 20/02, CR 2003, 412 (413) = ITRB 2003, 170. 507 Vgl. OLG Hamm v. 30.3.2010 – I-4 U 212/09, MMR 2010, 684 8685); LG Dortmund v. 26.10.2006 – 16 O 55/06, jur-pc 44/2007; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 265; kritisch zu OLG Hamm v. 30.3.2010 – I-4 U 212/09 Hoeren/Föhlisch, CR 2014, 242 (245): Richtigerweise müsse davon ausgegangen werden, dass die Siegelfunktion bei Audio- und Videoaufzeichnungen bzw. bei Software dem Schutz der Urheberrechte diene, solange nicht ein virtueller Passwortschutz zum Zwecke des Urheberrechtsschutz eingerichtet wurde, dessen Bruch im Einzelfall auch nachverfolgbar wäre. 508 Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 276 (33. EL Stand 12/2012); LG Frankfurt v. 18.12.2002 – 2/1 S 20/02, CR 2003, 412 (413) = ITRB 2003, 170. 509 LG Frankfurt v. 18.12.2002 – 2/1 S 20/02, CR 2003, 412 (413); s.a. Rössel, ITRB 2003, 170. 510 Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 275 (33. EL Stand 12/2012); Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 4.1 Rz. 268. 511 S.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 264. 512 Ebenso Schirmbacher/Schmidt, CR 2014, 107 (113); Schirmbacher/Creutz, ITRB 2014, 44. 513 OLG Hamm v. 30.3.2010 – I-4 U 212/09, MMR 2010, 684 (685); vgl. auch Föhlisch, in: Hoeren/Sieber/ Holznagel, Teil 13.4 Rz. 273a (33. EL Stand 12/2012). 514 R. Koch, in: Erman, BGB, § 312g Rz. 12.
504
Kosmides
Fernabsatzvertragsrecht
Rz. 276
B
schluss des Widerrufsrechts führen. Dem Verbraucher steht insofern bei solchen Verträgen – trotz Entsiegelung – ein Widerrufsrecht zu.515 Bei einem Computersystemvertrag, bei dem der Verkäufer den Rechner mit aufgespielter 271 Software zu liefern hat und damit die Entsiegelung der Software durch den Verkäufer notwendige Voraussetzung für die Ausführung des Vertrags ist (z.B. für die Prüfung der Funktionsfähigkeit der mitgekauften Hardware), ist das Widerrufsrecht des Verbrauchers nicht wegen § 312g Abs. 2 Satz 1 Nr. 6 BGB ausgeschlossen.516 Die Entsiegelung muss durch den Verbraucher selbst erfolgen. Der Ausnahmetatbestand greift nach Ansicht des AG Berlin-Mitte nicht ein, wenn bei einem Vertrag über die Lieferung eines Computersystems, das neben der Hardware- auch aus einer Softwarekomponente besteht, der Verkäufer für das Aktivieren und Aufspielen der Software diese entsiegelt hat.517
272
In Anbetracht des Sinns und Zwecks des Ausnahmetatbestands des § 312g Abs. 2 Satz 1 Nr. 6 273 BGB (Rz. 266 ff.) wird in teleologischer Reduktion solche auf einem körperlichen Datenträger gelieferte Software vom Anwendungsbereich der Regelung ausgenommen, die – etwa online – auch frei verfügbar ist.518 Online übermittelte digitale Inhalte werden von § 312g Abs. 2 Satz 1 Nr. 6 BGB nicht erfasst (Rz. 264, 268).519
274
Fraglich ist, ob § 312g Abs. 2 Satz 1 Nr. 6 BGB („Lieferung von … Computersoftware“) nur 275 auf die Beschaffung von Standardsoftware beschränkt ist oder sich auch auf die werkvertraglich zu qualifizierende Software-Erstellung erstreckt. Dies gilt deshalb, weil das Wort „Lieferung“ regelmäßig in Zshg. mit der Veräußerung von Waren („Warenlieferung“) verwendet wird. Diese Begriffsverwendung sowie das Gebot einer engen Auslegung dürften für eine Herausnahme der Software-Erstellung aus dem Anwendungsbereich der Norm sprechen. Andererseits wurde in § 312g Abs. 2 Satz 1 Nr. 6 BGB die Formulierung der unionalen Ursprungsregelung des Art. 16 lit. i RL 2011/83/EU übernommen. Nicht zuletzt deshalb ist die nationale Regelung im Lichte der unionalen zu interpretieren. In der RL 2011/83/EU bezieht sich aber der Begriff „Lieferung“ nicht ausschließlich auf Waren, sondern mitunter auch auf Dienstleistungen (z.B. Art. 16 lit. b RL 2011/83/EU). Vor diesem Hintergrund und angesichts der pauschalen Bezugnahme in § 312g Abs. 2 Satz 1 Nr. 6 BGB auf „Computersoftware“ ohne nähere Präzisierung (Argumentum e silentio) ist anzunehmen, dass auch die Lieferung individuell hergestellter Software von § 312g Abs. 2 Satz 1 Nr. 6 BGB abgedeckt ist. Ein Schutzbedarf besteht schließlich für die Softwarelieferung jeglicher Art, sodass eine Begrenzung des Geltungsbereichs dieser Norm auf die Beschaffung von Standard-Software nicht sachlich gerechtfertigt ist. 4.2.1.2.3 Weitere Ausnahmetatbestände Nach altem Recht war der Ausschluss des Widerrufsrechts bei dem Verkauf von Arzneimitteln im Fernabsatz hauptsächlich unter den Voraussetzungen des § 312d Abs. 4 Nr. 1 BGB a.F. (entspricht im Wesentlichen § 312g Abs. 2 Satz 1 Nr. 1 und 2 BGB) möglich.520 Im neuen Recht ist für Arzneimittel in erster Linie § 312g Abs. 2 Satz 1 Nr. 3 BGB relevant. 515 AG Kelheim v. 20.12.2012 – 1 C 754/12, juris Os. 1 und 2. 516 Vgl. AG Berlin-Mitte v. 1.10.2012 – 7 C 67/12, MDR 2012, 1455 (1456); AG Hoyerswerda v. 22.11.2007 – 1 C 356/07, VuR 2009, 70. 517 AG Berlin-Mitte v. 1.10.2012 – 7 C 67/12, MDR 2012, 1455 (1456); ebenso AG Hoyerswerda v. 22.11.2007 – 1 C 356/07, VuR 2009, 70. 518 Brönneke, MMR 2004, 127 (128); R. Koch, in: Erman, BGB, § 312g Rz. 12. 519 S.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 269. 520 Vgl. etwa LG Halle (Saale) v. 8.1.2013 – 8 O 105/12, MMR 2013, 711; AG Köln v. 13.1.2014 – 142 C 201/13, VuR 2014, 273.
Kosmides
505
276
B Rz. 277
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Hierdurch werden weitere Ausschlusstatbestände nicht verdrängt. Soweit es sich etwa um individuell hergestellte Arzneimittel handelt, ist ein Widerrufsausschluss ebenfalls nach § 312g Abs. 2 Satz 1 Nr. 1 BGB denkbar. Auch § 312g Abs. 2 Satz 1 Nr. 2 BGB kann ausschlaggebend sein, wenn das Arzneimittel schnell verderben kann oder dessen Verfallsdatum schnell überschritten würde. 277 Neben Medizinprodukten fallen unter § 312g Abs. 2 Satz 1 Nr. 3 BGB insb. Fertiggerichte, Kosmetik- und Hygieneartikel, die bei der Lieferung versiegelt sind und nach der Lieferung entsiegelt werden.521 Die geöffnete Verpackung muss eindeutig als Versiegelung erkennbar sein.522 Für empfindliche Ware liegt es nahe, nach Öffnen der Verpackung wegen der Gefahr von Beschädigung, Verderben, Verschmutzung und ähnlichen Beeinträchtigungen fehlende Eignung für die Rückgabe anzunehmen. 278 Die AGB sehen dementsprechend etwa für Kontaktlinsen vor, dass sie nach Öffnen der Original-Verpackung nicht mehr zurückgeschickt werden können. Das Widerrufsrecht kann allerdings beim Verkauf von Kontaktlinsen und Kontaktlinsenpflegemitteln nicht pauschal auf ungeöffnete Original-Umverpackungen beschränkt werden.523 Eine entsprechende AGBKlausel ist jedenfalls dann unwirksam, wenn die Kontaktlinsen und Kontaktlinsenpflegemittel sich in gesonderten Verpackungen befinden und unter hygienischen Gesichtspunkten nicht beeinträchtigt werden.524 279 Kann die Verkehrsfähigkeit der Ware (z.B. Bade- und Unterwäsche) durch den Unternehmer mit zumutbarem Aufwand wiederhergestellt werden (z.B. durch Reinigung), ist § 312g Abs. 2 Satz 1 Nr. 3 BGB nicht einschlägig.525 280 Der Ausnahmetatbestand in § 312g Abs. 2 Satz 1 Nr. 8 BGB (Produkte, die Preisschwankungen unterliegen) rechtfertigt sich dadurch, dass durch den Widerruf das geschäftliche Risiko einseitig auf den Unternehmer abgewälzt würde.526 Unter diesem Blickwinkel wäre ein Widerrufsrecht insb. bei Finanzdienstleistungen für den Unternehmer unbillig, zumal solche Geschäfte einen spekulativen Charakter besitzen. Nach Ansicht des BGH wird nur ein weites Verständnis des „Preises“ dem Sinn und Zweck der Regelung gerecht.527 Darunter fällt nicht nur ein unmittelbar auf dem Finanzmarkt gebildeter Börsenpreis, sondern auch ein den Marktpreis mittelbar beeinflussender Basiswert, der seinerseits Schwankungen auf dem Finanzmarkt unterliegt.528 Ein Widerrufsrecht war insofern beim Erwerb von „Lehman-Zertifikaten“ ausgeschlossen.529 Zu dieser Ausnahme gehört hingegen nicht der Fernabsatzvertrag über Heizöllieferung. Zwar ist auch Heizöl eine Ware, deren Preis auf dem Finanzmarkt von Schwankungen abhängt. Kennzeichnend für diesen Ausnahmetatbestand ist allerdings, dass der spekulative Charakter im Mittelpunkt des Geschäfts steht, was bei dem Ankauf von Heizöl durch den Verbraucher nicht der Fall ist.530
521 Grüneberg, in: Palandt, § 312g BGB Rz. 6; s.a. Schirmbacher/Schmidt, CR 2014, 107 (112). 522 Grüneberg, in: Palandt, § 312g BGB Rz. 6. 523 So auch nach altem Recht OLG Hamburg v. 20.12.2006 – 5 U 105/06, jur-pc 124/2007 (Ls. 1) = ITRB 2007, 274; vgl. auch LG Düsseldorf v. 17.5.2006 – 12 O 496/05, CR 2006, 858 = ITRB 2007, 12; LG Konstanz v. 5.5.2005 – 8 O 94/05 KfH. 524 Vgl. auch OLG Hamburg v. 20.12.2006 – 5 U 105/06, Ls. 2, jur-pc 124/2007 (Ls. 2), ITRB 2007, 274. 525 Grüneberg, in: Palandt, § 312g BGB Rz. 6. 526 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 131. 527 BGH v. 27.11.2012 – XI ZR 384/11, Rz. 15 (zu § 312d Abs. 4 Nr. 6 BGB a.F.). 528 BGH v. 27.11.2012 – XI ZR 384/11, Rz. 12 f. (zu § 312d Abs. 4 Nr. 6 BGB a.F.); vgl. auch OLG Karlsruhe v. 13.9.2011 – 17 U 104/10, WM 2012, 213 = ITRB 2012, 31; v. 8.5.2012 – 17 U 82/11, WM 2012, 1860; OLG Schleswig v. 27.1.2012 – 5 U 70/11, MDR 2012, 534; OLG Hamm v. 14.3.2011 – I-31 U 162/10, WM 2012, 1412. 529 BGH v. 27.11.2012 – XI ZR 384/11, Rz. 11. 530 So BGH v. 17.6.2015 – VIII ZR 249/14, K&R 2015, 586 (Ls.) zu § 312d Abs. 4 Nr. 6 BGB a.F.; a.A. LG Duisburg v. 22.5.2007 – 6 O 408/06, MMR 2008, 356.
506
Kosmides
Fernabsatzvertragsrecht
Rz. 285
B
Auch Versteigerungen i.S.v. § 156 BGB gehören nach § 312g Abs. 2 Satz 1 Nr. 10 BGB zu den Ausnahmen, sofern sie i.S. dieses Ausnahmetatbestands öffentlich zugänglich sind. Eine solche stellen aber – wie Erw.grd. 24 Satz 4 RL 2011/83/EU klarstellt – Auktionen auf OnlinePlattformen wie eBay nicht dar.531 Bei Kaufverträgen zwischen einem Unternehmer und einem Verbraucher, die als Online-Kauf gegen Höchstgebot ausgestaltet sind, die also im Rahmen einer Internet-Auktion durch Angebot und Annahme gem. §§ 145 ff. BGB und nicht durch einen Zuschlag nach § 156 BGB zustande kommen, ist das Widerrufsrecht nicht gem. § 312g Abs. 2 Satz 1 Nr. 10 BGB ausgeschlossen.532
281
§ 312g Abs. 2 Satz 1 Nr. 12 BGB gilt nur für Verträge über die Erbringung von Wett- und Lotteriedienstleistungen, die staatlich genehmigt und gem. § 763 BGB rechtsverbindlich sind.533 Um Verbraucher vor Verträgen zu schützen, die im Rahmen unerbetener Telefonanrufe geschlossen werden, sieht diese Vorschrift eine Rückausnahme vor: die Ausnahme greift nicht ein, wenn der Kunde seine Vertragserklärung telefonisch abgegeben hat.534
282
4.2.2 Subsidiaritätsverhältnis Im Anschluss an § 312g Abs. 2 BGB sieht § 312g Abs. 3 BGB – ausweislich seines Wortlauts – 283 weitere Fälle vor, in denen das Widerrufsrecht gem. § 312g Abs. 1 BGB nicht besteht. Die Vorschrift enthält – anders als § 312g Abs. 2 Satz 1 BGB – keinen Ausnahmetatbestand. Durch § 312g Abs. 3 BGB wird vielmehr das Verhältnis des gesetzlichen Widerrufsrechts zu Widerrufsrechten nach anderen Gesetzesvorschriften geregelt.535 Er stellt dabei klar, dass das Widerrufsrecht nach § 312g Abs. 1 BGB subsidiär gegenüber einem Widerrufsrecht ist, das dem Verbraucher nach § 355 BGB aufgrund der §§ 495 oder 506–513 BGB zusteht. Ein Widerrufsrecht steht dem Verbraucher i.S.d. § 312g Abs. 3 BGB zu, wenn sämtliche gesetzlich vorgeschriebenen Voraussetzungen für seine Entstehung vorliegen.536 Im Fall des Bestehens eines solchen Rechts ist insofern das Widerrufsrecht nach § 312g Abs. 1 BGB ausgeschlossen. § 312g Abs. 3 BGB räumt der sachnäheren Norm den Vorrang ein. Damit soll eine Doppelung von Widerrufsrechten vermieden werden.537 Vom Wortlaut der Subsidiaritätsregelung nicht erfasste gesetzliche Widerrufsrechte bleiben 284 neben § 312g Abs. 1 BGB bestehen. Dies gilt unabhängig davon, ob die jeweiligen Widerrufsrechte im BGB oder außerhalb des BGB niedergelegt sind und ob solche Rechte an die gleichen oder anderen Voraussetzungen wie § 312g Abs. 1 BGB anknüpfen sowie vergleichbare oder anderweitige Schutzzwecke verfolgen. Auch vertraglich vereinbarte Widerrufsrechte werden von § 312g Abs. 3 BGB nicht tangiert.538 4.2.3 Erlöschenstatbestände Neben die vorstehenden Ausnahmetatbestände, die speziell für das Widerrufsrecht gem. 285 § 312g Abs. 1 BGB gelten, treten die in § 356 Abs. 3 Satz 2, Abs. 4 und Abs. 5 BGB enthaltenen Erlöschenstatbestände. Diese Erlöschenstatbestände gelten grds. für alle Fernabsatz531 BT-Drs. 17/12637, S. 57; vgl. auch BGH v. 3.11.2004 – VIII ZR 375/03, (zu § 312d Abs. 4 Nr. 5 BGB a.F.), CR 2005, 53 m. Anm. Wiebe und Anm. Stern = ITRB 2005, 26 sowie krit. Braun, CR 2005, 113 und Obergfell, MMR 2005, 495; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 131. 532 Vgl. BGH v. 3.11.2004 – VIII ZR 375/03, (zu § 312d Abs. 4 Nr. 5 BGB a.F.), CR 2005, 53 = ITRB 2005, 26. 533 Grüneberg, in: Palandt, § 312g BGB Rz. 15; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 130. 534 BT-Drs. 17/12637, S. 57; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 295. 535 BT-Drs. 17/12637, S. 57; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312g Rz. 98; R. Koch, in: Erman, BGB, § 312g Rz. 25. 536 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 134. 537 R. Koch, in: Erman, BGB, § 312g Rz. 25. 538 R. Koch, in: Erman, BGB, § 312g Rz. 28.
Kosmides
507
B Rz. 286
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
verträge mit Ausnahme von Verbraucherdarlehensverträgen (vgl. § 312g Abs. 3 BGB; s. Rz. 286 ff.). Bei im Fernabsatz geschlossenen Teilzeit-Wohnrechteverträgen, Verträgen über ein langfristiges Urlaubsprodukt, bei Vermittlungsverträgen und Tauschsystemverträgen sind die abweichenden Spezialregelungen in § 356a BGB zu beachten (z.B. § 356a Abs. 3 Satz 2 BGB), die im Falle einer Normkollision den Erlöschenstatbeständen in § 356 BGB vorgehen. 4.2.3.1 Grundsatz (§ 356 Abs. 3 Satz 2 BGB) 286 Zur Gewährleistung der Rechtssicherheit soll es nach neuem Recht ein ewiges Widerrufsrecht grds. nicht mehr geben (Erw.grd. 43 Satz 2 RL 2011/83/EU).539 Die Grundsatzregelung in § 356 Abs. 3 Satz 2 BGB, die Art. 10 Abs. 1 RL 2011/83/EU umsetzt, normiert in dieser Hinsicht den Zeitpunkt des endgültigen Erlöschens des Widerrufsrechts in der Form einer absoluten Höchstfrist für die Ausübung dieses Rechts. Danach erlischt das Widerrufsrecht spätestens zwölf Monate und 14 Tage nach dem gesetzlich vorgesehenen Zeitpunkt des Beginns der Widerrufsfrist, also zwölf Monate nach Ablauf der gesetzlichen Widerrufsfrist.540 287 Maßgeblicher Zeitpunkt für den Beginn der Widerrufsfrist ist der Vertragsschluss (§ 355 Abs. 2 Satz 2 BGB; § 356 Abs. 2 Nr. 2 BGB) oder – bei Verbrauchsgüterkaufverträgen – der Eingang der Waren beim Empfänger (§ 356 Abs. 2 Nr. 1 BGB).541 Anders als nach der alten Rechtslage (§ 355 Abs. 4 Satz 3 BGB a.F.) erlischt das Widerrufsrecht des Verbrauchers unabhängig davon, ob er vom Unternehmer ordnungsgemäß über das Widerrufsrecht informiert wurde.542 Die absolute zeitliche Begrenzung des Widerrufsrechts nach § 356 Abs. 3 Satz 2 BGB gilt selbst im Falle einer unterbliebenen oder nicht ordnungsgemäßen Widerrufsbelehrung.543 288 Diese Höchstfrist gilt nach § 356 Abs. 3 Satz 3 BGB nicht für Verträge über Finanzdienstleistungen. Hier verbleibt es bei der alten Rechtslage.544 4.2.3.2 Dienstleistungsverträge (§ 356 Abs. 4 BGB) 289 Zwei zusätzliche Erlöschenstatbestände speziell für Dienstleistungsverträge sind in § 356 Abs. 4 BGB enthalten. Die Rechtsfolge besteht im vorzeitigen Erlöschen des Widerrufsrechts, d.h. im Erlöschen dieses Rechts vor Ablauf der gesetzlichen Widerrufsfrist. Dabei wird zwischen Finanzdienstleistungen (§ 356 Abs. 4 Satz 3 BGB) und sonstigen Dienstleistungen unterschieden (§ 356 Abs. 4 Satz 1 BGB). § 356 Abs. 4 Satz 1 BGB kann auch auf Dienstleistungsverträge Anwendung finden, die auf einem körperlichen Datenträger befindliche digitale Inhalte (z.B. Software-Verträge) zum Gegenstand haben. 290 In § 356 Abs. 4 Sätze 1 und 3 BGB kommen unterschiedliche Tatbestandsvoraussetzungen für das Erlöschen des Widerrufsrechts in Betracht. Die Bedeutung beider Regelungen besteht in erster Linie darin, eine Rückabwicklung bereits (vonseiten des Unternehmers: § 356 Abs. 4 Satz 1 BGB bzw. von beiden Seiten: § 356 Abs. 4 Satz 3 BGB) vollständig abgewickelter Verträge zu verhindern.545 Eine wertersatzfreie Widerrufsmöglichkeit ergibt in solchen Fällen keinen Sinn.546
539 BT-Drs. 17/12637, S. 72; s.a. Hönninger, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPKBGB, § 356 Rz. 22. 540 Grüneberg, in: Palandt, § 356 BGB Rz. 8; R. Koch, in: Erman, BGB, § 356 Rz. 14. 541 BT-Drs. 17/12637, S. 72; s.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 360. 542 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 357. 543 BT-Drs. 17/12637, S. 62, 72. 544 BT-Drs. 17/12637, S. 62. 545 S.a. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 126. 546 Hönninger, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 356 Rz. 24.
508
Kosmides
Fernabsatzvertragsrecht
Rz. 294
B
§ 356 Abs. 4 Satz 1 BGB, der auf Art. 16 lit. a RL 2011/83/EU zurückgeht, setzt voraus, dass 291 der Unternehmer die geschuldete Dienstleistung vollständig erbracht hat. Der bloße Beginn der Vertragserfüllung genügt nicht. Nach neuer Rechtslage ist nicht (mehr) erforderlich, dass der Verbraucher die Gegenleistung erbracht hat. Dieser Umstand ist für den Verlust des Widerrufsrechts nicht (mehr) relevant.547 Erforderlich ist zudem, dass mit der Ausführung der Dienstleistung erst nach ausdrücklicher Zustimmung durch den Verbraucher begonnen wurde. Liegt ein außerhalb von Geschäftsräumen geschlossener Vertrag vor, so muss diese Zustimmung auf einem dauerhaften Datenträger übermittelt werden (§ 356 Abs. 4 Satz 2 BGB). Es ist unklar, wann die ausdrückliche Zustimmung gegeben ist. Der BGH hat sich zwar i.V.m.der Annahme eines R-Gesprächs geäußert,548 was die bewusste Ingangsetzung des Leistungsvorgangs durch Drücken der Tastenkombination betrifft, aber nicht entschieden, ob (auch) eine ausdrückliche Zustimmung vorlag. Der Verbraucher muss ferner vor Beginn der Ausführung der Dienstleistung bestätigt haben, dass er davon Kenntnis genommen hat, dass sein Widerrufsrecht bei vollständiger Vertragserfüllung durch den Unternehmer entfällt. Die bloße Hinnahme der Erfüllung genügt nicht.549 Eine entsprechende AGB-Klausel ist gem. § 307 BGB unwirksam.550 Schließlich wird vorausgesetzt, dass der Verbraucher ordnungsgemäß über sein Widerrufsrecht belehrt wurde.551 Abweichend von § 356 Abs. 4 Satz 1 BGB bestimmt § 356 Abs. 4 Satz 3 BGB (vgl. Art. 6 Abs. 2 lit. c RL 2002/65/EG) für Finanzdienstleistungsverträge, dass das Widerrufsrecht erst erlischt, wenn beide Parteien den Vertrag auf ausdrücklichen Wunsch des Verbrauchers vollständig erfüllt haben. Insofern verbleibt es hier bei der alten Rechtslage.552 Anders als bei § 356 Abs. 4 Satz 1 BGB findet der Erlöschenstatbestand auch dann Anwendung, wenn der Verbraucher nicht oder nicht ordnungsgemäß über sein Widerrufsrecht belehrt worden ist.553
292
4.2.3.3 Online-Lieferung von digitalen Inhalten (§ 356 Abs. 5 BGB) Eine für den IT-Bereich besonders wichtige Regelung ist in § 356 Abs. 5 BGB enthalten.Diese 293 Regelung soll auch dazu dienen, den Verbraucher vor übereilten Entscheidungen zu schützen.554 In Anbetracht der Schaffung der speziellen Erlöschensvorschrift des § 356 Abs. 5 BGB sowie aufgrund der Tatsache, dass die Ausnahmeregelung in § 312d Abs. 4 Nr. 1 BGB a.F. im Zuge der Gesetzesänderung entfallen ist, ist anzunehmen, dass nach neuem Recht für das Download und Streaming von digitalen Inhalten grds. ein Widerrufsrecht besteht.555 § 356 Abs. 5 BGB zeigt in Umsetzung des Art. 16 lit. m RL 2011/83/EU einen Erlöschens- 294 grund auf, der bei der Lieferung von digitalen Inhalten relevant ist, die sich nicht auf einem körperlichen Datenträger befinden. Erfasst sind Lieferungen von digitalen Inhalten, die online, mittels eines Datennetzes, v.a. des Internet erfolgen (z.B. Download, Streaming). Auf die für die online-Bereitstellung der Inhalte verwendete Technik kommt es nicht an.556 Vom Anwendungsbereich der Norm ist hingegen eine Lieferung von digitalen Inhalten auf einem körperlichen Datenträger wie etwa auf einer CD-ROM, einer DVD oder einem USB-Stick herausgenommen. Für diese können insb. § 312g Abs. 2 Satz 1 Nr. 6 BGB und § 356 Abs. 4 Satz 1 BGB herangezogen werden (s. Rz. 266, 289 ff.).
547 548 549 550 551 552 553 554 555 556
BT-Drs. 17/12637, S. 61; Grüneberg, in: Palandt, § 356 BGB Rz. 9. BGH v. 16.3.2006 – III ZR 152/05, CR 2006, 454 = ITRB 2006, 159. BT-Drs. 17/12637, S. 61. AG Hannover v. 22.8.2006 – 561 C 5828/06, NJW 2007, 781; Grüneberg, in: Palandt, § 356 BGB Rz. 9; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 126. Grüneberg, in: Palandt, § 356 BGB Rz. 9. BT-Drs. 17/12637, S. 61. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 126. LG Karlsruhe v. 25.5.2016 – 18 O 7/16, juris Rz. 49. Schirmbacher/Schmidt, CR 2014, 107 (114); Schirmbacher/Creutz, ITRB 2014, 44 (45). Ebenso Grüneberg, in: Palandt, § 356 BGB Rz. 11.
Kosmides
509
B Rz. 295
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
295 Die Tatbestandsvoraussetzungen für das vorzeitige Erlöschen des Widerrufsrechts nach § 356 Abs. 5 BGB ähneln denen in § 356 Abs. 4 Satz 1 BGB. Das Widerrufsrecht erlischt nach § 356 Abs. 5 BGB, wenn der Unternehmer mit der Ausführung des Vertrags begonnen hat, z.B. wenn er den Beginn des Downloads der Software veranlasst hat. Anders als bei § 356 Abs. 4 Satz 1 (und Satz 2) BGB ist eine vollständige Erfüllung der Dienstleistung nicht notwendig.557 Ähnlich wie bei § 356 Abs. 4 BGB wird ferner zum einen vorausgesetzt, dass der Verbraucher im Voraus ausdrücklich zugestimmt hat, dass der Unternehmer mit der Ausführung des Vertrags vor Ablauf der Widerrufsfrist beginnt, und zum anderen, dass der Verbraucher seine Kenntnis davon bestätigt hat, dass er durch seine Zustimmung mit Beginn der Ausführung des Vertrags sein Widerrufsrecht verliert. 295a Soll der Verbraucher mit seiner auf die Eingehung einer Mitgliedschaft bei einem DatingPortal gerichteten Willenserklärung, d.h. durch Anklilcken des „Kaufen“-Buttons, zugleich erklären, dass er eine sofortige Ausführung der Leistung wünscht und zur Kenntnis genommen hat, dass er hierdurch sein Widerrufsrecht verliert, werden nach Ansicht des LG Berlin die Anforderungen des § 356 Abs. 5 BGB an die Kenntnisnahme des Nutzers von der Tragweite seiner abgegebenen Erklärungen nicht erfüllt.558 Die verschiedenen Erklärungen dürfen grds. nicht miteinander vermischt werden. 295b Wird eine Pull-Technik eingesetzt, z.B. bei Apps, liegt nach Mankowski eine ausdrückliche Zustimmung des Verbrauchers im Abruf der digitalen Inhalte, weil er mit Abruf und Download belege, durch eigene Aktivität, dass er die Leistung will.559 Ob der Abruf die Anforderungen des § 356 Abs. 5 BGB genügt oder aber eine gesonderte ausdrückliche Erklärung über die Zustimmung des Verbrauchers erforderlich ist, ist aber noch unklar (s.a. Rz. 291).560 Auch hier ist eine ordnungsgemäße Widerrufsbelehrung des Verbrauchers erforderlich. Demgegenüber ist nicht nötig, dass der Verbraucher die nachvertragliche Bestätigung i.S.v. § 312f Abs. 3 BGB erhalten hat.561 Mit Mankowski ist allerdings dem Unternehmer anzuraten, dem Verbraucher eine Bestätigung abzuverlangen, dass dieser über den drohenden Verlust seines Widerrufsrechts informiert wurde.562 296 Der Wortlaut des § 356 Abs. 5 BGB („… erlischt … auch dann“) könnte den Eindruck erwecken, dass die Erlöschenstatbestände in § 356 Abs. 4 Satz 1 und § 356 Abs. 5 BGB nebeneinander Anwendung finden können. Diese Problematik ist bei auf die Erbringung einer Dienstleistung gerichteten Verträgen über die Lieferung von nicht auf einem körperlichen Datenträger befindlichen digitalen Inhalten relevant. Dieses Ergebnis ist im Lichte des Erw.grd. 19 Sätze 4 und 5 RL 2011/83/EU zu verneinen. Hierdurch wird klargestellt, dass derartige Verträge nicht unter den für Dienstleistungsverträge geltenden Erlöschenstatbestand fallen sollen. Bei digitalen Inhalten, die nicht auf einem körperlichen Datenträger geliefert werden, ist ausschließlich § 356 Abs. 5 BGB als lex specialis gegenüber § 356 Abs. 4 Satz 1 BGB anwendbar. Ansonsten wäre § 356 Abs. 5 BGB weitgehend gegenstandslos, denn er setzt – anders als § 356 Abs. 4 Satz 1 BGB – keine vollständige Dienstleistungserbringung voraus, sondern lässt für das Erlöschen ausreichen, dass mit der Dienstleistungserbringung begonnen wurde. So gesehen knüpft der Ausdruck „auch dann“ in § 356 Abs. 5 BGB nicht an § 356 Abs. 4 BGB, sondern an den Erlöschenstatbestand des § 356 Abs. 3 Satz 2 BGB an.
557 558 559 560 561
R. Koch, in: Erman, BGB, § 356 Rz. 17. LG Berlin v. 30.6.2016 – 52 O 340/15. Mankowski, CR 2013, 508 (514). Offen lassend LG Karlsruhe v. 25.5.2016 – 18 O 7/16, juris Rz. 52. Hönninger, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 356 Rz. 29; R. Koch, in: Erman, BGB, § 356 Rz. 17; a.A. Unger, ZEuP 2012, 270 (301). 562 Mankowski, CR 2013, 508 (514).
510
Kosmides
Fernabsatzvertragsrecht
Rz. 300
B
4.2.4 Rechtsmissbrauch Ein Ausschluss des Widerrufsrechts wegen Verstoßes gegen § 242 BGB, d.h. wegen Rechtsmissbrauchs oder unzulässiger Rechtsausübung, ist nur in engen Grenzen möglich. Nach dem BGH kommt ein solcher Aussschluss nur dann in Betracht, wenn der Unternehmer besonders schutzbedürftig ist, wie etwa bei arglistigem Verhalten des Verbrauchers.563
296a
4.3 Ausübungsmodalitäten des Widerrufsrechts 4.3.1 Inhalt und Form Die Ausübungsmodalitäten des Widerrufsrechts bei Fernabsatzverträgen ergeben sich haupt- 297 sätzlich aus der Grundnorm des § 355 BGB und der Spezialvorschrift des § 356 BGB. Was den Inhalt der Widerrufserklärung angeht, so begründet § 355 Abs. 1 Satz 3 BGB ein Klarheitsgebot: Aus der Widerrufserklärung muss eindeutig hervorgehen, dass der Verbraucher den Vertrag widerrufen will. Dies ist der Fall, wenn er dem Unternehmer gegenüber unmissverständlich zum Ausdruck bringt, dass er nicht mehr an den Vertrag gebunden sein will.564 Für den Unternehmer muss erkennbar sein, auf welchen Vertrag sich die Widerrufserklä- 298 rung bezieht.565 Die bloße (also kommentarlose) Rücksendung der Ware reicht nicht aus.566 Aus einer E-Mail-Mitteilung des Verbrauchers an den Unternehmer nach einer Online-Bestellung, er habe „eine Rücksendung“, lässt sich alleine nicht auf einen Widerrufswillen schließen, weil sich aus der Mitteilung nicht ergibt, aus welchen Gründen eine Rücksendung erfolgen soll.567 Ebenso wenig genügt allein die Anzeige eines Mangels an der Kaufsache.568 In solchen Fällen ist die jeweilige Handlung des Verbrauchers nicht als Ausübung des Widerrufsrechts zu verstehen. Der Verbraucher braucht nicht ausdrücklich das Wort „Widerruf“ zu verwenden.569 Ihm steht es vielmehr bei Beachtung des Klarheitsgebots grds. frei, den Vertrag mit seinen eigenen Worten zu widerrufen (Erw.grd. 44 Satz 4 RL 2011/83/EU). Auch eine Falschbezeichnung (z.B. als „Kündigung“) schadet grds. nicht.570 Das Gesetz stellt keine weiteren Anforderungen an die inhaltliche Ausgestaltung der Widerrufserklärung. Insb. stellt § 355 Abs. 1 Satz 4 BGB dabei klar, dass der Verbraucher nicht verpflichtet ist, den Widerruf zu begründen.571
299
In Zshg. mit der Klarheit der Information besteht noch das Problem der Verständlichkeit bzw. Möglichkeit der Kenntnisnahme bei restriktiver Sichtweise bzw. bei schlecht sichtbaren Darstellungen:
300
„Wird eine Widerrufsbelehrung in einem Scrollkasten mit nur geringer Größe dargestellt, in der nur ein kleiner Teil des Belehrungstextes sichtbar ist, kann dies die Verständlichkeit der Belehrung in einer dem Gesetz nicht mehr genügenden Weise beeinträchtigen“.572
563 BGH v. 16.3.2016 – VIII ZR 146/15, CR 2016, 389 (Ls. 2); v. 25.11.2009 – VIII ZR 318/08, CR 2010, 188 (190, Rz. 20). 564 Vgl. BGH v. 22.5.2012 – II ZR 1/11, Rz. 27. 565 Grüneberg, in: Palandt, § 355 BGB Rz. 5. 566 Grüneberg, in: Palandt, § 355 BGB Rz. 5; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 297. 567 AG Schopfheim v. 19.3.2008 – 2 C 14/08, MMR 2008, 427; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 113. 568 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 302. 569 BGH v. 22.5.2012 – II ZR 1/11, Rz. 27; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 113. 570 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 301. 571 BGH v. 22.5.2012 – II ZR 1/11, Rz. 27; s.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 297; Härting, Internetrecht, Rz. 982; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 113. 572 OLG Frankfurt v. 9.5.2007 – 6 W 61/07, CR 2008, 124 = K&R 2007, 417. S.a. bei SMS LG Hannover v. 21.6.2005 – 14 O 158/04, CR 2006, 529 m. Anm. Müglich = MMR 2005, 714.
Kosmides
511
B Rz. 301
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
301 Das bedeutet aber nicht die generelle Untauglichkeit der Information in Scroll-Kästen. Vielmehr wird es auf die „richtige“ Größe im Einzelfall ankommen.573 Evtl. steht dies aber im Widerspruch zur BGH-E. vom 14.6.2006 – I ZR 75/03,574 wonach die Möglichkeit der Kenntnisnahme von AGB über Hyperlink ausreichend sein kann, hingegen das Bereithalten der Informationen auf der Startseite oder das zwangsläufige Aufrufen im Bestellvorgang nicht erforderlich ist.575 Der Widerspruch bestünde, wenn die Sichtbarkeit und sofortige Erreichbarkeit, wenn auch durch Scrollen, nicht schlechter als bei Klicks gemäß BGH wäre. 302 Die (bloße) Einblendung der Verbraucherinformationen über externe Graphikdateien erfüllt die Anforderungen nicht, soweit dies unterbleibt, weil der Nutzer über WAP zugreift.576 303 Nach § 355 Abs. 1 Satz 2 BGB hat der Widerruf durch Erklärung des Verbrauchers gegenüber dem Unternehmer zu erfolgen. Es handelt sich um eine einseitige Gestaltungserklärung.577 Als Gestaltungsrecht ist der Widerruf an sich unwiderruflich und bedingungsfeindlich. Vom Gesetz wird eine ausdrückliche Erklärung gefordert (§ 355 Abs. 1 Satz 3 BGB: „eindeutig hervorgehen“).578 304 Der Verbraucher ist nicht mehr an die Einhaltung der Textform (§ 126b BGB) gebunden.579 Der Widerruf kann vielmehr formlos erklärt werden.580 Er kann etwa durch die Versendung eines Briefs, durch einen Telefonanruf oder durch die Rücksendung der Ware, die von einer deutlichen Erklärung begleitet wird, erklärt werden (Erw.grd. 44 Satz 5 RL 2011/83/EU).581 Der Widerruf kann ferner durch Fax oder Email erklärt werden. Da aber dem Verbraucher die Beweislast obliegt, dass der Widerruf innerhalb der vorgesehenen Frist erfolgt ist, ist es für ihn weiterhin ratsam, in Textform zu widerrufen.582 Aus dem in § 355 Abs. 1 Satz 3 BGB verankerten Deutlichkeitsgebot folgen auch bestimmte Bedingungen für die optische Gestaltung (z.B. in Bezug auf die Schriftgröße) des Widerrufs. 305 Der Verbraucher kann (muss aber nicht) zum Zweck des Widerrufs das Muster-Widerrufsformular der Anlage 2 zu Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB verwenden (Art. 11 Abs. 1 Satz 2 RL 2011/83/EU).583 Wie angedeutet, kann er seine Widerrufserklärung aber auch in beliebiger anderer Weise wirksam abgeben, sofern diese den gesetzlichen Vorgaben entspricht. Die Beweislast für den Inhalt der Widerrufserklärung trifft den Verbraucher.584 306 In Bezug auf die Widerrufserklärung sieht § 356 Abs. 1 Satz 1 BGB zwei Möglichkeiten vor, die der Unternehmer – ausweislich des Wortlauts dieser Vorschrift – dem Verbraucher zur Verfügung stellen kann: Der Fernabsatzvertrag kann durch die Verwendung
573 OLG Frankfurt v. 9.5.2007 – 6 W 61/07, CR 2008, 124 = MMR 2007, 603, worauf Schlömer/Dittrich, K&R 2007, 433 (434 f.), hinweisen, dabei hinsichtlich „Textfenstern“ bei Datenschutzinformation auf OLG Bdb. v. 11.1.2006 – 7 U 52/05, K&R 2006, 234. Zu kleiner Scrollkasten: LG Hannover v. 21.6.2005 – 14 O 158/04, CR 2006, 529 m. Anm. Müglich = MMR 2005, 715. 574 CR 2006, 773 = ITRB 2006, 271. 575 BGH v. 20.7.2006 – I ZR 75/03, NJW 2006, 2976. Zur Deutlichkeit der Widerrufsbelehrung allg. s.a. BGH v. 31.10.2002 – I ZR 132/00, GRUR 2003, 252. 576 OLG Frankfurt v. 6.11.2007 – 6 W 203/06, CR 2008, 259 = MIR 2007, Dok. 393 (WAP = Wireless Application Protocol); ähnlich LG Berlin v. 9.10.2007 – 15 S 5/07, MIR 2007, Dok. 404 für graphischen Button, was zwar die Erkennung als Weg zur Widerrufsbelehrung und damit die Auffindung erschwert, aber dann zu brauchbaren Ergebnissen führt, was bei einer eingebundenen Graphik (OLG Frankfurt) nicht der Fall ist, und LG Berlin v. 24.6.2008 – 16 O 894/07, MIR 2008, Dok. 251. 577 Schirmbacher/Schmidt, CR 2014, 107 (116). 578 Schirmbacher/Schmidt, CR 2014, 107 (116). 579 BT-Drs. 17/12637, S. 60; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 297. 580 Schirmbacher/Schmidt, CR 2014, 107 (116). 581 S.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 297. 582 BT-Drs. 17/12637, S. 60. 583 S.a. Schirmbacher/Grassmück, ITRB 2014, 20. 584 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 117.
512
Kosmides
Fernabsatzvertragsrecht
Rz. 310
B
– des Muster-Widerrufsformulars nach Anlage 2 zu Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB oder – eines anderen eindeutigen Widerrufsformulars widerrufen werden. In beiden Fällen hat das Widerrufsformular auf der Website des Unternehmers elektronisch 307 ausgefüllt und abgeschickt zu werden (vgl. auch die unionale Ursprungsregel des Art. 11 Abs. 3 RL 2011/83/EU). § 356 Abs. 1 Satz 1 BGB darf nicht derart missverstanden werden, dass das Bereitstellen des 308 gesetzlichen Muster-Widerrufsformulars an sich für den Unternehmer zur Disposition steht.585 Die allgemeine Pflicht des Unternehmers gem. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 2 Satz 1 Nr. 1, § 4 Abs. 1 und 3 EGBGB, dem Verbraucher das gesetzliche Muster-Widerrufsformular vor Abgabe der Vertragserklärung in klarer und verständlicher, in einer dem genutzten Fernkommunikationsmittel angepassten Weise zur Verfügung zu stellen, wird dadurch keineswegs tangiert. Diese Pflicht lässt andererseits den Charakter der Sonderregelung in § 356 Abs. 1 Satz 1 BGB als Kann-Vorschrift unberührt.586 § 356 Abs. 1 Satz 1 Alt. 1 BGB betrifft eine besondere Art der Bereitstellung und Nutzung des gesetzlichen Muster-Widerrufsformulars, nämlich dessen elektronische Ausfüllung und Übermittlung per Website des Unternehmers. Der Unternehmer ist nicht verpflichtet, eine solche Möglichkeit anzubieten.587 Ihm steht es vielmehr grds. frei, zu entscheiden, ob er diese Wahlmöglichkeiten dem Verbraucher einräumen wird. Eine andere Frage ist, ob den Unternehmer nach § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 2 Satz 1 Nr. 1, § 4 Abs. 1 und 3 EGBGB im Einzelfall die Verpflichtung trifft, die in § 356 Abs. 1 Satz 1 BGB beschriebene Nutzungsmöglichkeit des gesetzlichen Muster-Widerrufsformulars einzuräumen. Der Verbraucher muss sich nicht der in § 356 Abs. 1 Satz 1 BGB genannten Möglichkeit für 309 die Erklärung seines Widerrufs bedienen.588 Macht er hiervon Gebrauch, hat der Unternehmer nach § 356 Abs. 1 Satz 2 BGB dem Verbraucher unverzüglich (§ 121 Abs. 1 Satz 1 BGB) eine Bestätigung über den Zugang des Widerrufs auf einem dauerhaften Datenträger zu übermitteln. Diese Vorschrift dient den Interessen beider Parteien:589 Durch ein Widerrufsformular auf der Internetseite wird es einerseits dem Unternehmer erleichtert, die Rückabwicklung vorzunehmen, denn sie erfolgt automatisiert. Der Verbraucher, der den Beweis für die rechtzeitige Widerrufserklärung erbringen muss, erhält andererseits sogleich die Eingangsbestätigung.590 4.3.2 Widerrufsfrist – Rechtzeitigkeit der Ausübung Bereits aus § 355 Abs. 1 Satz 1 BGB folgt, dass das Widerrufsrecht einer Ausübungsfrist („fristgerecht“) unterliegt. Der Aspekt der Dauer ist angesichts der Widerrufsfolgen wirtschaftlich besonders bedeutsam. Die Frist zum Widerruf beträgt nach § 355 Abs. 2 Satz 1 BGB 14 Tage. Es handelt sich um eine europaweit einheitliche Widerrufsfrist (vgl. auch Art. 9 Abs. 1 RL 2011/83/EU). Diese Frist gilt – anders als nach altem Recht – unabhängig vom Zeitpunkt der Widerrufsbelehrung, also auch dann, wenn dem Verbraucher die Belehrung nach Vertragsschluss erteilt wird. Die Verlängerung der Widerrufsfrist auf 30 Tage bei einer verspäteten Belehrung ist ersatzlos entfallen.591
585 586 587 588
Ebenso Hönninger, in: Herberger/Martinek/Rüßmann/Weth, jurisPK-BGB, § 356 Rz. 4. Offen lassend Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 306. Offen lassend Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 306. Grüneberg, in: Palandt, § 356 BGB Rz. 2; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 307; BT-Drs. 17/12637, S. 60. 589 Ebenso R. Koch, in: Erman, BGB, § 356 Rz. 3. 590 BT-Drs. 17/12637, S. 60. 591 Schirmbacher/Schmidt, CR 2014, 107 (114).
Kosmides
513
310
B Rz. 311
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
311 Eine vertragliche Abweichung von der 14-tägigen Frist ist nur zugunsten des Verbrauchers möglich (§ 361 Abs. 2 Satz 1 BGB). Die Widerrufsfrist kann demnach aufgrund einer Parteivereinbarung nicht abgekürzt, sondern nur verlängert werden. Ist in der vom Unternehmer erteilten Widerrufsbelehrung eine längere Frist vorgesehen, ist von einem Angebot auf Annahme eines Vertrags mit der verlängerten Frist auszugehen.592 In Bezug auf die Fristwahrung wird in § 355 Abs. 1 Satz 5 BGB auf den Zeitpunkt der Absendung des Widerrufs abgestellt. Es genügt hiernach die rechtzeitige Absendung. Der Zugang der Widerrufserklärung ist nicht maßgeblich.593 Der Verbraucher hat aber sowohl die (rechtzeitige) Absendung als auch den Zugang des Widerrufs nachzuweisen.594 312 Der zentrale Punkt ist der Beginn der Widerrufsfrist. Er bestimmt sich nach den §§ 355 Abs. 2 Satz 2, 356 Abs. 2 und 3 Satz 1 BGB. Als allgemeine Regel gilt für alle Fernabsatzverträge, dass die Widerrufsfrist erst zu laufen beginnt, wenn der Unternehmer den Verbraucher entsprechend den Anforderungen des Art. 246b § 2 Abs. 1 EGBGB (bei Finanzdienstleistungen) oder des Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB (bei allen anderen Vertragsgegenständen) unterrichtet hat (§ 356 Abs. 3 Satz 1 BGB; s.a. Rz. 185).595 Die 14-tägige Widerrufsfrist wird ohne eine den gesetzlichen Anforderungen entsprechende Unterrichtung nicht in Gang gesetzt.596 Generell gilt auch, dass die Widerrufsfrist nicht vor Vertragsschluss zu laufen beginnt.597 313 Der Zeitpunkt für den Fristbeginn hängt maßgeblich vom Vertragsgegenstand ab: – Für den Verbrauchsgüterkauf (i.S.d. § 474 Abs. 1 BGB) sind die speziellen Regelungen in § 356 Abs. 2 Nr. 1 BGB einschlägig (Art. 9 Abs. 2 lit. b RL 2011/83/EU). Hier kommt es generell auf den Erhalt der Ware an, wobei für die nähere Bestimmung des Zeitpunkts an verschiedene Situationen hinsichtlich der Warenlieferung (§ 356 Abs. 2 Nr. 1 lit. a–d BGB) angeknüpft wird (z.B. Erhalt der ersten Ware bzw. der letzten Ware bzw. der letzten Teilsendung).598 Nach Auffassung des AG Winsen beginnt die Widerrufsfrist nicht bereits ab dem Zeitpunkt zu laufen, in dem der Auslieferer die Ware an einen nicht zum Empfang bevollmächtigten Nachbarn abgibt, sondern erst dann, wenn die Sache tatsächlich in den Machtbereich des Adressaten gelangt.599 – Bei sonstigen Verträgen ist die allgemeine Regelung in § 355 Abs. 2 Satz 2 BGB maßgeblich. Die Widerrufsfrist beginnt hier mit Vertragsschluss i.S.d. §§ 145 ff. BGB (s. Rz. 496, 498 ff.). Inhaltlich falsch ist der Hinweis, dass die Frist mit dem Tage des Vertragsschlusses beginnen soll, nicht erst am Tag danach (§ 187 Abs. 1 BGB). § 355 Abs. 2 Satz 2 BGB gilt insb. für Dienstleistungsverträge (vgl. Art. 9 Abs. 2 lit. a RL 2011/83/EU) sowie – nach § 356 Abs. 2 Nr. 2 BGB (Art. 9 Abs. 2 lit. c RL 2011/83/EU) – für Verträge über die Lieferung von nicht verkörperten digitalen Inhalten und Verträge, die die nicht in einem begrenzten Volumen oder in einer bestimmten Menge angebotene Lieferung von Wasser, Gas oder Strom und die Lieferung von Fernwärme zum Gegenstand haben. 314 Nach § 361 Abs. 3 BGB trägt der Unternehmer die Beweislast für alle Tatsachen, auf die er die Nichteinhaltung der Widerrufsfrist durch den Verbraucher stützen will, insb. die ordnungsgemäße Erfüllung der in § 356 Abs. 3 Satz 1 BGB genannten, für den Fristbeginn maß592 593 594 595 596 597 598 599
514
OLG Frankfurt v. 7.5.2015 – 6 W 42/15, CR 2015, 601 f. (Ls.). S.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 308. Grüneberg, in: Palandt, § 361 BGB Rz. 3; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 117. Vgl. R. Koch, in: Erman, BGB, § 356 Rz. 12; Hönninger, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 356 Rz. 11. Vgl. BGH v. 15.5.2014 – III ZR 368/13, CR 2014, 736 (738) = ITRB 2014, 199; v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (Ls.) = ITRB 2011, 29 – Holzhocker. Schirmbacher/Schmidt, CR 2014, 107 (114). S.a. R. Koch, in: Erman, BGB, § 356 Rz. 5; Hönninger, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 356 Rz. 13 ff. AG Winsen v. 28.6.2012 – 22 C 1812/11, CR 2012, 685 (Ls.).
Kosmides
Fernabsatzvertragsrecht
Rz. 319
B
geblichen Informationspflichten (Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 bzw. Art. 246b § 2 Abs. 1 EGBGB). Vor diesem Hintergrund empfiehlt es sich für den Unternehmer, auf den Erhalt einer Empfangsbestätigung betreffend die Informationsmitteilung und die Widerrufsbelehrung durch den Verbraucher hinzuwirken.600 Für die Ausübung des Widerrufsrechts ist ein Vertragsschluss nicht erforderlich. Der Verbraucher kann vielmehr seine Vertragserklärung widerrufen, auch wenn der Vertrag noch nicht zustande gekommen ist.601 Erst recht ist die Möglichkeit des Widerrufs vom Beginn der Widerrufsfrist unabhängig. Der Widerruf kann somit auch vor dem Fristbeginn erklärt werden.
315
Wird zwischen einem Unternehmer und einem Verbraucher eine Vereinbarung getroffen, die über eine Modifizierung des ursprünglichen Vertrags hinausgeht und zum Abschluss eines neuen Fernabsatzvertrags führt (z.B. telefonische Vereinbarung über einen neuen Leistungsgegenstand: Doppel-Flatrate statt „Serve-Flat“ DSL-Paket), steht dem Kunden ein erneutes Widerrufsrecht zu.602 Die Tatsache, dass der Verbraucher bereits Kunde des Anbieters war, führt nicht zum Verlust des Widerrufsrechts.
316
4.4 Rechtsfolgen des Widerrufs 4.4.1 Allgemein Voraussetzung für die Herbeiführung der Rechtsfolgen des Widerrufs ist eine nach Zeitpunkt, Inhalt und Form ordnungsgemäße Widerrufserklärung (dazu Rz. 297 ff., 310 ff.). Dies wird jedenfalls in Bezug auf die Rechtzeitigkeit der Widerrufserklärung ausdrücklich in § 355 Abs. 1 Satz 1 BGB bestimmt. Der Widerruf stellt eine empfangsbedürftige Willenserklärung dar und wird damit nach § 130 Abs. 1 Satz 1 BGB nur und erst wirksam, wenn er dem Unternehmer zugeht.603
317
Die Widerrufsfolgen richten sich im Wesentlichen nach den allgemeinen Regelungen in 318 § 355 Abs. 1 Satz 1 BGB und § 355 Abs. 3 BGB, sofern nicht § 357 BGB Sonderregelungen enthält.604 Die Widerrufsfolgen sind in den §§ 355 ff. BGB grds. abschließend geregelt.605 In diesem Zshg. stellt § 361 Abs. 1 BGB klar (vgl. Art. 14 Abs. 5 RL 2011/83/EU), dass weitergehende Ansprüche des Unternehmers gegen den Verbraucher aufgrund der Ausübung seines Widerrufsrechts (z.B. aus § 812 BGB) ausgeschlossen sind.606 Unberührt bleiben Schadensersatzansprüche des Unternehmers aus c.i.c., dem Vertrag sowie den Vorschriften über unerlaubte Handlungen, die unabhängig vom Widerrufsrecht bestehen.607 Als Beispiel werden in der Gesetzesbegründung Ansprüche gegen den Verbraucher wegen der Verletzung seiner Pflicht zur Rücksendung der Ware genannt, etwa ein Anspruch auf Ersatz des Verzugsschadens bei verspäteter Rücksendung.608 Für verbundene und zusammenhängende Verträge sind in den §§ 358–360 BGB weitere Sonderregelungen enthalten.
600 601 602 603 604 605 606 607 608
Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 117. Grüneberg, in: Palandt, § 355 BGB Rz. 7. OLG Koblenz v. 28.3.2012 – 9 U 1166/11, MMR 2012, 456. Grüneberg, in: Palandt, § 355 BGB Rz. 8. S.a. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 137. BT-Drs. 17/12637, S. 64. S.a. Hönninger, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 361 Rz. 3. Grüneberg, in: Palandt, § 361 BGB Rz. 1. BT-Drs. 17/12637, S. 64.
Kosmides
515
319
B Rz. 320
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
4.4.2 Befreiung von der Vertragsbindung 320 Die hauptsächliche Rechtsfolge der Ausübung des Widerrufsrechts wird in § 355 Abs. 1 Satz 1 BGB normiert: „der Verbraucher und der Unternehmer [sind] an ihre auf den Abschluss des Vertrags gerichteten Willenserklärungen nicht mehr gebunden“. Es handelt sich kurzum um ein Recht zur (einseitigen) Loslösung vom Vertrag.609 Unter diesem Blickwinkel ist der Fernabsatzvertrag bis zum Ablauf der Widerrufsfrist schwebend wirksam, auflösend bedingt durch die Ausübung des Widerrufsrechts. Ein Schwebezustand besteht, weil die Verbindlichkeit der Willenserklärungen der Parteien mit dem Widerruf endet und es damit am Vorliegen zweier korrespondierender Willenserklärungen fehlt.610 Der Vertrag wird mit dem Widerruf ex nunc unwirksam. Damit wird somit ein bestehendes Vertragsverhältnis beseitigt und in ein Abwicklungsverhältnis umgestaltet.611 Haben die Vertragsparteien die geschuldeten Leistungen nicht erbracht, entfällt durch den Widerruf der vertragliche Anspruch auf Leistung und damit die korrespondierende vertragliche Pflicht zur Leistung.612 Liefert der Unternehmer trotz Widerrufs die Ware oder erbringt er die Dienstleistung, handelt es sich um die Lieferung einer unbestellten Ware bzw. um die Erbringung einer unbestellten Dienstleistung, die auch unter lauterkeitsrechtlichen Gesichtspunkten problematisch ist.613 4.4.3 Rückgewähr der Leistungen 321 I.R.d. durch den Widerruf begründeten Rückabwicklungsverhältnisses ist der jeweilige Vertragspartner verpflichtet, die empfangenen Leistungen dem anderen Vertragspartner zurückzugewähren (§ 355 Abs. 3 Satz 1 BGB). 322 Der Verbraucher hat die erhaltene Ware, also die Sache in Natur zurückzugeben.614 Der Verbraucher ist in diesem Zshg. grds. zur Rücksendung der Ware verpflichtet (Schickschuld). Stattdessen kann er – wie Art. 14 Abs. 1 Unterabs. 1 Satz 1 RL 2011/83/EU klarstellt – die Sache an den Unternehmer übergeben, also die Sache zum ihm bringen (Bringschuld). Die Rücksendungs- bzw. Übergabepflicht besteht nur dann nicht, wenn der Unternehmer angeboten hat, die Ware selbst abzuholen (§ 357 Abs. 5 BGB; Art. 14 Abs. 1 Unterabs. 1 Satz 1 RL 2011/83/EU). Im Falle einer solchen Parteivereinbarung wird aus der Schick- bzw. Bringschuld eine Holschuld. In sonstigen Fällen (z.B. bei fehlender Paketversandfähigkeit) ist der Verbraucher nicht von seiner Rücksendungs- bzw. Übergabepflicht befreit. 323 Im Falle der Rücksendung stellt sich die Frage, wer die Gefahr der Verschlechterung oder des Untergangs der Ware beim Versand trägt. Nach § 355 Abs. 3 Satz 4 BGB ist die Gefahr der Rücksendung vom Unternehmer zu tragen. Infolgedessen wird der Verbraucher bei Verschlechterung oder Untergang der Ware von seiner Rückgewährungspflicht frei.615 324 Zum Produktschutz muss der Verbraucher aber eine geeignete Verpackung für die Rücksendung verwenden. Die Ware muss allerdings nicht in der Originalverpackung zurückgesandt werden. Dem Unternehmer steht es freilich frei, den Verbraucher zu bitten, die Originalverpackung zu nutzen. Eine solche Bitte in den AGB des Unternehmers hat der durchschnittlich verständige und situationsangemessen aufmerksame Verbraucher als unverbindliches Ersuchen und nicht als Einschränkung des Widerrufsrechts oder als Hemmschwelle zu dessen Ausübung zu verstehen.616 Folgende AGB-Klausel ist insoweit nach Ansicht des LG 609 BGH v. 16.3.2016 – VIII ZR 146/15, CR 2016, 389 (Rz. 16); v. 25.11.2009 – VIII ZR 318/08, CR 2010, 188 (189, Rz. 17). 610 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 112. 611 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 112. 612 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 384. 613 OLG Koblenz v. 17.6.2009 – 9 U 20/09, MMR 2010, 38. 614 Grüneberg, in: Palandt, § 355 BGB Rz. 12. 615 Grüneberg, in: Palandt, § 355 BGB Rz. 13. 616 LG Hamburg v. 6.1.2011 – 327 O 779/10, juris Os. 2.
516
Kosmides
Fernabsatzvertragsrecht
Rz. 329
B
Hamburg wirksam, weil sie dem Verbraucher einfach klarstellt, dass der Verwender das Transportrisiko trägt617: „falls die Ware durch den Transport beschädigt ankommt, kann das kostenlose Widerrufsrecht genutzt werden“.
Im Zshg. mit der Pflicht des Verbrauchers, die Ware bei einem widerrufenen Verbrauchsgüterkauf zurückzugewähren, wird dem Unternehmer aufgrund von § 357 Abs. 4 Satz 1 BGB ein Zurückbehaltungsrecht zugesprochen. Der Unternehmer kann hiernach die Rückzahlung solange verweigern, bis er die Waren zurückerhalten hat oder der Verbraucher den Nachweis der Rücksendung (z.B. durch eine Einlieferungsquittung)618 erhalten hat. Damit wird in der Praxis eine Vorleistungspflicht des Verbrauchers begründet.619 Das Zurückbehaltungsrecht besteht nach § 357 Abs. 4 Satz 2 BGB nicht, wenn der Unternehmer angeboten hat, die Sache abzuholen.
325
Den Unternehmer trifft im Gegenzug zur Rückgewährpflicht des Verbrauchers eine Rück- 326 zahlungspflicht. Er hat nämlich das für das Produkt geleistete Entgelt zurückzugewähren (vgl. Art. 13 Abs. 1 Unterabs. 1 RL 2011/83/EU). Nach § 357 Abs. 3 Satz 1 BGB hat die Rückzahlung grds. aufgrund desselben Zahlungsmittels zu erfolgen, das der Verbraucher bei der ursprünglichen Zahlung verwendet hat (vgl. Art. 13 Abs. 1 Unterabs. 2 RL 2011/83/EU). Eine Ausnahme hiervon wird in § 357 Abs. 3 Satz 2 BGB vorgesehen. Dabei müssen zwei Voraussetzungen kumulativ vorliegen, nämlich die Parteien haben eine abweichende ausdrückliche Vereinbarung getroffen und für den Verbraucher fallen infolge der vereinbarten Rückzahlungsart keine Kosten an. Im Fall des Widerrufs von Verträgen über den käuflichen Erwerb von Wertgutscheinen620 ist zu differenzieren: Bei verkörperten Gutscheinen hat der Unternehmer dem Verbraucher den entrichteten Kaufpreis zurückzuerstatten und der Verbraucher den verkörperten Gutschein zurückzuübertragen.621 Kommt ein Gutschein in elektronischer Form in Betracht, wird die Rückgewährpflicht des Verbrauchers durch Rückabtretung erfüllt (§ 398 BGB).622 Denn beim Gutscheingeschäft handelt es sich um einen Rechtskauf.623
327
Für die Leistungszeit ist § 357 Abs. 1 BGB maßgeblich. Die Vorschrift sieht eine 14-tägige 328 Höchstfrist (vgl. auch Art. 13 Abs. 1 Unterabs. 1 und Art. 14 Abs. 1 RL 2011/83/EU) vor.624 Diese Rückgewährfrist beginnt nach § 355 Abs. 3 Satz 2 BGB für den Unternehmer mit dem Zugang und für den Verbraucher mit der Abgabe der Widerrufserklärung. Die Frist wird in Bezug auf die Person des Verbrauchers durch die rechtzeitige Absendung der Ware gewahrt (§ 355 Abs. 3 Satz 3 BGB; Art. 14 Abs. 1 Unterabs. 1 Satz 2 RL 2011/83/EU)). 4.4.4 Versandkosten § 357 Abs. 2 Satz 1 BGB regelt in Einklang mit der EuGH-625 und der BGH-Rspr.626 eine Kostentragungspflicht des Unternehmers für die Hinsendekosten im Fall des Widerrufs eines Fernabsatzvertrags. Zur Begründung seiner These hat der EuGH u.a. ausgeführt: Das Wider-
617 618 619 620 621 622 623 624 625 626
LG Hamburg v. 6.1.2011 – 327 O 779/10, juris Os. 2. BT-Drs. 17/12637, S. 63. Grüneberg, in: Palandt, § 357 BGB Rz. 5. Dazu im Einzelnen Föhlisch/Löwer, K&R 2015, 298 (300 f.). Föhlisch/Löwer, K&R 2015, 298 (300). Föhlisch/Löwer, K&R 2015, 298 (300). Föhlisch/Löwer, K&R 2015, 298 (299). S.a. Schirmbacher/Schmidt, CR 2014, 107 (117). EuGH v. 15.4.2010 – C-511/08, CR 2010, 378 – Heinrich Heine. BGH v. 7.7.2010 – VIII ZR 268/07, CR 2010, 600.
Kosmides
517
329
B Rz. 330
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
rufsrecht sei „mehr als ein bloßes Recht“.627 In Anbetracht des mit der RL 97/7/EG verfolgten Regelungsziels, den Verbraucher nicht von der Ausübung dieses Rechts abzuhalten, liefe eine Regelung, die dem Verbraucher im Fall eines solchen Widerrufs die Kosten der Zusendung in Rechnung stellt, diesem Ziel zuwider.628 Von der Kostentragungspflicht des Unternehmers werden allerdings gem. § 357 Abs. 2 Satz 2 BGB nicht zusätzliche Kosten abgedeckt, die dadurch entstanden sind, dass der Verbraucher eine andere Art der Lieferung als die vom Unternehmer angebotene günstigste Standardlieferung (z.B. Expressversand) gewählt hat (vgl. Art. 13 Abs. 2 RL 2011/83/EU). Der Unternehmer trägt demnach die Hinsendekosten in Höhe der angebotenen Standardlieferung.629 Es ist insoweit rechtswidrig bzw. unwirksam, diese Kosten im Widerrufsfall vom Verbraucher zu verlangen.630 330 Die Rückgewähr der Ware hat – abweichend vom alten Recht631 – grds. auf Kosten des Verbrauchers zu erfolgen (§ 357 Abs. 6 Satz 1 Halbs. 1 BGB). Weggefallen ist die 40-Euro-Klausel.632 Mit der Neuregelung ist insoweit eine deutliche Verschlechterung der Rechtsposition des Verbrauchers einhergegangen. Zu den vom Verbraucher zu zahlenden Rücksendekosten gehören – neben den reinen Versandkosten – alle weiteren mit dem Versand verbundenen Kosten wie z.B. die Verpackungskosten und die Fahrtkosten zur Post.633 331 Diese Regelung über die Rücksendekosten gilt nicht, wenn – der Unternehmer den Verbraucher nach Art. 246a § 1 Abs. 2 Satz 1 Nr. 2 EGBGB über diese Pflicht nicht oder nicht ordnungsgemäß unterrichtet hat (§ 357 Abs. 6 Satz 1 Halbs. 2 BGB) oder – der Unternehmer diese Kosten, gleichgültig ob ausdrücklich oder stillschweigend, vertraglich übernommen hat (§ 357 Abs. 6 Satz 2 BGB). 332 Fraglich ist, ob der Hinweis auf die Auferlegung von Rücksendekosten auf den Unternehmer in einer Widerrufsbelehrung die vertragliche Pflicht zur Übernahme dieser Kosten begründet. Unter Geltung des § 357 BGB a.F. wurde vom OLG Hamm angenommen, dass ein solcher Hinweis allein für die vertragliche Auferlegung der Rücksendekosten auf den Besteller nicht ausreichend war.634 Hierzu bedurfte es vielmehr einer gesonderten vertraglichen Vereinbarung, die erkennbar unabhängig von der Widerrufsbelehrung und den gesetzlichen Widerrufsfolgen sein soll.635 333 Im Interesse des Verbraucherschutzes sind keine so strengen Anforderungen an eine vertragliche Übernahme der Rücksendekosten vom Unternehmer zu stellen. Zwar wird mit einem entsprechenden Hinweis in der Widerrufsbelehrung an sich keine Kostentragungspflicht des Unternehmers statuiert. Ein solcher Hinweis stellt jedoch – mangels ausdrücklicher Vereinbarung – ein starkes Indiz für das Bestehen einer stillschweigenden Vereinbarung dar. 334 Die noch zum alten Recht ergangene Rspr., wonach die Rücksendekosten dem Käufer auch in AGB wirksam auferlegt werden können,636 ist vor dem Hintergrund der gesetzlichen Auferlegung dieser Kosten auf den Käufer nach neuem Recht kaum mehr von praktischer Bedeutung. Eine vertragliche Abwälzung der Rücksendekosten auf den Käufer in den Fällen, in 627 EuGH v. 15.4.2010 – C-511/08, CR 2010, 378 (380) – Heinrich Heine; v. 3.9.2009 – C-489/07, CR 2009, 671 (672) – Messner. 628 EuGH v. 15.4.2010 – C-511/08, CR 2010, 378 (380) – Heinrich Heine. 629 Schirmbacher/Schmidt, CR 2014, 107 (118). 630 Vgl. nach altem Recht LG Karlsruhe v. 19.12.2005 – 10 O 794/05, MMR 2006, 245, bestätigt durch OLG Karlsruhe v. 5.9.2007 – 15 U 226/06, CR 2008, 118 = ITRB 2008, 32. 631 Dazu Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 141 ff. 632 S.a. Schirmbacher/Schmidt, CR 2014, 107 (118). 633 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 401. 634 OLG Hamm v. 23.5.2013 – 4 U 196/12, MMR 2014, 30 (33). 635 OLG Hamm v. 23.5.2013 – 4 U 196/12, MMR 2014, 30 (33). 636 OLG München v. 7.2.2012 – 29 W 212/12, MMR 2012, 370 (371, Ls. 1).
518
Kosmides
Fernabsatzvertragsrecht
Rz. 340
B
denen diese Kosten ausnahmsweise vom Unternehmer zu tragen sind, ist ohnehin aufgrund des zwingenden Charakters der gesetzlichen Regelung (sowohl in AGB als auch in Individualvereinbarung) unzulässig. Der Unternehmer darf – hat er die Rücksendekosten zu tragen –“unfreie“ Pakete im Falle der Rücksendung im Rahmen der Ausübung des Widerrufsrechts nicht ablehnen. Eine entsprechende AGB-Klausel (z.B. „unfreie Ware wird nicht angenommen“) ist unwirksam (und wettbewerbswidrig).637 Unzulässig ist aber auch die tatsächliche Verweigerung der Annahme unfreier Rücksendungen.638
335
Nach Ansicht des OLG München anders gelagert ist allerdings der Fall, in dem der Verkäu- 336 fer in den AGB ausdrücklich klarstellt, dass die Beachtung der Bitte, Ware möglichst nicht unfrei zurückzusenden, nicht Voraussetzung für die wirksame Ausübung des Widerrufsrechts ist. In einem solchen Fall werde das Widerrufsrecht weder verweigert noch erschwert, wenn ein unfrei versandtes Warenpaket nicht angenommen wird.639 Diese Beurteilung des OLG München ist nicht überzeugend. Denn es gilt im Allgemeinen, dass für die Beurteilung des Geschäftsinhalts nicht nur der Vertragsinhalt, sondern auch die Vertragspraxis maßgeblich ist.640 Durch die tatsächliche Verweigerung der Annahme des unfrei versandten Pakets mit der Ware setzt sich der Unternehmer entgegen Treu und Glauben in Widerspruch zu seiner als Bitte formulierten Aufforderung an den Käufer, das zurückgesandte Paket zu frankieren, sodass er sich nicht mehr auf seine AGB berufen kann. Bei einer solchen Annahmeverweigerung handelt es sich in der Tat um eine Hemmschwelle zur Ausübung des Widerrufsrechts des Verbrauchers. Fallen dem Unternehmer die Rücksendekosten zur Last, kann der Verbraucher die Ware per Nachnahme zurücksenden. Der Unternehmer kann aber den Käufer darum bitten, die Rücksendekosten erst mal zu zahlen, und eine Rückerstattung dieser Kosten versprechen. Insoweit ist folgende Erstattungsklausel bzgl. Rücksendeporto in den AGB des Anbieters grds. zulässig:
337
„Bitte frankieren Sie das Paket ausreichend, um Strafporto zu vermeiden. Wir erstatten Ihnen den Portobetrag dann umgehend zurück“.641
AGB, in denen der Verbraucher auf Gutschrift verwiesen wird, sind unwirksam.642
338
„Wenn Sie uns keinen bestimmten Wunsch mitteilen, wird der Wert der Rücksendung Ihrem Kundenkonto gutgeschrieben oder Sie erhalten beim Nachnahmekauf einen Verrechnungsscheck“
AGB, die nur Rücksendung der Ware bei Widerruf mit Originalverpackung und Originalrechnung erlauben, sind unzulässig bzw. unwirksam.643
339
Bei einer Lastschriftabrede muss der Schuldner dafür sorgen, dass sein Konto die erforderli- 340 che Deckung aufweist. Ist dies nicht der Fall, liegt eine Schadensersatz auslösende Pflichtverletzung vor.644 Allerdings ist Personalmehraufwand (Pauschale) oder anderer pauschal berech-
637 OLG Hamburg v. 12.9.2007 – 5 W 129/07, CR 2008, 116 (117); v. 14.2.2007 – 5 W 15/07, CR 2007, 455; OLG Düsseldorf v. 13.11.2014 – I-15 U 46/14, 15 U 46/14. 638 LG Düsseldorf v. 23.7.2010 – 38 O 19/10, juris Rz. 80. 639 OLG München v. 7.2.2012 – 29 W 212/12, MMR 2012, 370 (371, Ls. 2). 640 Kosmides, Providing-Verträge, S. 27 f. 641 OLG Hamburg v. 20.4.2007 – 3 W 83/07, CR 2008, 183. 642 BGH v. 5.10.2005 – VIII ZR 382/04, MMR 2006, 101 = CR 2006, 120 = ITRB 2006, 50. 643 LG Düsseldorf v. 17.5.2006 – 12 O 496/05, CR 2006, 858 = ITRB 2007, 12. 644 LG Dortmund v. 25.5.2007 – 8 O 55/06, MIR 2007, Dok. 299 unter Verweis auf BGH v. 8.3.2005 – XI ZR 154/04, NJW 2005, 1645 (1647).
Kosmides
519
B Rz. 341
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
neter Schaden (z.B. zur Rechtswahrung) über Bankgebühren, Porto, Papier, Druck hinaus nicht erstattungsfähig. Entsprechende AGB sind unwirksam.645 4.4.5 Verpflichtung zum Wertersatz 4.4.5.1 Allgemeines 341 Den Verbraucher trifft die Wertersatzpflicht nur in den von § 357 Abs. 7 und 8 BGB erfassten Fällen. Diese Regelungen schaffen jeweils eine eigenständige Anspruchsgrundlage für den Wertersatz.646 Sie haben abschließenden Charakter, sodass ein Rückgriff auf die §§ 346 ff. BGB nicht möglich ist.647 Somit schuldet der Verbraucher im Fernabsatzrecht Wertersatz nur bei Wertverlust der Waren nach § 357 Abs. 7 BGB und für gezogene Nutzungen bei Dienstleistungsverträgen und bestimmten Energielieferungsverträgen nach § 357 Abs. 8 BGB. 342 Die Erfüllung der Voraussetzungen dieser Tatbestände führt zur Begründung einer verschuldensunabhängigen Haftung des Verbrauchers auf Wertersatz, zieht jedoch keine weiteren Rechtsfolgen – wie z.B. den Verlust des Widerrufsrechts des Verbrauchers – nach sich.648 Die Beweislast für den Tatbestand der Wertersatzpflicht trägt der Unternehmer. 343 § 357 Abs. 7 und 8 BGB entsprechen der EuGH-Rspr.649 Nach dem Messner-Urteil hat der Verkäufer im Widerrufsfall keinen generellen Wertersatzanspruch gegenüber dem Verbraucher für die Nutzung einer durch Vertragsabschluss im Fernabsatz gekauften Ware.650 Den Mitgliedstaaten steht es allerdings grds. frei, zu bestimmen, dass für die Benutzung der Ware Wertersatz zu leisten ist, wenn der Verbraucher die Ware auf eine mit den Grundsätzen des bürgerlichen Rechts – wie denen von Treu und Glauben oder der ungerechtfertigten Bereicherung – unvereinbare Art und Weise nutzt.651 Durch eine solche nationale Regelung müssen die Zielsetzung der unionalen Ursprungsregeln, insb. die Wirksamkeit und die Effektivität des Rechts auf Widerruf nicht beeinträchtigt werden.652 344 Nach dem EuGH verstößt eine nationale Regelung, die es dem Verkäufer bei der Lieferung eines vertragswidrigen Verbrauchsguts erlaubt, vom Käufer Wertersatz für die Nutzung des vertragswidrigen Verbrauchsguts bis zu dessen Austausch durch ein neues Verbrauchsgut zu verlangen, gegen Art. 3 RL 1999/44/EG.653 4.4.5.2 Wertersatzpflicht für Wertverlust der Ware 345 Bei einer Lieferung von Waren hat der Verbraucher nach § 357 Abs. 7 BGB Wertersatz für einen Wertverlust der Ware unter zwei kumulativ zu fordernden Voraussetzungen zu leisten (vgl. Art. 14 Abs. 2 RL 2011/83/EU): – der Wertverlust muss auf eine Verwendung der Ware zurückzuführen sein, die für die Prüfung der Beschaffenheit, der Eigenschaften und der Funktionsweise der Ware nicht erforderlich war (§ 357 Abs. 7 Nr. 1 BGB) und
645 LG Dortmund v. 25.5.2007 – 8 O 55/06, MIR 2007, Dok. 299: AGB mit Pauschale für Rücklastenschriftgebühr 50 Euro ist deshalb unwirksam. 646 BT-Drs. 17/12637, S. 63 f. 647 Grüneberg, in: Palandt, § 357 BGB Rz. 8. 648 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 411; s.a. BT-Drs. 17/12637, S. 63 f. 649 Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 154. 650 EuGH v. 3.9.2009 – C-489/07, CR 2009, 671 (Ls. 1) = ITRB 2010, 26 – Messner. 651 EuGH v. 3.9.2009 – C-489/07, CR 2009, 671 f. (Ls. 2) = ITRB 2010, 26 – Messner. 652 Vgl. auch Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 154. 653 Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates v. 25.4.1999 zu bestimmten Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter (ABl. Nr. L 171 v. 7.7.1999, S. 12).
520
Kosmides
Fernabsatzvertragsrecht
Rz. 349
B
– der Verbraucher wurde vom Unternehmer nach Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB über sein Widerrufsrecht ordnungsgemäß unterrichtet (§ 357 Abs. 7 Nr. 2 BGB). Unter Wertverlust der Ware sind die normale Abnutzung infolge der bestimmungsgemäßen Ingebrauchnahme und des weiteren Gebrauchs der Ware ebenso wie darüber hinausgehende Verschlechterungen zu verstehen.654 Solche Verschlechterungen sind z.B. im Falle einer Beschädigung der Ware infolge unsachgemäßen Umgangs mit der Ware oder übermäßiger Inanspruchnahme anzunehmen.655 Gleichgültig ist, ob eine lineare Wertminderung oder eine sonstige (darüber hinausgehende) Verschlechterung in Betracht kommt.656 Es werden vielmehr alle möglichen Verschlechterungen der Sache erfasst. Erst recht fällt ein vollständiger Wertverlust bzw. Untergang der Sache in den Anwendungsbereich des § 357 Abs. 7 BGB.657
346
Für die Begründung der Wertersatzpflicht reicht allerdings ein Wertverlust nicht aus. Ebenso 347 wenig wird eine Wertminderung erfasst, die allein auf die Prüfung der Ware zurückzuführen ist.658 Denn dem Verbraucher steht ein Prüfungsrecht zu.659 Die Verpflichtungen des Verbrauchers im Falle des Widerrufs dürfen – ausweislich des Erw.grd. 47 Satz 6 RL 2011/83/EU – den Verbraucher nicht davon abhalten, sein Widerrufsrecht auszuüben. Zur Prüfung der Ware gehört i.d.R. das Öffnen der Verpackung, kann aber auch das Ausprobieren und die bestimmungsgemäße Ingebrauchnahme der Sache gehören.660 Der BGH hatte schon nach altem Recht klargestellt, dass der Verbraucher, der im Fernabsatz ein Wasserbett gekauft hat, im Falle des Widerrufs keinen Ersatz für die Wertminderung schuldet, die dadurch eintritt, dass er die Matratze des Betts zu Prüfzwecken mit Wasser befüllt hat.661 Voraussetzung für die Wertersatzpflicht ist stets, dass der Wertverlust dadurch entstanden 348 ist, dass der Verbraucher in einer Weise mit der Sache umgegangen ist, die über die Prüfung von deren Beschaffenheit, Eigenschaften und Funktionsweise hinausgeht. Maßgeblich für die Abgrenzung von erlaubten und unerlaubten Prüfungshandlungen, ist die Verkehrssitte, insb. die herrschende Anschauung und tatsächliche Übung im stationären Handel.662 So kann es im Einzelfall (z.B. bei Medikamenten oder Kosmetik) unüblich sein, eine Prüfung der Ware durch Ingebrauchnahme oder gar Auspacken der Ware vorzunehmen.663 Der Verbraucher darf ein Kleidungsstück nur anprobieren, nicht jedoch tragen (Erw.grd. 47 Satz 4 RL 2011/83/EU). Insgesamt betrachtet muss der Verbraucher beim Umgang mit der Sache während der Widerrufsfrist die gebotene Sorgfalt anwenden. Auf die Intensität der Nutzung kommt es nicht an. Auch ein unerheblicher Gebrauch der Ware kann haftungsauslösend sein.664 Aufgrund des klaren Wortlauts des § 357 Abs. 7 Nr. 1 BGB kann die bloß zufällige Verschlechterung nicht zur Begründung der Wertersatzpflicht führen.665 I.R.d. nach § 357 Abs. 7 Nr. 2 BGB vorausgesetzten Belehrung des Verbrauchers über sein Widerrufsrecht gem. Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 EGBGB muss er auch in Kenntnis gesetzt werden, dass er die Ware während der Widerrufsfrist mit der erforderlichen Sorgfalt zu behandeln hat und im Widerrufsfall den durch die übermäßige Nutzung verursachten Wert-
654 655 656 657 658 659 660 661 662
S.a. R. Koch, in: Erman, BGB, § 357 Rz. 13 f. BT-Drs. 17/12637, S. 63. BT-Drs. 17/12637, S. 63. BT-Drs. 17/12637, S. 63. BGH v. 9.12.2009 – VIII ZR 219/08, CR 2010, 388 (391), ITRB 2010, 50. Grüneberg, in: Palandt, § 357 BGB Rz. 9. BT-Drs. 17/12637, S. 63. BGH v. 3.11.2010 – VIII ZR 337/09, CR 2011, 33 (34, Ls.) = ITRB 2011, 52. S.a. Hönninger, in Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 357 Rz. 24; BT-Drs. 17/12637, S. 63 sowie Erw.grd. 47 Satz 3 RL 2011/83/EU. 663 BT-Drs. 17/12637, S. 63. 664 Grüneberg, in: Palandt, § 357 BGB Rz. 9. 665 Grüneberg, in: Palandt, § 357 BGB Rz. 9.
Kosmides
521
349
B Rz. 350
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
verlust zu ersetzen hat.666 Das Unterlassen könnte unlauter sein, wenn andererseits der Hinweis dahin geht, die Wertersatzpflicht könne dadurch vermieden werden, dass der Verbraucher die Ware nicht in Gebrauch nimmt.667 350 Folgende AGB-Klausel hält nach Auffassung des BGH der Inhaltskontrolle gem. § 307 Abs. 1 Satz 2 BGB (Transparenzgebot) nicht stand und ist daher unwirksam, weil sie keinen ausreichenden Hinweis darauf enthält, dass bei einer durch eine erlaubte Ingebrauchnahme der Sache entstandenen Verschlechterung kein Wertersatz geschuldet wird sowie nicht darauf hinweist, dass die Wertersatzpflicht nur unter der Voraussetzung einer ordnungsgemäßen Belehrung besteht:668 „Bei einer Verschlechterung der Ware kann Wertersatz verlangt werden. Dies gilt nicht, wenn die Verschlechterung der Ware ausschließlich auf deren Prüfung – wie sie dem Verbraucher etwa im Ladengeschäft möglich gewesen wäre – zurückzuführen ist“.
351 Ein Hinweis in Bezug auf die nach § 357 Abs. 7 Nr. 2 BGB erforderliche Belehrung ist im Muster für die Widerrufsbelehrung in der Anlage 1 zu Art. 246a § 1 Abs. 2 Satz 2 EGBGB (Gestaltungshinweis 5 lit. c enthalten. Zum Zwecke einer rechtssicheren Gestaltung der entsprechenden Auskunftsklausel, empfiehlt es sich für den Unternehmer, dieses gesetzliche Muster zu nutzen: „Sie müssen für einen etwaigen Wertverlust der Waren nur aufkommen, wenn dieser Wertverlust auf einen zur Prüfung der Beschaffenheit, Eigenschaften und Funktionsweise der Waren nicht notwendigen Umgang mit ihnen zurückzuführen ist.“
352 Entscheidend für die Bestimmung der Höhe des Wertersatzes ist nicht das vertraglich vereinbarte Entgelt, sondern vielmehr der objektive Wert der Ware. Dies gilt aber nur, soweit dieser Wert das vertraglich vereinbarte Entgelt nicht übersteigt.669 Der Wertersatz soll im Allgemeinen der Höhe nach durch die Wirksamkeit und die Effektivität des Widerrufsrechts begrenzt werden.670 353 Anders als § 357 Abs. 8 BGB bezieht sich § 357 Abs. 7 BGB nicht auf gezogene Nutzungen, weshalb von § 357 Abs. 7 BGB die Nutzungsherausgabe bzw. der Nutzungswertersatz nicht erfasst ist. 4.4.5.3 Wertersatzpflicht für gezogene Nutzungen bei Dienstleistungen und Energielieferungen 354 Nach § 357 Abs. 8 BGB hat der Verbraucher bei einem Dienstleistungsvertrag oder einem Vertrag über die Lieferung von Wasser, Gas oder Strom in nicht bestimmten Mengen oder nicht begrenztem Volumen oder über die Lieferung von Fernwärme im Widerrufsfall, dem Unternehmer Wertersatz für die bis zum erfolgten Widerruf erbrachte Leistung zu zahlen. Der Verbraucher schuldet demnach Wertersatz nur für die tatsächlich gezogenen Nutzungen. Die bloße Nutzungsmöglichkeit begründet keine Wertersatzpflicht.671 Die Frage nach dem Wertersatz stellt sich nicht, sofern das Widerrufsrecht gem. § 356 Abs. 4 Satz 1 BGB vorzeitig erloschen ist. In diesem Fall hat der Verbraucher grds. das gesamte Entgelt zu leisten. 666 Vgl. BGH v. 9.12.2009 – VIII ZR 219/08, CR 2010, 388 (392), ITRB 2010, 50; Grüneberg, in: Palandt, § 357 BGB Rz. 10; a.A. Hoeren/Föhlisch, CR 2014, 242 (247): keine Pflicht des Unternehmers zum Hinweis auf den Wertersatzanspruch. 667 KG v. 9.11.2007 – 5 W 276/07, MIR 2008, Dok. 030. 668 BGH v. 9.12.2009 – VIII ZR 219/08, CR 2010, 388 (392, Rz. 35 f.), ITRB 2010, 50. 669 BGH v. 19.7.2012 – III ZR 252/11, BGHZ 194, 150; s.a. Grüneberg, in: Palandt, § 357 BGB Rz. 11; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 426. 670 Vgl. EuGH v. 3.9.2009 – C-489/07, CR 2009, 671 (673) = ITRB 2010, 26 – Messner; s.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 426. 671 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 427.
522
Kosmides
Fernabsatzvertragsrecht
Rz. 359
B
Voraussetzung für die Begründung der Wertersatzpflicht ist zweierlei:
355
– der Verbraucher muss von dem Unternehmer ausdrücklich verlangt haben, dass dieser mit der Leistung vor Ablauf der Widerrufsfrist beginnt (§ 357 Abs. 8 Satz 1 BGB) und – der Verbraucher wurde vom Unternehmer ordnungsgemäß nach Art. 246a § 1 Abs. 2 Satz 1 Nr. 1 und 3 EGBGB über das Widerrufsrecht und die Pflicht zur Zahlung eines angemessenen Betrags unterrichtet (§ 357 Abs. 8 Satz 2 BGB). Für die Fassung der Belehrung nach § 357 Abs. 8 Satz 2 BGB enthält das gesetzliche Muster 356 für die Widerrufsbelehrung in der Anlage 1 zu Art. 246a § 1 Abs. 2 Satz 2 EGBGB (Gestaltungshinweis 6) ein Muster, dessen Verwendung für den Unternehmer zwecks rechtssicherer Gestaltung der entsprechenden Informationsklausel ratsam ist: „Haben Sie verlangt, dass die Dienstleistungen oder Lieferung von Wasser/Gas/Strom/Fernwärme [Unzutreffendes streichen] während der Widerrufsfrist beginnen soll, so haben Sie uns einen angemessenen Betrag zu zahlen, der dem Anteil der bis zu dem Zeitpunkt, zu dem Sie uns von der Ausübung des Widerrufsrechts hinsichtlich dieses Vertrags unterrichten, bereits erbrachten Dienstleistungen im Vergleich zum Gesamtumfang der im Vertrag vorgesehenen Dienstleistungen entspricht.“
Für die Ermittlung des Wertersatzes ist – anders als bei § 357 Abs. 7 BGB – in erster Linie 357 das vertraglich vereinbarte Entgelt maßgeblich (§ 357 Abs. 8 Satz 4 BGB).672 Ist der Gesamtpreis unverhältnismäßig hoch, hat die Berechnung der zu zahlenden Gegenleistung aufgrund des Marktwerts der erbrachten Leistung zu erfolgen (§ 357 Abs. 8 Satz 5 BGB).673 Eine Online-Partnervermittlung darf keinen überzogenen Wertersatz in Rechnung stellen, sondern hat lediglich Anspruch auf angemessenen zeitbezogenen Wertersatz.674 In dem Fall hatte die Betreiberin der Plattform Parship von ihren Kunden 75 % des gesamten Abo-Preises verlangt.675 4.4.5.4 Wertersatz bei der Lieferung digitaler Inhalte In Bezug auf Fernabsatzverträge über die Lieferung von digitalen Inhalten, die sich nicht auf einem Datenträger befinden, trifft § 357 Abs. 9 BGB in Umsetzung von Art. 14 Abs. 4 lit. b RL 2011/83/EU eine Sonderregelung. Nach dieser besteht bei solchen Verträgen im Widerrufsfall keine Wertersatzpflicht. Diese Regelung ist freilich nicht in den Fällen relevant, in denen das Widerrufsrecht des Verbrauchers gem. § 356 Abs. 5 BGB erloschen ist. Ist das Widerrufsrecht nach dieser Vorschrift erloschen, hat der Verbraucher kein Widerrufsrecht; er schuldet damit grds. das gesamte Entgelt.676 Kann er hingegen den Vertrag widerrufen, ist er trotz Lieferung der digitalen Inhalte nach § 357 Abs. 9 BGB von der Verpflichtung zur Leistung eines Wertersatzes vollständig befreit. Es gilt insoweit ein Alles-oder-Nichts-Prinzip.677
358
Bei der Lieferung von auf einem Datenträger befindlichen digitalen Inhalten kann § 357 Abs. 7 BGB zur Anwendung gelangen. § 357 Abs. 8 BGB scheidet hingegen grds. aus, weil die Bereitstellung solcher digitaler Inhalte als Warenlieferung (und nicht als Dienstleistungserbringung) gilt.
359
672 BT-Drs. 17/12637, S. 64. 673 BT-Drs. 17/12637, S. 64. 674 LG Hamburg v. 22.7.2014 – 406 HKO 66/12. Zu Partnervermittlungsvertrag als „Haustürgeschäft“ s. BGH v. 15.4.2010 – III ZR 218/09. 675 LG Hamburg v. 22.7.2014 – 406 HKO 66/12; s.a. dem LG folgend: AG Hamburg v. 12.1.2015 – 49 C 607/14. 676 Ebenso Hönninger, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 357 Rz. 36 f.; s.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 431. 677 Hönninger, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 357 Rz. 37.
Kosmides
523
B Rz. 360
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
4.5 Ausschluss weitergehender Ansprüche – Unabdingbarkeit und Umgehungsverbot 360 In Bezug auf die gesetzlichen Regelungen in den §§ 355–361 BGB gelten gem. § 361 Abs. 2 Satz 1 und 2 BGB ein Abweichungs- sowie ein Umgehungsverbot.678 Diese Regelungen entsprechen nahezu wortwörtlich § 312k Abs. 1 BGB. Es kann insofern auf die dortigen Ausführungen verwiesen werden (Rz. 28 ff.). Daneben wird in § 361 Abs. 1 BGB klargestellt, dass der Unternehmer keine Ansprüche gegen den Verbraucher geltend machen kann, die über diejenigen hinausgehen, die in den §§ 355 ff. BGB normiert sind. Die Ansprüche des Unternehmers werden in diesen Vorschriften abschließend geregelt. 5. Regulierung des Vertragsinhalts 5.1 Informationen als Vertragsinhalt 361 In Umsetzung von Art. 6 Abs. 5 RL 2011/83/EU679 sieht § 312d Abs. 1 Satz 2 BGB vor, dass die in Erfüllung der in § 312d Abs. 1 Satz 1 BGB begründeten Pflicht gemachten Angaben des Unternehmers Vertragsbestandteil werden.680 In Anbetracht des halbzwingenden Charakters des Fernabsatzrechts gilt das auch für Angaben, die von den gesetzlichen Vorgaben zugunsten des Verbrauchers abweichen (z.B. Gewährung einer längeren Widerrufsfrist als 14 Tage).681 362 Die Informationsangaben werden nach § 312d Abs. 1 Satz 2 BGB nur dann nicht Vertragsinhalt, wenn die Vertragsparteien etwas anderes ausdrücklich vereinbart haben.682 Ein schlüssiges Handeln und erst recht ein Schweigen sind nicht ausreichend.683 Die Vorschrift betrifft nicht nur bei Vertragsschluss getroffene abweichende Parteivereinbarungen. Auch nach Vertragsschluss können die zu Vertragsinhalt gewordenen Informationsangaben nur durch eine ausdrückliche Parteivereinbarung abgeändert werden. Denn anderenfalls bestünde die Gefahr, dass der Schutzzweck der Norm weitgehend leer laufen könnte. So gesehen können die in Erfüllung der Informationspflicht gemachten Angaben nicht durch Ausübung eines Rechts auf einseitige Änderung des Vertragsinhalts seitens des Unternehmers modifiziert werden. Das gilt allerdings in Anbetracht des halbzwingenden Charakters der Regelung (§ 312k Abs. 1 Satz 1 BGB; s. Rz. 28 ff.) nicht, wenn der Verbraucher ein entsprechendes ihm zustehendes Vertragsänderungsrecht ausübt. § 312d Abs. 1 Satz 2 BGB stellt auf die in Erfüllung der Informationspflicht tatsächlich gemachten Angaben ab. Die erteilten Informationen werden insoweit – in den Grenzen des Gesetzes – auch dann Vertragsinhalt, wenn sie unvollständig, unrichtig oder nicht ordnungsgemäß sind.684 363 In der Gesetzesbegründung werden zwei praktisch wichtige Anwendungsfälle dargestellt, bei denen eine Verwendung von AGB im Mittelpunkt steht685: Übersendet der Unternehmer dem Verbraucher nach erfolgter Information AGB, die abweichende Angaben enthalten, werden die ursprünglichen Informationsangaben nur dann abgeändert, wenn der Verbraucher den AGB ausdrücklich zugestimmt hat. Sollten bereits die gemeinsam mit den ursprünglichen Informationsangaben übersendeten AGB von den Informationsangaben abweichen bzw. diesen widersprechen, setzt sich der Unternehmer entgegen Treu und Glauben in Widerspruch zu seinem Verhalten, mit der Folge, dass er sich nicht auf die von der Information abweichende AGB-Regelung berufen kann (§ 242 BGB).
678 679 680 681 682 683 684 685
524
BT-Drs. 17/12637, S. 68. BT-Drs. 17/12637, S. 54. S. zur Wirkung für den Verbraucher Kramme, NJW 2015, 279. Wie hier Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312d Rz. 67. Vgl. OLG Frankfurt v. 7.5.2015 – 6 W 42/15, CR 2015, 601 f. (Ls.). BT-Drs. 17/12637, S. 54. Grüneberg, in: Palandt, § 312d BGB Rz. 2. Grüneberg, in: Palandt, § 312d BGB Rz. 2. BT-Drs. 17/12637, S. 54.
Kosmides
Fernabsatzvertragsrecht
Rz. 368
B
Das Fehlen einer § 312d Abs. 1 Satz 2 BGB entsprechenden Regelung in § 312d Abs. 2 BGB 364 für Verträge über Finanzdienstleistungen ist dahingehend zu verstehen, dass § 312d Abs. 1 Satz 2 BGB nicht für solche Verträge gilt.686 Dafür spricht zudem die systematische Verortung der fraglichen Regelung in § 312d Abs. 1 BGB. Der nationale Gesetzgeber war ohnehin nicht verpflichtet, eine entsprechende Regelung für Fernabsatzverträge über Finanzdienstleistungen zu schaffen, da sich der Geltungsbereich des Art. 6 Abs. 5 RL 2011/83/EU nicht auf Finanzdienstleistungen erstreckt. Aufschlussreich ist schließlich das historische Element: § 312d Abs. 1 Satz 2 BGB wird in der Gesetzesbegründung als Regel zur Umsetzung der RL 2011/83/EU angesehen und ausschließlich im Zshg. mit Verträgen, die keine Finanzdienstleistung zum Gegenstand haben, thematisiert.687 5.2 Vereinbarungen über Extrazahlungen Um den Verbraucher vor einer überraschenden Verpflichtung zur Zahlung einer zusätzlichen Leistung und damit einer intransparenten Preisgestaltung zu schützen,688 sieht § 312a Abs. 3 Satz 1 BGB in Umsetzung von Art. 22 RL 2011/83/EU vor, dass für Zahlungen des Verbrauchers, die über das vereinbarte Entgelt für die Hauptleistung des Unternehmers hinausgehen (Extrazahlungen), eine ausdrückliche Vereinbarung der Parteien erforderlich ist.
365
§ 312a Abs. 3 Satz 1 BGB gilt für alle Verbraucherverträge, die eine entgeltliche Leistung des 366 Unternehmers zum Gegenstand haben (§ 312 Abs. 1 BGB), auch für Fernabsatzgeschäfte sowie Verbraucherverträge im elektronischen Geschäftsverkehr. Dies folgt in erster Linie aus dem Anwendungsbereich der unionalen Ursprungsnorm des Art. 22 RL 2011/83/EU gem. Art. 17 Abs. 2 RL 2011/83/EU, der generell Kauf- und Dienstleistungsverträgen sowie Verträgen über die Lieferung von Wasser, Strom, Fernwärme oder digitalen Inhalten eröffnet ist, ohne dass es dabei auf das Vorliegen einer besonderen Vertragsschlusssituation ankommt. Dafür spricht zudem § 312a Abs. 2 Satz 3 BGB, der bestimmte Vertragsarten – darunter auch Fernabsatzverträge – vom Geltungsbereich des § 312a Abs. 2 Sätze 1 und 2 BGB ausdrücklich herausnimmt. Eine Bereichsausnahme vom Anwendungsbereich des § 312a Abs. 3 Satz 1 BGB wird weder für Fernabsatzverträge noch für Verbraucherverträge im E-Commerce gesetzlich vorgeschrieben. Mit denselben Überlegungen ist auch die Anwendbarkeit von § 312a Abs. 4–6 BGB auf diese beiden Vertragsarten zu bejahen (s. Rz. 370 ff., 484). Durch die vorausgesetzte ausdrückliche Parteivereinbarung soll sichergestellt werden, dass sich der Verbraucher nicht in einem größeren Umfang verpflichtet, als er es tatsächlich will. Eine solche Verpflichtung kann sich aus dem Umstand ergeben, dass der Verbraucher öfter sein Augenmerk auf die von ihm begehrte Hauptleistung richtet.689 Zwar steht dem Verbraucher in solchen Fällen ein Anfechtungsrecht gem. § 119 Abs. 1 Fall 1 BGB zu. In vielen Fällen wird allerdings dem Verbraucher die Möglichkeit einer Anfechtung nicht zur Seite stehen, weil die Voraussetzungen für dessen Geltendmachung nicht vorliegen werden. Eine Anfechtung wird außerdem der Interessenlage in aller Regel deshalb nicht gerecht, weil sie zu einer Nichtigkeit des gesamten Vertrags nach § 142 Abs. 1 BGB führt, wodurch der Verbraucher seinen Anspruch auf die Hauptleistung verliert.690
367
Das Merkmal der Ausdrücklichkeit wird erfüllt, wenn der Verbraucher seinen Geschäftswil- 368 len unmittelbar in einer Erklärung äußert.691 Eine konkludente und erst recht eine still-
686 687 688 689 690 691
A.A. Grüneberg, in: Palandt, § 312d BGB Rz. 3; i.E. auch R. Koch, in: Erman, BGB, § 312d Rz. 37. S. BT-Drs. 17/12637, S. 54. BT-Drs. 17/12637, S. 53; s.a. Hoeren/Föhlisch, CR 2014, 242 (248). BT-Drs. 17/12637, S. 53. BT-Drs. 17/12637, S. 53. BT-Drs. 17/12637, S. 53; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312a Rz. 32.
Kosmides
525
B Rz. 369
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
schweigende Einigung sind nicht ausreichend.692 Eine verbindliche Zahlungsverpflichtung kann auch in AGB ausdrücklich vereinbart werden.693 Erfasst sind in erster Linie zusätzliche Entgelte, die als Gegenleistung für eine Nebenleistung entrichtet werden. Darunter fallen aber auch Extrazahlungen im Rahmen der Hauptleistung (z.B. Bearbeitungs- und Verwaltungsgebühren), also solche, denen keine Nebenleistung des Unternehmers gegenübersteht.694 369 Liegt keine ausdrückliche Vereinbarung vor, so fehlt es überhaupt an einer vertraglichen Vereinbarung über Extrazahlungen.695 Eine solche Vereinbarung wird nicht Vertragsbestandteil. Die Folge ist, dass der Verbraucher zur Zahlung des zusätzlichen Entgelts nicht verpflichtet ist. Steht der zusätzlichen Zahlungsverpflichtung eine Verpflichtung des Unternehmers zur Erbringung einer Nebenleistung gegenüber, wird freilich auch die Nebenleistung nicht geschuldet. 370 Das Fehlen einer ausdrücklichen Vereinbarung i.S.v. § 312a Abs. 3 Satz 1 BGB wirkt sich nicht auf die Wirksamkeit des gesamten Vertrags aus. Der Vertrag bleibt nach der salvatorischen Regelung in § 312a Abs. 6 BGB hiervon i.Ü.unberührt. Eine Unwirksamkeit des Gesamtvertrags läge nicht im Interesse des Verbrauchers. Sie würde insoweit Ziel und Zweck der Schutzbestimmung in § 312a Abs. 3 Satz 1 BGB widersprechen, als dadurch der Schutz des Verbrauchers sichergestellt werden soll.696 Der Verbraucher hat aber i.d.R. Interesse daran, seinen Anspruch auf Erfüllung der von ihm begehrten Leistung zu behalten, ohne hierbei durch einzelne Problempunkte bei der Vertragsgestaltung belastet zu werden.697 Das Hauptleistungsverhältnis sowie ggf. sonstige Nebenpflichten, die nicht § 312a Abs. 3 Satz 1 BGB unterfallen, sind insoweit nach § 312a Abs. 6 BGB – trotz fehlender ausdrücklicher Vereinbarung über die Extrazahlungen – rechtsverbindlich, sodass beide Parteien die entsprechenden Ansprüche auf Vertragserfüllung haben. Der Verbraucher kann dennoch die Nebenleistung des Unternehmers in Anspruch nehmen, wenn die Parteien den Vertrag in vollem Umfang nach § 141 BGB bestätigen.698 In diesem Fall wird er freilich die Entrichtung des korrespondierenden zusätzlichen Entgelts schulden. 5.3 Vereinbarungen über Entgelte für Zahlungsmittel 371 § 312a Abs. 4 BGB regelt im Interesse des Verbraucherschutzes die Wirksamkeit von Vereinbarungen über Entgelte, die für die Verwendung von Zahlungsmitteln vom Unternehmer erhoben werden. Neben Verbraucherschutzerwägungen ist diese Vorschrift, insb. § 312a Abs. 4 Nr. 2 BGB, darauf ausgerichtet, durch die Förderung der Nutzung effizienter Zahlungsmittel den Wettbewerb anzukurbeln (vgl. Erw.grd. 54 Satz 1 RL 2011/83/EU). § 312a Abs. 4 BGB gilt für alle Verbraucherverträge, die eine entgeltliche Leistung des Unternehmers zum Gegenstand haben (§ 312 Abs. 1 BGB), u.a. auch für Fernabsatzgeschäfte sowie Verbraucherverträge im elektronischen Geschäftsverkehr. 372 § 312a Abs. 4 Nr. 1 BGB soll im Ergebnis sicherstellen, dass dem Verbraucher bei einem Vertrag mit einem Unternehmer jedenfalls eine gängige und zumutbare unentgeltliche Zahlungsmöglichkeit zur Verfügung gestellt wird.699 Zu diesem Zweck wird als Rechtsfolge einer fehlenden gängigen und unentgeltlichen Zahlungsmöglichkeit die Unwirksamkeit der Vereinbarung, durch die der Kunde verpflichtet wird, ein Entgelt für die Nutzung von Zah-
692 693 694 695 696 697 698 699
526
Grüneberg, in: Palandt, § 312a BGB Rz. 4. Vgl. auch Schirmbacher/Grassmück, ITRB 2014, 66 (67). Grüneberg, in: Palandt, § 312a BGB Rz. 4; R. Koch, in: Erman, BGB, § 312a Rz. 37. R. Koch, in: Erman, BGB, § 312a Rz. 40. S.a. Grüneberg, in: Palandt, § 312a BGB Rz. 7. BT-Drs. 17/12637, S. 54. R. Koch, in: Erman, BGB, § 312a Rz. 40. BT-Drs. 17/12637, S. 51.
Kosmides
Fernabsatzvertragsrecht
Rz. 376
B
lungsmitteln zu entrichten, vorgesehen. Den Verbraucher trifft demnach im Falle des Fehlens einer solchen Zahlungsmöglichkeit überhaupt keine Zahlungsverpflichtung für die Nutzung des betreffenden Zahlungsmittels.700 Unter Zahlungsmittel ist jede Art der Zahlung zu verstehen, die der Verbraucher mit dem 373 Unternehmer für die Erfüllung seiner Geldschuld vereinbart hat.701 Unentgeltlich bedeutet, dass für die Nutzung des Zahlungsmittels keine Gebühr anfällt. Folgende Klausel in den Beförderungsbedingungen eines Luftverkehrsunternehmens bietet etwa keine unentgeltliche Zahlungsmöglichkeit an702: „(1) Kreditkartengebühr pro Fluggast und einfachen Flug: 4,00 Euro/4,00 Euro. (2) Zahlkartengebühren pro Fluggast und einfachen Flug: 1,50 Euro/1,50 Euro.“
Nach BGH hält diese Gebührenregelung in den AGB eines im Fernabsatz tätigen Luftver- 374 kehrsunternehmens der Inhaltskontrolle nicht stand und ist gem. § 307 Abs. 1 und Abs. 2 Nr. 1 BGB unwirksam, wenn dieses Unternehmen für die Bezahlung seiner Leistungen kein (weiteres) unentgeltliches Zahlungsmittel (z.B. Bargeld) alternativ akzeptiert. Eine solche AGB-Klausel weiche von wesentlichen Grundgedanken der gesetzlichen Regelung ab und benachteilige den Fluggast deshalb in unangemessener Weise. Denn sie knüpfe eine Entgeltpflicht an die Entgegennahme einer vom Vertragspartner geschuldeten Leistung.703 § 312a Abs. 4 Nr. 1 BGB geht gerade auf diese BGH-Rspr. zurück, die infolge des sachlichen Zusammenhangs mit Art. 19 RL 2011/83/EU (Rz. 376) in § 312a Abs. 4 BGB ausdrücklich geregelt wurde.704 Das dem Kunden kostenfrei bereitgestellte Zahlungsmittel muss zudem gängig und zumut- 375 bar sein. Diese Tatbestandsmerkmale werden erfüllt, wenn es sich um ein Standard-Bezahlverfahren handelt, das dem Durchschnittsverbraucher üblicherweise zur Verfügung steht.705 Dies ist z.B. bei Überweisung, SOFORT-Überweisung, Lastschrift, Kreditkartenzahlung, ECZahlung sowie u.U. Paypal der Fall.706 Nach Ansicht des LG Frankfurt ist zwar die SOFORTÜberweisung ein gängiges Zahlungsmittel. Wird allerdings diese als einzige kostenfreie Bezahlmöglichkeit zur Verfügung gestellt, wird die Voraussetzung der Zumutbarkeit nicht erfüllt, denn der Verbraucher müsse mit einem Dritten in vertragliche Beziehung treten sowie dem Dritten kontospezifische Daten mitteilen und eine Einwilligung in die Verwendung seiner Daten erteilen.707 Auch eine Firmenkundenkarte stellt grds. kein gängiges Zahlungsmittel dar.708 „Visa Electron“-Karte (gebührenpflichtige Guthabenkarte) und „MasterCard Gold“ sind nicht nennenswert verbreitet.709 In Umsetzung von Art. 19 RL 2011/83/EU verbietet § 312a Abs. 4 Nr. 2 BGB Unternehmern, 376 von einem Verbraucher für die Verwendung von Zahlungsmitteln Entgelte zu verlangen, die über die Kosten hinausgehen, die ihnen für die Bereitstellung solcher Zahlungsmittel entstehen. Damit soll einer im Online-Handel weit verbreiteten Tendenz entgegengewirkt werden, bestimmte Zahlungsmittel (z.B. Kreditkarten) überteuert anzubieten.710 Der Unterneh700 Schirmbacher/Schmidt, CR 2014, 107 (119). 701 BT-Drs. 17/12637, S. 52; Grüneberg, in: Palandt, § 312a BGB Rz. 5; Junker, in: Herberger/Martinek/ Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312a Rz. 47. 702 BGH v. 20.5.2010 – Xa ZR 68/09, NJW 2010, 2719 (Ls. 2) = CR 2010, 674 = ITRB 2010, 273. 703 BGH v. 20.5.2010 – Xa ZR 68/09, NJW 2010, 2719 (2721) = CR 2010, 674 = ITRB 2010, 273. 704 S. BT-Drs. 17/12637, S. 51. 705 Ähnlich Schirmbacher/Freytag, ITRB 2014, 144. 706 Vgl. BT-Drs. 17/12637, S. 52; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312a Rz. 47; Schirmbacher/Freytag, ITRB 2014, 144 (145); Omlor, NJW 2014, 1703 (1705). 707 LG Frankfurt v. 24.6.2015 – 2-06 O 458/14, MMR 2015, 582 (Ls.). 708 Grüneberg, in: Palandt, § 312a BGB Rz. 5. 709 OLG Dresden v. 3.2.2015 – 14 U 1489/14, K&R 2015, 262 im Zusammenhang mit Flugbuchungen über online-shop. 710 BT-Drs. 17/12637, S. 52.
Kosmides
527
B Rz. 377
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
mer darf demnach nur die tatsächlichen Kosten, die durch die Nutzung des jeweiligen Zahlungsmittels verursacht werden, auf den Verbraucher abwälzen. Die Rechtsfolge eines Verstoßes ist – wie bei § 312a Abs. 4 Nr. 1 BGB – die Unwirksamkeit der Entgeltvereinbarung. Der Verbraucher schuldet demzufolge dem Unternehmer überhaupt kein Entgelt für die Verwendung des Zahlungsmittels. 5.4 Vereinbarungen über Entgelte für Anrufe betreffend die Vertragsabwicklung 377 Nach § 312a Abs. 5 Satz 1 BGB ist eine Entgeltvereinbarung zwischen dem Unternehmer und dem Verbraucher für Telefonate des Verbrauchers an den Unternehmer zu Vertragsangelegenheiten unwirksam, wenn das vereinbarte Entgelt das Entgelt für die bloße Nutzung des Telekommunikationsdienstes übersteigt. Die missverständlich formulierte Vorschrift ist im Lichte der unionalen Ursprungsregel in Art. 21 Unterabs. 1 RL 2011/83/EU („nicht … mehr als den Grundtarif zu zahlen“) sowie der Gesetzesbegründung711 dahingehend zu verstehen, dass sie ein umfassendes Verbot für den Unternehmer begründet, Gebühren für die in § 312a Abs. 5 Satz 1 BGB genannten Anrufe in Rechnung zu stellen.712 Der Verbraucher soll nach dieser Bestimmung lediglich verpflichtet sein, die Kosten für die Inanspruchnahme der Telekommunikationsdienstleistung als solche zu zahlen. Einen darüber hinausgehenden Betrag soll er nach der Gesetzesbegründung nicht entrichten müssen.713 Dies entspricht besser dem Regelungsziel von § 312a Abs. 5 Satz 1 BGB. Das Regelungsziel dieser Regelung besteht darin, den Verbraucher nicht davon abzuhalten, den Unternehmer wegen Fragen oder Erklärungen zu einem zwischen ihnen geschlossenen Vertrag anzurufen, weil ihm hierdurch gesonderte Kosten entstehen sollen.714 378 In Deutschland erfüllen – ausweislich der Gesetzesbegründung715 – insb. folgende Rufnummern die gesetzlichen Voraussetzungen:716 – entgeltfreie Rufnummern, – ortsgebundene Rufnummern, – Rufnummern für mobile Dienste (015, 016 oder 017), – Rufnummern für Service-Dienste i.S.v. § 3 Nr. 8b TKG, wenn von dem Anbieter des Telekommunikationsdienstes für das Gespräch kein Entgelt an den Unternehmer abgeführt wird, – persönliche Rufnummern (0700) und – nationale Teilnehmerrufnummern (032). 379 Aufgrund von § 312a Abs. 5 Satz 1 BGB schuldet der Verbraucher dem Unternehmer keine Gebühr für die telefonische Kommunikation. Aus Gründen des Verbraucherschutzes bestimmt § 312a Abs. 5 Satz 2 BGB, dass der Kunde bei einer nach § 312a Abs. 5 Satz 1 BGB unwirksamen Vereinbarung auch gegenüber dem Anbieter des Telekommunikationsdienstes keine Verpflichtung hat, das für den Anruf fällige Entgelt zu zahlen. In diesem Fall wird dem Anbieter des Telekommunikationsdienstes ein Zahlungsanspruch gegenüber dem Unternehmer nach § 312a Abs. 5 Satz 3 BGB zugesprochen.
711 712 713 714
BT-Drs. 17/12637, S. 52. Schirmbacher/Freytag, ITRB 2014, 144 (146). BT-Drs. 17/12637, S. 52. BT-Drs. 17/12637, S. 52; s.a. Hoeren/Föhlisch, CR 2014, 242; vgl. auch LG Frankfurt/M. v. 2.10.2013 – 2-03 O 445/12, CR 2014, 615 (zur Unzulässigkeit der Verwendung einer kostenpflichtigen Mehrwertdienstenummer in der Anbieterkennzeichnung nach § 5 TMG). 715 BT-Drs. 17/12637, S. 52. 716 S.a. Hoeren/Föhlisch, CR 2014, 242.
528
Kosmides
Fernabsatzvertragsrecht
Rz. 384
B
§ 312a Abs. 5 BGB ist bei jedem Verbrauchervertrag, der eine entgeltliche Leistung des Unternehmers zum Gegenstand hat (§ 312 Abs. 1 BGB), auch bei Fernabsatzgeschäften sowie Verbraucherverträgen im elektronischen Geschäftsverkehr einschlägig. Die Vorschrift betrifft ausschließlich eine telefonische Kommunikation mit Bestandskunden zu bestehenden Verträgen717 und ist auf Auskünfte zur Vertragsabwicklung, also insb. zum Vertragsinhalt, zur Geltendmachung von Mängeln und Beanstandung der Rechnung und dergl., beschränkt.718 Bestellhotlines und sonstige Service-Dienste fallen nicht in den Anwendungsbereich der Norm und können deshalb kostenpflichtig vom Unternehmer bereitgestellt werden.719
380
Ergänzt wird § 312a Abs. 5 BGB durch § 66g TKG zu telefonischen Warteschleifen.
381
5.5 Vereinbarungen, die vom Gesetzesrecht abweichen (Verweis) Die Wirksamkeit einer vertraglichen Abweichung vom Gesetzesrecht sowie einer Gesetzesumgehung bestimmen sich nach Maßgabe von § 312k Abs. 1 BGB (s. Rz. 28 ff.).
382
6. Wirksamkeit von Kündigung und Vollmacht zur Kündigung bei Dauerschuldverhältnissen Durch das am 4.8.2009 in Kraft getretene Gesetz zur Bekämpfung unlauterer Telefonwerbung und zur Verbesserung des Verbraucherschutzes bei besonderen Vertriebsformen720 wurde ein neuer § 312f BGB betreffend die Kündigung bei Dauerschuldverhältnissen eingeführt.721 Diese Vorschrift wurde durch das Gesetz zur Anpassung der Vorschriften über den Wertersatz bei Widerruf von Fernabsatzverträgen und über verbundene Verträge722 zu § 312h BGB. § 312h BGB ist bei der Umsetzung der RL 2011/83/EU unverändert geblieben.723
383
Er dient dem Schutz der Verbraucher vor bestimmten unseriösen Geschäftspraktiken, insb. 384 aggressiven Praktiken zur Abwerbung von Verbrauchern auf umkämpften Märkten.724 Die Vorschrift soll zur Vermeidung eines vertragslosen Zustands beitragen725 und damit eine in der Praxis bedeutsame Schutzlücke schließen: Hatte der Unternehmer einen Fernabsatzvertrag mit Dauerschuldcharakter mit einem Verbraucher abgeschlossen, der ein früheres Dauerschuldverhältnis ersetzen sollte, war er nach altem Recht nicht verpflichtet, die seitens des Verbrauchers erfolgte Kündigung oder die Vollmacht zur Kündigung gegenüber seiner bisherigen Vertragspartei in einer bestimmten Form nachzuweisen.726 Durch die Festlegung eines Formerfordernisses soll zum einen das „Unterschieben“ von Verträgen erschwert und zum anderen sichergestellt werden, dass sich der Verbraucher bei Abgabe seiner Willenserklärung der Reichweite seiner Kündigungserklärung bewusst ist.727 Letzteres geschieht im Zuge der Warnfunktion des Formerfordernisses: Dem Verbraucher wird dadurch deutlich vor Augen geführt, dass er „bei Widerruf des neu abgeschlossenen Vertrages an die Kündigung des be717 Schirmbacher/Schmidt, CR 2014, 107 (119). 718 Grüneberg, in: Palandt, § 312a BGB Rz. 6. 719 Vgl. auch Hoeren/Föhlisch, CR 2014, 242 f.; zur Auswirkung von § § 312a Abs. 5 BGB auf Mehrwertdienste vgl. Müller, MMR 2013, 76 ff. (unter Bezugnahme auf § 312c Abs. 4 BGB-E = Entwurf eines Gesetzes zur Umsetzung der Verbraucherrechterichtlinie (VRRL), zur Änderung des Verbrauchsgüterkaufrechts und zur Änderung des Gesetzes zur Regelung der Wohnungsvermittlung, Bearbeitungsstand: 19.9.2012). 720 BGBl. I, S. 2413. 721 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 162. 722 BGBl. I, S. 1600. 723 Vgl. auch R. Koch, in: Erman, BGB, § 312h Rz. 1; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312h Rz. 1. 724 BT-Drs. 16/10734, S. 12; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312h Rz. 4; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 162. 725 BT-Drs. 16/10734, S. 12. 726 BT-Drs. 16/10734, S. 12; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 162. 727 BT-Drs. 16/10734, S. 12.
Kosmides
529
B Rz. 385
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
stehenden Dauerschuldverhältnisses gebunden“ bleibt, er insoweit weder den alten noch den neuen Vertrag hat.728 385 § 312h BGB findet auf Verbraucherverträge sowie alle besonderen Vertriebsformen i.S.d. §§ 312 ff. BGB Anwendung, also auch auf Fernabsatzverträge sowie E-Commerce-Verträge, die zwischen einem Unternehmer und einem Verbraucher geschlossen werden.729 Durch den fraglichen Vertrag muss ein Dauerschuldverhältnis begründet werden, das ein bereits bestehendes Dauerschuldverhältnis ersetzen soll. Der letztere Vertrag muss zwischen dem Verbraucher und einem anderen Unternehmer geschlossen worden sein. Der neu begründete Vertrag hat zu einem vollständigen Anbieterwechsel zu führen. Es reicht insofern nicht aus, wenn der neue Anbieter mit dem alten konzernmäßig verbunden ist (z.B. Mutter- und Tochtergesellschaft bzw. Schwestergesellschaft).730 § 312h BGB ist ferner nicht auf einen bloßen Tarifwechsel oder die Änderung der Betreibervorauswahl (Preselection) anwendbar.731 386 Neu- und Altvertrag müssen gleichartig sein.732 Das Erfordernis der Gleichartigkeit wird nicht ausdrücklich geregelt. Es handelt sich vielmehr um ein ungeschriebenes Tatbestandsmerkmal, das sich aus der Voraussetzung ergibt, dass der Neuvertrag den Altvertrag ersetzen soll.733 387 Für die Kündigung oder die Vollmacht zur Kündigung des Altvertrags, die anlässlich der Begründung des neuen Dauerschuldverhältnisses erfolgt, wird Textform i.S.d. 126b BGB vorgeschrieben. Von § 312h BGB werden nämlich zum einen Fälle erfasst, in denen die Kündigung des bestehenden Dauerschuldverhältnisses vom Verbraucher selbst erklärt und der Unternehmer oder ein von ihm beauftragter Dritter als Bote mit der Übermittlung der Kündigung an den bisherigen Vertragspartner des Verbrauchers beauftragt wird (§ 312h Nr. 1 BGB). Zum anderen kommen Fälle in Betracht, in denen der Unternehmer oder ein von ihm beauftragter Dritter zur Erklärung der Kündigung gegenüber dem bisherigen Vertragspartner bevollmächtigt wird (§ 312h Nr. 2 BGB). Der Erklärende fungiert dabei als Vertreter des Verbrauchers.734 388 Ist die Textform nicht eingehalten, so ist die Willenserklärung des Verbrauchers gem. § 125 Satz 1 BGB nichtig.735 Dies bedeutet für die von § 312h Nr. 1 BGB erfassten Fälle, dass die Kündigung unwirksam ist, mit der Folge, dass der bisherige Vertrag bestehen bleibt. Im Fall von § 312h Nr. 2 BGB ist die erteilte Vollmacht zur Kündigung nichtig, was dazu führt, dass das Vertretergeschäft gem. § 180 Satz 1 BGB unwirksam ist.736
III. E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm 1. Einleitung 389 Im Bereich der EDV bzw. IT lassen sich als gesonderte, voneinander abzugrenzende Gebiete ein Vertragsrecht des elektronischen Geschäftsverkehrs sowie ein Vertragsrecht der InternetDienstleistungen (s. W) ausmachen. Das Vertragsrecht des elektronischen Geschäftsverkehrs regelt Rechtsfragen in Bezug auf Verträge, die über ein Datennetz, insb. das Internet, also on728 729 730 731 732 733 734 735 736
530
BT-Drs. 16/10734, S. 12. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 163. R. Koch, in: Erman, BGB, § 312h Rz. 2. Köhler, NJW 2009, 2567 (2571); Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 163; R. Koch, in: Erman, BGB, § 312h Rz. 2. BT-Drs. 16/10734, S. 12. R. Koch, in: Erman, BGB, § 312h Rz. 2. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 164. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 165; R. Koch, in: Erman, BGB, § 312h Rz. 6; Köhler, NJW 2009, 2567 (2571). R. Koch, in: Erman, BGB, § 312h Rz. 6.
Kosmides
B Rz. 385
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
stehenden Dauerschuldverhältnisses gebunden“ bleibt, er insoweit weder den alten noch den neuen Vertrag hat.728 385 § 312h BGB findet auf Verbraucherverträge sowie alle besonderen Vertriebsformen i.S.d. §§ 312 ff. BGB Anwendung, also auch auf Fernabsatzverträge sowie E-Commerce-Verträge, die zwischen einem Unternehmer und einem Verbraucher geschlossen werden.729 Durch den fraglichen Vertrag muss ein Dauerschuldverhältnis begründet werden, das ein bereits bestehendes Dauerschuldverhältnis ersetzen soll. Der letztere Vertrag muss zwischen dem Verbraucher und einem anderen Unternehmer geschlossen worden sein. Der neu begründete Vertrag hat zu einem vollständigen Anbieterwechsel zu führen. Es reicht insofern nicht aus, wenn der neue Anbieter mit dem alten konzernmäßig verbunden ist (z.B. Mutter- und Tochtergesellschaft bzw. Schwestergesellschaft).730 § 312h BGB ist ferner nicht auf einen bloßen Tarifwechsel oder die Änderung der Betreibervorauswahl (Preselection) anwendbar.731 386 Neu- und Altvertrag müssen gleichartig sein.732 Das Erfordernis der Gleichartigkeit wird nicht ausdrücklich geregelt. Es handelt sich vielmehr um ein ungeschriebenes Tatbestandsmerkmal, das sich aus der Voraussetzung ergibt, dass der Neuvertrag den Altvertrag ersetzen soll.733 387 Für die Kündigung oder die Vollmacht zur Kündigung des Altvertrags, die anlässlich der Begründung des neuen Dauerschuldverhältnisses erfolgt, wird Textform i.S.d. 126b BGB vorgeschrieben. Von § 312h BGB werden nämlich zum einen Fälle erfasst, in denen die Kündigung des bestehenden Dauerschuldverhältnisses vom Verbraucher selbst erklärt und der Unternehmer oder ein von ihm beauftragter Dritter als Bote mit der Übermittlung der Kündigung an den bisherigen Vertragspartner des Verbrauchers beauftragt wird (§ 312h Nr. 1 BGB). Zum anderen kommen Fälle in Betracht, in denen der Unternehmer oder ein von ihm beauftragter Dritter zur Erklärung der Kündigung gegenüber dem bisherigen Vertragspartner bevollmächtigt wird (§ 312h Nr. 2 BGB). Der Erklärende fungiert dabei als Vertreter des Verbrauchers.734 388 Ist die Textform nicht eingehalten, so ist die Willenserklärung des Verbrauchers gem. § 125 Satz 1 BGB nichtig.735 Dies bedeutet für die von § 312h Nr. 1 BGB erfassten Fälle, dass die Kündigung unwirksam ist, mit der Folge, dass der bisherige Vertrag bestehen bleibt. Im Fall von § 312h Nr. 2 BGB ist die erteilte Vollmacht zur Kündigung nichtig, was dazu führt, dass das Vertretergeschäft gem. § 180 Satz 1 BGB unwirksam ist.736
III. E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm 1. Einleitung 389 Im Bereich der EDV bzw. IT lassen sich als gesonderte, voneinander abzugrenzende Gebiete ein Vertragsrecht des elektronischen Geschäftsverkehrs sowie ein Vertragsrecht der InternetDienstleistungen (s. W) ausmachen. Das Vertragsrecht des elektronischen Geschäftsverkehrs regelt Rechtsfragen in Bezug auf Verträge, die über ein Datennetz, insb. das Internet, also on728 729 730 731 732 733 734 735 736
530
BT-Drs. 16/10734, S. 12. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 163. R. Koch, in: Erman, BGB, § 312h Rz. 2. Köhler, NJW 2009, 2567 (2571); Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 163; R. Koch, in: Erman, BGB, § 312h Rz. 2. BT-Drs. 16/10734, S. 12. R. Koch, in: Erman, BGB, § 312h Rz. 2. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 164. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 165; R. Koch, in: Erman, BGB, § 312h Rz. 6; Köhler, NJW 2009, 2567 (2571). R. Koch, in: Erman, BGB, § 312h Rz. 6.
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 393
B
line geschlossen werden. Der Begriff knüpft damit ausschließlich an die Art und Weise des Vertragsschlusses und nicht an den Inhalt des Vertrags an. Hierzu gehören nicht nur die im vorliegenden Abschnitt behandelten Fragen (Anbieterpflichten und Regulierung des Vertragsinhalts), sondern vielmehr und erst recht auch die Fragen des elektronischen Rechtsverkehrs (z.B. elektronische Willenserklärung, Vertragsschluss im Internet und dergl.), die aber zwecks besserer Übersichtlichkeit in einem gesonderten Abschnitt erläutert werden (Rz. 495 ff.). Vom Vertragsrecht der Internet-Dienstleistungen werden hingegen Rechtsfragen rund um Verträge erfasst, die eine Internet-Dienstleistung zum Gegenstand haben. Hier liegt der Fokus auf dem Vertragsgegenstand. Die Abschlusstechnik ist hingegen irrelevant. Aus der obigen Differenzierung ergibt sich folgende Einteilung:
390
– Es gibt zum einen Verträge, die online abgeschlossen werden, jedoch keine InternetDienstleistung zum Gegenstand haben (z.B. Kauf einer Sache über eine Internetauktionsplattform). Der Unterschied gegenüber herkömmlichen Verträgen liegt nicht im Vertragsgegenstand, sondern nur darin, dass solche Verträge nicht in der real-physischen Welt zustande kommen. Vielmehr bedienen sich die Parteien zum Zwecke des Vertragsschlusses eines Telemediums (§ 312i Abs. 1 Satz 1 BGB). – Zum anderen sind Verträge über Internet-Dienstleistungen denkbar, die nicht mittels eines Telemediums abgeschlossen werden. Zu nennen ist etwa ein im Laden zustande gekommener Internet-Access-Providing-Vertrag (s. Rz. 1090 ff., W Rz. 88 ff.). – Die überwiegende Mehrheit der Internet-Dienstleistungsverträge wird aber online abgeschlossen (z.B. E-Mail-Dienste-Vertrag (s. W Rz. 495 ff.). Solche Verträge gelten sowohl dem E-Commerce-Vertragsrecht als auch dem Internet-Dienste-Vertragsrecht. An der letztgenannten Gruppe zeigt sich, dass es Querverbindungen und Überschneidungen gibt. Dies ändert allerdings nichts an der Notwendigkeit der Differenzierung zwischen E-Commerce- und Internet-Dienste-Vertragsrecht. Relevant ist sie v.a. für die Ermittlung der jeweils bestehenden Problembereiche sowie die Beurteilung der Einschlägigkeit der Regelungen des jeweiligen Rechtsgebiets.737
391
Weite Überschneidungen weisen auch die Anwendungsbereiche des Fernabsatzrechts und 392 des E-Commerce-Rechts auf. Werden die Voraussetzungen des § 312c Abs. 1 BGB erfüllt, stellt der fragliche E-Commerce-Vertrag zugleich auch einen Fernabsatzvertrag dar. In einem solchen Fall unterfällt dieser Vertrag grds. auch den für Fernabsatzverträge geltenden Vorschriften (s. Rz. 68 ff.).738 Die Konsequenz ist, dass fernabsatzrechtliche und E-Commercerechtliche Vorschriften teilweise miteinander konkurrieren (Normenkonkurrenz). Stellt ein E-Commerce-Vertrag keinen Fernabsatzvertrag, gleichwohl aber einen (bloßen) entgeltlichen Verbrauchervertrag dar (Verbrauchervertrag im elektronischen Geschäftsverkehr), ist neben den §§ 312i–312k BGB § 312a BGB maßgeblich. In all diesen Fällen sind die sich aus den verschiedenen Vorschriften ergebenden Rechtspflich- 393 ten grds. nebeneinander zu erfüllen, soweit kein Konfliktfall (Normenkollision) besteht oder 737 Zu einem Überblick über die im Online-Handel mit schweizerischen Vertragspartnern zu beachtenden Besonderheiten Schirmbacher/Bühlmann, ITRB 2010, 188 ff.; Bühlmann, ITRB 2014, 10 ff.; für Schweden Roos/Lind, ITRB 2013, 62 ff.; für die Niederlande Jeloschek/Härting, ITRB 2013, 84 ff. und Jeloschek/Härting, ITRB 2013, 108 ff.; für Österreich Klein/Härting, ITRB 2013, 133 ff. und Klein/Härting, ITRB 2013, 160 ff.; für Frankreich Le More/Backu, ITRB 2013, 207 ff.; für Spanien Lincke/Melchior, ITRB 2013, 233 ff.; für Belgien Paepe, ITRB 2013, 279 ff.; für die USA Lejeune, ITRB 2013, 283 ff. 738 Zum Verhältnis zwischen § 312c BGB und § 312i BGB vgl. auch Grüneberg, in: Palandt, § 312i BGB Rz. 4, der aber von einem mit einem Unternehmer abgeschlossenen Fernabsatzvertrag unter Einsatz von elektronischen Kommunikationsmitteln spricht, für den allein § 312i BGB gelte. B2B-Geschäfte können allerdings keine Fernabsatzverträge darstellen. Vielmehr handelt es sich bei Fernabsatzverträgen per definitionem ausschließlich um B2C-Geschäfte (§ 312c Abs. 1 BGB); s. Rz. 71 ff.
Kosmides
531
B Rz. 394
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
sich nicht ein anderes aus dem Gesetz ergibt. Für Informationspflichten bestimmt in dieser Hinsicht § 312i Abs. 3 BGB ausdrücklich, dass weitergehende Informationspflichten aufgrund anderer Vorschriften unberührt bleiben. Bei einer Kollision mit verbraucherschützenden Normen kommt das Günstigkeitsprinzip739 zum Tragen: Es ist im Einzelfall die für den Verbraucher günstigere Regelung heranzuziehen.740 Die übrigen Konfliktfälle werden mit Hilfe der allg. anerkannten Kollisionsregeln, nämlich insb. „lex specialis derogat legi generali“ und „lex posterior derogat legi priori“, gelöst. 2. Anwendungsbereich 394 Was unter einem Vertrag im elektronischen Geschäftsverkehr (E-Commerce-Vertrag) zu verstehen ist, wird in § 312i Abs. 1 Satz 1 BGB gesetzlich bestimmt. Danach handelt es sich um einen zwischen einem Unternehmer und einem Kunden geschlossenen Vertrag über die Lieferung von Waren oder die Erbringung von Dienstleistungen, bei dem sich der Unternehmer zum Zwecke des Abschlusses des Vertrags der Telemedien bedient hat. Es kommen demnach im Einzelnen folgende Tatbestandsmerkmale in Betracht: – Vertrag; – Abschluss zwischen einem Unternehmer und einem Kunden; – Warenlieferung oder Dienstleistungserbringung als Vertragsgegenstand. – Einsatz von Telemedien zum Zwecke des Vertragsabschlusses durch den Unternehmer. 395 § 312i Abs. 1 Satz 1 BGB setzt erstens einen Vertrag voraus, der zwischen einem Unternehmer und einem Kunden abgeschlossen wird. Zum Vertragsbegriff s. Rz. 394. 396 Vertragsparteien müssen ein Unternehmer auf der einen Seite und ein Kunde auf der anderen Seite sein. Der Unternehmerbegriff ist in § 14 BGB definiert (s. Rz. 39 ff.). Demgegenüber ist keine Legaldefinition des Kunden vorhanden.741 Vom Kundenbegriff werden sowohl Verbraucher als auch Unternehmer erfasst.742 Der persönliche Anwendungsbereich des § 312i Abs. 1 Satz 1 BGB ist daher nicht auf Verbraucherverträge (B2C) begrenzt. Er ist vielmehr gleichermaßen B2B-Geschäften eröffnet. Demgegenüber ergibt sich aus dem klaren Wortlaut der Norm, dass aus ihrem Anwendungsbereich Verträge ausscheiden, die zwischen Verbrauchern geschlossen werden (C2C).743 Gleiches gilt für das C2B-Geschäftsmodell. In § 312i Abs. 1 Satz 1 BGB werden ein Unternehmer und ein Kunde als Vertragsparteien genannt. Da der Kunde Gläubiger der Sachleistung ist, muss deren Schuldner, also die Vertragsgegenseite, ein Unternehmer sein. 397 In sachlicher Hinsicht muss der Vertrag zum einen die Lieferung von Waren oder die Erbringung von Dienstleistungen zum Gegenstand haben. An diesem Punkt entspricht der Begriff des E-Commerce-Vertrags völlig demjenigen des Fernabsatzvertrags (s. Rz. 78). Im Unterschied zu § 312c Abs. 1 BGB braucht allerdings der Unternehmer i.R.d. § 312i Abs. 1 Satz 1 BGB keine entgeltliche Leistung zu schulden.744 Den Kunden muss keine Pflicht zur Erbringung einer Gegenleistung treffen. Auch unentgeltliche Verträge können demnach als E-Commerce-Verträge eingestuft werden. Denn anders als § 312 Abs. 1 BGB, der den Anwendungsbereich des Fernabsatzrechts mitbestimmt, setzt § 312i Abs. 1 Satz 1 BGB keine Entgeltlichkeit tatbestandlich voraus. § 312 Abs. 1 BGB ist aber auf die §§ 312–312h BGB beschränkt, erfasst hingegen nicht E-Commerce-Verträge i.S.d. § 312i Abs. 1 Satz 1 BGB. Glei739 740 741 742
Grundlegend dazu Nobbe, Das Günstigkeitsprinzip im Verbrauchervertragsrecht. Grüneberg, in: Palandt, § 312c BGB Rz. 9. R. Koch, in: Erman, BGB, § 312i Rz. 5. Grüneberg, in: Palandt, § 312i BGB Rz. 3; R. Koch, in: Erman, BGB, § 312i Rz. 5; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 5. 743 R. Koch, in: Erman, BGB, § 312i Rz. 5. 744 Vgl. aber Grüneberg, in: Palandt, § 312j BGB Rz. 3.
532
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 401
B
ches folgt außerdem im Umkehrschluss aus den besonderen E-Commerce-Regeln in § 312j Abs. 2– 4 BGB. Diese gelten ausschließlich für einen Verbrauchervertrag im elektronischen Geschäftsverkehr, „der eine entgeltliche Leistung des Unternehmers zum Gegenstand hat“. Zum anderen wird in § 312i Abs. 1 Satz 1 BGB vorausgesetzt, dass sich der Unternehmer 398 zum Zwecke des Vertragsschlusses eines Telemediums bedient. Wie bei einem Fernabsatzvertrag kommt es demnach entscheidend nicht auf den Vertragsgegenstand, sondern vielmehr auf die Art des Vertragsschlusses an. Während aber der Begriff des Fernabsatzvertrags gem. § 312c Abs. 1 BGB alle Fernkommunikationsmittel und damit jede Form des Distanzgeschäfts erfasst, fallen unter § 312i Abs. 1 Satz 1 BGB nur solche Verträge, die unter Einsatz von Telemedien zustande kommen. Für den Begriff der Telemedien ist die Definition in § 1 Abs. 1 Satz 1 TMG maßgeblich.745 399 Danach sind Telemedien alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 TKG, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 TKG oder Rundfunk nach § 2 Rundfunkstaatsvertrag (RStV) darstellen.746 Ein Dienst wird nicht elektronisch erbracht, wenn er nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht wird. Insb. ist dies im Zshg. mit Sprachtelefondiensten, Telefax und Telexdiensten anzunehmen.747 In Anbetracht von Sinn und Zweck des § 312i Abs. 1 Satz 1 BGB und im Lichte der RL 2000/31/EG ist der Begriff „Telemedien“ dahingehend zu verstehen, dass er solche Dienste der Informationsgesellschaft (Art. 2 lit. a RL 2000/31/EG) erfasst, die für den Kunden gerade zum Zweck einer Bestellung bzw. Vertragserklärung individuell abgerufen werden können, d.h. das eingesetzte Kommunikationsmittel muss eine Vorrichtung besitzen, über die der Kunde Daten anfordern und seine vertragsschlussrelevante Willenserklärung übermitteln kann.748 Aus der in § 312i Abs. 1 Satz 1 BGB verankerten Zweckbestimmung sowie dem Regelungszweck des E-Commerce-Vertragsrechts insgesamt, das gerade an eine Vertragsschlusssituation anknüpft, folgt außerdem, dass es unzureichend ist, wenn die Telemedien allein zu Informations- oder Werbezwecken ohne Vertragsanbahnungsabsicht eingesetzt werden.749
400
Typische Fälle von Telemedien i.S.d. § 312i Abs. 1 Satz 1 BGB sind etwa Online-Angebote 401 von Waren und Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z.B. Buchung einer Flugreise über das Internet;750 Verkauf von Kfz-Ersatzteilen auf einer Internetauktionsplattform)751, Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen sowie das Telebanking.752 In Übereinstimmung mit der RL 2000/31/EG fallen hingegen Telemedien in Gestalt von Verteildiensten i.S.v. § 2 Satz 1 Nr. 4 TMG (z.B. Fernsehtext, Radiotext und Teleshopping) nicht in den Anwendungsbereich des § 312i Abs. 1 Satz 1 BGB.753 Dafür sprechen zudem Sinn und Zweck der in den §§ 312i und 312j BGB vorgesehenen Regeln. Verträge, die unter Einsatz von Telemedien geschlossen werden, die im Wege einer Übertragung von Daten ohne individuelle Anforderung gleichzei-
745 746 747 748 749 750 751 752 753
Vgl. auch Grüneberg, in: Palandt, § 312i BGB Rz. 2. Dazu allg. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 1 Rz. 31 ff. AG Bonn v. 19.8.2008 – 15 C 127/08, CR 2008, 740. BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (Rz. 13); Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 60; R. Koch, in: Erman, BGB, § 312i Rz. 10. R. Koch, in: Erman, BGB, § 312i Rz. 12. Vgl. BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (Rz. 13); LG Essen v. 31.5.2012 – 44 O 77/10, VuR 2012, 491. OLG Hamburg v. 14.5.2010 – 3 W 44/10, MMR 2010, 696. Vgl. BT-Drs. 16/3078, S. 13; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 61; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 9; Grüneberg, in: Palandt, § 312i BGB Rz. 2. Ebenso Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 9.
Kosmides
533
B Rz. 402
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
tig für eine unbegrenzte Zahl von Kunden erbracht werden, entsprechen nicht der teleologischen Konzeption dieser Rechtsbestimmungen. 402 Im Gegensatz zu § 312c Abs. 1 BGB braucht ein E-Commerce-Vertrag nicht unter ausschließlicher Verwendung von Telemedien verhandelt und abgeschlossen zu werden. Es reicht vielmehr aus, dass sich der Unternehmer zum Zwecke des Vertragsschlusses der Telemedien bedient. Ein E-Commerce-Vertrag liegt insoweit auch dann vor, wenn der Unternehmer zur Abgabe einer invitatio ad offerendum ein Telemedium eingesetzt hat, der Kunde daraufhin eine Bestellung auf elektronischem Wege abgibt und der Unternehmer die Annahme auf anderem als elektronischem Wege (z.B. postalisch oder gar persönlich unter gleichzeitiger physischer Anwesenheit der Parteien) erklärt.754 Beim erstgenannten Beispiel („postalisch“) handelt es sich (bei Erfüllung der sonstigen tatbestandlichen Voraussetzungen) sowohl um einen Fernabsatzvertrag als auch einen E-Commerce-Vertrag, beim zweitgenannten Beispiel („unter physischer Anwesenheit“) hingegen nur um einen E-Commerce-Vertrag. 403 Ein weiterer Unterschied gegenüber § 312c Abs. 1 BGB besteht darin, dass der Vertragsschluss nicht im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems stattfinden muss. Ein solches organisiertes Vertriebs- oder Dienstleistungssystem ist i.R.v. § 312i Abs. 1 Satz 1 BGB nicht erforderlich. Der zufällige oder gelegentliche Einsatz von Telemedien ist daher i.d.R. für die Existenz eines E-Commerce-Vertrags ausreichend. 3. Allgemeine Pflichten 404 Den Unternehmer trifft im elektronischen Geschäftsverkehr eine Reihe von allgemeinen Pflichten, d.h. Pflichten, die bei allen Verträgen im E-Commerce gelten, es sei denn, ein Ausnahmetatbestand gem. § 312i Abs. 2 BGB greift (Rz. 422 f.). Diese Pflichten werden in § 312i Abs. 1 Satz 1 Nr. 1–4 BGB sowie Art. 246c EGBGB geregelt. Die in § 312i Abs. 1 Satz 1 Nr. 1–4 BGB enthaltenen Pflichten sind zeitlich geordnet,755 weshalb sie im Folgenden nach der vorgegebenen gesetzlichen Reihenfolge behandelt werden. Weitergehende Schutzbestimmungen, v.a. etwa aus dem Verbraucher- und dem Fernabsatzvertragsrecht, bleiben hiervon unberührt. In Bezug auf die Informationspflichten stellt dies § 312i Abs. 3 BGB klar. Diese Regelung hat nur deklaratorische Bedeutung.756 3.1 Bereitstellungspflicht (Korrektur von Eingabefehlern) 405 In § 312i Abs. 1 Satz 1 Nr. 1 BGB wird in Umsetzung von Art. 11 Abs. 2 RL 2000/31/EG die Pflicht des Unternehmers vorgesehen, dem Kunden technische Mittel zur Verfügung zu stellen, mit deren Hilfe er Eingabefehler vor Abgabe seiner Bestellung erkennen und berichtigen kann. Diese Mittel müssen dem Kunden zugänglich sowie angemessen und wirksam sein. Ergänzt wird diese Bereitstellungspflicht durch die Informationspflicht gem. § 312i Abs. 1 Satz 1 Nr. 2 BGB i.V.m. Art. 246c Nr. 3 EGBGB (s. Rz. 407, 410). Die Pflicht aus § 312i Abs. 1 Satz 1 Nr. 1 BGB dient dazu, den Kunden vor einer ungewollten Vertragsbindung zu schützen, die durch ein Verschreiben, Vertippen oder Verklicken (Eingabefehler) hervorgerufen werden kann, und damit eine von Irrtum freie Vertragsentscheidung des Kunden im elektronischen Geschäftsverkehr zu gewährleisten, die dessen wahren rechtsgeschäftlichen Willen zum Ausdruck bringen soll. Folgerichtig hat diese Pflicht vorvertraglichen Charakter. 406 Die technischen Mittel müssen die Möglichkeit zur Fehlererkennung und -berichtigung vor Abgabe seiner Bestellung bieten. Dem Kunden wird eine Fehlererkennung ermöglicht, wenn er vom Unternehmer eine Zusammenfassung seiner Angaben bzw. die Ergebnisse seiner 754 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 12. 755 R. Koch, in: Erman, BGB, § 312i Rz. 14. 756 BT-Drs. 14/6040, S. 172.
534
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 409
B
Eingaben erhält.757 Die Möglichkeit zur Fehlerberichtigung verlangt, dass der Kunde seine Bestellung ändern oder ggf. den Bestellvorgang abbrechen kann.758 Die bereitgestellten technischen Mittel sind angemessen, wenn für die Korrektur keine besondere Sachkunde oder keine besonderen Fähigkeiten des Kunden notwendig sind, die von einem durchschnittlichen Kunden nicht verlangt werden können.759 Wirksam sind sie, wenn sie aus Sicht des Durchschnittskunden unter Berücksichtigung der Umstände des Einzelfalls, insb. des eingesetzten Telemediums, dazu geeignet sind, ihren Schutzzweck zu erfüllen. Das Merkmal „zugänglich“ enthält keine über die Angemessenheit und Wirksamkeit hinausgehende Verpflichtung. 3.2 Informationspflichten 3.2.1 Information nach § 312i Abs. 1 Satz 1 Nr. 2 BGB i.V.m. Art. 246c EGBGB Nach § 312i Abs. 1 Satz 1 Nr. 2 BGB ist der Unternehmer verpflichtet, den Kunden nach 407 Maßgabe des Art. 246c EGBGB (vgl. Art. 10 Abs. 1 und 2 RL 2000/31/EG) zu unterrichten. Die Informationspflichten aus § 312i Abs. 1 Satz 1 Nr. 2 BGB i.V.m. Art. 246c EGBGB zielen darauf ab, dem Kunden den Vorgang eines Vertragsschlusses im elektronischen Geschäftsverkehr transparent werden zu lassen. Sie sollen damit das Vertrauen der Kunden in diese Absatzmethode stärken.760 In Anbetracht deren Regelungsziels sind diese Pflichten als vorvertragliche Pflichten konzipiert. Die Pflichtangaben betreffen im Einzelnen: – die technischen Schritte, die zum Vertragsschluss führen (Art. 246c Nr. 1 EGBGB); – den Umstand, ob der Vertragstext nach Vertragsschluss von dem Unternehmer gespeichert wird und ob er dem Kunden zugänglich ist (Art. 246c Nr. 2 EGBGB); – die technischen Mittel gem. § 312i Abs. 1 Satz 1 Nr. 1 BGB zur Erkennung und Korrektur von Eingabefehlern vor Abgabe der Bestellung (Art. 246c Nr. 3 EGBGB); – die für den Vertragsschluss verfügbaren Sprachen (Art. 246c Nr. 4 EGBGB) sowie – die Verhaltenskodizes, denen sich der Unternehmer unterwirft sowie die Möglichkeit eines elektronischen Zugangs zu diesen Regelwerken (Art. 246c Nr. 5 EGBGB). Art. 246c Nr. 1 EGBGB bezieht sich auf die Handlungen, die vom Unternehmer sowie vom 408 Kunden vorgenommen werden müssen, um einen Vertragsschluss herbeizuführen. Dabei hat der Unternehmer zu verdeutlichen, welches Verhalten der Parteien jeweils Vertragserklärungen darstellen, also wodurch und wann eine verbindliche Erklärung vorliegt, und welche Handlungen keine Rechtsverbindlichkeit (z.B. invitatio ad offerendum) aufweisen.761 Diese Pflicht ist unter anderem auch bei Anbietern von Mehrwertdiensten relevant. Art. 246c Nr. 2 EGBGB begründet keine Pflicht des Unternehmers, den Vertragstext selbst abzuspeichern und diesen dem Kunden zugänglich zu machen.762 Eine dahingehende Bereitstellungsflicht, die aber den Zeitpunkt „bei Vertragsschluss“ (und nicht nach Vertragsschluss) betrifft, wird erst mit § 312i Abs. 1 Satz 1 Nr. 4 BGB begründet (Rz. 418 ff.). Art. 246c Nr. 2 EGBGB beinhaltet vielmehr eine Informationspflicht, die es dem Kunden ermöglichen soll, den Vertragstext ggf. rechtzeitig abzurufen und zu speichern, für den Fall, dass der Vertragstext nach Vertragsschluss dem Kunden nicht mehr zur Verfügung steht.763 Im Rahmen die-
757 758 759 760 761
Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 17. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 18. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 178. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 180. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 28; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 181. 762 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 182. 763 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 34.
Kosmides
535
409
B Rz. 410
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
ser Pflicht ist der Kunde auch darüber aufzuklären, wann und wie er die Vertragsbestimmungen abrufen und in wiedergabefähiger Form speichern kann.764 410 Die Informationspflicht aus Art. 246c Nr. 3 EGBGB knüpft an die Bereitstellungspflicht nach § 312i Abs. 1 Satz 1 Nr. 1 BGB an. Sie soll sicherstellen, dass der Kunde die ihm bereitgestellten technischen Mittel zur Wahrung seiner eigenen Interessen nutzen wird. Die Informationspflicht ist insoweit deklaratorischer Natur, als der Unternehmer bereits i.R.v. § 312i Abs. 1 Satz 1 Nr. 1 BGB verpflichtet ist, dazu Anleitung zu geben, wie die in Rede stehenden technischen Mittel einzusetzen sind. Letztere Vorschrift schließt zudem jene Mittel aus, die die Fähigkeiten und das Verständnis des Durchschnittskunden übersteigen.765 Der Pflicht wird durch den Hinweis auf die Möglichkeit einer Kontrolle und Korrektur der getätigten Eingaben durch ein vor Abgabe der Bestellung erscheinendes Bestätigungsfenster genügt.766 411 Art. 246c Nr. 4 EGBGB verlangt vom Unternehmer nicht, dass er für den Vertragsschluss mehrere Sprachen zur Verfügung stellt, sondern verpflichtet ihn, den Kunden über die zur Verfügung stehenden Sprachen zu unterrichten, sofern die Möglichkeit einer Nutzung verschiedener Sprachen für den Abschluss eines E-Commerce-Vertrags tatsächlich besteht. I.d.R. genügt ein symbolischer Hinweis, etwa durch die Verwendung von Landflaggen auf der Eingangsseite des Online-Angebots.767 412 Art. 246c Nr. 5 EGBGB wird nur dann relevant, wenn sich der Unternehmer Verhaltenskodizes (freiwillig) unterworfen hat. In diesen Fällen ist ein Hinweis erforderlich aber auch hinreichend, wie ein elektronischer Zugang zu den einschlägigen Verhaltenskodizes erreicht wird. Der Unternehmer ist nicht verpflichtet, den Kunden darüber zu informieren, dass er sich keinem solchen Regelwerk unterworfen hat.768 413 Die Art und Weise sowie der Zeitpunkt der Informationserteilung nach § 312i Abs. 1 Satz 1 Nr. 2 BGB i.V.m. Art. 246c EGBGB werden – unter Beibehaltung der alten Regelungstechnik – nicht im EGBGB, sondern im BGB festgelegt. Die genannten Informationen sind gem. § 312i Abs. 1 Satz 1 Nr. 2 BGB rechtzeitig vor Abgabe der Bestellung des Kunden klar und verständlich mitzuteilen. Unter Bestellung ist – unabhängig von der rechtlichen Einordnung im Einzelnen – jede rechtsverbindliche Erklärung des Verbrauchers zu verstehen, die darauf ausgerichtet ist, eine Ware zu erwerben oder eine Dienstleistung in Anspruch zu nehmen.769 Zum Tatbestandsmerkmal „rechtzeitig vor Abgabe“ der Bestellung s. Rz. 170 ff. Zum Transparenzgebot s. Rz. 135 ff., 174. Zum Begriff „mitteilen“ s. Rz. 157, 178. 414 Ein Unternehmer, der seine Produkte über eine Internetplattform wie eBay zum Verkauf anbietet, ist wohl nicht verpflichtet, dem potentiellen Kunden die gesetzlich angeordneten Informationen gesondert mitzuteilen, sofern und soweit diese Informationen in den AGB der Internetplattform enthalten sind.770 Denn der potentielle Kunde hat sich bereits im Rahmen der Begründung seiner Mitgliedschaft diesen AGB unterworfen und damit die gesetzlich vorgesehene Information erlangt. Dem Unternehmer ist dennoch zwecks rechtssicherer Ausgestaltung seines Warenangebots anzuraten, die Pflichtangaben in die eigenen AGB aufzunehmen.771
764 765 766 767 768 769
Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 182. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 183. Mankowski, ZMR 2002, 317 (326); Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 183. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 184. Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 185. BT-Drs. 17/7745, S. 10; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 22. 770 LG Frankenthal v. 14.2.2008 – 2 HK O 175/07, juris Rz. 36; Voigt/Heilmann, ITRB 2010, 107 (108). 771 So zu Recht Voigt/Heilmann, ITRB 2010, 107 (108).
536
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 419
B
3.2.2 Information nach § 312i Abs. 1 Satz 1 Nr. 3 BGB (Zugangsbestätigung) Um dem Kunden Gewissheit darüber zu verschaffen, ob der Unternehmer seine Bestellung 415 erhalten hat, sieht § 312i Abs. 1 Satz 1 Nr. 3 BGB (vgl. Art. 11 Abs. 1 Spiegelstrich 1 RL 2000/31/EG) eine entsprechende Informationspflicht vor. Der Unternehmer hat hiernach den Zugang der Bestellung unverzüglich, d.h. ohne schuldhaftes Zögern (§ 121 Abs. 1 Satz 1 BGB), auf elektronischem Wege zu bestätigen. Dadurch soll außerdem der Gefahr im Einzelfall begegnet werden, dass der Kunde es nicht bemerkt, dass seine Vertragserklärung dem Unternehmer nicht zugegangen ist. Anders als bei der Mehrheit der Informationspflichten, deren Charakter als vorvertragliche 416 bzw. vertragliche Pflichten sich aus dem gesetzlich vorgesehenen Zeitpunkt der Pflichterfüllung eindeutig ergibt (z.B. „vor Abgabe seiner Bestellung“ bzw. „bei Vertragsschluss“), hängt die entsprechende Qualifizierung der Pflicht aus § 312i Abs. 1 Satz 1 Nr. 3 BGB von den Umständen des Einzelfalls ab. Stellt die Bestellung des Kunden eine Annahmeerklärung dar, ist stets eine vertragliche Informationspflicht anzunehmen, denn der Zugang der Bestellung kann nur nach Zustandekommen des Vertrags bestätigt werden. I.d.R. gibt allerdings der Kunde bei Internet-Vertragsschlüssen ein Angebot aufgrund einer invitatio ad offerendum des Unternehmers ab. In diesem Fall wird es sich meist um eine vorvertragliche Pflicht handeln. Denn eine unverzügliche Pflichterfüllung verlangt in solchen Fällen grds., dass die Bestellbestätigung spätestens bis zum Zeitpunkt des Zugangs der Annahmeerklärung des Unternehmers und damit des Vertragsschlusses übermittelt wird. Was den Zugang der Bestellung und der Zugangsbestätigung angeht, so enthält § 312i Abs. 1 417 Satz 2 BGB (vgl. Art. 11 Abs. 1 Spiegelstrich 2 RL 2000/31/EG) eine gesetzliche Fiktion.772 Danach gelten die Bestellung und die Zugangsbestätigung als zugegangen, wenn die Parteien, für die sie bestimmt sind, sie unter gewöhnlichen Umständen abrufen können. Im Lichte von Art. 11 Abs. 1 Spiegelstrich 2 RL 2000/31/EG ist anzunehmen, dass eine derartige Abrufmöglichkeit bereits dann besteht, wenn der Abruf technisch möglich ist, d.h. die Erklärung auf dem Server des Empfängerproviders eingegangen ist.773 Anders als nach § 130 BGB ist es insoweit unerheblich, ob auch eine Kenntnisnahme durch den Empfänger zu erwarten ist. So gesehen hat § 312i Abs. 1 Satz 2 BGB nicht nur deklaratorischen Charakter: Abweichend von den allgemeinen Regelungen ist ein Zugang nach dieser Vorschrift auch dann gegeben, wenn die Erklärung nachts oder an Sonn- und Feiertagen eingeht. Vor diesem Hintergrund empfiehlt es sich für den Unternehmer, ein System zur automatischen Übermittlung von Bestellbestätigungen einzurichten.774 3.2.3 Information nach § 312i Abs. 1 Satz 1 Nr. 4 BGB (Abruf der Vertragsbestimmungen) Eine Dokumentationspflicht, die der Information des Kunden dient, ist schließlich in § 312i 418 Abs. 1 Satz 1 Nr. 4 BGB niedergelegt. Hiermit wird Art. 10 Abs. 3 RL 2000/31/EG umgesetzt. Den Unternehmer trifft in diesem Zshg. die Pflicht, es dem Kunden zu ermöglichen, die Vertragsbestimmungen einschließlich der AGB bei Vertragsschluss abzurufen und in wiedergabefähiger Form abzuspeichern. Die Angaben werden in wiedergabefähiger Form bereitgestellt, wenn sie reproduziert wer- 419 den können. Der Zeitpunkt der Pflichterfüllung („bei Vertragsschluss“) wird abweichend von demjenigen in der Parallelbestimmung in § 312f Abs. 2 Satz 1 BGB über Fernabsatzverträge geregelt, wonach die Vertragsbestätigung „innerhalb einer angemessenen Frist nach Vertragsschluss, spätestens jedoch bei der Lieferung der Ware oder bevor mit der Ausführung 772 BT-Drs. 14/6040, S. 172; Grüneberg, in: Palandt, § 312i BGB Rz. 7; Enders/Kosmides, in: Lehmann/ Meents, Kap. 11 Rz. 188. 773 Ebenso Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 188. 774 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 188.
Kosmides
537
B Rz. 420
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
der Dienstleistung begonnen wird“ zur Verfügung zu stellen ist. Dieser Zeitpunkt wurde i.R.v. § 312i Abs. 1 Satz 1 Nr. 4 BGB angesichts der technischen Möglichkeiten im E-Commerce vorverlegt.775 420 Die in dieser Vorschrift verwendete Formulierung „bei Vertragsschluss“ ist auslegungsbedürftig. Sie verlangt nicht zwingend eine Pflichterfüllung „im Zeitpunkt“ des Vertragsschlusses und setzt erst recht keine solche „bis zum Zeitpunkt“ des Vertragsschlusses voraus.776 Der Begriff gestattet vielmehr durchaus eine Pflichterfüllung nach Vertragsschluss.777 „Bei Vertragsschluss“ bedeutet konkret, dass dem Kunden die Möglichkeit des Abrufs und des Speicherns der Vertragsbestimmungen innerhalb eines angemessenen Zeitraums eingeräumt werden muss, der frühestens bei Zustandekommen des Vertrags, also bei Zugang der Annahmeerklärung beginnt, und spätestens im Zeitpunkt der vollständigen Vertragserfüllung endet. Insofern handelt es sich um eine vertragliche Informationspflicht. Bei Online-Auktionen erhält der Bieter mit Abschluss der Versteigerung mit dem Zuschlag automatisch eine Nachricht per E-Mail. Dies gilt auf jeden Fall als Information „bei Vertragsschluss“.778 421 Mit § 312i Abs. 1 Satz 1 Nr. 4 BGB sollen nicht die Vorschriften über die Einbeziehung von AGB modifiziert werden; deren Einbeziehung richtet sich vielmehr auch im elektronischen Geschäftsverkehr nach den allgemeinen Regeln.779 Nach § 305 Abs. 2 BGB setzt die wirksame Einbeziehung von AGB voraus, dass der Kunde bereits vor Vertragsschluss auf sie hingewiesen und ihm die Möglichkeit verschafft wurde, in zumutbarer Weise von ihrem Inhalt Kenntnis zu nehmen. Im elektronischen Geschäftsverkehr kann dies dadurch erreicht werden, dass der Unternehmer die Möglichkeit des Abrufs und Speicherns der Vertragsbedingungen im Wege des Downloads bietet. Vor diesem Hintergrund fallen die Beachtung der Unternehmerobliegenheiten aus § 305 Abs. 2 BGB und die Erfüllung der Pflicht aus § 312i Abs. 1 Satz 1 Nr. 4 BGB in der Praxis öfter in einem Akt zusammen.780 3.3 Ausnahmetatbestände 422 In Umsetzung von Art. 10 Abs. 4 RL 2000/31/EG und Art. 11 Abs. 3 RL 2000/31/EG sieht § 312i Abs. 2 Satz 1 BGB eine Bereichsausnahme vom Anwendungsbereich der Pflichten nach § 312i Abs. 1 Satz 1 Nr. 1–3 BGB vor. Diese Bereichsausnahme greift, wenn der Vertrag ausschließlich durch individuelle (elektronische) Kommunikation geschlossen wird. Eine individuelle Kommunikation liegt vor, wenn der Austausch von Informationen zwischen dem Unternehmer und dem Kunden zielgerichtet erfolgt, ohne dass – abseits dieser Nachrichtenstrecke – auf weitere Medien Bezug genommen wird (Punkt-zu-Punkt-Kommunikation).781 Zu denken ist insb. an einen Vertragsschluss durch den Austausch von E-Mails oder SMS.782 Das Merkmal der Ausschließlichkeit wird erfüllt, wenn der Rahmen des Kommunikationsmediums nicht verlassen wird, indem etwa wegen vertragsrelevanter Informationen auf eine Website des Anbieters verlinkt wird.783 Mit § 312i Abs. 2 Satz 1 BGB sollen Vertragsabschlüsse, bei denen der Unternehmer direkt mit dem Kunden Kontakt aufnimmt,
775 776 777 778 779 780 781 782 783
538
Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 75. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 75. Wie hier Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 189. S.a. Hoffmann, NJW 2007, 2594 (2595) unter Verweis auf Hoffmann, MMR 2006, 676. BT-Drs. 14/6040, S. 172; R. Koch, in: Erman, BGB, § 312i Rz. 19; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 67; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 189; Meyer, DB 2004, 2739 (2741). Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 189; ebenso Junker, in: Herberger/Martinek/ Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 72. BT-Drs. 17/7745, S. 12; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 90. BT-Drs. 17/7745, S. 12; BT-Drs. 14/6040, S. 172. BT-Drs. 17/7745, S. 12.
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 425
B
von den vorgenannten Pflichten entlastet werden.784 Diese Entlastung ist in Anbetracht der Ähnlichkeit mit einem Vertragsschluss durch Brief oder Telefon sachlich gerechtfertigt. Im Verhältnis zwischen Unternehmern können die Pflichten aus § 312i Abs. 1 Satz 1 Nr. 1–3 423 BGB sowie die gesetzliche Fiktion in § 312i Abs. 1 Satz 2 BGB nach § 312i Abs. 2 Satz 2 BGB abbedungen werden (vgl. Art. 10 Abs. 1 und 2 sowie Art. 11 Abs. 1 und 2 RL 2000/31/EG: „außer im Fall abweichender Vereinbarungen zwischen Parteien, die nicht Verbraucher sind“). Die Pflicht aus § 312i Abs. 1 Satz 1 Nr. 4 BGB ist hingegen unabdingbar. Damit wird eine Ausnahme von der in § 312k Abs. 1 Satz 1 BGB angeordneten Unabdingbarkeit der gesetzlichen Schutzbestimmungen eingeführt.785 Eine Abbedingung von der gesetzlichen Regelung setzt eine Vereinbarung voraus. Sie hat wegen § 307 Abs. 2 Nr. 1 BGB im Wege der Individualvereinbarung zu erfolgen.786 Bei zwischen Unternehmer und Verbraucher geschlossenen Verträgen ist § 312i Abs. 2 Satz 2 BGB nicht anwendbar, sodass jegliche Abweichungen unzulässig sind.787 4. Besondere Pflichten im B2C-Bereich Im elektronischen Geschäftsverkehr zwischen einem Unternehmer und einem Verbraucher sind nach § 312j BGB vom Unternehmer gegenüber dem Verbraucher weitere Pflichten zu erfüllen. Diese besonderen Pflichten betreffen zum einen die Unterrichtung des Verbrauchers (Rz. 425 ff.) und zum anderen die Gestaltung der Bestellsituation (Rz. 440 ff.). Sie gelten ergänzend zu den allgemeinen Pflichten aus § 312i BGB788 und treten grds. neben die verbraucherund fernabsatzrechtlichen Schutzbestimmungen in den §§ 312 ff. BGB und Art. 246 ff. EGBGB, sofern freilich der Anwendungsbereich dieser Vorschriften dem fraglichen Vertrag im Einzelfall eröffnet ist.
424
4.1 Informationspflichten 4.1.1 Information nach § 312j Abs. 1 BGB § 312j Abs. 1 BGB sieht in Umsetzung von Art. 8 Abs. 3 RL 2011/83/EU vor, dass der Unter- 425 nehmer auf Websites, die für den Abschluss eines E-Commerce-Vertrags mit einem Verbraucher bestimmt sind, den Verbraucher darüber zu unterrichten hat, ob Lieferbeschränkungen bestehen und welche Zahlungsmittel akzeptiert werden. Lieferbeschränkungen sind z.B. begrenzte Warenvorräte.789 Zahlungsmittel sind die Zahlungsarten, die für die Erfüllung einer Geldschuld verwendet werden können. Typische Beispiele für Zahlungsmittel stellen der Kauf auf Rechnung, die vorherige Überweisung, die Lastschrift, die Zahlung per Kreditkarte oder Paypal dar.790 Die Informationen sind spätestens bei Beginn des Bestellvorgangs klar und deutlich (zum Transparenzgebot s. Rz. 135 ff., 174) anzugeben. Der Zeitpunkt des Beginns des Bestellvorgangs ist im Einzelfall aufgrund der Ausgestaltung der jeweiligen Website zu bestimmen. Typischerweise handelt es sich um den Zeitpunkt, in dem der Kunde das angebotene Produkt in den elektronischen Warenkorb legt.791 Nach § 312j Abs. 5 Satz 2 BGB gilt diese Informationspflicht nicht für Websites, die Finanzdienstleistungen betreffen.
784 BT-Drs. 14/6040, S. 172. 785 R. Koch, in: Erman, BGB, § 312i Rz. 23; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 99. 786 Grüneberg, in: Palandt, § 312i BGB Rz. 10; Meyer, DB 2004, 2739 (2741). 787 R. Koch, in: Erman, BGB, § 312i Rz. 25. 788 S.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 1. 789 Grüneberg, in: Palandt, § 312j BGB Rz. 3; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 6. 790 BT-Drs. 17/12637, S. 52, 58; Grüneberg, in: Palandt, § 312j BGB Rz. 3; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 7. 791 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 9.
Kosmides
539
B Rz. 426
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
4.1.2 Information nach § 312j Abs. 2 BGB 4.1.2.1 Allgemein 426 Eine weitere Informationspflicht des Unternehmers ist in § 312j Abs. 2 BGB niedergelegt. Diese Vorschrift dient der Umsetzung von Art. 8 Abs. 2 RL 2011/83/EU. Der Anwendungsbereich von § 312j Abs. 2 BGB ist bei B2C-Verträgen im elektronischen Geschäftsverkehr eröffnet, die eine entgeltliche Leistung des Unternehmers zum Gegenstand haben (s. Rz. 77 ff.).792 Hiervon ausgenommen werden Verträge, die ausschließlich durch individuelle Kommunikation geschlossen werden (§ 312j Abs. 5 Satz 1 BGB) sowie Verträge über Finanzdienstleistungen (§ 312j Abs. 5 Satz 2 BGB). 426a § 312j Abs. 2 BGB ist zusammen mit § 312j Abs. 3 und 4 Teil der sog. Button-Lösung.793 Damit soll sichergestellt werden, dass der Verbraucher vor Täuschung oder Überrumpelung wegen einer unklaren, irritierenden oder überraschenden Gestaltung des Bestellprozesses geschützt wird.794 Hierzu wird der Unternehmer einerseits zur Erfüllung einer Informationspflicht (§ 312j Abs. 2 BGB) und andererseits einer Pflicht zur Gestaltung der Bestellsituation (§ 312j Abs. 3 BGB) verpflichtet. Wird die Pflicht aus § 312j Abs. 3 BGB nicht erfüllt, greift die Rechtsfolge des § 312j Abs. 4 BGB ein. 427 Der Unternehmer ist nach § 312j Abs. 2 BGB konkret verpflichtet, die in Art. 246a § 1 Abs. 1 Satz 1 Nr. 1, 4, 5, 11 und 12 EGBGB genannten Informationen zu erteilen. Aus § 312j Abs. 2 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 Nr. 4 bzw. Nr. 5 EGBGB ergibt sich, dass bei Dienstleistungen, die nicht nur als Einzelleistung, sondern auch als kombinierbare Leistungen angeboten werden, der Unternehmer einen entsprechenden Gesamtpreis auswerfen muss, für den Fall, dass der Kunde mehrere Dienstleistungen aus dem Paket tatsächlich auswählt.795 427a Die nach § 312j Abs. 2 BGB zu erteilenden Informationen sind dem Verbraucher klar und verständlich (Transparenzgebot; s. Rz. 135 ff., 174) in hervorgehobener Weise zur Verfügung zu stellen (s. Rz. 156). Die Hervorhebung verlangt, dass die fraglichen Informationen von anderen Angaben deutlich abgesetzt werden.796 Sie dürfen nicht im Gesamtlayout der Website oder im sonstigen Online-Angebot untergehen.797 Dies kann etwa durch die Verwendung einer unterschiedlichen Schriftgröße, Schriftart, Schriftfarbe oder Textformatierung (z.B. Fettdruck, Einrahmung) erfolgen.798 428 Eine ordnungsgemäße Erfüllung setzt schließlich voraus, dass die Informationen unmittelbar bevor der Verbraucher seine Bestellung abgibt erteilt werden. Die Unmittelbarkeit hat sowohl einen zeitlichen als auch einen räumlichen Aspekt.799 Unmittelbar bedeutet in zeitlicher Hinsicht, dass die Informationen direkt in zeitlichem Zshg. mit der Bestellung des Verbrauchers, also kurz vor der Abgabe von dessen Willenserklärung zur Verfügung gestellt werden müssen,800 sodass er die Möglichkeit hat, diese Informationen direkt zum Zeitpunkt der Bestellung zur Kenntnis zu nehmen.801 Informationen, die bereits am Beginn oder im Verlaufe des Bestellprozesses gegeben werden, werden nicht zeitgerecht gegeben.802 792 793 794 795 796 797 798 799 800 801 802
540
BT-Drs. 17/7745, S. 10; s.a. Grüneberg, in: Palandt, § 312j BGB Rz. 4. S. Fervers, NJW 2016, 2289. BT-Drs. 17/7745, S. 7. OLG Köln v. 3.2.2016 – 6 U 39/15, juris Rz. 37 = CR 2016, 407 (Ls. 2). R. Koch, in: Erman, BGB, § 312j Rz. 7. BT-Drs. 17/7745, S. 11. R. Koch, in: Erman, BGB, § 312j Rz. 7; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 33; s.a. BT-Drs. 17/7745, S. 11. BT-Drs. 17/7745, S. 10; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 23. R. Koch, in: Erman, BGB, § 312j Rz. 6. BT-Drs. 17/7745, S. 10. BT-Drs. 17/7745, S. 10; R. Koch, in: Erman, BGB, § 312j Rz. 6; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 25.
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 433
B
In räumlich-funktionaler Hinsicht wird die Anforderung der Unmittelbarkeit erfüllt, wenn 429 die Informationen derart in räumlicher Nähe zur Schaltfläche für die Bestellung angezeigt werden, dass die Informationen und die Schaltfläche bei üblicher Bildschirmauflösung gleichzeitig zu sehen sind, ohne dass der Nutzer scrollen muss.803 Diese Voraussetzung („unmittelbar bevor“) wird nicht erfüllt, wenn die Informationen unterhalb der den Vertragsschluss auslösenden Schaltfläche platziert sind.804 Die Bestellübersicht muss sich vielmehr direkt oberhalb des Bestell-Buttons befinden. Unzulässig ist ferner, wenn der Bestell-Button beim Scrollen auf dem Bildschirm fixiert wird oder er mehrfach eingebunden wird, da dadurch nicht sichergestellt wird, dass die Pflichtangaben vor Abgabe der Bestellung dem Kunden bereitgestellt werden.805 4.1.2.2 Normenkonkurrenzen Fällt ein Verbrauchervertrag im elektronischen Geschäftsverkehr, der eine entgeltliche Leis- 430 tung des Unternehmers zum Gegenstand hat, in den Anwendungsbereich des § 312c Abs. 1 BGB, ist ein Fernabsatzvertrag im elektronischen Geschäftsverkehr anzunehmen. Dabei ist zu differenzieren: Bei Fernabsatzverträgen im elektronischen Geschäftsverkehr über Finanzdienstleistungen richtet sich das Pflichtenprogramm des Unternehmers – wie bei sonstigen Fernabsatzverträgen über Finanzdienstleistungen – nach § 312d Abs. 2 BGB i.V.m. Art. 246b EGBGB. Denn § 312j Abs. 2 BGB ist nicht auf Verträge über Finanzdienstleistungen anwendbar (§ 312j Abs. 5 Satz 2 BGB). Bei sonstigen Fernabsatzverträgen im elektronischen Geschäftsverkehr gelangen § 312j Abs. 2 BGB und § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a EGBGB nebeneinander zur Anwendung. Da die gem. § 312j Abs. 2 BGB zu erteilenden Informationen bereits nach § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 EGBGB geschuldet werden, ist die Bedeutung der erstgenannten Vorschrift darin zu sehen, dass sie zusätzliche, spezielle Anforderungen an die Pflichterfüllung im elektronischen Geschäftsverkehr vorschreibt.806 Dies folgt außerdem aus der europäischen Ursprungsregel des Art. 8 Abs. 2 Unterabs. 1 RL 2011/83/EU. Bei den erfassten Fernabsatzverträgen hat insoweit die Erfüllung der Informationspflichten gem. Art. 246a § 1 Abs. 1 Satz 1 Nr. 1, 4, 5, 11 und 12 EGBGB nicht nur den Anforderungen nach Art. 246a § 4 EGBGB, sondern auch denjenigen nach § 312j Abs. 2 BGB zu genügen. Im Konfliktfall mit Art. 246a § 4 EGBGB gebührt § 312j Abs. 2 BGB als Spezialregelung der Vorrang.
431
Im Gegensatz zu Art. 8 Abs. 2 Unterabs. 1 RL 2011/83/EU, der auf Fernabsatzverträge im 432 elektronischen Geschäftsverkehr beschränkt ist, stehen in § 312j Abs. 2 BGB generell Verbraucherverträge im elektronischen Geschäftsverkehr zur Debatte, die eine entgeltliche Leistung des Unternehmers zum Gegenstand haben. Solche Verträge stellen allerdings nicht immer und nicht unbedingt Fernabsatzverträge dar (zu den tatbestandlichen Unterschieden zwischen Fernabsatz- und E-Commerce-Verträgen (s. Rz. 402 f.). Bei E-Commerce-Verträgen, die keine Fernabsatzverträge sind, ist das Verhältnis zwischen § 312j Abs. 2 BGB und § 312a Abs. 2 Satz 1 BGB fraglich. Es stellt sich in diesem Zshg. konkret die Frage, ob auf diese Verträge neben § 312j Abs. 2 BGB auch § 312a Abs. 2 Satz 1 BGB (i.V.m. Art. 246 EGBGB) zur Anwendung kommt oder aufgrund des bestehenden Spezialitätsverhältnisses die Informationspflichten aus § 312a Abs. 2 Satz 1 BGB (i.V.m. Art. 246 EGBGB) verdrängt werden. Es spricht viel dafür, eine kumulative Anwendung beider Vorschriften zu bejahen. Die Einschlägigkeit der Informationspflichten nach § 312a Abs. 2 Satz 1 BGB i.V.m. Art. 246 EGBGB bei den in Rede stehenden E-Commerce-Verträgen ergibt sich unmittelbar aus deren Charak803 BT-Drs. 17/7745, S. 10 f.; R. Koch, in: Erman, BGB, § 312j Rz. 6; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 26; a.A. Bergt, NJW 2012, 3541 (3542). 804 LG Berlin v. 17.7.2013 – 97 O 5/13, MMR 2013, 780 (Ls. 3). 805 Bergt, NJW 2012, 3541 (3542). 806 Vgl. auch BT-Drs. 17/7745, S. 10.
Kosmides
541
433
B Rz. 434
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
ter als Verbraucherverträge, denen der Anwendungsbereich der §§ 312 ff. BGB eröffnet ist. Eine weitere Rechtsgrundlage im den Verträgen im elektronischen Geschäftsverkehr speziell gewidmeten Kapitel 3 (§ 312i BGB und § 312j BGB) war nicht nötig. Die Anwendbarkeit des § 312a Abs. 2 Satz 1 BGB auf Verbraucherverträge im elektronischen Geschäftsverkehr, die keine Fernabsatzverträge darstellen, folgt zudem im Umkehrschluss aus § 312a Abs. 2 Satz 3 BGB. In dieser Vorschrift werden die Vertragsarten abschließend aufgezählt, bei denen die Informationspflichten nach § 312a Abs. 2 Satz 1 BGB i.V.m. Art. 246 EGBGB nicht greifen. Es geht im Einzelnen um außerhalb von Geschäftsräumen geschlossene Verträge, Fernabsatzverträge sowie Verträge über Finanzdienstleistungen.807 Auf sonstige Verbraucherverträge ist § 312a Abs. 2 BGB im Interesse eines umfassenden Verbraucherschutzes grds. uneingeschränkt anwendbar. 434 Es erscheint darüber hinaus unangemessen und unbegründet, dem Verbraucher den aufgrund von § 312a Abs. 2 Satz 1 BGB i.V.m. Art. 246 EGBGB gewährten Schutz deshalb zu entziehen, weil er mit dem Unternehmer keinen herkömmlichen Vertrag, sondern einen Vertrag im elektronischen Geschäftsverkehr geschlossen hat. Würde man Verbraucherverträge im elektronischen Geschäftsverkehr vom Anwendungsbereich des § 312a Abs. 2 Satz 1 BGB ausnehmen, so würde dem Verbraucher im elektronischen Geschäftsverkehr eine Reihe von Informationen vorenthalten, die ihm bei herkömmlichen Verbraucherverträgen gem. § 312a Abs. 2 Satz 1 BGB i.V.m. Art. 246 EGBGB zur Verfügung stehen. Die unterschiedliche Behandlung von Verbraucherverträgen anhand des Umstands, ob sie auf elektronischem Wege geschlossen wurden oder nicht, würde einen Wertungswiderspruch als Folge einer Ungleichbehandlung wertungsmäßig gleichliegender Tatbestände darstellen. 435 Die Ausnahme von Verbraucherverträgen im elektronischen Geschäftsverkehr, die keine Fernabsatzverträge darstellen, aus dem Anwendungsbereich des § 312a Abs. 2 Satz 1 BGB wäre schließlich mit dem Unionsrecht, insb. der RL 2000/31/EG unvereinbar. Diese Richtlinie strebt eine Entwicklung des elektronischen Geschäftsverkehrs im Binnenmarkt an (Erw.grd. 2 und 5). In Anbetracht dieses Regelungsziels sollen die Mitgliedstaaten nach Art. 9 Abs. 1 Satz 2 RL 2000/31/EG sicherstellen, dass ihre für den Vertragsabschluss geltenden Rechtsvorschriften keine Hindernisse für die Verwendung elektronischer Verträge bilden. Eine Benachteiligung der Verbraucher, die Verträge im elektronischen Geschäftsverkehr schließen, dahingehend, dass sie – im Gegensatz zu klassischen Verbraucherverträgen – nicht gem. § 312a Abs. 2 Satz 1 BGB i.V.m. Art. 246 EGBGB informiert werden müssen, würde sich auf den elektronischen Geschäftsverkehr hinderlich auswirken und dem in Art. 9 Abs. 1 Satz 2 RL 2000/31/EG stipulierten Diskriminierungsverbot808 zuwiderlaufen. Aus all diesen Gründen kann der Meinung, dass § 312a Abs. 2 BGB nur für Verbraucherverträge im stationären Handel gelte,809 nicht gefolgt werden. Diese Vorschrift ist vorwiegend,810 jedoch keineswegs ausschließlich für den stationären Handel von Bedeutung. 436 Bei Verbraucherverträgen im elektronischen Geschäftsverkehr, die eine entgeltliche Leistung des Unternehmers zum Gegenstand haben, ergibt sich insoweit das Pflichtenprogramm aus § 312a Abs. 2 Satz 1 BGB i.V.m. Art. 246 EGBGB sowie § 312j Abs. 2 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 Nr. 1, 4, 5, 11 und 12 EGBGB, sofern es sich weder um Fernabsatzverträge noch um Verträge über Finanzdienstleistungen handelt (§ 312a Abs. 2 Satz 3 BGB; § 312j Abs. 5 Satz 2 BGB). Dabei werden im Einzelnen – stichpunktartig formuliert – folgende Informationen geschuldet:
807 S.a. BR-Drs. 817/12, S. 82. 808 Haubold, in: Gebauer/Wiedmann (Hrsg.), Zivilrecht unter europäischem Einfluss, Kap. 9 Rz. 24 bezeichnet Art. 9 Abs. 1 RL 2000/31/EG als „Öffnungsvorschrift“; vgl. auch Thode, NZBau 2001, 345 (350). 809 So Grüneberg, in: Palandt, § 312a BGB Rz. 3. 810 Vgl. auch Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312a Rz. 12.
542
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 439
B
– wesentliche Eigenschaften der Waren oder Dienstleistungen (Art. 246 Abs. 1 Nr. 1 EGBGB; Art. 246a § 1 Abs. 1 Satz 1 Nr. 1 EGBGB);811 – Identität, Anschrift sowie Telefonnummer des Unternehmers (Art. 246 Abs. 1 Nr. 2 EGBGB); – Gesamtpreis der Waren oder Dienstleistungen bzw. Art der Preisberechnung sowie ggf. alle zusätzlichen Fracht-, Liefer- oder Versandkosten und alle sonstigen Kosten (Art. 246 Abs. 1 Nr. 3 EGBGB; Art. 246a § 1 Abs. 1 Satz 1 Nr. 4 EGBGB); – ggf. Zahlungs-, Liefer- und Leistungsbedingungen, Termin der Warenlieferung bzw. Dienstleistungserbringung sowie Beschwerdeverfahren (Art. 246 Abs. 1 Nr. 4 EGBGB); – Gesamtpreis bei unbefristeten oder Abonnement-Verträgen (Art. 246a § 1 Abs. 1 Satz 1 Nr. 5 EGBGB); – Bestehen eines gesetzlichen Mängelhaftungsrechts sowie ggf. Bestehen und Bedingungen von Kundendienstleistungen und Garantien (Art. 246 Abs. 1 Nr. 5 EGBGB); – ggf. Vertragslaufzeit oder Kündigungsbedingungen unbefristeter Verträge bzw. sich automatisch verlängernder Verträge (Art. 246 Abs. 1 Nr. 6 EGBGB; Art. 246a § 1 Abs. 1 Satz 1 Nr. 11 EGBGB); – ggf. Funktionsweise digitaler Inhalte (Art. 246 Abs. 1 Nr. 7 EGBGB); – ggf. wesentliche Beschränkungen der Interoperabilität und der Kompatibilität digitaler Inhalte mit Hard- und Software (Art. 246 Abs. 1 Nr. 8 EGBGB); – ggf. Mindestdauer der Vertragsverpflichtungen des Verbrauchers (Art. 246a § 1 Abs. 1 Satz 1 Nr. 12 EGBGB). Was die Anforderungen an die Pflichterfüllung angeht, so bedarf es folgender Differenzierung: 437 Für die in Art. 246a § 1 Abs. 1 Satz 1 EGBGB genannten Informationsangaben, auf die nur in § 312j Abs. 2 BGB Bezug genommen wird, ist diese Vorschrift maßgeblich. Die Informationspflichten, die sich lediglich aus § 312a Abs. 2 Satz 1 BGB i.V.m. Art. 246 Abs. 1 EGBGB ergeben, sind nach letztgenannter Vorschrift dem Verbraucher vor Abgabe von dessen Vertragserklärung (s. Rz. 132 ff.) in klarer und verständlicher Weise (Transparenzgebot; s. Rz. 135 ff., 174) zur Verfügung zu stellen (s. Rz. 156). Die Erfüllung der Informationspflichten, die auf zweifache Rechtsgrundlage gestützt sind, richtet sich sowohl nach § 312j Abs. 2 BGB als auch nach Art. 246 Abs. 1 EGBGB, wobei im Konfliktfall die erstgenannte Regelung als lex specialis vorgeht. Die Informationspflichten aus Art. 246 Abs. 1 EGBGB bestehen nicht bei Alltagsgeschäften, 438 die bei Vertragsschluss sofort erfüllt werden (Art. 246 Abs. 2 EGBGB; vgl. Art. 5 Abs. 3 RL 2011/83/EU).812 Diese Ausnahmeregelung ist allerdings insb. für Verträge im stationären Handel relevant (z.B. Kauf von Lebensmitteln in einem Supermarkt). Art. 246 Abs. 3 EGBGB begründet zudem die Pflicht des Unternehmers zur Erteilung einer Widerrufsbelehrung. Der notwendige Inhalt der Widerrufsbelehrung wird in Art. 246 Abs. 3 Satz 3 Nr. 1–4 EGBGB vorgesehen. Sie muss in Textform i.S.d. § 126b BGB erteilt werden (Art. 246 Abs. 3 Satz 1 EGBGB). Weitere Anforderungen an die Pflichterfüllung (z.B. Deutlichkeitsgebot) sind in Art. 246 Abs. 3 Satz 2 EGBGB niedergelegt.
811 Nach der Gesetzesbegründung (BT-Drs. 17/12637, S. 74) ist in Bezug auf Inhalt und Umfang der zu erteilenden Informationen auf die konkrete Ware oder Dienstleistung abzustellen. Notwendig ist eine Beschreibung, aus der der Verbraucher die für seine Entscheidung maßgeblichen Merkmale entnehmen kann. S.a. Hoeren/Föhlisch, CR 2014, 242 (243); OLG Hamburg v. 13.8.2014 – 5 W 14/14, CR 2015, 261 (Maßstab ist auch, „in welcher Detailgenauigkeit der Anbieter selbst seine Ware in seinem Online-Shop in der Produktbeschreibung anpreist“ (juris). 812 Vgl. auch Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312a Rz. 20 f.
Kosmides
543
439
B Rz. 440
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
4.2 Pflicht zur Gestaltung der Bestellsituation nach § 312j Abs. 3 BGB 440 In § 312j Abs. 3 BGB, der das Herzstück der sog. Button-Lösung (Rz. 426a) bildet, werden Pflichten zur Gestaltung der Bestellsituation bei Verbraucherverträgen im elektronischen Geschäftsverkehr geregelt, die eine entgeltliche Leistung des Unternehmers zum Gegenstand haben. Diese Pflichten sind v.a. deshalb von Bedeutung, weil § 312j Abs. 4 BGB das Zustandekommen eines solchen Vertrags von deren ordnungsgemäßen Erfüllung abhängig macht. 441 Diese strenge Rechtsfolge legt es nahe, dass § 312j Abs. 3 BGB eine Schutzwirkung zukommt, die der einer Formvorschrift vergleichbar ist. Mit § 312j Abs. 3 und 4 BGB will der Gesetzgeber dem verbreiteten Problem der Kostenfallen im Internet entgegenwirken.813 Diese Problematik betrifft insb. Verbraucher. Verbraucher werden gerade im Internet öfter mit der Situation konfrontiert, dass sie aufgrund der Verschleierung des entgeltlichen Charakters der angebotenen Leistungen zu einem (ungewollten) Vertragsschluss mit einem Unternehmer verleitet werden.814 442 Der sachliche Anwendungsbereich der Pflichten aus § 312j Abs. 3 BGB wird aufgrund von § 312j Abs. 5 Satz 1 BGB eingeschränkt. Diese Pflichten greifen nicht Platz, wenn der Vertrag ausschließlich durch individuelle Kommunikation (z.B. Vertragsschluss via E-Mail oder SMS) geschlossen wird. Durch diese Einschränkung wird versucht, eine übermäßige Belastung des Rechtsverkehrs zu vermeiden.815 443 Nach § 312j Abs. 3 Satz 1 BGB hat der Unternehmer die Bestellsituation so zu gestalten, dass der Verbraucher mit seiner Bestellung seine Zahlungsverpflichtung ausdrücklich bestätigt. Diese Pflicht beruht auf Art. 8 Abs. 2 Unterabs. 2 Satz 1 RL 2011/83/EU. Die Bestätigung erfolgt ausdrücklich, wenn sich die Erklärung des Verbrauchers auf den Umstand der Kostenpflichtigkeit bezieht.816 Eine Sonderregelung für den Fall, dass die Vertragserklärung des Verbrauchers durch die Betätigung einer Schaltfläche abgegeben wird, was bei Bestellungen auf Online-Plattformen der Fall ist, schreibt § 312j Abs. 3 Satz 2 BGB vor (vgl. Art. 8 Abs. 2 Unterabs. 2 Satz 2 RL 2011/83/EU). 444 Um die Transparenz des elektronischen Geschäftsverkehrs zu fördern und das Vertrauen der Verbraucher in die E-Commerce-Verträge zu stärken, sieht § 312j Abs. 3 Satz 2 BGB vor, dass der Unternehmer seiner Pflicht aus § 312j Abs. 3 Satz 1 BGB nur dann nachkommt, wenn die die Bestellung auslösende Schaltfläche gut lesbar mit nichts anderem als den Wörtern „zahlungspflichtig bestellen“ oder mit einer entsprechend eindeutigen Formulierung versehen ist. Das Ziel der Regelung besteht konkret darin, den Verbraucher vor einer unklaren und irreführenden Gestaltung von Websites, die die Zahlungspflichtigkeit eines Angebots verschleiern, zu schützen. § 312j Abs. 3 Satz 2 BGB begründet keine Pflicht des Unternehmers, im elektronischen Geschäftsverkehr eine Schaltfläche vorzusehen. Er enthält vielmehr eine Pflicht zur Beachtung der vorgesehenen Gestaltungsvorgaben für den Fall, dass die Bestellung über eine Schaltfläche erfolgt.817 445 Unter Schaltfläche (auch Button) ist jede grafische Oberfläche zu verstehen, die es dem Nutzer erlaubt, eine Aktion in Gang zu setzen oder dem System eine Rückmeldung zu geben.818
813 Zu diesem Problem sowie zur Neuregelung Alexander, NJW 2012, 1985 ff.; Kirschbaum, MMR 2012, 8 ff.; Müller, K&R 2012, 791 ff.; Raue, MMR 2012, 438 ff.; vgl. speziell für Paid Content-Verträge Rudkowski/Werner, MMR 2012, 711 ff. 814 Vgl. auch Hoeren, Internetrecht, S. 317. 815 BT-Drs. 17/7745, S. 12. 816 BT-Drs. 17/7745, S. 11; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 37. 817 BT-Drs. 17/7745, S. 11. 818 BT-Drs. 17/7745, S. 12.
544
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 448
B
Erfasst sind neben klassischen Bedienknöpfen etwa auch Hyperlinks sowie Auswahlkästen (Checkboxes).819 Die Schaltfläche muss nach § 312j Abs. 3 Satz 2 BGB neben den Wörtern „zahlungspflichtig 446 bestellen“ oder einer entsprechend eindeutigen Formulierung mit keinen weiteren Zusätzen beschriftet werden und gut lesbar sein. An der ersten Anforderung fehlt es, wenn die Schaltfläche nicht ausschließlich die für den Hinweis auf die Zahlungspflicht absolut notwendigen Worte verwendet.820 Bei einem Kauf mehrerer Artikel von demselben Anbieter i.R.v. OnlineMarktplätzen kann dem Nutzer die Möglichkeit eingeräumt werden, einen Gesamtbetrag anzufordern, sodass die Versandkosten nur einmal berechnet werden. In diesem Zshg. wird der Kunde bei eBay davon benachrichtigt, dass er sich „durch Anfordern des neuen Gesamtbetrags vom Verkäufer (…) zum Kauf dieser Artikel“ verpflichtet. Dem Nutzer wird sodann eine Schaltfläche bereitgestellt, die folgenden Ausdruck enthält: „Kaufen und Anfrage senden“. Oberhalb der Schaltfläche wird der Nutzer darauf hingewiesen, dass er sich durch Klicken auf diese Schaltfläche zum Kauf dieser Artikel verpflichtet. Ein derart gestalteter Bestellbutton entspricht wohl nicht den Anforderungen des § 312j Abs. 3 Satz 2 BGB. Problematisch ist eine solche Art des Vertragsschlusses ferner unter Gesichtspunkten des (fehlenden) Konsenses (Rz. 518 ff.) sowie des AGB-Rechts (Rz. 650 ff.). In Anbetracht des mit § 312j Abs. 3 Satz 2 BGB verfolgten Regelungsziels muss die Beschrif- 447 tung dem Verbraucher hinreichend deutlich machen, dass seine Bestellung eine Zahlungspflicht auslöst. Neben dem gesetzlich vorgesehenen Ausdruck „zahlungspflichtig bestellen“ sind nach der Gesetzesbegründung z.B. folgende Formulierungen bei einem Online-Shop ausreichend821: – „kostenpflichtig bestellen“; – „zahlungspflichtigen Vertrag schließen“; – „kaufen“. Hingegen ist dem Unternehmer anzuraten, folgende Texte zu vermeiden, weil sie nicht geeignet sind, die Entgeltlichkeit der Leistung für den Verbraucher eindeutig erkennen zu lassen: – „bestellen“;822 – „bestellen und kaufen“;823 – „Bestellung abgeben“;824 – „Bestellung abschicken“;825 – „jetzt anmelden“;826 – „jetzt verbindlich anmelden! (zahlungspflichtiger Reisevertrag)“;827 – „jetzt gratis testen – danach kostenpflichtig“;828
819 BT-Drs. 17/7745, S. 12; s.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 45. 820 Vgl. auch LG Berlin v. 17.7.2013 – 97 O 5/13, MMR 2013, 780; s.a. Bergt, NJW 2012, 3541 (3543). 821 BT-Drs. 17/7745, S. 12. 822 S.a. BT-Drs. 17/7745, S. 12. 823 AG Köln v. 28.4.2014 – 142 C 354/13, ITRB 2014, 276 (Vogt). 824 S.a. BT-Drs. 17/7745, S. 12. 825 OLG Hamm v. 19.11.2013 – 4 U 65/13, CR 2014, 326 (327). 826 LG Leipzig v. 26.7.2013 – 8 O 3495/12, CR 2014, 344. 827 LG Berlin v. 17.7.2013 – 97 O 5/13, MMR 2013, 780. 828 OLG Köln v. 3.2.2016 – 6 U 39/15, CR 2016, 407 (Ls. 1).
Kosmides
545
448
B Rz. 449
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
– „Anmeldung“;829 – „weiter“;830 – „jetzt kostenlos testen“ (bei einem Vertrag mit einer Internetverkaufsplattform (Amazon), der sich nach kostenlosem Monat automatisch verlängert).831 449 Auf einer Internetauktionsplattform wie eBay genügen Ausdrücke wie – „Gebot abgeben“ oder – „Gebot bestätigen“ den gesetzlichen Anforderungen.832 450 Gut lesbar i.S.v. § 312j Abs. 3 Satz 2 BGB bedeutet, dass die Beschriftung so gestaltet ist (z.B. durch Verwendung einer dafür geeigneten Schriftgröße, Schriftart und Textformatierung), dass sie für den Nutzer bei üblicher Bildschirmauflösung gut erkennbar ist.833 Der Bestell-Button muss direkt unterhalb der Bestellübersicht platziert werden (§ 312j Abs. 2 BGB; Rz. 426 ff.). 451 Aus § 312j Abs. 4 BGB folgt, dass die Beweislast dafür, dass die Pflichten aus § 312j Abs. 3 BGB ordnungsgemäß erfüllt wurden, den Unternehmer trifft.834 Dies ist sachlich gerechtfertigt, da die Gestaltung der Bestellsituation im Einflussbereich des Unternehmers liegt.835 452 Dem Unternehmer ist anzuraten, die Kombination von Bestellung und datenschutzrechtlicher Einwilligung (z.B. in den Erhalt von Newsletters) zu vermeiden und eine sog. „ZweiKlick-Lösung“ vorzuziehen.836 Auf diesem Wege soll nicht nur die ordnungsgemäße Erfüllung der Pflicht zur Gestaltung der Bestellsituation, sondern auch die Wirksamkeit der datenschutzrechtlichen Einwilligungserklärung sichergestellt werden (§ 4a BDSG). 5. Beweislast 453 Was die Erfüllung der Informationspflichten angeht, so findet bei einem Verbrauchervertrag i.S.v. § 310 Abs. 3 BGB im elektronischen Geschäftsverkehr die Beweislastregelung des § 312k Abs. 2 BGB Anwendung.837 6. Weitergehende Informationspflichten 6.1 Informationspflichten nach dem TMG 454 Das TMG enthält in §§ 5, 6 TMG weitere Informationspflichten, die auf E-Commerce-Verträge Anwendung finden können. § 5 TMG regelt dabei die „allgemeinen“, § 6 TMG die „besonderen“ Informationspflichten bei kommerzieller Kommunikation. § 6 TMG wird oft, etwa auch von sog. Powersellern, übersehen. 6.1.1 Impressumspflicht (§ 5 TMG) 455 Wesentliche Informationspflichten, die den Unternehmer im elektronischen Geschäftsverkehr treffen, finden sich außerhalb des BGB (und des EGBGB) im TMG. In § 5 TMG wird ei829 830 831 832 833 834 835 836 837
546
S.a. BT-Drs. 17/7745, S. 12. S.a. BT-Drs. 17/7745, S. 12. LG München I v. 11.6.2013 – 33 O 12678/13, VuR 2013, 393. S.a. BT-Drs. 17/7745, S. 12. BT-Drs. 17/7745, S. 12; R. Koch, in: Erman, BGB, § 312j Rz. 8. Grüneberg, in: Palandt, § 312j BGB Rz. 10. BT-Drs. 17/7745, S. 12. Bergt, NJW 2012, 3541 (3542). Zur Beschränkung des § 312k Abs. 2 BGB auf Verbraucherverträge BT-Drs. 17/12637, S. 58; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312k Rz. 34; Grüneberg, in: Palandt, § 312k BGB Rz. 4.
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 458
B
ne Anbieterkennzeichnungspflicht (Impressumspflicht) für Diensteanbieter von geschäftsmäßigen, i.d.R. gegen Entgelt angebotenen Telemedien geregelt.838 Die Vorschrift dient der Umsetzung von Art. 5 RL 2000/31/EG. Sie ist auf den Schutz der Interessen der Nutzer durch die Schaffung von Transparenz ausgerichtet und tritt neben die sonstigen Informationspflichten aus dem BGB und dem EGBGB sowie ggf. aus anderen Regelungen (§ 5 Abs. 2 TMG).839 Der Begriff „Diensteanbieter“ ist i.S.v. § 2 Satz 1 Nr. 1 TMG weit zu verstehen. Gleiches gilt für den Telemedienbegriff, der in § 1 Abs. 1 Satz 1 TMG bestimmt wird (Rz. 399). Zum Merkmal der Geschäftsmäßigkeit s. Rz. 61, 455, 457.
456
Die Verpflichtungen treffen Diensteanbieter für „geschäftsmäßige, in der Regel gegen Ent- 457 gelt angebotene Telemedien“ (§ 5 Abs. 1 TMG). Der Dienst wird i.d.R. gegen Entgelt angeboten, wenn eine wirtschaftliche Gegenleistung erhoben wird.840 Dies ist eindeutig anzunehmen, wenn der Nutzer das Entgelt für die Inanspruchnahme des Dienstes zu entrichten hat. Darüber hinaus werden Dienste erfasst, die zwar an sich für den Nutzer nicht kostenpflichtig sind, aber mit dem „Hintergrund einer Wirtschaftstätigkeit bereitgehalten“ werden.841 Dies ist bei Internetseiten der Fall, deren Nutzung unentgeltlich ist, aber entgeltliche Geschäfte vermitteln.842 Erfasst werden darüber hinaus werbefinanzierte Internetseiten, denn in solchen Fällen liegt eine Gewinnerzielungsabsicht des Anbieters und damit ein geschäftsmäßiger Internetauftritt vor.843 Die Pflichten gelten auch für nachhaltige Internetangebote von Privatpersonen oder Vereinen. Nur eindeutig nicht-kommerzielle Angebote sind ausgenommen.844 Die Impressumspflicht nach § 5 TMG trifft u.a.:845
458
– Betreiber von Internetplattformen sowie Internetangeboten mit unmittelbarer Bestellmöglichkeit (z.B. Internet-Auktion, Online-Shops, Online-Dienste). – Anbieter, die auf einer Internet-Plattform, die von einem Dritten betrieben wird, für ihre gewerbliche oder geschäftliche Tätigkeit werben. Eine Impressumspflicht besteht auch dann, wenn eine Bestellmöglichkeit oder eine sonstige Interaktionsmöglichkeit nicht besteht (z.B. Unfallwagenpräsentation auf einer Restwertbörse durch einen Kraftfahrzeugsachverständigen zur Restwertermittlung).846 – Unternehmer, die über Online-Handelsplattformen wie eBay ihre Produkte anbieten.847
838 S.a. Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 52. 839 BT-Drs. 14/6098, S. 21; OLG Düsseldorf v. 13.8.2013 – I-20 U 75/13, CR 2014, 264; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 60. 840 BT-Drs. 556/06, S. 20; Dem EuGH wurde v. LG München I v. 18.9.2014 – 7 O 14719/12, GRUR Int 2014, 1166 (Ls. 1) die Frage vorgelegt, ob der Begriff „in der Regel gegen Entgelt“ bedeutet, dass „das nationale Gericht feststellen muss, ob die konkret betroffene Person, die sich auf die Diensteanbietereigenschaft beruft, diese konkrete Dienstleistung in der Regel entgeltlich anbietet, oder überhaupt Anbieter auf dem Markt sind, die diese Dienstleistung oder vergleichbare Dienstleistungen gegen Entgelt anbieten, oder die Mehrheit dieser oder vergleichbarer Dienstleistungen gegen Entgelt angeboten werden“. 841 BT-Drs. 556/06, S. 20; BeckRTD-Komm/Brönneke, § 5 TMG Rz. 42. 842 Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, Kap. 4.2 Rz. 55. 843 Ott, MMR 2007, 354 (355); BeckRTD-Komm/Brönneke, § 5 TMG Rz. 43. 844 OLG Hamburg v. 3.4.2007 – 3 W 64/07, CR 2008, 606 (Ls.); zur Beweislast s.a. BGH v. 30.4.2008 – I ZR 73/05, CR 2008, 579 – Internet-Versteigerung III. 845 Vgl. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 43 ff.; BeckRTD-Komm/Brönneke, § 5 TMG Rz. 42 f.; Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 52 f. (33. EL Stand 12/2012). 846 OLG Düsseldorf v. 28.12.2012 – I-20 U 147/11, MMR 2013, 718; LG Stuttgart v. 24.4.2014 – 11 O 72/14, MDR 2014, 673. 847 OLG Düsseldorf v. 18.6.2013 – I-20 U 145/12, CR 2013, 666 (668); OLG Hamm v. 20.5.2010 – 4 U 225/09, CR 2010, 609 (Ls.); OLG Düsseldorf v. 18.12.2007 – I-20 U 17/07, MMR 2008, 682; OLG Oldenburg v. 12.5.2006 – 1 W 29/06, ITRB 2007, 155.
Kosmides
547
B Rz. 459
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
– Unternehmer, die auf einem Internetportal für kostenlose anonyme Kleinanzeigen tätig werden.848 – Anbieter, die in sozialen Netzwerken wie Facebook gewerblich auftreten849 sowie – Anbieter, die ein Profil auf einem Businessportal wie XING geschäftlich nutzen (z.B. Rechtsanwälte).850 459 Die Pflichtangaben betreffen im Einzelnen folgende Punkte: – Name, Anschrift, Rechtsform, Vertreter sowie das Gesellschaftskapital (§ 5 Abs. 1 Nr. 1 TMG);851 – Kontaktdaten (§ 5 Abs. 1 Nr. 2 TMG);852 – zuständige Aufsichtsbehörde (§ 5 Abs. 1 Nr. 3 TMG);853 – Registerinformationen (§ 5 Abs. 1 Nr. 4 TMG);854 – berufsspezifische Informationen (§ 5 Abs. 1 Nr. 5 TMG);855 – Umsatzsteueridentifikationsnummer bzw. Wirtschafts-Identifikationsnummer (§ 5 Abs. 1 Nr. 6 TMG);856 – ggf. Abwicklung oder Liquidation der Gesellschaft (§ 5 Abs. 1 Nr. 7 TMG). 460 Die genannten Informationen sind nach § 5 Abs. 1 TMG „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten“. Damit wird ein spezialgesetzliches Transparenzgebot vorgeschrieben.857 Dementsprechend müssen die Informationen nach der Gesetzesbegründung an gut wahrnehmbarer Stelle stehen und ohne langes Suchen und jederzeit auffindbar sein.858 Es ist im Allgemeinen in Anbetracht der Einheit der Rechtsordnung und der Rechtssicherheit sowie der Nähe zu den Informationspflichten aus dem BGB bzw. dem 848 OLG Frankfurt v. 23.10.2008 – 6 U 139/08, CR 2009, 189 f. (Ls. 1). 849 OLG Düsseldorf v. 13.8.2013 – I-20 U 75/13, CR 2014, 264 (Ls. 1 und 2): Es reicht aus, dass das Konto „zu Marketingzwecken und somit nicht nur zu rein privaten Zwecken benutzt wird“; LG Regensburg v. 31.1.2013 – 1 HK O 1884/12, CR 2013, 197: Die Impressumspflicht greift ein, wenn die fragliche Facebookseite „einen gewissen Grad von Selbständigkeit in Bezug auf die präsentierte Firma“ aufweist; LG Aschaffenburg v. 19.8.2011 – 2 HK O 54/11, CR 2012, 57 (Ls.). 850 LG München I v. 3.6.2014 – 33 O 4149/14, MMR 2014, 677; LG Dortmund v. 14.5.2014 – 5 O 107/14, MMR 2014, 678. 851 Dazu OLG München v. 14.11.2013 – 6 U 1888/13, WRP 2014, 591; OLG Düsseldorf v. 4.11.2008 – I-20 U 125/08, MMR 2009, 266; OLG Frankfurt v. 23.10.2008 – 6 U 139/08, CR 2009, 189; KG v. 21.9.2012 – 5 W 204/12, CR 2012, 803; LG Frankfurt v. 2.10.2013 – 2-03 O 445/12, CR 2014, 615; LG Regensburg v. 31.1.2013 – 1 HK O 1884/12, CR 2013, 197; LG München I v. 19.11.2013 – 33 O 9802/13, WRP 2014, 751; LG Hamburg v. 14.8.2009 – 406 O 235/08, K&R 2009, 816. 852 Dazu OLG Frankfurt v. 2.10.2014 – 6 U 219/13, CR 2015, 50; v. 29.7.2009 – 6 W 102/09; KG v. 7.5.2013 – 5 U 32/12, CR 2013, 599 (die Angabe der E-Mail-Adresse im Impressum ist Pflicht); LG Berlin v. 28.8.2014 – 52 O 135/13, CR 2015, 333 (Ls. 1: automatisch generierte Antwort-E-Mail, die den Kunden auf Hilfeseiten mit Kontaktformularen verweist, ist nicht ausreichend); LG Bamberg v. 28.11.2012 – 1 HK O 29/12, CR 2013, 130 (Unternehmer muss innerhalb von 60 Minuten Anfragen des Verbrauchers beantworten); zur Ursprungsregel des Art. 5 Abs. 1 lit. c RL 2000/31/EG, EuGH v. 16.10.2008 – C-298/07, CR 2009, 17 – keine zwingende Angabe der Telefonnummer. 853 Dazu LG Regensburg v. 31.1.2013 – 1 HK O 1884/12, CR 2013, 197; LG Düsseldorf v. 8.8.2013 – 14c O 92/13, GRUR-RR 2014, 168. 854 Dazu OLG Hamm v. 13.3.2008 – I-4 U 192/07, MMR 2008, 469; LG Regensburg v. 31.1.2013 – 1 HK O 1884/12, CR 2013, 197 = ITRB 2013, 80; LG Berlin v. 31.8.2010 – 103 O 34/10, K&R 2010, 748. 855 Dazu LG Stuttgart v. 27.6.2014 – 11 O 51/14, MMR 2014, 674; v. 24.4.2014 – 11 O 72/14, MDR 2014, 673. 856 Dazu LG Stuttgart v. 27.6.2014 – 11 O 51/14, MMR 2014, 674; LG Berlin v. 31.8.2010 – 103 O 34/10, K&R 2010, 748. 857 Vgl. BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 (851) m. Anm. Zimmerlich – Anbieterkennzeichnung im Internet. 858 BT-Drs. 14/6098, S. 21.
548
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 463
B
EGBGB ein Gleichlauf bei der Auslegung aller relevanten Informationspflichten anzustreben.859 An die Pflichterfüllung sind insoweit – trotz der unterschiedlichen Gesetzesformulierung – im Wesentlichen die gleichen Anforderungen zu stellen wie an die Erfüllung der Informationspflichten aus dem BGB bzw. dem EGBGB.860 (Vgl. aber zu den Transparenzanforderungen bei Preisangaben Rz. 211 ff.). Informationen sind leicht erkennbar i.S.v. § 5 Abs. 1 TMG, wenn sie einfach und effektiv 461 optisch wahrnehmbar sind.861 Die Pflichtangaben müssen sich nicht notwendigerweise auf der Startseite befinden.862 Werden diese Angaben nicht auf der Startseite gemacht, ist der Anbieter verpflichtet, für weiterführende Links Bezeichnungen zu wählen, die verständlich sind und sich dem Nutzer ohne weiteres erschließen.863 Die Anbieterkennzeichnung über die Links „Kontakt“ und „Impressum“ genügt den Anforderungen der „leichten Erkennbarkeit“.864 Ein anderes ist anzunehmen im Zshg. mit dem Begriff „Info“.865 Nicht ausreichend sind ferner die Bezeichnungen „AGB“866 oder „Ich freue mich auf E-Mails“.867 Das Merkmal der „unmittelbaren Erreichbarkeit“ wird erfüllt, wenn die Angaben ohne 462 komplizierte Verweisungen erreichbar sind.868 Zur Erreichbarkeit der Angaben über Links wird i.d.R. ausreichen, wenn diese klar und verständlich ausgestaltet sind, etwa mit „Kontakt“ und „Impressum“.869 Die unmittelbare Erreichbarkeit scheitert nicht daran, dass die Angabe einer Anbieterkennzeichnung über zwei Links erreichbar ist.870 Auch ist ausreichend, wenn die Pflichtangaben über einen in Grau gehaltenen Link mit der Bezeichnung „Impressum“ auf dem in Schwarz gehaltenen unteren Rand des ohne Scrollen sichtbaren Fensters der Seite zugänglich gemacht werden.871 Daran kann es hingegen fehlen, wenn der Nutzer zwischen mehreren Links den richtigen auswählen oder mehrere anklicken muss, weil sie nicht eindeutig sind.872 Nicht erforderlich ist, dass der Aufruf zwingend über die Nutzerführung erfolgt.873 Für manche Rubriken für Pflicht-Angaben haben sich zwar eigenartige, aber allg. bekannte Titel eingebürgert, sodass deren Verwendung den Anforderungen an die Auffindbarkeit der Informationen entspricht:
859 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 62. 860 So i.E. BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 (851 f.) m. Anm. Zimmerlich – Anbieterkennzeichnung im Internet; s.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 62. 861 LG Stuttgart v. 27.6.2014 – 11 O 51/14, MMR 2014, 674 (Ls. 4). 862 BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 (Ls. 2) m. Anm. Zimmerlich – Anbieterkennzeichnung im Internet; OLG Düsseldorf v. 13.8.2013 – I-20 U 75/13, CR 2014, 264. 863 OLG Düsseldorf v. 13.8.2013 – I-20 U 75/13, CR 2014, 264. 864 BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 (Ls. 1) m. Anm. Zimmerlich – Anbieterkennzeichnung im Internet; OLG Düsseldorf v. 13.8.2013 – I-20 U 75/13, CR 2014, 264; OLG Hamburg v. 17.1.2012 – 3 W 54/10, MMR 2012, 489. 865 OLG Düsseldorf v. 13.8.2013 – I-20 U 75/13, CR 2014, 264. 866 LG Berlin v. 17.9.2002 – 103 O 102/02, CR 2003, 139. 867 OLG Naumburg v. 13.8.2010 – 1 U 28/10, CR 2010, 682. 868 BT-Drs. 14/6098, S. 22; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 135. 869 BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850; s.a. über „Impressum“: OLG München v. 12.2.2004 – 29 U 4564/03, CR 2004, 844; s.a. LG Traunstein v. 18.5.2005 – 1 HK O 5016/04, CR 2006, 74; sogar doppelter Link kann genügen: OLG München v. 11.9.2003 – 29 U 2681/03, CR 2004, 53 m. Anm. Schulte; a.M. z.B. OLG Karlsruhe v. 27.3.2002 – 6 U 200/01, CR 2002, 682. 870 BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 (851) m. Anm. Zimmerlich– Anbieterkennzeichnung im Internet. 871 OLG Hamburg v. 17.1.2012 – 3 W 54/10, MMR 2012, 489. 872 BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 unter Hinweis auf OLG München v. 12.2.2004 – 29 U 4564/03, CR 2004, 843, wo eine erhebliche Verschiebung der sichtbaren Seite erforderlich war; zu OLG München s. Heidrich, MMR 2004, 324. 873 Keine Zwangsführung über den Aufruf des Links erforderlich: BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 m. Anm. Zimmerlich. S. aber OLG Frankfurt v. 17.4.2001 – 6 W 37/01, CR 2001, 782 m. Anm. Vehslage; s.a. Schafft, K&R 2002, 44; Niclas, ITRB 2002, 54.
Kosmides
549
463
B Rz. 464
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
– „mich“-Seite: Ein Anbieter bei eBay genügt den Anbieterpflichten nach § 5 TMG, wenn diese über die „mich“-Seite mit den Angeboten verlinkt sind.874 Allerdings: Das „mich“Symbol betrifft Verkäufer-bezogene Informationen, nicht „kaufbezogene“.875 – Backstage soll dagegen nicht üblich sein.876 464 Schließlich müssen die Pflichtangaben ständig verfügbar, d.h. jederzeit zugänglich gehalten werden (zum Merkmal der Verfügbarkeit Rz. 156).877 465 Die Verwendung einer kostenpflichtigen Mehrwertdienstenummer in der Anbieterkennzeichnung eines Diensteanbieters ist unzulässig. Dies gilt, weil sie keine effiziente Kommunikation zwischen dem Diensteanbieter und dem Nutzer ermöglicht und damit nicht zur ordnungsgemäßen Erfüllung seiner Anbieterkennzeichnungspflicht geeignet ist.878 6.1.2 Informationspflichten bei kommerzieller Kommunikation (§ 6 TMG) 466 Zusätzlich zu den Impressumspflichten aus § 5 Abs. 1 TMG sieht § 6 TMG ausweislich der amtlichen Überschrift besondere Informationspflichten vor, die den Diensteanbieter bei kommerziellen Kommunikationen treffen (vgl. Art. 6 RL 2000/31/EG). Diese Pflichten gehen über § 5 Abs. 1 TMG hinaus und ergänzen sie.879 Sie erfüllen eine transparenzschaffende Funktion im Vorfeld des Vertragsschlusses, wodurch die Entscheidungsfreiheit des Kunden sichergestellt werden soll.880 467 Kommerzielle Kommunikation ist nach § 2 Satz 1 Nr. 5 TMG jede Form der Kommunikation, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren, Dienstleistungen oder des Erscheinungsbilds eines Unternehmens dient. Somit fällt in den Anwendungsbereich der Norm jede Art von elektronischer Werbung und Selbstdarstellung, die mit einer wirtschaftlichen Aktivität verbunden ist (z.B. Werbe-Banner und E-Mail-Werbung).881 468 Mit § 6 Abs. 1 TMG werden bestimmte Mindestinformationen und Transparenzgebote festgelegt. Hiernach müssen – die kommerzielle Kommunikation klar als solche erkennbar sein (§ 6 Abs. 1 Nr. 1 TMG),882 – die Identifizierbarkeit des Auftraggebers der Werbung gewährleistet werden (§ 6 Abs. 1 Nr. 2 TMG), – Angebote zur Verkaufsförderung klar als solche erkennbar sein sowie die Zugänglichkeit und Transparenz der Bedingungen für ihre Inanspruchnahme sichergestellt werden (§ 6 Abs. 1 Nr. 3 TMG), – die Erkennbarkeit von Preisausschreiben oder Gewinnspielen mit Werbecharakter sowie die Zugänglichkeit und Transparenz der Teilnahmebedingungen sichergestellt werden (§ 6 Abs. 1 Nr. 4 TMG). 874 LG Hamburg v. 11.5.2006 – 327 O 196/06, MMR 2007, 130; so auch KG v. 11.5.2007 – 5 W 116/07, CR 2007, 595. 875 Schlömer/Dittrich, K&R 2007, 433 (434) zu dem auf diese Weise lösbaren Widerspruch des KG zu OLG Hamm v. 14.4.2005 – 4 U 2/05, CR 2005, 666. Ebenso, kein Platz für Widerrufsbelehrung unter „mich“-Rubrik: LG Berlin v. 9.10.2007 – 15 S 5/05, MIR 2007, Dok. 404. 876 OLG Hamburg v. 20.11.2002 – 5 W 80/02, CR 2003, 283. 877 BT-Drs. 14/6098, S. 22; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 140. 878 OLG Frankfurt v. 2.10.2014 – 6 U 219/13, ITRB 2015, 7; LG Frankfurt/M. v. 2.10.2013 – 2-03 O 445/12, CR 2014, 615 (Ls.). 879 S.a. BeckRTD-Komm/Schmitt, § 6 TMG Rz. 1, 11. 880 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 641; BeckRTD-Komm/Schmitt, § 6 TMG Rz. 1 f. 881 Föhlisch, in: Hoeren/Sieber/Holznagel, Teil 13.4 Rz. 54 (33. EL Stand 12/2012). 882 Dazu KG v. 24.1.2012 – 5 W 10/12, MMR 2012, 316.
550
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 472
B
Ein Täuschungsverbot, das den Schutz des Adressaten von kommerzieller Kommunikation 469 per elektronischer Post (E-Mail, SMS und MMS) vor einem Verschleiern oder Verheimlichen des Absenders oder des kommerziellen Charakters der Nachricht zum Gegenstand hat, wird in § 6 Abs. 2 Satz 1 TMG geregelt.883 Die Begriffe Verschleiern und Verheimlichen werden durch § 6 Abs. 2 Satz 2 TMG bestimmt. Demgemäß liegen derartige Handlungen vor, wenn die Kopf- und Betreffzeile absichtlich so gestaltet sind, dass der Empfänger vor Einsichtnahme in den Inhalt der Kommunikation keine (Verheimlichung) oder irreführende Informationen (Verschleierung) über die vorgenannten Aspekte erhält. Aus § 6 Abs. 2 TMG sind insoweit entsprechende Informationspflichten über die Identität des Absenders und den Charakter der kommerziellen Nachricht und damit verbundene Gestaltungspflichten betreffend die Kopf- und Betreffzeile dieser Nachricht abzuleiten. 6.2 Sonstige Informationspflichten Bei einem Verbraucher- bzw. Fernabsatzvertrag im E-Commerce sind gleichfalls die jeweils anzuwendenden Bestimmungen in den §§ 312 ff. BGB sowie in den Art. 246 ff. EGBGB zu beachten. Weitere Informationspflichten können sich insb. aus § 55 RStV, der PAngV884 sowie der DL-InfoV885 ergeben. Neue Informationspflichten des Unternehmers gegenüber Verbraucher werden schließlich durch Art. 14 VO (EU) Nr. 524/2013886 (Verordnung über Online-Streitbeilegung in Verbraucherangelegenheiten, sog. ODR-Verordnung) sowie §§ 36, 37 VSGB (Gesetz über die alternative Streitbeilegung in Verbrauchersachen – Verbraucherstreitbeilegungsgesetz)887 begründet.888 Die in Art. 14 ODR-Verordnung vorgesehene Informationspflicht gilt seit dem 9.1.2016. §§ 36, 37 VSGB treten am 1.2.2017 in Kraft.
470
7. Rechtsfolgen von Pflichtverstößen Die allgemeine Verbindlichkeit einer Vereinbarung bzw. die Wirksamkeit des Vertrags bleibt – mit Ausnahme der Sonderregelung in § 312j Abs. 4 BGB – von einer Pflichtverletzung grds. unberührt. Eine Pflichtverletzung kann nicht zur Nichtigkeit des Vertrags führen.889 Eine solche zivilrechtliche Sanktion würde weder dem Willen des Gesetzgebers noch dem Schutzzweck der Informationspflichten entsprechen.890
471
Eine rechtsverbindliche Willenserklärung des Kunden ist allerdings dann nicht gegeben, 472 wenn die Verletzung einer vorvertraglichen Pflicht dazu führt, dass er sich gar nicht bewusst ist, überhaupt eine rechtsgeschäftliche Erklärung abgegeben zu haben.891 In solchen Extremfällen wird die Pflichtverletzung i.d.R. zu einem Erklärungsirrtum führen, der den Kunden nach § 119 BGB zur Anfechtung des Vertrags wegen Irrtums berechtigt.892 Dem Unterneh883 BeckRTD-Komm/Schmitt, § 6 TMG Rz. 32. 884 Dazu Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 85 ff., 154 ff., 349 ff.; 376 ff. 885 Dienstleistungs-Informationspflichten-Verordnung; BGBl. I 2010, S. 267; dazu Lorenz, VuR 2010, 323 ff.; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 68 ff., 143 ff., 295 ff., 368 f. 886 Verordnung (EU) Nr. 524/2013 des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Verordnung über Online-Streitbeilegung in Verbraucherangelegenheiten), ABl. L 165 v. 18.6.2013, S. 1. 887 Das VSGB dient der Umsetzung der Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten, ABl. L 165 v. 18.6.2013, S. 63). 888 Dazu Lederer, CR 2015, 380 (382 f.). 889 Vgl. Grigoleit, WM 2001, 597 (560); R. Koch, in: Erman, BGB, § 312i Rz. 29; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 794; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 190; BT-Drs. 14/6040, S. 173. 890 BT-Drs. 14/6040, S. 173. 891 BT-Drs. 14/6040, S. 173; R. Koch, in: Erman, BGB, § 312i Rz. 30. 892 BT-Drs. 14/6040, S. 173; R. Koch, in: Erman, BGB, § 312i Rz. 30.
Kosmides
551
B Rz. 473
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
mer ist nach erfolgter Anfechtung der Ersatzanspruch aus § 122 Abs. 1 BGB zu versagen, wenn die verletzte Pflicht jedenfalls auch darauf abzielte, einen entsprechenden Irrtum zu vermeiden. Ein dennoch geltend gemachter Ersatzanspruch wäre nach § 242 BGB unzulässig (venire contra factum proprium).893 473 Die Rechtsfolgen von Verstößen gegen die Pflichten aus §§ 312i und 312j BGB sowie Art. 246c EGBGB sind im Wesentlichen nicht gesondert im E-Commerce-Recht geregelt. Sie richten sich vielmehr nach den allgemeinen Regeln des Schuldrechts, insb. nach dem allgemeinen Leistungsstörungsrecht.894 Dem Kunden steht insoweit ein Anspruch auf nachträgliche Erfüllung der Informationspflichten zu. In Betracht kommen aber v.a. Schadensersatzansprüche, wobei es für die jeweilige Anspruchsgrundlage maßgeblich darauf ankommt, ob eine vertragliche (dann: §§ 280 Abs. 1, 241 Abs. 2 BGB) oder vorvertragliche Pflicht (dann: §§ 280 Abs. 1, 311 Abs. 2 BGB) verletzt wurde.895 Aus einem Pflichtverstoß kann man ferner einen Anspruch auf Vertragsanpassung oder Vertragsaufhebung nach § 249 BGB ableiten (Rz. 181). Ist der Kunde ein Verbraucher, so gilt für die Ansprüche wegen Verletzung einer Informationspflicht die Beweislastregelung in § 312k Abs. 2 BGB. 474 Schadensersatzansprüche nach den vorgenannten Rechtsvorschriften können ferner durch die Nichtbeachtung der Impressumspflichten aus § 5 Abs. 1 TMG sowie der Informationspflichten der DL-InfoV ausgelöst werden.896 475 Liegt ein Verstoß gegen § 312j Abs. 3 BGB vor, d.h. fehlt es an einer ausdrücklichen Bestätigung gem. § 312j Abs. 3 Satz 1 BGB oder entspricht die Gestaltung des Bestellbuttons nicht den Anforderungen nach § 312j Abs. 3 Satz 2 BGB, so kommt die in § 312j Abs. 4 BGB (vgl. Art. 8 Abs. 2 Unterabs. 2 Satz 3 RL 2011/83/EU) vorgesehene besondere Rechtsfolge in Betracht. Der Vertrag i.S.v. § 312j Abs. 2 Satz 1 BGB kommt hiernach nicht zustande. Die ordnungsgemäße Pflichterfüllung gilt insoweit – unbeschadet der allgemeinen Grundsätze über das Zustandekommen und die Wirksamkeit von (auf elektronischem Wege geschlossenen) Verträgen (s. Rz. 495 ff.) – als Voraussetzung für das wirksame Zustandekommen eines Verbrauchervertrags im elektronischen Geschäftsverkehr, der eine entgeltliche Leistung des Unternehmers zum Gegenstand hat.897 476 Im Falle einer Pflichtverletzung hat der Unternehmer demnach keinen Anspruch auf Zahlung des Entgelts gegenüber dem Verbraucher. Bereits geleistete Zahlungen sind vom Unternehmer zu erstatten, denn sie erfolgten ohne Rechtsgrund (§ 812 Abs. 1 Satz 1 Var. 1 BGB). Fraglich ist, ob sich der Unternehmer darauf berufen kann, dass der Vertrag nicht zustande gekommen ist, wenn er vom Verbraucher auf Leistung in Anspruch genommen wird. Dies wird man im Lichte einer richtlinienkonformen Auslegung wohl verneinen müssen.898 Denn Art. 8 Abs. 2 Unterabs. 2 Satz 3 RL 2011/83/EU sieht als Rechtsfolge eines Pflichtverstoßes nur, dass „der Verbraucher durch den Vertrag oder die Bestellung nicht gebunden“ ist. Im Umkehrschluss daraus folgt, dass die Bindung des Unternehmers an einen ansonsten wirksam zustande gekommenen Vertrag durch seine Pflichtverletzung unberührt bleiben soll. Dafür sprechen zudem Sinn und Zweck von § 312j Abs. 3 und 4 BGB, der erkennbar darin besteht, ausschließlich die Verbraucherinteressen zu wahren, sowie der halbzwingende Charakter der Regelung (s. Rz. 28 ff.).
893 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 191. 894 Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 190; R. Koch, in: Erman, BGB, § 312i Rz. 28. 895 Vgl. auch BT-Drs. 14/6040, S. 173; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 794. 896 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 795 f. 897 BT-Drs. 17/7745, S. 12; Grüneberg, in: Palandt, § 312j BGB Rz. 9; R. Koch, in: Erman, BGB, § 312j Rz. 10; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 59. 898 S.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312j Rz. 60.
552
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 482
B
Auf Verbraucherverträge im elektronischen Geschäftsverkehr, die keine Fernabsatzverträge 477 darstellen und keine Finanzdienstleistung betreffen, ist die Sonderregelung in § 312a Abs. 2 Satz 2 BGB anwendbar. Bei Fernabsatzverträgen im E-Commerce gilt hingegen die wortidentische Parallelregelung in § 312e BGB (s. Rz. 188 f.). Zur Frage, ob im Falle der Verletzung einer im BGB bzw. im EGBGB vorgesehenen Informa- 478 tions-, Bereitstellungs- oder Gestaltungspflicht daneben auch deliktische Schadensersatzansprüche aus § 823 Abs. 2 BGB sowie Unterlassungs- und Beseitigungsansprüche nach § 1004 BGB analog geltend gemacht werden können s. Rz. 184. Diese Frage stellt sich hingegen nicht bei einem Verstoß gegen das TMG und die DL-InfoV. Denn die darin vorgesehenen Pflichten stellen zweifelsohne Schutzgesetze i.S.v. § 823 Abs. 2 BGB dar. Das ist allerdings bei der PAngV nicht der Fall.899 Außerhalb des BGB sind vornehmlich Unterlassungs- und Beseitigungsansprüche nach § 2 UKlaG sowie wettbewerbsrechtliche Ansprüche nach dem UWG (s. Rz. 203, 995 ff.) denkbar. Schließlich kommen spezielle Ordnungswidrigkeitentatbestände in Betracht (z.B. § 16 TMG).
479
8. Regulierung des Vertragsinhalts (insb. Voreinstellungen) Die allgemeinen Regeln in § 312a Abs. 3 Satz 1 BGB (s. Rz. 365 ff.) sowie § 312a Abs. 4–6 BGB (s. Rz. 370 ff., 484) gelten auch bei E-Commerce-Verträgen, die zwischen einem Unternehmer und einem Verbraucher geschlossen sind. Diese Regeln sehen bestimmte Schutzvorkehrungen vor, die den Vertragsinhalt betreffen.
480
In § 312a Abs. 3 Satz 2 BGB findet sich eine Sonderregelung, die auf Verbraucherverträge im 481 elektronischen Geschäftsverkehr beschränkt ist. Diese Vorschrift ergänzt die Bestimmung des § 312a Abs. 3 Satz 1 BGB (s. Rz. 365 ff.) für den Bereich des E-Commerce. Eine Vereinbarung über zusätzliche Entgelte i.S.v. § 312a Abs. 3 Satz 1 BGB wird hiernach nicht Vertragsbestandteil, wenn der Unternehmer die Vereinbarung durch eine Voreinstellung herbeigeführt hat. Der Begriff Voreinstellung bezeichnet gemeinhin eine vorgegebene Einstellung, die solange gilt, wie der Nutzer diese nicht ändert bzw. keine eigene Einstellung vornimmt (z.B. opt-out).900 Voreinstellungen im elektronischen Geschäftsverkehr können derart ausgestaltet sein, dass der Verbraucher sie verändern muss (z.B. durch Ausstreichen eines Häkchens, das automatisch vor die Zusatzleistung gesetzt wurde), um sich nicht zur Extrazahlung zu verpflichten.901 Will der Verbraucher etwa eine Hauptleistung auf einer Internetseite bestellen, kann eine Voreinstellung zur Folge haben, dass der Hauptleistung eine Zusatzleistung hinzugefügt wird, ohne dass der Verbraucher dieses bemerkt.902 Die Regelung in § 312a Abs. 3 Satz 2 BGB ist darauf ausgerichtet, den Verbraucher vor einer solchen ungewollten Vertragsbindung zu schützen. Mit § 312a Abs. 3 Satz 2 BGB wird kein allgemeines Verbot der Voreinstellungen begründet.903 Damit soll einfach deren Verwendung für den Unternehmer unattraktiv gemacht werden.904 Dies wird dadurch erreicht, dass bei Verwendung einer Voreinstellung durch den Unternehmer, die Extrazahlungen nach sich zieht, der Unternehmer eine ausdrückliche Zustimmung des Verbrauchers auf einem anderen Wege einzuholen hat, etwa in Form einer Er-
899 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 800, 806 ff. 900 S. aber Hoeren/Föhlisch, CR 2014, 242 (248), wonach die Opt-Out-Möglichkeit mit entsprechenden Standard-Tarifen allenfalls zulässig sein soll. 901 Vgl. auch Grüneberg, in: Palandt, § 312a BGB Rz. 4. 902 BT-Drs. 17/12637, S. 53. 903 Vgl. aber Grüneberg, in: Palandt, § 312a BGB Rz. 4. 904 BT-Drs. 17/12637, S. 53.
Kosmides
553
482
B Rz. 483
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
klärung des Verbrauchers in einer gesonderten E-Mail, damit diese Vereinbarung Rechtswirkung erlangt.905 483 Eine Vereinbarung über Extrazahlungen wird nicht Vertragsbestandteil, wenn der Verbraucher seine Vertragserklärung abgibt, ohne eine Voreinstellung des Unternehmers verändert zu haben.906 Wird die Zusatzleistung hingegen durch Änderung der Voreinstellung des Unternehmers bestellt, ist die damit verbundene Verpflichtung des Verbrauchers zur zusätzlichen Zahlung rechtsverbindlich.907 Denn in diesem Fall hat nicht der Unternehmer die Vereinbarung i.S.v. § 312a Abs. 3 Satz 2 BGB „durch eine Voreinstellung herbeigeführt“. Gleiches gilt für den in der Vertragspraxis eher unüblichen Fall, dass die Vereinbarung über eine Zusatzleistung und damit eine Extrazahlung durch eine Voreinstellung des Verbrauchers bewirkt wird. Im Umkehrschluss aus § 312a Abs. 3 Satz 2 BGB folgt, dass eine zusätzliche Zahlungsverpflichtung, die durch eine Opt-in-Klausel herbeigeführt wird (z.B. durch Setzen eines Häkchens), zulässig und rechtsverbindlich ist.908 Dabei muss freilich das Transparenzgebot beachtet werden. 484 Wie bei § 312a Abs. 3 Satz 1 BGB sowie § 312a Abs. 4 und 5 BGB lässt eine nach § 312a Abs. 3 Satz 2 BGB unverbindliche Vereinbarung die Wirksamkeit des Gesamtvertrags unberührt (§ 312a Abs. 6 BGB). 485 Eine spezielle Regelung für den Bereich der Durchführung von Luftverkehrsdiensten ist in Art. 23 Abs. 1 Satz 4 VO (EG) Nr. 1008/2008 (s. zu Art. 23 Abs. 1 VO (EG) Nr. 1008/2008 Rz. 217 ff.) enthalten. I.R.d. Buchungsvorgangs hat hiernach die Annahme von fakultativen Zusatzkosten durch den Kunden auf „Opt-in“-Basis zu erfolgen. Dem Opt-in-Erfordernis wird genügend Rechnung getragen, wenn der Kunde den Buchungsvorgang nur fortsetzen kann, sofern er sich für oder gegen die Inanspruchnahme der Zusatzleistung entschieden hat.909 Solche Zusatzkosten müssen auf klare, transparente und eindeutige Art und Weise am Beginn jedes Buchungsvorgangs mitgeteilt werden. Der EuGH hat unter Bezugnahme auf diese Regelung klargestellt, dass auch in Reisevermittlungsportalen bei der Buchung eines Flugtickets der zusätzliche Abschluss einer Reiserücktrittsversicherung nicht voreingestellt sein darf.910 486 Für vertragliche Vereinbarungen im Bereich des E-Commerce gelten das Abweichungs- sowie das Umgehungsverbot gem. § 312k Abs. 1 BGB (s. Rz. 28 ff.). 9. Zusammenfassender Überblick 9.1 Verbraucher-, Fernabsatz- und E-Commerce-Vertrag: Gemeinsamkeiten/Unterschiede 487 Das folgende Schema soll die wesentlichen Merkmale von Verbraucherverträgen i.S.d. §§ 310 Abs. 3 i.V.m. 312 Abs. 1 BGB, Fernabsatzverträgen i.S.d. § 312c Abs. 1 BGB und E-Commerce-Verträgen i.S.d. § 312i Abs. 1 Satz 1 BGB zusammenfassend darstellen sowie deren Gemeinsamkeiten und Unterschiede verdeutlichen:
905 BT-Drs. 17/12637, S. 53. 906 BT-Drs. 17/12637, S. 53. 907 Anders wohl Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312a Rz. 43, der pauschal davon ausgeht, dass eine vom Unternehmer vorgenommene Voreinstellung, die der Verbraucher ändern kann, als solche nicht ausreicht. 908 S.a. Grüneberg, in: Palandt, § 312a BGB Rz. 4; Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312a Rz. 43. 909 OLG Frankfurt v. 9.4.2015 – 6 U 33/14, CR 2015, 735 (Ls 1). 910 EuGH v. 19.7.2012 – C-112/11, VuR 2012, 444 – vzbv v. ebookers; zur Preistransparenz bei Flugbuchungen ausgehend vom EuGH v. 19.7.2012 – C-112/11 Schröder, K&R 2012, 658 ff.
554
Kosmides
E-Commerce-Vertragsrecht (Teil 1): Das gesetzliche Pflichtenprogramm
Rz. 490
Verbrauchervertrag
Fernabsatzvertrag
E-Commerce-Vertrag
Art des Rechtsverhältnisses
Vertrag, kein einseitiges Rechtsgeschäft
Vertrag, kein einseitiges Rechtsgeschäft
Vertrag, kein einseitiges Rechtsgeschäft
Vertragsparteien
Unternehmer und Verbraucher R B2C
Unternehmer und Verbraucher R B2C
Unternehmer und Kunde R B2B oder B2C
Leistung des Unternehmers
Lieferung von Waren und/oder Erbringung von Dienstleistungen
Lieferung von Waren und/oder Erbringung von Dienstleistungen
Lieferung von Waren und/oder Erbringung von Dienstleistungen
Gegenleistung des Verbrauchers/Kunden
Erforderlich
Erforderlich
Nicht erforderlich
B
Vertragsschlussmittel
–
Fernkommunikationsmittel i.S.v. 312c Abs. 2 BGB (insb. Briefe, Kataloge, Telefonanrufe, Telekopien, E-Mails, SMS, Rundfunk und Telemedien)
Nur Telemedien
Sonstige Abschlussmodalitäten
–
1. ausschließliche Verwendung von Fernkommunikationsmitteln für die Vertragsverhandlungen und den Vertragsschluss. 2. Vertragsschluss im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems
1. Einsatz von Telemedien zum Zwecke des Vertragsschlusses durch den Unternehmer
488
9.2 Prüfungsschema Aus den dargestellten Tatbestandsmerkmalen der Begriffe Verbrauchervertrag, Fernabsatz- 489 vertrag und E-Commerce-Vertrag ergibt sich folgender allgemeiner Prüfungsaufbau für die Eröffnung des Anwendungsbereichs des jeweiligen Rechtsgebiets (grobe Prüfungsschemata): Verbrauchervertrag (1. bis 4.)/Fernabsatzvertrag (1. bis 6.)
490
1. Liegt ein Vertrag vor? 2. Wurde der Vertrag zwischen einem Unternehmer und einem Verbraucher geschlossen (B2C)? 3. Ist Gegenstand des Vertrags die Lieferung von Waren und/oder die Erbringung von Dienstleistungen? 4. Ist der Vertrag entgeltlich? 5. Wurden für die Vertragsverhandlungen und den Vertragsschluss ausschließlich Fernkommunikationsmittel verwendet? 6. Ist der Vertragsschluss im Rahmen eines für den Fernabsatz organisierten Vertriebsoder Dienstleistungssystems erfolgt (Ausnahmetatbestandsmerkmal)?
Kosmides
555
B Rz. 491 491
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
E-Commerce-Vertrag 1. Liegt ein Vertrag vor? 2. Wurde der Vertrag zwischen einem Unternehmer und einem Verbraucher (B2C) oder zwischen Unternehmern (B2B) geschlossen? 3. Ist Gegenstand des Vertrags die Lieferung von Waren und/oder die Erbringung von Dienstleistungen? 4. Hat sich der Schuldner der Sachleistung zum Zwecke des Vertragsschlusses der Telemedien bedient?
492 Zu beachten ist allerdings, dass die Erfüllung der obigen Tatbestandsmerkmale nicht automatisch dazu führt, dass alle Vorschriften des jeweiligen Rechtsgebiets zur Anwendung gelangen. Vielmehr sind in diesem Zshg. vornehmlich die einschlägigen Bereichsausnahmen (z.B. §§ 312 Abs. 2–6 BGB; 312a Abs. 2 Satz 3; 312i Abs. 2; 312j Abs. 5 BGB) sowie Sonderregelungen, die zusätzliche Tatbestandsmerkmale vorsehen (z.B. § 312j BGB), zu beachten. Für den Fall einer Normenkonkurrenz s. Rz. 430 ff. 9.3 Anwendbarkeit der §§ 312 ff. BGB bei Verbraucher-, Fernabsatz- und E-Commerce-Verträgen 493 Wie gesehen (Rz. 487 ff.) schließen die Begriffe Verbraucher-, Fernabsatz- und E-CommerceVertrag einander nicht aus. Aus den bestehenden Querverbindungen und Überschneidungen ergibt sich ein komplexes Bild in Bezug auf die jeweils anzuwendenden Regelungen in den §§ 312 ff. BGB auf Verträge, die nicht nur einer, sondern mehreren Gruppen angehören. Folgende Kategorisierung soll Klarheit verschaffen: 494
– Verbrauchervertrag (i.S.d. § 310 Abs. 3 BGB), der keine entgeltliche Leistung des Unternehmers zum Gegenstand hat – Keine Anwendbarkeit der §§ 312–312h BGB. – Verbrauchervertrag mit entgeltlicher Leistung des Unternehmers (i.S.v. § 312 Abs. 1 BGB), der weder die Voraussetzungen des § 312c Abs. 1 BGB (= kein Fernabsatzvertrag) noch die des § 312i Abs. 1 BGB (= kein E-Commerce-Vertrag) erfüllt – Es finden nur die §§ 312, 312a BGB Anwendung. – Verbrauchervertrag mit entgeltlicher Leistung des Unternehmers, der die Voraussetzungen des § 312c Abs. 1 BGB erfüllt (Fernabsatzvertrag) – Fernabsatzvertrag, der ohne Einsatz von Telemedien abgeschlossen ist – Es finden die §§ 312–312h BGB und § 312k BGB Anwendung. – Fernabsatzvertrag, der unter Einsatz von Telemedien abgeschlossen ist (Fernabsatzvertrag im elektronischen Geschäftsverkehr) – Es gelten die §§ 312–312k BGB. – Vertrag im elektronischen Geschäftsverkehr, der keinen Verbrauchervertrag (und damit auch keinen Fernabsatzvertrag) darstellt (B2B-Geschäft) – Es gelten nur die §§ 312i und 312k BGB. – Verbrauchervertrag im elektronischen Geschäftsverkehr mit entgeltlicher Leistung des Unternehmers, der die Voraussetzungen des § 312c Abs. 1 BGB nicht erfüllt (= kein Fernabsatzvertrag) – Anwendbar sind die §§ 312, 312a BGB sowie §§ 312h–312k BGB.
556
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 498
B
– Verbrauchervertrag im elektronischen Geschäftsverkehr, der keine entgeltliche Leistung des Unternehmers zum Gegenstand hat (und damit auch die Voraussetzungen des § 312c Abs. 1 BGB nicht erfüllt (= kein Fernabsatzvertrag)) – Es finden die §§ 312i, 312j Abs. 1 und 312k BGB Anwendung.
IV. E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB 1. Einleitung Neben den in Rz. 389 ff. behandelten Fragen gibt es noch weitere Problembereiche, die i.R.d. elektronischen Geschäftsverkehrs relevant sind. Hierzu gehören v.a. die im Mittelpunkt des vorliegenden Abschnitts stehenden Fragen, namentlich die des Vertragsschlusses im Internet, der Anforderungen an die Wirksamkeit von Online-Verträgen sowie die AGB-Kontrolle. Teils lassen sich Querverbindungen und Überschneidungen mit den Ausführungen in Rz. 389 ff. nicht vermeiden, so etwa bei der Pflicht zur Gestaltung der Bestellsituation nach § 312j Abs. 3 BGB und der in § 312j Abs. 4 BGB vorgesehenen Sanktionsfolge bei Nichterfüllung. Solche bereits erläuterten Problemfelder werden hier, soweit erforderlich, nur kurz angesprochen.
495
Die Rechtsfragen in Bezug auf den Vertragsschluss im Internet lassen sich grds. mit den ge- 496 setzlichen Regeln lösen.911 Die Problemlösungen finden sich hauptsächlich in den allgemeinen Bestimmungen der §§ 104 ff. BGB, §§ 116 ff. BGB und §§ 145 ff. BGB. Für die Beurteilung von AGB-Vereinbarungen sind die §§ 305 ff. BGB maßgeblich. Von Interesse ist hier allerdings in Anbetracht der Besonderheiten des elektronischen Geschäftsverkehrs, wie sich diese allgemeinen Regeln, die im Wesentlichen für klassische Konstellationen konzipiert sind, die sich in der real-physischen Welt vollziehen, auf elektronische Sachverhalte anwenden lassen. Dies ist von großer praktischer Relevanz, da die elektronischen Rechtsgeschäfte in der modernen Wirtschaft einen immer größeren Raum einnehmen. Der elektronische Geschäftsverkehr ist als Teilgebiet des elektronischen Rechtsverkehrs 497 i.w.S. zu verstehen. Ein weiteres Teilgebiet innerhalb des elektronischen Rechtsverkehrs i.w.S. stellt der elektronische Rechtsverkehr i.e.S. dar. Der Begriff umschreibt den sicheren elektronischen Austausch von Informationen in gerichtlichen und staatsanwaltschaftlichen Verfahren, wozu insb. die rechtsverbindliche elektronische Übermittlung von Anträgen und Klagen, die Zustellung von gerichtlichen Entscheidungen, das elektronische Mahnverfahren, elektronische Grundbücher und Handelsregister gehören.912 Nach diesem Verständnis ist der elektronische Rechtsverkehr i.e.S. Teil von E-Justice (s. zum elektronischen Rechtsverkehr A Rz. 1654 ff.). Dabei handelt es sich um eine umfangreiche Materie, die von der Thematik des vorliegenden Teils abzugrenzen ist und hier insoweit nicht thematisiert wird.913 2. Online-Vertragsschluss Mangels einer besonderen Regelung richtet sich die Begründung eines Vertrags im Internet – wie bei herkömmlichen (offline) Verträgen – nach den §§ 145 ff. BGB.914 Hierzu bedarf es zweier wirksamer, auf den Vertragsschluss gerichteter, übereinstimmender Willenserklä-
911 S.a. Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 2 (37. EL Stand 1/2014). 912 Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 2 f.; ausführlich zum Begriff Geis, Ein Rahmenwerk für den elektronischen Rechtsverkehr, S. 53 ff. 913 Ausführlich hierzu auch Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 1 ff. 914 BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (Rz. 13). Dies betrifft u.a. auch In-App-Käufe; so zutreffend Bisges, NJW 2014, 183 (184).
Kosmides
557
498
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 498
B
– Verbrauchervertrag im elektronischen Geschäftsverkehr, der keine entgeltliche Leistung des Unternehmers zum Gegenstand hat (und damit auch die Voraussetzungen des § 312c Abs. 1 BGB nicht erfüllt (= kein Fernabsatzvertrag)) – Es finden die §§ 312i, 312j Abs. 1 und 312k BGB Anwendung.
IV. E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB 1. Einleitung Neben den in Rz. 389 ff. behandelten Fragen gibt es noch weitere Problembereiche, die i.R.d. elektronischen Geschäftsverkehrs relevant sind. Hierzu gehören v.a. die im Mittelpunkt des vorliegenden Abschnitts stehenden Fragen, namentlich die des Vertragsschlusses im Internet, der Anforderungen an die Wirksamkeit von Online-Verträgen sowie die AGB-Kontrolle. Teils lassen sich Querverbindungen und Überschneidungen mit den Ausführungen in Rz. 389 ff. nicht vermeiden, so etwa bei der Pflicht zur Gestaltung der Bestellsituation nach § 312j Abs. 3 BGB und der in § 312j Abs. 4 BGB vorgesehenen Sanktionsfolge bei Nichterfüllung. Solche bereits erläuterten Problemfelder werden hier, soweit erforderlich, nur kurz angesprochen.
495
Die Rechtsfragen in Bezug auf den Vertragsschluss im Internet lassen sich grds. mit den ge- 496 setzlichen Regeln lösen.911 Die Problemlösungen finden sich hauptsächlich in den allgemeinen Bestimmungen der §§ 104 ff. BGB, §§ 116 ff. BGB und §§ 145 ff. BGB. Für die Beurteilung von AGB-Vereinbarungen sind die §§ 305 ff. BGB maßgeblich. Von Interesse ist hier allerdings in Anbetracht der Besonderheiten des elektronischen Geschäftsverkehrs, wie sich diese allgemeinen Regeln, die im Wesentlichen für klassische Konstellationen konzipiert sind, die sich in der real-physischen Welt vollziehen, auf elektronische Sachverhalte anwenden lassen. Dies ist von großer praktischer Relevanz, da die elektronischen Rechtsgeschäfte in der modernen Wirtschaft einen immer größeren Raum einnehmen. Der elektronische Geschäftsverkehr ist als Teilgebiet des elektronischen Rechtsverkehrs 497 i.w.S. zu verstehen. Ein weiteres Teilgebiet innerhalb des elektronischen Rechtsverkehrs i.w.S. stellt der elektronische Rechtsverkehr i.e.S. dar. Der Begriff umschreibt den sicheren elektronischen Austausch von Informationen in gerichtlichen und staatsanwaltschaftlichen Verfahren, wozu insb. die rechtsverbindliche elektronische Übermittlung von Anträgen und Klagen, die Zustellung von gerichtlichen Entscheidungen, das elektronische Mahnverfahren, elektronische Grundbücher und Handelsregister gehören.912 Nach diesem Verständnis ist der elektronische Rechtsverkehr i.e.S. Teil von E-Justice (s. zum elektronischen Rechtsverkehr A Rz. 1654 ff.). Dabei handelt es sich um eine umfangreiche Materie, die von der Thematik des vorliegenden Teils abzugrenzen ist und hier insoweit nicht thematisiert wird.913 2. Online-Vertragsschluss Mangels einer besonderen Regelung richtet sich die Begründung eines Vertrags im Internet – wie bei herkömmlichen (offline) Verträgen – nach den §§ 145 ff. BGB.914 Hierzu bedarf es zweier wirksamer, auf den Vertragsschluss gerichteter, übereinstimmender Willenserklä-
911 S.a. Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 2 (37. EL Stand 1/2014). 912 Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 2 f.; ausführlich zum Begriff Geis, Ein Rahmenwerk für den elektronischen Rechtsverkehr, S. 53 ff. 913 Ausführlich hierzu auch Bernhardt/Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 6 Rz. 1 ff. 914 BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (Rz. 13). Dies betrifft u.a. auch In-App-Käufe; so zutreffend Bisges, NJW 2014, 183 (184).
Kosmides
557
498
B Rz. 499
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
rungen, eines Angebots (Rz. 503 ff.) und einer Annahme (Rz. 515 ff.).915 Die vorausgesetzten Willenserklärungen werden im elektronischen Geschäftsverkehr – anders als in der physischen Welt – elektronisch übermittelt (Rz. 500).916 Der Unterschied zum klassischen Vertragsschluss besteht somit in der Übermittlungsart der vorausgesetzten Willenserklärungen.917 2.1 Elektronische Willenserklärung 499 Eine Willenserklärung ist nach der Zivilrechtsdogmatik eine private Willensäußerung, die unmittelbar auf die Herbeiführung eines rechtsgeschäftlichen Erfolgs gerichtet ist.918 Sie stellt das Mittel dar, um Rechtsgeschäfte vorzunehmen und deren Rechtswirkungen zu bestimmen.919 In der Online-Welt herrscht die elektronische Willenserklärung. Es gibt drei Arten von elektronischen Willenserklärungen, namentlich 1) die elektronisch erzeugte, 2) die elektronisch übermittelte sowie 3) die elektronisch erzeugte Willenserklärung, die elektronisch übermittelt wird (Computererklärung). 500 Eine Willenserklärung braucht nicht auf herkömmlichem Wege, d.h. etwa mündlich unter gleichzeitiger körperlicher Anwesenheit oder per Post, abgegeben zu werden. Sie kann vielmehr auch durch elektronische Übermittlung einer Datei im Internet, also online, abgegeben und wirksam werden. Dabei handelt es sich um eine elektronisch übermittelte Willenserklärung.920 Das alleinige Unterscheidungsmerkmal solcher Willenserklärungen gegenüber anderen Willenserklärungen ist der Übermittlungsweg.921 Sie können etwa im Text einer E-Mail, SMS, Website oder einer sonstigen Nachricht im Internet (z.B. i.R.v. Chat, Facebook) enthalten sein. Sie können ferner per Mausklick auf eine Schaltfläche oder einen Link abgegeben werden.922 501 Die elektronisch erzeugte Willenserklärung wird von einem Computer aufgrund der Programmierung von Software automatisch hergestellt (z.B. ein Versicherungsschein). Inhalt und Zeitpunkt der Abgabe solcher Erklärungen können im Wesentlichen ohne menschliches Zutun bestimmt werden.923 Es muss allerdings, um eine Willenserklärung anzunehmen, stets eine Handlung des Erklärenden geben, die die Erklärung generiert hat.924 Diese Person gilt als Urheber der elektronischen Willenserklärung.925 502 Elektronisch generierte Willenserklärungen können sowohl klassich als auch elektronisch übermittelt werden. Im letztgenannten Fall steht eine sog. Computererklärung in Rede.926 2.2 Angebot – Invitatio ad offerendum 503 Ein Angebot (Antrag, Offerte) ist eine einseitige, empfangsbedürftige auf Vertragsschluss gerichtete Willenserklärung, die gem. § 130 BGB mit dem Zugehen wirksam wird.927 Bei einer elektronisch übermittelten Antragserklärung erfolgt die Abgabe i.d.R. durch den letzten, für 915 BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 (214) m. Anm. Wiebe; ebenso Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 139 (37. EL Stand 1/2014). 916 Vgl. BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 (214) m. Anm. Wiebe. 917 S.a. Härting, Internetrecht, Rz. 387. 918 BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 (214) m. Anm. Wiebe; v. 24.5.1993 – II ZR 73/92, NJW 1993, 2100. 919 Leenen, BGB AT. Rechtsgeschäftslehre, § 5 Rz. 1. 920 Vgl. BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 (214) m. Anm. Wiebe. 921 Härting, Internetrecht, Rz. 387. 922 Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 10 f. (37. EL Stand 1/2014). 923 Härting, Internetrecht, Rz. 388. 924 Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 38 (37. EL Stand 1/2014). 925 Härting, Internetrecht, Rz. 388. 926 S.a. Wolf/Neuner, Allgemeiner Teil des Bürgerlichen Rechts, Kap. 31 Rz. 10. 927 Ellenberger, in: Palandt, § 145 BGB Rz. 1.
558
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 507
B
die Versendung der jeweiligen Daten erforderlichen Mausklick bzw. Tastendruck.928 Gleiches gilt für die elektronisch übertragene Annahmeerklärung. Liegt eine Computererklärung vor, wird der Abgabezeitpunkt i.d.R. durch den Anbieter mit der Programmierung der dazu verwandten Software vorab bestimmt.929 Bei Übermittlung einer elektronisch erzeugten Annahmeerklärung auf herkömmlichem Wege wird der Anbieter hingegen nicht selten den Zeitpunkt der Freigabe der Erklärung durch eigenes Handeln festlegen. Tatbestandlich setzt ein Antrag voraus, dass damit der Inhalt des abzuschließenden Vertrags 504 bestimmt wird (inhaltliche Bestimmtheit) und er seiner Art nach zu einer vertraglichen Bindung führen soll (Rechtsbindungswille).930 Ein Angebot muss nicht nur die vertragswesentlichen Elemente, sondern auch alle weiteren Merkmale umfassen, über die eine Einigung erzielt werden soll.931 Die inhaltliche Bestimmtheit ist gegeben, wenn Vertragsgegenstand und -inhalt im Antrag so bestimmt oder so bestimmbar angegeben werden, dass die Annahme durch ein einfaches „Ja“ erfolgen kann.932 Im Internet wird die Präsentation eines Vertragsgegenstands meist nicht an einen bestimmten Empfänger, sondern an einen unbestimmten Personenkreis (ad incertas personas) gerichtet. Eine derartige Willenserklärung genügt dem Bestimmtheitserfordernis.933 In solchen Fällen ist – mangels einer ausdrücklichen Kennzeichnung (z.B. „rechtsverbindlich“, „unverbindlich“) – durch Auslegung nach §§ 133, 157 BGB im Einzelfall zu ermitteln, ob ein bindendes Angebot oder eine bloße Aufforderung zur Abgabe eines Angebots (invitatio ad offerendum) vorliegt.934 Eine invitatio ist nicht bindend. Im Zweifel ist – wie i.R.d. UN-Kaufrechts (Art. 14 Abs. 2 CISG)935 – eine Aufforderung zur Abgabe eines Angebots anzunehmen.936
505
Grds. ist die Website eines Onlineshops mit einem Katalog vergleichbar, also invitatio ad of- 506 ferendum.937 Dies gilt nicht zuletzt deshalb, weil der Anbieter ein schutzwürdiges Interesse hat, vor einer Vertragsbindung das Risiko eines Forderungsausfalls infolge Zahlungsunfähigkeit des Kunden zu minimieren und zahlungsunwillige sowie querulatorische Kunden abzulehnen.938 Im Regelfall liegt insofern das Vertragsangebot in der Bestellung des Internetnutzers.939 Der Vertrag kommt erst durch die Annahme des Antrags durch den Anbieter zustande. Dies kann der Anbieter etwa durch folgende Klausel klarstellen: „Die Darstellung des Sortiments des Verkäufers im Internet stellt kein Angebot i.S.d. §§ 145 ff. BGB dar. Sie ist freibleibend und unverbindlich. Indem der Kunde eine Bestellung an den Verkäufer absendet, gibt er ein Angebot i.S.d. §§ 145 ff. BGB auf Abschluss eines Kaufvertrags mit dem Verkäufer ab.“
Die Beurteilung von Produktinformationen im Internet als invitatio gilt allerdings nicht generell. Vielmehr gibt es Aufmachungen und Geschäftsprozesse, bei denen derjenige, der die 928 929 930 931 932 933 934 935 936 937
938 939
Härting, Internetrecht, Rz. 401 f. S.a. Härting, Internetrecht, Rz. 403. Leenen, BGB AT. Rechtsgeschäftslehre, § 8 Rz. 7 ff. Wolf/Neuner, Allgemeiner Teil des Bürgerlichen Rechts, Kap. 37 Rz. 4. BAG v. 16.10.2007 – 9 AZR 239/07; OLG Köln v. 17.6.1994 – 19 U 264/93, CR 1995, 21 (22); Ellenberger, in: Palandt, § 145 BGB Rz. 1. BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 (Ls. 2) m. Anm. Wiebe. Ebenso Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 146 (37. EL Stand 1/2014). Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf v. 11.4.1980 (engl.: Convention on Contracts for the International Sale of Goods, CISG), BGBl. 1989 II, S. 588. Wolf/Neuner, Allgemeiner Teil des Bürgerlichen Rechts, Kap. 37 Rz. 10. BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (Rz. 14); v. 26.1.2005 – VIII ZR 79/04, CR 2005, 355 (356) m. Anm. Ernst; OLG Nürnberg v. 10.6.2009 – 14 U 622/09, MMR 2010, 31; LG Essen v. 13.2.2004 – 16 O 416/02, MMR 2004, 49 (50); vgl. auch Baumgartner/Ewald, Apps und Recht, Rz. 46. OLG Nürnberg v. 10.6.2009 – 14 U 622/09, MMR 2010, 31. Vgl. BGH v. 26.1.2005 – VIII ZR 79/04, CR 2005, 355 (356) m. Anm. Ernst.
Kosmides
559
507
B Rz. 508
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Information im Web „einstellt“, verbindlich ein Angebot erklärt, das der Andere nur noch annehmen muss. Typisch sind die Angebote der Auktionen wie bei eBay: Das Einstellen auf der Website von eBay begründet ein verbindliches Angebot.940 Ein solches Verkaufsangebot mit Zuschlag an das Höchstgebot und/oder „Sofort Kaufen Option“ ist verbindlich.941 Die Wirksamkeit dieses Angebots wird nicht durch die nach den „eBay-Grundsätzen“ mögliche vorzeitige Beendigung der Auktion berührt. „Seine Willenserklärung kann der Anbieter nur im Wege der Anfechtung beseitigen.“942 Angebote bei Internetauktion sind ohne gesonderten Hinweis Brutto-Preise.943 508 Nach aktueller Gestaltung von AppStores ist wohl ein verbindliches Angebot des App-Providers anzunehmen, sodass der Vertrag durch Annahme des Nutzers (per Klick) zustande kommt.944 509 Ein Vertragsantrag ist ferner regelmäßig in der Lieferung eines unbestellten Produkts, v.a. in der Zusendung einer unbestellten Ware durch den Unternehmer enthalten. Ob ein Vertrag in einem solchen Falle zustande gekommen ist, ist im B2C-Bereich unter Mitberücksichtigung von § 241a BGB zu entscheiden (Rz. 612 ff.). 510 Als empfangsbedürftige Willenserklärung ist der Antrag so auszulegen, wie sie der Empfänger nach Treu und Glauben unter Berücksichtigung der Verkehrssitte verstehen musste.945 Ausschlaggebend ist insoweit der objektive Empfängerhorizont. Gleiches gilt für die Annahme (s. Rz. 515 ff.).946 Dabei ist nach §§ 133, 157 BGB der wirkliche Wille des Erklärenden maßgeblich. Bei der Willenserforschung ist von dem Wortlaut der Erklärung und dem ihn zu entnehmenden objektiv erklärten Parteiwillen auszugehen. Daneben sind der mit der Erklärung verfolgte Zweck, die Interessenlage der Parteien und die sonstigen Begleitumstände zu berücksichtigen, die den Sinngehalt der gewechselten Erklärungen erhellen können.947 511 Im Rahmen einer Internetauktion ist der Inhalt der beiderseitigen Willenserklärungen unter Berücksichtigung der AGB der Internetauktionsplattform (z.B. eBay) zu bestimmen.948 Der Inhalt einer im Rahmen eines automatisierten Bestellsystems abgegebenen Vertragserklärung ist nicht danach zu bestimmen, wie das automatisierte System die Erklärung voraussichtlich deuten und verarbeiten wird, sondern vielmehr, wie der menschliche Adressat die jeweilige Erklärung nach Treu und Glauben und der Verkehrssitte verstehen darf.949 512 Produktbilder sind Teil der Produktbeschreibung und im Rahmen eines Vertragsangebots auf einem Online-Marktplatz verbindlich. So hat der BGH entschieden, dass die abgebildeten Ausstattungsmerkmale (hier: Standheizung) eines im Internet angebotenen Pkw zur Fahrzeugbeschreibung gehören, wenn sie nicht textlich als Zusatzausstattung erwähnt oder in sonstiger Weise für unverbindlich erklärt werden.950 Die Folge ist, dass bei Annahme des 940 BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 m. Anm. Wiebe = ITRB 2002, 53; OLG Hamburg v. 12.9.2007 – 5 W 129/07, CR 2008, 116; OLG Oldenburg v. 28.7.2005 – 8 U 93/05, CR 2005, 828; Heyers, NJW 2012, 2548 (2549); Paschke/Liebhaber, in: Heckmann, jurisPR-ITR 4/2015 Anm. 4, B. 941 S.a. OLG Köln v. 8.12.2006 – 19 U 109/06, CR 2007, 598. 942 OLG Oldenburg v. 28.7.2005 – 8 U 93/05, CR 2005, 828. 943 AG Recklinghausen v. 21.12.2004 – 13 C 517/04, MMR 2005, 199. 944 Baumgartner/Ewald, Apps und Recht, Rz. 50: „Angebot an jedermann“; a.A. Degmair, K&R 2013, 213 (215). 945 Vgl. BGH v. 18.12.2008 – I ZR 23/06, CR 2009, 233 m. Anm. Prill/Spindler, MDR 2009, 399; v. 24.2.1988 – VIII ZR 145/87, BGHZ 103, 275 (280). 946 BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (187). 947 BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (187). 948 BGH v. 8.1.2014 – VIII ZR 63/13, CR 2014, 194 (Ls.); v. 8.6.2011 – VIII ZR 305/10, CR 2011, 608 m. Anm. Küppers; OLG Hamm v. 30.10.2014 – 28 U 199/13, CR 2015, 314; vgl. auch OLG Nürnberg v. 26.2.2014 – 12 U 336/13, CR 2014, 316 (Ls. 2). 949 BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (Ls. 1). 950 BGH v. 12.1.2011 – VIII ZR 346/09, CR 2011, 461.
560
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 516
B
Angebots und Zustandekommen eines Vertrags der Käufer einen Erfüllungsanspruch auf Lieferung des Fahrzeugs mit diesen Merkmalen erwirbt.951 Will der Anbieter eine vertragliche Bindung aufgrund im Internet verwendeter Abbildungen vermeiden, hat er diese mit einem ausdrücklichen und hinreichend bestimmten Hinweis zu versehen, z.B. – „Fotos nicht verbindlich. X vom Leistungsumfang nicht erfasst“ – „Fotos nicht verbindlich. Der Preis beinhaltet: …“, – „Optional erhältliches Zubehör (nicht im Lieferumfang enthalten)“ oder – „Abbildungen ähnlich“.952 Ein Warenhersteller ist grds. berechtigt, das Image seiner Waren durch ein selektives Ver- 513 triebssystem zu sichern, das seinen Abnehmern den Warenvertrieb über bestimmte Internet-Verkaufsplattformen untersagt, sofern diese Plattformen dem mit Hilfe seiner Werbemaßnahmen aufgebauten Produktimage abträglich sind.953 Dabei wird aber vorausgesetzt, dass er sein selektives Vertriebssystem einheitlich und diskriminierungsfrei anwendet, was nicht der Fall ist, wenn er seine Waren über eine vergleichbare Discounter-Kette absetzt. In einem solchen Fall ist eine unzulässige Wettbewerbsbeschränkung anzunehmen, die einen Unterlassungsanspruch begründet (§§ 33 Abs. 1, 21 Abs. 2 GWB).954 Das im Rahmen einer Vertriebsvereinbarung vom Hersteller an autorisierte Einzelhändler 514 gerichtete Verbot des Warenabsatzes über Online-Marktplätze ist außerhalb eines selektiven Vertriebssystems gem. § 1 GWB, Art. 101 AEUV wettbewerbswidrig, denn eine solche Regelung bewirkt und bezweckt eine Einschränkung des Wettbewerbs.955 2.3 Annahme Die Annahme stellt eine einseitige, grds. empfangsbedürftige Willenserklärung, die auf den 515 Vertragsschluss gerichtet ist, dar. Sie muss für den Antragenden erkennbar auf dessen Antrag bezogen sein und inhaltlich den Antrag vorbehaltlos bejahen.956 Im elektronischen Geschäftsverkehr kann die Annahme einer Bestellung des Kunden auch durch eine automatisierte Erklärung des Anbieters erfolgen.957 Die Annahme kann ausdrücklich oder konkludent erklärt werden.958 Beim Internetversand- 516 handel kann eine konkludente Annahme darin gesehen werden, dass die gewünschte Leistung bewirkt wird oder sonstige dem Antrag entsprechende Handlungen vorgenommen werden, etwa wenn die Ware versendet wird.959 Eine konkludente Annahme ist ferner in einer E-Mail zu sehen, die aufgrund einer Auto-Reply-Funktion generiert wird, wenn „der Absender den Empfänger als Kunden anspricht, sich bei ihm für den Auftrag bedankt und mitteilt, dass sein Auftrag nunmehr bearbeitet werde“.960 Die Bestätigung des Eingangs einer Bestellung i.S.v. § 312i Abs. 1 Satz 1 Nr. 3 BGB reicht für die Annahme des Angebots des Kunden nicht aus. Es wird vielmehr verlangt, dass mit der Erklärung des Unternehmers die vorbehaltlose Ausführung der Bestellung angekündigt wird.961 951 952 953 954 955 956 957 958 959 960 961
BGH v. 12.1.2011 – VIII ZR 346/09, CR 2011, 461 (462). Vgl. BGH v. 4.2.2009 – VIII ZR 32/08, CR 2009, 305 (Ls.). KG v. 19.9.2013 – 2 U 8/09 Kart, CR 2014, 741 (Ls. 1). KG v. 19.9.2013 – 2 U 8/09 Kart, CR 2014, 741 (Ls. 2). OLG Schleswig v. 5.6.2014 – 16 U (Kart) 154/13, NJW 2014, 3104 (Ls. 1); LG Kiel v. 8.11.2013 – 14 O 44/13, MMR 2014, 183 (Ls.). Ellenberger, in: Palandt, § 147 BGB Rz. 1; Leenen, BGB AT. Rechtsgeschäftslehre, § 8 Rz. 55. BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (187). BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (187). BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (187); Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 172 (37. EL Stand 1/2014). Vgl. BGH v. 26.1.2005 – VIII ZR 79/04, CR 2005, 355 (Ls. 1) m. Anm. Ernst. BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (187). Zur Bestell-Bestätigung s. Rz. 531 ff.
Kosmides
561
B Rz. 517
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
517 Da nur eine rechtzeitige Annahme zum Zustandekommen des Vertrags führt (vgl. § 146 BGB), gilt es in diesem Zshg. die §§ 147 ff. BGB zu beachten. 2.4 Zustandekommen 2.4.1 Allgemein 518 Nach allgemeiner Regel kommt ein Vertrag zustande, wenn ein Konsens der Parteien über alle regelungsbedürftigen Punkte besteht. Für ein Zustandekommen gilt als Mindestvoraussetzung, dass sich die Parteien über die nach dem Gesetz wesentlichen Vertragsbestandteile (essentialia negotii) geeinigt haben.962 I.Ü.steht der Umfang des zusätzlichen Regelungsprogramms (accidentalia negotii) und damit der vorausgesetzten Einigung in der Disposition der Parteien.963 Bei Internetabofallen kann das Zustandekommen eines Vertrags daran scheitern, dass sich die Parteien über den Punkt der Entgeltlichkeit nicht geeinigt haben.964 Ist gleichwohl ein wirksamer Vertragsschluss anzunehmen, kommt i.d.R. ein sittenwidriges und damit nichtiges Rechtsgeschäft gem. § 138 BGB in Betracht.965 519 Als empfangsbedürftige Willenserklärungen, die i.d.R. unter Abwesenden abgegeben werden, ist für das Wirksamwerden des Angebots und der Annahme beim Internet-Geschäftsverkehr – neben der Abgabe – der Zugang erforderlich. Nach § 130 Abs. 1 Satz 1 BGB wird eine Willenserklärung in dem Zeitpunkt wirksam, in dem sie dem Empfänger zugeht. Der Vertrag kommt insoweit grds. mit dem Zugang der Annahmeerklärung bei dem Antragenden zustande. Willenserklärungen, die mit Hilfe eines elektronischen Mittels abgegeben werden, das eine unmittelbare Kommunikation von Person zu Person vergleichbar mit dem Telefonat ermöglicht (z.B. Chat), gelten als Erklärungen gegenüber Anwesenden.966 Bei solchen Vertragskonstellationen ist für das Wirksamwerden einer Willenserklärung deren Zugang nicht erforderlich. Es wird vielmehr verlangt, dass der Empfänger die Erklärung tatsächlich wahrnimmt.967 520 Nach allgemeinem Verständnis in Rspr. und Lit. ist eine empfangsbedürftige Willenserklärung unter Abwesenden i.S.v. § 130 Abs. 1 Satz 1 BGB zugegangen, wenn sie so in den Machtbereich des Empfängers gelangt ist, dass dieser unter normalen Verhältnissen die Möglichkeit hat, vom Inhalt der Erklärung Kenntnis zu nehmen.968 Im Online-Bereich ist nicht immer klar, ob und wann diese Voraussetzungen erfüllt werden.969 Zum Machtbereich des Empfängers gehört etwa das E-Mail-Postfach und bei vergleichbaren Diensten (z.B. Facebook) die entsprechende Mailbox.970 Willenserklärungen sind zugegangen, wenn sie in der Mailbox des Empfängers oder des Providers angekommen und abrufbar gespeichert sind, beim Empfang zur Unzeit am nächsten Tag.971 Nach Ansicht des LG Hamburg gilt eine per E-Mail übermittelte Erklärung als zugegangen, wenn sie von einer Firewall des Empfängers aufgehalten und nicht an den Absender zurückgesendet wird.972 521 Nach § 151 Satz 1 BGB ist für das Zustandekommen des Vertrags nicht erforderlich, dass die Annahme dem Antragenden gegenüber erklärt wird, wenn eine solche Erklärung nach der 962 963 964 965 966 967 968 969 970 971 972
562
Allg. dazu Jung, JuS 1999, 28 ff. Leenen, BGB AT. Rechtsgeschäftslehre, § 8 Rz. 136. Hoeren, Internetrecht, S. 317. Hoeren, Internetrecht, S. 317. Härting, Internetrecht, Rz. 410 f. Ellenberger, in: Palandt, § 130 BGB Rz. 2, 14. BGH v. 21.1.2004 – XII ZR 214/00, II. 2. a); v. 26.11.1997 – VIII ZR 22/97, NJW 1998, 976 (977); BAG v. 6.3.1988 – 7 AZR 587/87, NJW 1989, 606; OLG München v. 23.1.2014 – 23 U 1955/13, ITRB 2014, 130; Ellenberger, in: Palandt, § 130 BGB Rz. 5. Zu dieser Problematik Härting, Internetrecht, Rz. 417 ff. Ellenberger, in: Palandt, § 130 BGB Rz. 5, 7a. Ellenberger, in: Palandt, § 130 BGB Rz. 7a. LG Hamburg v. 7.7.2009 – 312 O 142/09, ITRB 2010, 130.
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 526
B
Verkehrssitte nicht zu erwarten ist oder der Antragende auf sie verzichtet hat. Im elektronischen Geschäftsverkehr ist allerdings eine Entbehrlichkeit des Zugangs kraft Verkehrssitte zu verneinen.973 § 312i Abs. 1 Satz 2 BGB regelt eine Zugangsfiktion (s. Rz. 417): Bei einem Vertrag im elektronischen Geschäftsverkehr gelten Bestellung und Empfangsbestätigung i.S.v. § 312i Abs. 1 Satz 1 Nr. 3 BGB als zugegangen, „wenn die Parteien, für die sie bestimmt sind, sie unter gewöhnlichen Umständen abrufen können“. Dies gilt ersichtlich für die typischen elektronischen Dienste. Was das Zustandekommen eines Vertrags angeht, so ist diese Regelung in erster Linie für die Bestellung des Kunden von Bedeutung, denn nur diese enthält eine (rechtsverbindliche) Vertragserklärung. Die Zugangsfiktion kann aber insoweit für die Vertragserklärung des Anbieters relevant werden, als diese Erklärung mit der Empfangsbestätigung verbunden wird (s. Rz. 533). Nach allgemeinen Grundsätzen trägt die Beweislast für den Zugang derjenige, der sich auf ihn beruft.974
522
2.4.2 Einzelne Probleme Durch Anklicken der Schaltfläche „In den Warenkorb“ wird keine verbindliche Vertragserklärung des Nutzers abgegeben (zur Gestaltung der Bestellsituation bei E-Commerce-Verträgen im B2C-Bereich vgl. § 312j Abs. 3 und 4 BGB; s. Rz. 440). In Bezug auf Produkte, die im Warenkorb liegen, ist mit der Situation in einem Laden vergleichbar noch kein Kaufvertrag zustande gekommen. Dies gilt unabhängig davon, ob die Präsentation des Vertragsgegenstands im Internet als invitatio oder Antrag anzusehen ist.
523
Bei eBay kann der Nutzer beim Kauf mehrerer Artikel von einem Anbieter, einen Gesamtbetrag vom Verkäufer anfordern, um Versandkosten zu sparen (s. Rz. 446, 653). Der Nutzer kann aber den Gesamtbetrag nur durch Klicken auf den Bestellbutton („Kaufen und Anfrage senden“) anfordern, wodurch – laut eBay – ein Vertrag zustande kommen soll. Bei Verbraucherverträgen scheidet ein Vertragsschluss nach § 312j Abs. 4 BGB schon wegen Verstoßes gegen § 312j Abs. 3 Satz 2 BGB (s. Rz. 444) aus. Bei sonstigen Verträgen scheitert das wirksame Zustandekommen eines Kaufvertrags daran, dass der vorausgesetzte Konsens über alle regelungsbedürftigen Elemente (Rz. 518) nicht existiert. Die per Klick abgegebene Erklärung des Nutzers bezieht sich nur auf den Preis der Artikel, nicht jedoch die Versandkosten. Eine Einigung über den Gesamtbetrag ist nicht gegeben. Auch aber wenn ein wirksamer Vertragsschluss angenommen würde, wäre die Vereinbarung wegen Verstoßes gegen § 307 Abs. 1 BGB unwirksam (s. Rz. 650 ff.)
524
Die Eingabe in die Felder für Vor- und Zunamen des Fluggastes „noch unbekannt“ auf ei- 525 nem Flugbuchungsportal kann nicht zum Vertragsschluss führen, wenn die nachträgliche Benennung eines Reisenden durch einen entsprechenden Hinweis in der Buchungsmaske ausdrücklich ausgeschlossen wird. Zum Beispiel: „Bitte beachten Sie, dass eine Namensänderung nach erfolgter Buchung nicht mehr möglich ist und der Name mit dem Namen in Ihrem Ausweis übereinstimmen muss“.975
Dies gilt selbst dann, wenn der Kunde eine Buchungsbestätigung erhält und/oder der Anbieter das Entgelt für den fraglichen Flug vom Konto des Kunden eingezogen hat.976 Denn es fehlt die vorausgesetzte Willensübereinstimmung in Bezug auf den Inhalt des Beförderungsvertrags, konkret die Person des Reisenden.977 Die Bestimmung darüber, wer die Vertrags-
973 974 975 976 977
Härting, Internetrecht, Rz. 436. Ellenberger, in: Palandt, § 130 BGB Rz. 21. BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (Rz. 2). BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (Ls. 2). BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (188, Rz. 21 f.).
Kosmides
563
526
B Rz. 527
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
partner sein sollen, gehört zu den essentialia negotii eines Vertrags, ohne welche ein Vertrag nicht zustande kommen kann.978 527 Ein im Wege der Internetauktion abgeschlossener Vertrag ist selbst bei grobem Äquivalenzmissverhältnis, d.h. beim Missverhältnis zwischen Leistung und Gegenleistung, i.d.R. wirksam.979 Grds. ist das Angebot (eigentlich bietet der Kunde den Abschluss zu dem falschen Preis an) trotz falscher Preisangabe bindend, es sei denn, es liegt als Ausnahme ein Anfechtungs- bzw. Nichtigkeitsgrund vor.980 528 Die Verletzung von gesetzlich vorgesehenen Informationspflichten (etwa bei Fernabsatzverträgen gem. § 312d BGB i.V.m. Art. 246a EGBGB oder Art. 246b EGBGB; s. Rz. 105 ff.) hat grds. nicht die Wirkung, dass der Vertrag nicht zustande kommt, sondern zieht andere vertragsrechtliche Folgen nach sich (s. Rz. 180 ff.). Zudem führt sie zur Angreifbarkeit durch Wettbewerber. Deshalb ist bei Verletzungen die Frage, ob ein Bagatellverstoß i.S.d. UWG vorliegt, wesentlich wichtiger als die Wirkung für den Kunden. Eine andere Ansicht vertritt allerdings das AG Halle: Eine Verletzung der die vertragswesentlichen Merkmale betreffenden Informationspflichten hat nach ihm zur Folge, dass eine Einigung über die entsprechenden Merkmale nicht besteht und damit ein Vertrag nicht wirksam zustande kommen kann.981 Dies überzeugt nicht. Stattdessen ist vielmehr anzunehmen, dass die Verletzung von Informationspflichten zur Begründung eines Anfechtungsrechts führen kann (s. Rz. 574). So oder anders hat der Unternehmer aber ein Interesse daran, dass der Verbraucher über die vertragswesentlichen Merkmale nach Maßgabe des Gesetzes informiert wird, um so die Wirksamkeit der Vereinbarung sicherzustellen. 529 Bei einem Verbrauchervertrag im elektronischen Geschäftsverkehr ist nach § 312j Abs. 4 BGB die Einhaltung der Vorgaben aus § 312j Abs. 3 BGB zur Gestaltung der Bestellsituation für das wirksame Zustandekommen entscheidend (s. Rz. 440). Aus diesen Bestimmungen folgt, dass durch die Betätigung der Schaltfläche „Jetzt anmelden“ o.Ä (s. Rz. 448) auf einer Internetplattform seitens des Verbrauchers grds. kein Vertrag im elektronischen Geschäftsverkehr über eine entgeltliche Leistung des Unternehmers zustande kommt. Ein anderes gilt, wenn der Verbraucher bei dem Anmeldevorgang auf eine Zahlungspflicht ausdrücklich hingewiesen wird.982 530 Die Lieferung einer unbestellten Ware bzw. die Erbringung einer unbestellten Dienstleistung (s. Rz. 612) kann nicht zum Vertragsschluss führen, auch wenn der Unternehmer erklärt, der Vertrag gelte bei Nichtablehnung bzw. Nichtrücksendung als zustandegekommen.983 In einem Schweigen ist hier kein Annahmewille zu sehen. Auch eine Aneignungs-, Gebrauchs- oder Verbrauchshandlung des Verbrauchers reicht i.d.R. nicht aus, um einen Vertragsschluss herbeizuführen.984 Für das Zustandekommen bedarf es vielmehr einer ausdrücklichen Annahmeerklärung oder einer eindeutigen Erfüllungshandlung, insb. einer Zahlung des Entgelts.985
978 Leenen, BGB AT. Rechtsgeschäftslehre, § 8 Rz. 136. 979 BGH v. 12.11.2014 – VIII ZR 42/14, CR 2015, 106 m. Anm. Mankowski/Loose; v. 28.3.2012 – VIII ZR 244/10, CR 2012, 460 m. Anm. Juretzek. S. Rz. 77, 579. 980 OLG Stuttgart v. 12.7.2006 – 12 U 91/06, MMR 2006, 819; s.a. AG Bremen v. 25.5.2007 – 9 C 0142/07, jur-pc 86/2008 zur Anfechtung einer Willenserklärung eines über eine Internetauktionsplattform geschlossenen Vertrags. 981 AG Halle v. 27.4.2010 – 95 C 254/10, juris Os. 982 AG Mönchengladbach v. 16.7.2013 – 4 C 476/12, juris Rz. 28. 983 Grüneberg, in: Palandt, § 241a BGB Rz. 6. 984 Ebenso Grüneberg, in: Palandt, § 241a BGB Rz. 6; a.A. Toussaint, in: Herberger/Martinek/Rüßmann/ Weth (Hrsg.), jurisPK-BGB, § 241a Rz. 12. 985 Köhler, JuS 2014, 865.
564
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 535
B
2.4.3 Bestell-Bestätigung Gemäß § 312i Abs. 1 Satz 1 Nr. 3 BGB hat der Anbieter gegenüber dem Kunden den Zugang 531 von dessen Bestellung unverzüglich auf elektronischem Wege zu bestätigen (s. Rz. 531 ff.). Diese Regelung basiert auf Art. 11 Abs. 1 RL 2000/31/EG. Ursprünglich sollte in der Richtlinie auch der „elektronische“ Vertragsschluss geregelt werden. So weit war aber eine Einigung aufgrund der unterschiedlichen Rechtssysteme nicht möglich. Als Minimum verblieb es bei der Regelung zur Bestätigung. Die deutsche Situation geht dabei von einer invitatio über den Internetauftritt aus, sodass die Bestellung i.d.R. der Antrag ist, zu dem nur der Eingang bei „richtiger“ Formulierung bestätigt wird. Probleme bereiten die Autoreply-Einrichtungen, die zwar die Bestätigungsfunktion für den 532 Eingang erfüllen, darüber hinaus aber, wohl aus Marketing-/Kundenbindungsgründen, bereits den Eindruck der Annahme der Bestellung erwecken können.986 Während generell weitgehend die Beachtung dieser Vorschrift erfolgt, hatte dies zugleich in einer Vielzahl von Fällen wegen einer überschießenden Tendenz eine von den Anbietern unbeabsichtigte Folge: der Bestätigungs-Text liest sich häufig vom Empfänger-Horizont, auf den es insoweit ankommt, wie eine Bestätigung nicht nur der Bestellung hinsichtlich deren Eingangs, sondern auch hinsichtlich deren Annahme, sodass der Vertrag bereits geschlossen wurde.987 Die elektronische Empfangsbestätigung stellt zwar an sich keine Willenserklärung dar und 533 ist damit für das Zustandekommen des Vertrags durch Angebot und Annahme nicht maßgeblich.988 Die Empfangsbestätigung stellt vielmehr eine reine Wissenserklärung dar.989 Damit kann allerdings die Vertragserklärung des Unternehmers – die Annahme des vom Kunden unterbreiteten Angebots – verbunden werden.990 Beispiel für eine solche Klausel: „Indem der Kunde eine Bestellung an den Verkäufer absendet, gibt er ein Angebot i.S.d. §§ 145 ff. BGB auf Abschluss eines Kaufvertrags mit dem Verkäufer ab. Ein verbindlicher Vertrag kommt mit der Übermittlung der Bestellbestätigung zustande.“
Beispiel für eine Empfangsbestätigung, die mit einer Annahmeerklärung verbunden ist:
534
„Vielen Dank für Ihre Bestellung, deren Eingang und Annahme wir hiermit bestätigen.“
Will sich der Unternehmer die Annahme des Angebots offen halten, hat er sicherheitshalber ausdrücklich darauf hinzuweisen, dass in der Bestellbestätigung keine rechtsverbindliche Willenserklärung zu sehen ist.991 Dies ist etwa in § 2 der AGB von amazon.de der Fall992: „Ihre Bestellung stellt ein Angebot an Amazon zum Abschluss eines Kaufvertrages dar. Wenn Sie eine Bestellung an Amazon aufgeben, schicken wir Ihnen eine E-Mail, die den Eingang Ihrer Bestellung bei uns bestätigt und deren Einzelheiten aufführt (Bestellbestätigung). Diese Bestellbestätigung stellt keine Annahme Ihres Angebotes dar, sondern soll Sie nur darüber informieren, dass Ihre Be986 Zur Bedeutung der „Autoreply“-Antwort für das Zustandekommen des Vertrages s. Vogl, ITRB 2005, 145; zur Abgrenzung der Bestätigung zur Annahmeerklärung und Möglichkeiten zur Beseitigung der Willenserklärung s. Bodenstedt, MMR 2004, 719. 987 Im Ausnahmefall auch Angebotsannahme: AG Hamburg-Barmbek v. 15.7.2004 – 822 C 208/03, MMR 2004, 772; s. aber AG Hamburg-Barmbek v. 3.12.2003 – 811B C 61/03, ITRB 2004, 274: Bestätigung per E-Mail im Onlineversandhandel stellt eine Vertragsannahme dar und nicht eine bloße Bestätigung; anders aber LG Hamburg v. 9.7.2004 – 317 S 130/03, ITRB 2005, 59. 988 BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (Ls. 2); LG Hamburg v. 9.7.2004 – 317 S 130/03, CR 2005, 227 (Ls.); Grüneberg, in: Palandt, § 312i BGB Rz. 7. 989 BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (187); Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 312i Rz. 57. 990 BGH v. 16.10.2012 – X ZR 37/12, CR 2013, 186 (187). 991 OLG Frankfurt v. 20.11.2002 – 9 U 94/02, CR 2003, 450 (451); LG Köln v. 16.4.2003 – 9 S 289/02, CR 2003, 613; Enders/Kosmides, in: Lehmann/Meents, Kap. 11 Rz. 187; Mankowski, EWiR 2003, 961 (962). 992 S. www.amazon.de/gp/help/customer/display.html/ref=footer_cou?ie=UTF8&nodeId=505048). (Stand (Abruf) 1/2016).
Kosmides
565
535
B Rz. 536
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
stellung bei uns eingegangen ist. Ein Kaufvertrag kommt erst dann zustande, wenn wir das bestellte Produkt an Sie versenden und den Versand an Sie mit einer zweiten E-Mail (Versandbestätigung) bestätigen.“
536 In der Folge ein weiteres Beispiel für eine solche Klausel: „Der Kunde erhält eine Bestätigung des Empfangs der Bestellung per E-Mail (Bestellbestätigung). Diese Bestellbestätigung stellt keine Annahme des Angebots dar, sondern soll den Kunden nur darüber informieren, dass die Bestellung beim Verkäufer eingegangen ist.“
537 Durch eine solche Bestellbestätigung soll sichergestellt werden, dass ihr kein (konkludenter) Rechtsbindungswille des Unternehmers im Wege der Auslegung nach §§ 133, 157 BGB entnommen wird. Zum Beispiel hat der BGH folgende Formulierung als konkludent erklärte Annahme des Angebots des Kunden auf Abschluss eines Kaufvertrags eingestuft993: „Sehr geehrter Kunde, Ihr Auftrag wird jetzt unter der Kundennummer … von unserer Versandabteilung bearbeitet … Wir bedanken uns für den Auftrag …“.
538 Noch keine Annahme des Angebots des Bestellers stellt hingegen die Mitteilung (Bestätigung) dar, dass „der bestellte Artikel lieferbar“ ist.994 In der Erklärung des Versandhändlers im Online-Handel „Wir haben Ihre Bestellung wie folgt aufgenommen“ liegt keine Annahmeerklärung vor.995 Das LG Hamburg hat geurteilt, dass in dem Satz „Wir senden Ihre Bestellung an die bei dem jeweiligen Artikel angegebene Adresse“ lediglich die Bestellbestätigung und keine Annahmeerklärung zu sehen ist.996 539 Nach Ansicht des LG Köln kann in einer mittels „Autoreply-Funktion“ erstellte Auftragsbestätigung über im Internet angebotene Waren eine wirksame Willenserklärung des Anbieters enthalten sein.997 Durch die Erklärung „Wir werden Ihren Auftrag umgehend bearbeiten“ wird gerade lediglich die Entgegennahme des Auftrags bestätigt. Eine rechtsverbindliche Annahmeerklärung ist in diesem Fall grds. nicht anzunehmen.998 Lautet die Erklärung hingegen dahin, der „erteilte Auftrag wird bald ausgeführt“, so liegt darin eine rechtsverbindliche Annahmeerklärung.999 2.4.4 Vertragsabschluss im Wege der Internetauktion 540 In den letzten Jahren hat die Zahl der Verträge, die i.R.v. Internetauktionsplattformen geschlossen werden, erheblich zugenommen. EBay besitzt dabei eine marktführende Position.1000 In dieser Hinsicht wird den Anbietern eine Vielzahl von Modellen bereitgestellt, um ihre Produkte zu vermarkten. Der Vertrag kommt zwischen dem Anbieter und dem Nutzer zustande. Der Plattformbetreiber ist daran nicht beteiligt.1001 Die Grundmodelle sind, hier anhand von eBay dargestellt, das Auktions- und das Festpreisformat. Neben den reinen Formaten stehen gleichfalls komplexere Modelle mit Zusatzoptionen sowie Mischformen zur Verfügung.
993 BGH v. 26.1.2005 – VIII ZR 79/04, CR 2005, 355 (Ls. 1) m. Anm. Ernst. 994 LG Hamburg v. 9.7.2004 – 317 S 130/03, CR 2005, 227 Vertragsschluss nicht schon durch Bestätigung der Lieferbarkeit eines Artikels; dazu ist Annahmeerklärung erforderlich. 995 LG Hamburg v. 9.7.2004 – 317 S 130/03, CR 2005, 227. 996 LG Hamburg v. 15.11.2004 – 328 S 24/04, CR 2005, 605 (Ls.). 997 LG Köln v. 16.4.2003 – 9 S 289/02, CR 2003, 613. 998 LG Köln v. 16.4.2003 – 9 S 289/02, CR 2003, 613; AG Butzbach v. 14.6.2002 – 51 C 25/02 (71), CR 2002, 765. 999 LG Köln v. 16.4.2003 – 9 S 289/02, CR 2003, 613; AG Butzbach v. 14.6.2002 – 51 C 25/02 (71), CR 2002, 765. 1000 S.a. Härting, Internetrecht, Rz. 460. 1001 Ebenso Härting, Internetrecht, Rz. 468.
566
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 545
B
Beim Festpreisformat (Sofort-Kaufen-Option) stellt ein Verkäufer den angebotenen Artikel 541 auf die Auktionsplattform ein, womit er ein verbindliches Angebot zum Abschluss eines Vertrags über diesen Artikel abgibt. Das Angebot kann vom Nutzer zum vom Verkäufer bestimmten Festpreis innerhalb der vom Verkäufer festgelegten Auktionszeit angenommmen werden. Durch die Festlegung der Auktionszeit wird eine Annahmefrist i.S.d. § 148 BGB bestimmt (vgl. etwa § 6 Nr. 4 der AGB von eBay).1002 Bei manchen Verkaufsangeboten zum Festpreis wird den Nutzern neben der Sofort-Kaufen- 542 Option die Möglichkeit eingeräumt, einen Preisvorschlag zu unterbreiten (vgl. § 6 Nr. 8 der eBay-AGB)1003. Der Preisvorschlag ist nicht als abändernde Annahme i.S.v. § 150 Abs. 2 BGB anzusehen, die als Ablehnung verbunden mit einem neuen Antrag gilt. Jedenfalls i.R.v. eBay bleibt der ursprüngliche Antrag des Verkäufers zum von ihm genannten Festpreis vom Preisvorschlag des Nutzers unberührt. Beim Preisvorschlag handelt es sich insofern lediglich um einen neuen Antrag des Nutzers, der – während der Frist für die Annahme des Preisvorschlags – neben dem ursprünglichen Antrag des Verkäufers besteht. Der Nutzer kann sowohl während der Annahmefrist als auch nach deren Ablauf sowie bei Ablehnung des Preisvorschlags den ursprünglichen Antrag des Verkäufers annehmen. Dies ist eine Besonderheit der elektronischen Vertragsschlüsse auf Internetauktionsplattformen gegenüber den herkömmlichen Vertragsschlüssen. Der Verkäufer hat im Falle eines Preisvorschlags des Nutzers mehrere Reaktionsmöglichkei- 543 ten: Er kann erstens den Preisvorschlag des Nutzers annehmen, was zu einem Vertragsschluss führt. Der Verkäufer kann ferner den Preisvorschlag (Antrag) des Nutzers ausdrücklich ablehnen oder die Annahmefrist ablaufen lassen. Wird der Antrag des Nutzers abgelehnt oder nicht innerhalb der vorgesehenen Annahmefrist angenommen (Preisvorschläge haben bei eBay eine Gültigkeit von 48 Stunden), so erlischt dieser (§ 146 BGB). Die Folge ist, dass er nicht mehr existiert und damit nicht mehr vom Verkäufer angenommen werden kann.1004 Der Verkäufer kann schließlich mit einem Gegenvorschlag antworten. Der Gegenvorschlag gilt als Ablehnung verbunden mit einem neuen Antrag (§ 150 Abs. 2 BGB). Im Rahmen einer Auktion legt der Verkäufer einen Startpreis fest. Daneben kann er auch einen Mindestpreis bestimmen. Durch diese Zusatzoption soll sichergestellt werden, dass der angebotene Artikel nicht unter einem bestimmten Preis verkauft wird. Der Verkäufer wird insoweit vor besonders niedrigen Verkaufspreisen geschützt (s. Rz. 547, 579 ff.). In diesem Fall steht das Angebot unter der aufschiebenden Bedinung, dass der Mindestpreis erreicht wird. Wird er nicht erreicht, kann der Artikel nicht verkauft werden (vgl. § 6 Nr. 2 der AGB von eBay).1005
544
Bei typischen Online-Versteigerungen, d.h. Internetauktionen gegen Höchstgebot, kommt 545 der Vertrag mit dem Höchstbieter zustande.1006 Jedes einzelne Höchstgebot ist als eine selbständige neue Willenserklärung anzusehen.1007 Ein Vertrag, der im Rahmen einer solchen Auktion abgeschlossen wird, kommt nach dem BGH durch Angebot und Annahme gem. §§ 145 ff. BGB zustande.1008 Das auf eBay erklärte Angebot eines Anbieters kann nur 1002 S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016); s.a. Wagner/Zenger, MMR 2013, 343 (345). 1003 S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). 1004 Ellenberger, in: Palandt, § 146 BGB Rz. 2. 1005 S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). 1006 S.a. Hoeren, Internetrecht, S. 322. 1007 OLG Stuttgart v. 14.4.2015 – 12 U 153/14, CR 2015, 604. 1008 Vgl. BGH v. 23.9.2015 – VIII ZR 284/14, CR 2016, 43 (44) m. Anm. Föhlisch/Stariradeff; v. 10.12.2014 – VIII ZR 90/14, ITRB 2015, 84; v. 8.1.2014 – VIII ZR 63/13, CR 2014, 194 (Rz. 19); v. 8.6.2011 – VIII ZR 305/10, CR 2011, 608 (609) m. Anm. Küppers; v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (Rz. 8) m. Anm. Mankowski; v. 3.11.2004 – VIII ZR 375/03, CR 2005, 53 (zu § 312d Abs. 4 Nr. 5 BGB a.F.); OLG Düsseldorf v. 11.10.2013 – I-22 U 54/13, ITRB 2014, 28 (Ls.).
Kosmides
567
B Rz. 546
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
durch einen vom Anbieter personenverschiedenen Bieter angenommen werden.1009 Wird über ein zweites Mitgliedskonto ein Gebot auf ein eigenes Angebot abgegeben, ist dieses Gebot unwirksam und bleibt – so der BGH1010 – in der Reihe der abgegebenen Gebote unberücksichtigt. Ein regulärer Bieter muss es insoweit nicht übertreffen, um Höchstbieter zu werden.1011 Von einem Online-Kauf, der auf einer klassischen Internet-Auktionsplattform abgeschlossen wird, ist ein Vertrag, der mit einem Zuschlag nach § 156 Satz 1 BGB zustande kommt, zu unterscheiden.1012 Anders als bei ersteren Verträgen, bei denen der Zeitablauf darüber entscheidet, welcher Bieter den Zuschlag erhält, wird bei letzteren Verträgen ein tatsächlicher Zuschlag vorausgesetzt.1013 Der Vertrag wird im letzteren Fall mit dem Zuschlag durch den Versteigerer, also dem Plattformbetreiber, abgeschlossen.1014 Ein solcher Zuschlag ist nur bei „Live-Auktionen“ auf Chatbasis gegeben.1015 546 Bei Auktionen gegen Höchstgebot nimmt der Nutzer als Höchstbietender das vom Anbieter abgegebene (oder zumindest ein ihm zurechenbares) Verkaufsangebot an.1016 Die Annahmeerklärung steht dabei unter der aufschiebenden Bedingung (§ 158 Abs. 1 BGB), dass bis zum Ablauf der Aktionsfrist kein höheres Angebot abgegeben wird.1017 Dies entspricht den AGB von eBay (§ 6 Nr. 5)1018: „Bei Auktionen nimmt der Käufer das Angebot durch Abgabe eines Gebots an. Die Annahme erfolgt unter der aufschiebenden Bedingung, dass der Käufer nach Ablauf der Angebotsdauer Höchstbietender ist. Ein Gebot erlischt, wenn ein anderer Käufer während der Angebotsdauer ein höheres Gebot abgibt.“
547 Nach § 6 Nr. 3 der AGB von eBay kann der Verkäufer im Auktionsformat als Zusatzoption die Sofort-Kaufen-Funktion verwenden. Wird eine Annahmeerklärung über die Sofort-Kaufen-Funktion abgegeben, wird die Internetauktion beendigt und der Vertrag kommt mit dem Erklärenden zustande. § 6 Nr. 3 Satz 2 der eBay-AGB: „Diese kann von einem Käufer ausgeübt werden, solange noch kein Gebot auf den Artikel abgegeben oder ein Mindestpreis noch nicht erreicht wurde“.1019
548 Dem Anbieter steht es grds. frei, die Bindungswirkung seines Verkaufsangebots ohne weiteres auszuschließen bzw. einzuschränken, z.B. durch eine auflösende Bedingung oder einen Widerrufsvorbehalt.1020 Er kann sich etwa gem. §§ 145 Halbs. 2, 158 Abs. 2 BGB in seinem Angebot einen Zwischenverkauf an einen Dritten vorbehalten und damit sein Auktionsangebot unter eine auflösende Bedingung stellen. In einem solchen Fall kommt ein Vertrag mit dem Meistbietenden nicht zustande. Die eBay-AGB stehen einem solchen Vorbehalt nicht entgegen. Zum Beispiel1021: „Ein Zwischenverkauf bleibt mir vorbehalten.“
1009 1010 1011 1012 1013 1014 1015 1016 1017 1018 1019 1020
BGH v. 24.8.2016 – VIII ZR 100/15, Rz. a. BGH v. 24.8.2016 – VIII ZR 100/15, Rz. b. BGH v. 24.8.2016 – VIII ZR 100/15, Rz. b. S.a. Stieper, MMR 2015, 627. Härting, Internetrecht, Rz. 469 f. Härting, Internetrecht, Rz. 469. Härting, Internetrecht, Rz. 469. BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (Rz. 8) m. Anm. Mankowski. S.a. Wagner/Zenger, MMR 2013, 343 (344). S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). BGH v. 23.9.2015 – VIII ZR 284/14, CR 2016, 43 (Ls. a) m. Anm. Föhlisch/Stariradeff; v. 8.1.2014 – VIII ZR 63/13, CR 2014, 194 (Rz. 20); v. 8.6.2011 – VIII ZR 305/10, CR 2011, 608 (609) m. Anm. Küppers; OLG Düsseldorf v. 11.10.2013 – I-22 U 54/13, ITRB 2014, 28 (Ls.). 1021 OLG Düsseldorf v. 11.10.2013 – I-22 U 54/13, ITRB 2014, 28 (Ls.).
568
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 552
B
Der Verkäufer ist u.U. berechtigt, ein Gebot (folgenlos) zu streichen.1022 Ein zur Gebotsstrei- 549 chung berechtigender Grund wird insb. in der Person des Bieters liegen. Die Gebotsstreichung ist nur zulässig, wenn ein Grund, der den Anbieter aufgrund des Gesetzes berechtigen würde, sich von einem Verkaufsangebot zu lösen, oder ein vergleichbarer Grund vorliegt sowie der rechtfertigende Grund für die Entscheidung des Anbieter, das Angebot zu streichen, kausal ist.1023 Dies ist etwa der Fall, wenn der Bieter in den letzten sechs Monaten vor der Auktion insgesamt 370 auf der Auktionsplattform abgegebene Gebote zurückgenommen hat.1024 Für den Fall einer vorzeitigen Beendigung des Angebots durch den Verkäufer ist § 6 Nr. 6 der 550 eBay-AGB1025 maßgeblich.1026 Hiernach kommt ein Vertrag zwischen diesem und dem Höchstbietenden nicht zustande, wenn der Verkäufer dazu berechtigt war, das Angebot zurückzuziehen und die vorliegenden Gebote zu streichen.1027 Als Gründe, die zu einer vorzeitigen Beendigung berechtigen, werden ein Irrtum des Verkäufers beim Eingeben des Angebots1028 sowie eine unverschuldete Unmöglichkeit, den Artikel dem Käufer zu übereignen (z.B. bei unverschuldeter Zerstörung oder Beschädigung oder bei unverschuldetem Verlust des Artikels),1029 angegeben.1030 Bei einer berechtigten Angebotsrücknahme muss der Anbieter grds. keinen Schadensersatz zahlen. Nach Ansicht des LG Heidelberg liegen die Voraussetzungen einer berechtigten Angebots- 551 rücknahme vor, wenn bei Abgabe des Angebots eine fehlerhafte Vorstellung des Anbietenden über ein solches Merkmal der Kaufsache gegeben ist, das ihre Gebrauchstauglichkeit nicht nur unerheblich beeinflusst und sich daher auf ihren Verkehrswert auswirkt.1031 Das ist etwa bei einem vom Anbietenden nachträglich festgestellten Sachmangel in der Form eines Schadens am Katalysator eines Fahrzeugs der Fall.1032 Ferner hat das OLG Hamm entschieden, dass eine wegen eines Fehlers bei der Mindestpreisangabe abgebrochene eBayAuktion auch bei einem vorhandenen Gebot keinen Vertragsschluss herbeiführt.1033 Auch der Diebstahl des angebotenen Artikels berechtigt den Anbieter zur vorzeitigen Rücknahme seines Angebots.1034 Nach Auffassung des LG Aurich stellt eine AGB-Regelung, wonach ein sanktionsloser Auk- 552 tionsabbruch nur dann gestattet ist, wenn der Anbieter eines Verkaufsangebots gesetzlich dazu berechtigt ist, das Angebot zurückzunehmen, und nach der anderenfalls als Rechtsfolge des Auktionsabbruchs ein Vertragsschluss zwischen dem Anbietenden und dem zum Zeitpunkt des Auktionsabbruchs Höchstbietenden begründet wird, sowohl einen Verstoß gegen § 308 Nr. 5 BGB als auch eine unangemessene Benachteiligung des Anbieters nach § 307 Abs. 1 Satz 1 BGB dar und ist damit unwirksam.1035 Eine solche AGB-Klausel hält das Gericht für ungeeignet, eine vertragliche Bindung herbeizuführen.1036 1022 1023 1024 1025 1026 1027 1028 1029 1030 1031 1032 1033 1034 1035 1036
Vgl. BGH v. 23.9.2015 – VIII ZR 284/14, CR 2016, 43 (Ls. b) m. Anm. Föhlisch/Stariradeff. Vgl. BGH v. 23.9.2015 – VIII ZR 284/14, CR 2016, 43 (Ls. b und c) m. Anm. Föhlisch/Stariradeff. LG Neuruppin v. 24.9.2014 – 4 S 59/14, MMR 2015, 177 (Ls. 3). S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). Zum vorzeitigen Abbruch einer Internetauktion Oechsler, NJW 2015, 665 ff.; Petershagen, CR 2015, 589 ff. Vgl. auch BGH v. 10.12.2014 – VIII ZR 90/14, ITRB 2015, 84; v. 8.1.2014 – VIII ZR 63/13, CR 2014, 194 (Ls.); v. 8.6.2011 – VIII ZR 305/10, CR 2011, 608 (Ls.) m. Anm. Küppers. Vgl. BGH v. 10.12.2014 – VIII ZR 90/14, ITRB 2015, 84; v. 8.1.2014 – VIII ZR 63/13, CR 2014, 194 f. (Rz. 20 f.). Vgl. BGH v. 10.12.2014 – VIII ZR 90/14, CR 2015, 189. Vgl. http://pages.ebay.de/help/sell/end_early.html (abgerufen im Januar 2016). LG Heidelberg v. 12.12.2014 – 3 S 27/14, MMR 2015, 176 (Ls. 2). LG Heidelberg v. 12.12.2014 – 3 S 27/14, MMR 2015, 176 (Ls. 2). OLG Hamm v. 4.11.2013 – 2 U 94/13, ITRB 2014, 52. BGH v. 8.6.2011 – VIII ZR 305/10, CR 2011, 608 m. Anm. Küppers. LG Aurich v. 3.2.2014 – 2 O 565/13 (145), MMR 2014, 600 (Ls.). LG Aurich v. 3.2.2014 – 2 O 565/13 (145), MMR 2014, 600 (601).
Kosmides
569
B Rz. 553
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
553 Diese E. steht nicht in Einklang mit der herrschenden Ansicht in der Rspr., nach der eBayAngebote unter dem Vorbehalt einer berechtigten Rücknahme stehen.1037 Ist ein den vorzeitigen Auktionsabbruch rechtfertigender Umstand nicht gegeben, kommt insoweit grds. ein wirksamer Vertrag zwischen Anbietendem und Höchstbietendem zustande.1038 Bei Nichterfüllung ist der Verkäufer zum Schadensersatz verpflichtet (s. Rz. 583). Ein Vertragsschluss mit dem Höchstbietenden scheidet allerdings aus, wenn das Höchstgebot zum Zeitpunkt der Aufhebung der Auktion aus Gründen gestrichen werden darf, die Zweifel an der Ernsthaftigkeit des Gebots oder der Seriosität des Bieters zulassen (zum Recht des Anbietenden auf Streichung von Geboten Rz. 549).1039 554 Der Nutzer ist seinerseits nach § 6 Nr. 7 der eBay-AGB1040 zu einer Gebotsrücknahme nur dann berechtigt, wenn dies nach den gesetzlichen Vorgaben gestattet ist. Gleiches gilt für die Rücknahme einer Annahmeerklärung, die durch Betätigung der Sofort-Kaufen-Schaltfläche abgegeben wurde. EBay verweist dabei abschließend auf die Vorschriften des BGB, die einen Anfechtungsgrund vorschreiben (s. Rz. 572 ff.). 555 Nicht nur ein wiksames, sondern auch ein unwirksames Gebot führt zum Erlöschen der vorangegangenen Höchstgebote.1041 Die Streichung eines (unwirksamen) Gebots lässt nicht die Wirkung des nun wieder verbleibenden Höchstbieters „aufleben“, da dessen aufschiebend bedingtes Gebot erloschen ist.1042 Der Überbotene kann nicht erkennen, dass die Übergebote entfallen sind, der Anbieter kann sich an die „gestrichenen“ Spaßbieter halten, ggf. auch hinsichtlich Schadensersatz.1043 Dementsprechend besagt § 6 Nr. 7 Satz 2 der eBayAGB1044: „Nach einer berechtigten Gebotsrücknahme kommt zwischen dem Nutzer, der nach Ablauf der Auktion aufgrund der Gebotsrücknahme wieder Höchstbietender ist und dem Verkäufer kein Vertrag zustande“.
2.4.5 Identität des Vertragspartners – Stellvertretung 556 Im elektronischen Geschäftsverkehr steht in vielen Fällen die Identität des Vertragspartners nicht zweifelsfrei fest.1045 Der Nutzer kann etwa seine Vertragserklärung mittels eines fremden Internetanschlusses und/oder eines fremden E-Mail-Kontos abgeben. Die Person des Erklärenden ist in solchen Fällen nicht mit dem Inhaber des zur Abgabe der Erklärung verwendeten Internetanschlusses bzw. des dazu verwendeten E-Mail-Kontos identisch.1046 1037 Vgl. u.a. BGH v. 8.1.2014 – VIII ZR 63/13, CR 2014, 194 (Ls.); v. 8.6.2011 – VIII ZR 305/10, CR 2011, 608 m. Anm. Küppers; OLG Celle v. 9.7.2014 – 4 U 24/14, MMR 2014, 663 (Ls. 2;); OLG Nürnberg v. 26.2.2014 – 12 U 336/13, CR 2014, 316 (Ls. 3): „Die Beendigung eines Angebots vor Ablauf der Dauer einer Auktion im Internetportal „eBay“ setzt auch bei einer noch länger als 12 Stunden laufenden Auktion einen rechtfertigenden Umstand voraus, wie er in den weiteren Hinweisen zu den Allgemeinen Geschäftsbedingungen von eBay näher erläutert wird. Dies gilt unabhängig davon, dass eBay technische Möglichkeiten der vorzeitigen Beendigung eines Angebots einräumt.“; s.a. Paschke/Liebhaber, in: Heckmann (Hrsg.), jurisPR-ITR 4/2015 Anm. 4, C. 1038 Vgl. nur BGH v. 8.1.2014 – VIII ZR 63/13, CR 2014, 194 (Rz. 19). 1039 LG Neuruppin v. 24.9.2014 – 4 S 59/14, MMR 2015, 177 (Ls. 1). 1040 S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). 1041 OLG Stuttgart v. 14.4.2015 – 12 U 153/14, MMR 2015, 577 (Ls. 3). 1042 AG Lübeck v. 30.5.2007 – 24 C 1070/07, hier nach Schlömer/Dittrich, K&R 2007, 433, Fn. 2. 1043 AG Lübeck v. 30.5.2007 – 24 C 1070/07, hier nach Schlömer/Dittrich, K&R 2007, 433. 1044 S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). 1045 Zu den Vertragsparteien bei App-Verträgen Baumgartner/Ewald, Apps und Recht, Rz. 41 ff.; Degmair, K&R 2013, 213 ff.; zu der Frage, zwischen welchen Personen die Teilnahme an Online-Spielen mit kostenpflichtigen Zusatzleistungen, die durch die Anwahl einer 0900er-Nummer bezahlt werden, zum Vertragsschluss führt Zimmermann, K&R 2012, 731 ff.; zur Frage der möglichen Sittenwidrigkeit solcher Payment-Verträge Malcher/Paterna, MMR 2013, 275 ff.; dazu auch LG Saarbrücken v. 27.1.2012 – 10 S 80/11, MMR 2012, 261; BGH v. 22.6.2011 – 10 S 99/10, CR 2012, 93. 1046 Härting, Internetrecht, Rz. 551.
570
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 559
B
Bei den Internetauktionsplattformen erhalten zwar Anbieter und Bieter öfter Kennungen, genauer einen „Account“ und ein „Passwort“. Dies ist etwa bei eBay und Amazon der Fall. Bei einer Bestellung bzw. einem Vertragsschluss wird dem jeweils anderen Teil die Anschrift des Inhabers der Kennung mitgeteilt.1047 Unklar kann dennoch sein, wer genau unter der Kennung den Vertrag schließt. Ein solches Mitgliedskonto kann auch von einer dritten Person genutzt worden sein.1048 Wird auf einem Online-Marktplatz unter Nutzung eines fremden Nutzerkontos eine Ver- 557 tragserklärung abgegeben, ist ein Handeln „unter“ (nicht „in“) fremdem Namen anzunehmen, da das Konto für den Inhaber der Kennung steht, dessen Identitätsdaten dem anderen Teil nach Auktionsende bekannt gegeben werden.1049 Gerade wegen des „guten Rufs“, der mit den Bewertungen gegenüber auch den Bietern auf dem Spiel steht bzw. ausgenutzt werden könnte, kann dabei kein Handeln im fremden Namen vorliegen.1050 Dies gilt unabhängig davon, ob dieses Handeln mit Einverständnis des Kontoinhabers oder durch sog. Account-Hacking erfolgt.1051 Viele Plattformbetreiber bemühen sich, durch technische Maßnahmen zu erreichen, dass Verkäufe unter gestohlenen bzw. ohne Einverständnis des Inhabers benutzten Accounts erschwert werden. Dies geschieht über hinterlegte Kontaktdaten. Auf ein Handeln unter fremdem Namen (auch bei Online-Geschäften) sind gemeinhin die Regeln über die Stellvertretung (§§ 164 ff. BGB) sowie die Grundsätze der Anscheins- oder der Duldungsvollmacht entsprechend anwendbar.1052 Fraglich ist beim Handeln unter fremdem Namen, ob ein Geschäft des Account-Inhabers 558 (Namensträgers) oder ein Eigengeschäft des Handelnden vorliegt. Die Beantwortung dieser Frage hängt maßgeblich davon ab, wie die andere Partei das Verhalten des Handelnden auffassen durfte.1053 Nach allgemeinen Regeln ist ein Eigengeschäft des Handelnden dann anzunehmen, wenn die Benutzung des fremden Namens bei der anderen Seite keine Fehlvorstellung über die Identität des Handelnden hervorgerufen hat, diese den Vertrag also nur mit dem Handelnden abschließen will.1054 Dies ist nicht der Fall, wenn der Handelnde ein Verkaufsangebot unter Nutzung eines passwortgeschützten eBay-Nutzerkontos und unter Verwendung des Mitgliedsnamens des Kontoinhabers ins Internet einstellt. Denn aus Sicht der anderen Partei ist der Kontoinhaber Urheber des Verkaufsangebots.1055 Dafür sprechen die auf eBay abrufbaren Angaben zur Person und die Anschrift des Kontoinhabers sowie die AGB von eBay, die den Missbrauch von Mitgliedskonten verbieten und deren Übertragbarkeit ausschließen. In solchen Fällen könnte ein Vertrag mit dem wahren Account-Inhaber in Betracht kommen. Ein Geschäft des Namensträgers liegt nach der Rspr. vor, wenn das Auftreten des Handelnden auf eine bestimmte andere Person hinweist und die andere Partei der Ansicht sein
1047 S. z.B. OLG München v. 5.2.2004 – 19 U 5114/03, CR 2004, 845. 1048 Vgl. BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (Ls. 1) m. Anm. Mankowski. 1049 BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (Ls. 1) m. Anm. Mankowski; OLG Celle v. 9.7.2014 – 4 U 24/14, MMR 2014, 663 (Ls. 1;); OLG München v. 5.2.2004 – 19 U 5114/03, CR 2004, 845; s.a. Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 129 (37. EL Stand 1/2014). 1050 OLG München v. 5.2.2004 – 19 U 5114/03, CR 2004, 845. 1051 Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 129 (37. EL Stand 1/2014). 1052 BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (Ls 1) m. Anm. Mankowski; OLG Celle v. 9.7.2014 – 4 U 24/14, MMR 2014, 663 (Ls. 1;); OLG München v. 5.2.2004 – 19 U 5114/03, CR 2004, 845; OLG Köln v. 13.1.2006 – 19 U 120/05, CR 2006, 489; OLG Hamm v. 16.11.2006 – 28 U 84/06, NJW 2007, 611 (612). 1053 BGH v. 18.1.1988 – II ZR 304/86, NJW-RR 1988, 814; OLG München v. 5.2.2004 – 19 U 5114/03, CR 2004, 845. 1054 BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (Rz. 10) m. Anm. Mankowski; v. 18.1.1988 – II ZR 304/86, NJW-RR 1988, 814; v. 3.3.1966 – II ZR 18/64, BGHZ 45, 193 (195); OLG München v. 5.2.2004 – 19 U 5114/03, CR 2004, 845. 1055 BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 f. (Rz. 10) m. Anm. Mankowski.
Kosmides
571
559
B Rz. 560
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
durfte, der Vertrag komme mit dieser Person zustande.1056 Für ein Zustandekommen eines Vertrags mit dem Kontoinhaber ist aber zudem erforderlich, dass die betreffende Vertragserklärung dem Kontoinhaber zugerechnet werden kann. Eine Zurechnung setzt voraus, dass der Handelnde Vertretungsmacht hatte oder der Kontoinhaber die betreffende Vertragserklärung nachträglich genehmigt hat oder die Voraussetzungen der Anscheins- bzw. Duldungsvollmacht erfüllt werden.1057 560 Eine Duldungsvollmacht ist gegeben, wenn der Vertretene es willentlich geschehen lässt, dass ein anderer für ihn wie ein Vertreter auftritt, und der Geschäftspartner dieses Dulden nach Treu und Glauben dahin versteht und auch verstehen darf, dass der als Vertreter Handelnde zu den vorgenommenen Erklärungen bevollmächtigt ist.1058 Der Duldungstatbestand kann etwa erfüllt werden, wenn der Kontoinhaber einer dritten Person die Zugangsdaten offen legt, damit diese Person seinen Account auf einer Internetauktionsplattform bzw. sein E-Mail-Konto benutzen kann. Wird in einer eBay-Auktion eine fremde Kennung mit Einverständnis des Kennungsinhabers verwendet, so handelt es sich i.d.R. um ein Geschäft des Kennungsinhabers, da die andere Partei davon ausgeht, mit ihm den Vertrag zu schließen und Vertrauen in seine Bewertung setzt.1059 561 Eine Anscheinsvollmacht liegt vor, wenn der Vertretene das Handeln des Scheinvertreters nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können, und wenn der Geschäftspartner annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters.1060 Hinzu kommen muss, dass das Verhalten des einen Teils, aus dem der Geschäftsgegner auf die Bevollmächtigung des Dritten glaubt schließen zu können, von einer gewissen Dauer und Häufigkeit ist.1061 Der BGH hat eine Anscheinsvollmacht in einem Fall, in dem der Inhaber eines eBay-Mitgliedskontos seine Zugangsdaten nicht hinreichend vor dem Zugriff des Handelnden geschützt hat, abgelehnt.1062 Eine Zurechnung scheidet in solchen Fällen grds. aus, sodass es nicht zu einem wirksamen Vertragsschluss mit den Kontoinhaber kommen kann. 562 Nach den Bank-AGB ist der Kunde i.d.R. zu getrennter Aufbewahrung von PIN und Karte verpflichtet. Anscheinsbeweis für gemeinsames Aufbewahren von PIN und Karte gilt nur bei schneller Abhebung nach Diebstahl, Ausspähen der PIN nur bei schneller Abhebung nach Karteneinsatz.1063 Beim Onlinebanking kann einerseits vom Kunden erwartet werden, dass er aktuelle Virenschutzsoftware und eine Firewall verwendet und regelmäßig Sicherheitsupdates für sein Betriebssystem und die sonst verwendete Software einspielt, wie auch erwartet wird, dass er die gefälschten E-Mails aufgrund diverser Anhaltspunkte erkennt und darauf nicht mit Hingabe seiner Daten antwortet.1064 Andererseits dürfen die Anforderungen aber auch nicht überspannt werden.1065 Vom Nutzer kann etwa nicht erwartet werden, dass er be-
1056 BGH v. 18.1.1988 – II ZR 304/86, NJW-RR 1988, 814; OLG München v. 5.2.2004 – 19 U 5114/03, CR 2004, 845. 1057 BGH v. 1.3.2013 – V ZR 92/12, NJW 2013, 1946; v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (456) m. Anm. Mankowski; vgl. OLG Celle v. 9.7.2014 – 4 U 24/14, MMR 2014, 663 (Ls. 1); vgl. auch Hoeren, Internetrecht, S. 333. 1058 BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (456) m. Anm. Mankowski; v. 14.5.2002 – XI ZR 155/01, MDR 2002, 1133; v. 10.3.2004 – IV ZR 143/03, MDR 2004, 1069. 1059 OLG München v. 5.2.2004 – 19 U 5114/03, CR 2004, 845. 1060 BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (456) m. Anm. Mankowski; v. 16.3.2006 – III ZR 152/05, CR 2006, 454 (455) m. Anm. Klees. 1061 BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (456) m. Anm. Mankowski; v. 16.3.2006 – III ZR 152/05, CR 2006, 454 (456) m. Anm. Klees. 1062 BGH v. 11.5.2011 – VIII ZR 289/09, CR 2011, 455 (Ls. 2) m. Anm. Mankowski. 1063 BGH v. 5.10.2004 – XI ZR 210/03, MMR 2004, 812; Kind/Werner, CR 2006, 353. 1064 S. etwa LG Köln v. 5.12.2007 – 9 S 195/07, auch unter Berücksichtigung der Bank-AGB zu Mitwirkungspflichten des Kunden. 1065 LG Köln v. 5.12.2007 – 9 S 195/07, ITRB 2008, 50.
572
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 564
B
sonders leistungsfähige Schutzsoftware oder spezialisierte Programme installiere, ständig die Zertifikate überprüfe oder subtile Abweichungen in der Internet-Adresse erkenne.1066 Einschlägige Fälle bei Identitätsdiebstahl, Phishing u.Ä. waren etwa:
563
– Eine Gutschrift auf dem Konto eines Phishing-Finanzagenten ist rechtlich fehlerhaft, weil keine wirksame Überweisung anzunehmen ist. Der Bank kann das Recht zustehen, eine solche Gutschrift bis zum nächsten Rechnungsabschluss zu stornieren. Dabei ist dem Phishing-Finanzagenten der Einwand verwehrt, bereits in Höhe der Gutschrift verfügt zu haben.1067 – Rückzahlungsanspruch von Phishing-Opfern gegen Finanzagenten.1068 – Rückerstattungsanspruch und Rückbuchungsrecht der Bank gegen Finanzagent bei Phishing.1069 – Die Bank hat einen Anspruch aus Bereicherungsrecht gegenüber einem Dritten, an den aufgrund des Phishing Geld, das dieser ins Ausland weiterleitete, überwiesen wurde.1070 Weitere Fälle:
564 Phishing1071:
Wurde eine Überweisungsgutschrift mit Hilfe aus– Stornorecht der Bank bei gespähter Zugangsdaten veranlasst, steht der Bank ein Rückzahlungsanspruch gegenüber dem Kontoinhaber zu. Wenn vermeintlich Überweisender und Empfänger ihr Konto beim gleichen Bankinstitut haben, kann dieses Bankinstitut per Storno den Anspruch vor Rechnungsabschluss durch Stornobuchung durchsetzen.1072 – Mitverschulden (§ 254 BGB): Der Nutzer, der beim Log-In-Vorgang trotz ausdrücklichen Warnhinweises gleichzeitig zehn TAN eingibt (Pharming-Angriff), handelt fahrlässig, woraus ein seinen Schadensersatzanspruch minderndes (oder gar ausschließendes) Mitverschulden abgeleitet werden kann.1073 Da die Schadsoftware in einem solchen Fall nicht das System der Bank befällt, sondern in der Sphäre des Kunden verortet ist, ist dieser nach allgemeinen Grundsätzen und regelmäßig auch nach den Bank-AGB für den Schutz seines Systems selbst verantwortlich.1074 I.d.R. scheiden Warn- und Hinweispflichten der Bank aus.1075 Dem Bankkunden ist nach Ansicht des AG Köln ein einhundertprozentiges Mitverschulden anzulasten, sodass er einen Schadensersatzanspruch gegen die Bank aus dem Zahlungsdienstevertrag nicht hat, wenn er bei bzw. nach dem Einloggen in den Online-Banking-Account auf einen vom gewöhnlichen Einloggen stark abweichenden Vorgang stoßt (z.B. ein nicht wegzuklickendes Pop-up-Fenster, durch das bei Unterlassen einer Finanztransaktion ein Sperren des Online-Kontos angedroht wird).1076 Der Kunde hat es in einem solchen Fall zu unterlassen, seine Account-Daten anzugeben, und eine Rücksprache bei der Bank zu nehmen.
1066 LG Köln v. 5.12.2007 – 9 S 195/07, ITRB 2008, 50. 1067 LG Hamburg v. 18.5.2006 – 334 O 10/06, CR 2006, 783 (red. Ls. 1 und 3); kein Entreicherungseinwand: LG Bad Kreuznach v. 30.1.2008 – 2 O 331/07, jur-pc 40/2008. 1068 AG München v. 21.12.2006 – 154 C 31434/06, CR 2007, 333 m. Anm. Biallaß; LG Darmstadt v. 13.6.2006 – 360 Js 33848/05 5 212 Ls 7 Ns, CR 2007, 56. 1069 OLG Hamburg v. 2.8.2006 – 1 U 75/06, ITRB 2007, 275. 1070 LG Bad Kreuznach v. 30.1.2008 – 2 O 331/07, jur-pc 40/2008. 1071 LG Bonn v. 29.12.2006 – 3 O 236/06, MMR 2007, 462 m. Anm. Biallaß. 1072 LG Bonn v. 29.12.2006 – 3 O 236/06, MMR 2007, 462 (Ls. 2) m. Anm. Biallaß; s.a. OLG Karlsruhe v. 22.1.2008 – 17 U 185/07, MIR 2008, Dok. 273. 1073 BGH v. 24.4.2012 – XI ZR 96/11, CR 2012, 466 (468); zur Haftung für Identitätsmissbrauch im Online-Banking Borges, NJW 2012, 2385 ff. 1074 Zahrte, MMR 2013, 207 (208). 1075 BGH v. 24.4.2012 – XI ZR 96/11, CR 2012, 466 (468); v. 6.5.2008 – XI ZR 56/07, Rz. 14 = BGHZ 176, 281; Zahrte, MMR 2013, 207 (208). 1076 AG Köln v. 26.6.2013 – 119 C 143/13, MMR 2013, 819.
Kosmides
573
B Rz. 565
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
565 Das Handeln unter fremdem Namen ist von einem Handeln in fremdem Namen, also die Abgabe von Willenserklärungen eines Vertreters im Namen des Vertretenen, zu unterscheiden. Auch bei Online-Geschäften kann eine Stellvertretung nach den §§ 164 ff. BGB in Betracht kommen. Nach dem im Stellvertretungsrecht geltenden Offenheitsgrundsatz kommt dem Vertretergeschäft nur dann unmittelbare Fremdwirkung zu, wenn der Vertreter erkennbar im Namen des Vertretenen auftritt.1077 566 Die Stellvertretung ist von der reinen Vermittlung einer fremden Leistung des eigentlichen Vertragspartners abzugrenzen.1078 Der Betreiber einer Online-Buchungsplattform für Reiseleistungen (vgl. § 651a BGB), der keine Reisen im eigenen Namen anbietet, sondern nur vermittelt, ist weder Reiseveranstalter noch Leistungsträger. Er ist vielmehr als Reisevermittler anzusehen, sofern dies dem Kunden mit hinreichender Deutlichkeit offengelegt wurde.1079 Im Gegensatz dazu stellt derjenige, der verschiedene Reiseleistungen zu einem Gesamtpreis als Reise anbietet, einen Reiseveranstalter dar, auch wenn der Kunde selbst Einzelleistungen von Leistungsträgern auswählt, deren Angebote ihm der Veranstalter im Rahmen vom sog. Dynamic Packaging zu fortlaufend aktualisierten Einzelpreisen bereitstellt.1080 567 Der Kraftfahrzeugsachverständige, der ein Fahrzeug im Auftrag des Eigentümers (z.B. ein Autohaus) begutachtet und zum Verkauf in eine Internet-Restwertbörse einstellt, stellt keinen Verkäufer dar. Der Kaufvertrag kommt vielmehr zwischen dem Eigentümer als Verkäufer und dem Nutzer als Käufer zustande.1081 Weist das Fahrzeug einen Sachmangel auf, ist der Kraftfahrzeugsachverständige gegenüber dem Käufer jedenfalls dann nicht zum Schadensersatz verpflichtet, wenn dem Käufer ein Nacherfüllungsanspruch gegenüber dem Verkäufer zusteht.1082 In einem solchen Fall werden die Voraussetzungen für eine Haftung nach den Grundsätzen des Vertrags mit Schutzwirkung zugunsten Dritter nicht erfüllt.1083 3. Wirksamkeit 568 Weder die einseitige Erklärung über elektronische Dienste noch der elektronische Vertragsschluss bereiten hinsichtlich ihrer materiellen Wirksamkeit besondere Probleme.1084 Elektronisches Vertragsangebot und elektronische Vertragsannahme unterliegen als Willenserklärungen den allgemeinen Wirksamkeitserfordernissen nach den §§ 104 ff., §§ 116 ff. BGB, einschließlich der gesetzlich vorgeschriebenen Form, sowie den Gültigkeitsschranken der §§ 134 (gesetzliches Verbot), 138 BGB (sittenwidriges Rechtsgeschäft).1085 Es ergeben sich insoweit grds. keine internetspezifischen Besonderheiten. Die Schwierigkeiten bestehen in der ggf. erforderlichen Beweisbarkeit des Zugangs (s. Rz. 417) und der Identität des Vertragspartners (s. Rz. 556 ff.).
1077 1078 1079 1080 1081 1082 1083 1084 1085
574
Ellenberger; in: Palandt, Einf. v. § 164 BGB Rz. 2. Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 128 (37. EL Stand 1/2014). OLG Frankfurt v. 28.9.2009 – 16 U 238/08, MMR 2010, 94. OLG Frankfurt v. 28.9.2009 – 16 U 238/08, MMR 2010, 94; BGH v. 9.12.2014 – X ZR 85/12, NJW 2015, 1444. Vgl. BGH v. 12.1.2011 – VIII ZR 346/09, CR 2011, 461 (Rz. 9). Vgl. BGH v. 12.1.2011 – VIII ZR 346/09, CR 2011, 461 (462). BGH v. 12.1.2011 – VIII ZR 346/09, CR 2011, 461 (462). S. schon BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 m. Anm. Wiebe, zum Vertragsschluss durch „Mouse-Click“. Der Vertrag über Erbringung, Bewerbung und Vermittlung von Telefonsex ist nicht wegen Sittenwidrigkeit nichtig; der Einwand kann seit Inkrafttreten des ProstG nicht mehr entgegengehalten werden; s. BGH v. 8.11.2007 – III ZR 102/07, CR 2008, 93; OLG Karlsruhe v. 14.3.2007 – 7 U 62/06, MIR 2007, Dok. 123. Das verbleibende Problem ist der Jugendschutz, insb. über Altersverifikationssysteme.
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 572
B
3.1 Mängel der Geschäftsfähigkeit Bei Online-Geschäften kann die Geschäftsfähigkeit des Nutzers – mangels persönlichen 569 Kontakts – nur schwer überprüft werden. Insb. ist diese Problematik für Minderjährige relevant. Kinder und Jugendliche nutzen zunehmend das Internet und können problemlos die für einen Vertragsschluss erforderlichen technischen Schritte vornehmen. In Bezug auf das Alter werden Altersverifikationssysteme eingesetzt, die aber dem Anbieter in juristischer Hinsicht wenig behilflich sind, wenn ein Minderjähriger das System umgeht.1086 Denn der gute Glaube an die Geschäftsfähigkeit des Erklärenden wird vom Gesetz nicht geschützt,1087 sodass die bei Geschäftsfähigkeitsmangel vorgesehenen Rechtsfolgen eintreten. Dies liegt darin begründet, dass die Schutzfunktion Vorrang vor dem Vertrauensschutz des Geschäftsverkehrs hat. Für die Rechtsfolgen sind die §§ 104 ff. BGB maßgeblich. Die Willenserklärung eines Kindes, 570 das nicht das siebente Lebensjahr vollendet hat (§ 104 Nr. 1 BGB), ist nach § 105 Abs. 1 BGB nichtig.1088 Ein beschränkt geschäftsfähiger Minderjähriger i.S.d. § 106 BGB, also eine Person über sieben Jahre, bedarf nach § 107 BGB zu einer Willenserklärung der Einwilligung seines gesetzlichen Vertreters. Die Wirksamkeit eines Vertrags, der ohne diese Einwilligung abgeschlossen wurde, hängt nach § 108 Abs. 1 BGB von der Genehmigung des gesetzlichen Vertreters ab. Dieser Vertrag ist zunächst schwebend unwirksam und wird durch Genehmigung von Anfang an wirksam.1089 Nach § 110 BGB bedarf es hingegen keiner Zustimmung des gesetzlichen Vertreters und der Vertrag gilt als von Anfang an wirksam, wenn der Minderjährige die vertragsmäßige Leistung mit Mitteln bewirkt, die ihm zu diesem Zweck oder zu freier Verfügung von dem Vertreter oder mit dessen Zustimmung von einem Dritten überlassen wurden. Werden infolge fehlender Altersverifikation kostenpflichtige Zusatzleistungen im Rahmen 571 eines zunächst kostenfreien Online-Spiels durch einen beschränkt Geschäftsfähigen mittels eines Telefonbezahlsystems (0900er-Nummer) bezahlt und erworben, ist nach Auffassung des LG Saarbrücken ein Verstoß gegen § 138 Abs. 1 BGB anzunehmen, wenn der Anschlussinhaber in Anspruch genommen wird, weshalb das Inkassogeschäft nichtig ist.1090 Dies gilt auch dann, wenn der Anschlussinhaber die Sperrungsmöglichkeit in Bezug auf die Anwahl von Premium-Diensten nicht genutzt hat.1091 Da der mit einem beschränkt Geschäftsfähigen ohne Zustimmung und Genehmigung seines gesetzlichen Vertreters geschlossene Kausalvertrag unwirksam ist, kann dem Anspruch des Spielbetreibers aus dem Inkassogeschäft eine Einwendung aus § 242 BGB entgegengehalten werden.1092 3.2 Irrtum, Täuschung, Drohung – Anfechtbarkeit 3.2.1 Allgemein Unter den im Gesetz abschließend aufgezählten Anfechtungsgründen sind im elektronischen Geschäftsverkehr vornehmlich die Erklärungsirrtümer gem. § 119 und § 120 BGB sowie die arglistige Täuschung gem. § 123 Abs. 1 Alt. 1 BGB praktisch relevant. Freilich kann im Internet aber auch eine Willensbildung durch widerrechliche Drohung nach § 123 Abs. 1 Alt. 2 BGB beeinflusst werden.1093 1086 Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 186 (37. EL Stand 1/2014). 1087 BGH v. 25.4.1988 – II ZR 17/87, ZIP 1988, 829 (831); Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 186 (37. EL Stand 1/2014); Härting, Internetrecht, Rz. 547. 1088 Zu Fragen des Minderjährigenschutzes im rechtsgeschäftlichen Verkehr nach dem Jugendmedienschutz-Staatsvertrag (JMStV) König/Börner, MMR 2012, 215 ff. 1089 Ellenberger, in: Palandt, § 108 BGB Rz. 1 f. 1090 LG Saarbrücken v. 22.6.2011 – 10 S 99/10, CR 2012, 93 (Ls. 3). 1091 LG Saarbrücken v. 22.6.2011 – 10 S 99/10, CR 2012, 93 (Ls. 3). 1092 LG Saarbrücken v. 22.6.2011 – 10 S 99/10, CR 2012, 93 (Ls. 2). 1093 Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 204 (37. EL Stand 1/2014).
Kosmides
575
572
B Rz. 573
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
573 Der Irrtum, die arglistige Täuschung und die widerrechtliche Drohung machen die Willenserklärung anfechtbar. Ein Vertrag ist nach wirksamer Anfechtung im Grundsatz rückwirkend (ex tunc) nichtig (§ 142 Abs. 1 BGB).1094 Bei einer Anfechtung nach § 119 und § 120 BGB kommt eine Pflicht des Anfechtenden auf Ersatz des Vertrauensschadens nach § 122 BGB in Betracht.1095 Daneben kann eine Haftung des Anfechtenden aus c.i.c. nach §§ 280 Abs. 1, 241 Abs. 2, 311 Abs. 2 BGB bestehen, wenn er seinen Irrtum selbst verschuldet.1096 Dem Getäuschten bzw. Bedrohten können neben dem Anfechtungsrecht nach § 123 BGB Schadensersatzansprüche aus c.i.c. nach §§ 280 Abs. 1, 241 Abs. 2, 311 Abs. 2 BGB sowie aus unerlaubter Handlung gem. § 823 Abs. 2 BGB (i.V.m. §§ 263, 240 StGB) oder § 826 BGB zustehen.1097 3.2.2 Einzelfälle 574 Den gesetzlich angeordneten Informationspflichten im Vorfeld des Vertragsschlusses bei besonderen Vertriebsformen, v.a. etwa bei Fernabsatzverträgen (s. Rz. 68 ff.) kommt anerkanntermaßen eine besondere Bedeutung bei der rechtsgeschäftlichen Willensbildung des Kunden zu (s. Rz. 8, 138). Die Verletzung solcher Informationspflichten, welche vertragswesentliche Merkmale (z.B. Produktmerkmale, Preis) aber auch das sonstige Regelungsprogramm betreffen, kann eine Anfechtung wegen Irrtums gem. § 119 Abs. 1 BGB oder sogar arglistiger Täuschung gem. § 123 Abs. 1 BGB rechtfertigen. 575 Bei einer fehlerhaften Bedienung des Computers wie etwa Vertippen bzw. Verklicken ist ein Fehler bei der Erklärungshandlung nach § 119 Abs. 1 Alt. 2 BGB, der die Anfechtbarkeit begründen kann (s.a. Rz. 405).1098 Einen relevanten Irrtum auf Bestellerseite sollte es allerdings nur in Ausnahmefällen geben: § 312i Abs. 1 Satz 1 Nr. 1 BGB fordert vom Anbieter, angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit deren Hilfe der Kunde Eingabefehler vor Abgabe seiner Bestellung erkennen und berichtigen kann (s. Rz. 440, 588 ff.). Diesem Erfordernis der „Korrekturhilfen“1099 haben die Anbieter durchaus Rechnung getragen, indem sie etwa den „Warenkorb“ (aktuell vorbereitete Bestellungen und deren Wert) ständig zeigen und vor der „endgültigen“ Bestellung ausdrücklich die Angaben wiederholen und den Besteller fragen, ob er so „wirklich“ bestellen will. Die praktische Relevanz des Irrtums des Verbraucher-Kunden ist ohnehin gering, da die Widerrufsmöglichkeiten über Fernabsatzrecht für den Verbraucher, v.a. hinsichtlich der Frist, laufend erweitert wurden (wegen schlechter Darstellung der Anbieter). 576 Der BGH hat die durch falschen Datentransfer bei i.Ü.beanstandungsfrei laufender Software erzeugte zu niedrige Preisangabe unter § 120 BGB gefasst.1100 Ein Irrtum über die Preisangabe löst auf Vertrauensinteresse beschränkte Schadensersatzpflicht aus.1101 Häufiger ist die Irrtumsanfechtung aufseiten der Anbieter, meist wegen der Preisauszeichnung (s. Rz. 225). Etwas belebt wird die Irrtumsproblematik dadurch, dass verschiedene Sprachwelten aufeinander treffen, so etwa englische Fachbegriffe missverstanden werden.1102
1094 Wolf/Neuner, Allgemeiner Teil des Bürgerlichen Rechts, Kap. 41 Rz. 138; s.a. Riedel, Onlinevertriebsrecht, Kap. 3 Rz. 165. 1095 Wolf/Neuner, Allgemeiner Teil des Bürgerlichen Rechts, Kap. 41 Rz. 152 ff. 1096 Wolf/Neuner, Allgemeiner Teil des Bürgerlichen Rechts, Kap. 41 Rz. 158. 1097 Ellenberger, in: Palandt, § 123 BGB Rz. 26 f. 1098 Riedel, Onlinevertriebsrecht, Kap. 3 Rz. 157. 1099 Klimke, CR 2005, 582. 1100 Notebook-Preis statt 2650 Euro nur 245 Euro: BGH v. 26.1.2005 – VIII ZR 79/04, CR 2005, 355 m. Anm. Ernst m.w.N.; s.a. OLG Hamm v. 12.1.2004 – 13 U 165/03, CR 2004, 949; OLG Frankfurt v. 20.11.2002 – 9 U 94/02, CR 2003, 450; ablehnend zur Anfechtung in solchen Fällen: LG Köln v. 16.4.2003 – 9 S 289/02, CR 2003, 613 und Stimmen der Lit. s. Zitate bei Ernst, CR 2005, 357. 1101 OLG Stuttgart v. 12.7.2006 – 12 U 91/06, MMR 2006, 819. 1102 Keine Irrtumsanfechtung (für Ärzte): AG Schöneberg v. 31.3.2005 – 9 C 516/04, MMR 2005, 637.
576
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 581
B
Ein Vertragslösungsrecht nach § 123 Abs. 1 BGB steht dem Kunden i.d.R. bei Verträgen aufgrund durch Shill Bidding manipulierter Internetauktionen zu.1103 Eine arglistige Täuschung kann auch bei den sog. Kostenfallen (s. Rz. 441) in Betracht kommen.1104 Unter § 123 Abs. 1 BGB fallen ferner Fälle, in denen vorsätzlich falsche Angaben über das angebotene Produkt gemacht werden, z.B. die Bezeichnung eines auf eBay versteigerten Artikels, der gebraucht ist, als „neu“, oder gar Merkmale verschwiegen werden, für die eine Aufklärungspflicht besteht.1105 Eine Anfechtung ist gleichfalls nach § 123 Abs. 1 BGB denkbar, wenn der Anbieter ein in der Tat nicht vorhandenes Produkt anbietet, das trotz Zahlung des Kaufpreises – wie geplant – nicht geliefert wird.1106
577
Auch bei einem (telefonisch geschlossenen) Fernabsatzvertrag über die Erbringung von Tele- 578 kommunikationsdienstleistungen trägt der Kunde die Beweislast für die Voraussetzungen eines Irrtums (§ 119 BGB) über bestimmte Vertragsbestandteile und für eine Überrumpelungssituation i.S. einer arglistigen Täuschung (§ 123 BGB).1107 3.2.3 Spezialfall: Unverhältnismäßig niedrige (Kauf-)Preise bei Internetauktionen Bei Verkaufsangeboten gegen Höchstgebot gibt der Anbieter oft einen sehr niedrigen Start- 579 preis an, um Interessenten anzulocken. Kommt es aber nicht zu wesentlich höheren Geboten, will der Anbieter den Abschluss verweigern. Die Hoffnung auf höhere Gebote ist Motivirrtum und nicht behilflich. Eine Anfechtung scheidet grds. aus. Liegt das Höchstgebot bei einem im Wege der Internetauktion abgeschlossenen Vertrag (z.B. bei eBay), nicht zuletzt wegen eines sehr niedrigen Startpreises, unverhältnismäßig niedrig, rechtfertigt dies grds. keine Anfechtung bzw. führt nicht zur Nichtigkeit.1108 Ein solcher Vertrag ist vielmehr prinzipiell wirksam.1109 Neben Anlockung dient der niedrige Startpreis i.Ü.dem Bieter auch dazu, „Gebühren“ zu sparen. Unter Berufung auf einer Reihe von instanzgerichtlichen Urteilen1110 sowie von Literaturmeinungen1111 führt der BGH insoweit aus, dass der Verkäufer das Risiko eines für ihn ungünstigen Auktionsverlaufs durch die Wahl eines niedrigen Startpreises unterhalb des Marktwerts ohne Einrichtung eines Mindestpreises tragen soll.1112 Vor diesem Hintergrund ist aber auch der Startpreis bei einer Internetauktion im Hinblick auf den eigentlichen Wert des Versteigerungsobjekts kaum aussagekräftig.1113
580
Ein grobes Missverhältnis zwischen dem Maximalgebot eines Bieters und dem Marktwert des Kaufgegenstands reicht allein nicht aus, um den Schluss auf ein sittenwidriges Rechtsgeschäft i.S.v. § 138 Abs. 1 BGB, konkret eine verwerfliche Gesinnung des Bieters, zu erlauben.1114 Nach der Rspr. kann bei einer Internetauktion etwa nicht aus einem Missverhältnis
581
1103 Heyers, NJW 2012, 2548 (2549 f.). 1104 S.a. Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 206 (37. EL Stand 1/2014). 1105 Ellenberger, in: Palandt, § 123 BGB Rz. 3 ff. mit zahlreichen Beispielen aus der Rechtsprechung; Riedel, Onlinevertriebsrecht, Kap. 3 Rz. 163. 1106 Riedel, Onlinevertriebsrecht, Kap. 3 Rz. 163. 1107 AG Sinsheim v. 27.1.2009 – 3 C 320/08, NJW-RR 2009, 1290 (Ls. 2). 1108 OLG Köln v. 8.12.2006 – 19 U 109/06, CR 2007, 598. 1109 BGH v. 12.11.2014 – VIII ZR 42/14, CR 2015, 106 m. Anm. Mankowski/Loose; v. 28.3.2012 – VIII ZR 244/10, CR 2012, 460 m. Anm. Juretzek. 1110 LG Detmold v. 22.2.2012 – 10 S 163/11, MMR 2012, 371 f.; LG Berlin v. 21.5.2012 – 52 S 140/11, CR 2012, 477 (478); AG Bremen v. 5.12.2012 – 23 C 0317/12, juris, Rz. 14 ff.; AG Gummersbach v. 28.6.2010 – 10 C 25/10, ITRB 2010, 229. 1111 U.a. Oechsler, Jura 2012, 497 (500); Härting, Internetrecht, Rz. 546. 1112 BGH v. 12.11.2014 – VIII ZR 42/14, CR 2015, 106 (107) m. Anm. Mankowski/Loose. 1113 BGH v. 28.3.2012 – VIII ZR 244/10, CR 2012, 460 (Ls. 2) m. Anm. Juretzek. 1114 BGH v. 12.11.2014 – VIII ZR 42/14, CR 2015, 106 (Ls.) m. Anm. Mankowski/Loose; v. 28.3.2012 – VIII ZR 244/10, CR 2012, 460 (461) m. Anm. Juretzek; ebenso OLG Jena v. 15.1.2014 – 7 U 399/13, juris Rz. 28; OLG Nürnberg v. 26.2.2014 – 12 U 336/13, CR 2014, 316 (Ls. 1); zustimmend Oechsler, NJW 2015, 665 (668); s.a. Kulke, NJW 2012, 2697.
Kosmides
577
B Rz. 582
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
von 782 Euro zu 24.000 Euro1115 oder einem Missverhältnis von 51 Euro zu 60.000 Euro1116 auf eine verwerfliche Gesinnung geschlossen werden. Dafür müssen vielmehr zusätzliche Umstände hinzutreten.1117 Bei einer Internetauktion kommt das Höchstgebot, das den „Zuschlag“ erhält, ohne Einwirkungsmöglichkeit des Verkäufers zustande. Nach Ansicht des LG München führt diese Besonderheit einer Internetauktion dazu, dass ein Missverhältnis zwischen Leistung und Vermögensvorteilen i.S.d. § 138 Abs. 2 BGB nicht angenommen werden kann.1118 Auch eine Anfechtung wegen Irrtums nach §§ 119 ff. BGB scheidet in solchen Fällen grds. aus.1119 582 Dies verkennt bzw. lässt unberücksichtigt AG Pforzheim.1120 583 Auch der Abbruch der Beteiligung an der Auktion nimmt die bisherigen Erklärungen grds. nicht zurück (s. a Rz. 552).1121 Bei Nichterfüllung im Falle eines wirksam zustande gekommenen Kaufvertrags hat der BGH dem Kunden einen Anspruch auf Schadensersatz statt der Leistung nach § 280 Abs. 1 und 3, § 281 Abs. 1 Satz 1 BGB1122 bzw. nach § 280 Abs. 1 und 3, § 283 BGB1123 zugesprochen. Ist die Leistungserbringung für den Anbietenden unmöglich geworden (weil er etwa wegen dessen Weiterveräußerung an einen Dritten nicht mehr Besitzer und Eigentümer des versteigerten Artikels ist), so handelt es sich um eine subjektiv zu vertretene Unmöglichkeit. Die Höhe des Schadensersatzanspruchs des Käufers richtet sich dabei nach dem zu schätzenden Wert des Kaufgegenstands abzüglich des Brutto-Kaufpreises, den der Käufer als Höchstbietender hätte aufbringen müssen (§ 249 BGB).1124 Ein Schadensersatzanspruch kommt freilich nicht in Frage, wenn der Anbieter sein Angebot nach einer gesetzlichen Vorschrift oder gemäß den Geschäftsbedingungen der Internetplattform zurücknehmen kann (s.a. Rz. 549 f.).1125 584 Bei einem im Rahmen einer Internetauktion geschlossenen Kaufvertrag, bei dem der Kaufpreis wegen eines sehr niedrigen Mindestpreises deutlich unter dem Marktwert liegt, kann allerdings der Verkäufer im Falle der Nichterfüllung der Durchsetzung eines Schadensersatzanspruchs des Höchstbietenden den Einwand des Rechtsmissbrauchs gem. § 242 BGB entgegen halten.1126 Die Annahme eines Rechtsmissbrauchs setzt allerdings nach BGH-Rspr. eine sorgfältige und umfassende Prüfung aller maßgeblichen Umstände des Einzelfalls voraus und muss auf besondere Ausnahmefälle beschränkt bleiben.1127 Das LG Koblenz lässt dabei ausreichen, dass die Zahlung eines Schadensersatzes zu einer mit der Gerechtigkeit nicht zu vereinbarenden Benachteiligung des Anbieters führen würde und deshalb im Rah1115 1116 1117 1118 1119 1120
1121
1122 1123 1124 1125 1126 1127
578
BGH v. 28.3.2012 – VIII ZR 244/10, CR 2012, 460 (Ls. 1) m. Anm. Juretzek. OLG Köln v. 8.12.2006 – 19 U 109/06, CR 2007, 598 (600). OLG Nürnberg v. 26.2.2014 – 12 U 336/13, CR 2014, 316 (Ls. 1). LG München v. 7.8.2008 – 34 S 20431/04, ZUM-RD 2009, 360 (361). BGH v. 12.11.2014 – VIII ZR 42/14, CR 2015, 106 (107) m. Anm. Mankowski/Loose; ebenso OLG Jena v. 15.1.2014 – 7 U 399/13, juris Rz. 29. AG Pforzheim v. 26.6.2007 – 8 Cs 84 Js 5040/07, CR 2007, 679 m. Anm. Heckmann – Hehlerei wegen Kauf unter Preis bei eBay, jur-pc 136/2007; a.M. OLG Köln v. 8.12.2006 – 19 U 109/06, CR 2007, 598 kein Irrtum auch bei grober Preis-/Wert-Differenz (60.000 Euro Wert bei 51 Euro Höchstgebot), s.a. Hoffmann, NJW 2007, 2594 (2595). BGH v. 12.11.2014 – VIII ZR 42/14, CR 2015, 106 (107) m. Anm. Mankowski/Loose und Härting, BB 2015, 146 („kein Reurecht des Verkäufers“); OLG Jena v. 15.1.2014 – 7 U 399/13, juris Rz. 29; LG Berlin v. 20.7.2004 – 4 O 293/04, CR 2004, 940; LG Koblenz v. 18.3.2009 – 10 O 250/08, CR 2009, 466 (Ls. 1). BGH v. 28.3.2012 – VIII ZR 244/10, CR 2012, 460 (461) m. Anm. Juretzek; AG Gummersbach v. 28.6.2010 – 10 C 25/10, ITRB 2010, 229 m. Anm. Engels; s.a. Kulke, NJW 2012, 2697 (2699). BGH v. 10.12.2014 – VIII ZR 90/14, CR 2015, 189. OLG Hamm v. 30.10.2014 – 28 U 199/13, CR 2015, 314. Vgl. BGH v. 8.1.2014 – VIII ZR 63/13, CR 2014, 194; OLG Hamm v. 4.11.2013 – 2 U 94/13, ITRB 2014, 52 (Engels). OLG Nürnberg v. 10.6.2009 – 14 U 622/09, MMR 2010, 31 (Ls. 2). BGH v. 12.11.2014 – VIII ZR 42/14, CR 2015, 106 (107) m. Anm. Mankowski/Loose; v. 27.4.1977 – IV ZR 143/76, BGHZ 68, 299 (304); v. 7.1.1971 – II ZR 23/70, BGHZ 55, 274 (279).
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 588
B
men einer Abwägung das Interesse des Höchstbietenden auf Schadensersatz nicht schutzwürdig ist.1128 Hinzu kommen müsse, dass die Versteigerung frühzeitig und unverzüglich (hier: innerhalb von 8 Minuten) beendigt wird und der Höchstbietende in Anbetracht des deutlichen Unterschieds zwischen seinem Höchstgebot und dem Marktwert der Ware nicht mit dem Zuschlag rechnen konnte.1129 Der BGH stimmt dieser Beurteilung im Ergebnis nicht zu. Er hat nämlich in einem vergleichbaren Fall einen wirksam abgeschlossenen Kaufvertrag bejaht und den dem Käufer entgegengehaltenen Einwand eines Rechtsmissbrauchs verneint.1130 Im vorliegenden Fall hatte der Verkäufer, der einen gebrauchten Pkw für zehn Tage zur Internetauktion bei eBay mit einem Startpreis von 1 Euro eingestellt und einige Minuten später von einem Bieter ein Maximalgebot von 555,55 Euro erhalten hatte, sieben Stunden später die Auktion abgebrochen.
585
Bei einem Auktionsabbruch kann die Klage mangels Prozessführungsbefugnis des Klägers ([Höchst-]Bieters) als unzulässig abgewiesen werden.1131
585a
Einer anderen rechtlichen Beurteilung bedürfen allerdings grds. Internetauktionen, in denen 586 kein Verkaufsangebot gegen Höchstgebot in Rede steht, sondern ein Produkt zum Sofortkauf für einen offensichtlich unangemessenen Preis angeboten wird. Hier sollten eine Anfechtung wegen Erklärungsirrtums ebenso wie der Einwand des Rechtsmissbrauchs deutlich höhere Erfolgschancen haben. Dies steht in Einklang mit der BGH-Rspr., wonach dem Verkäufer das Risiko eines für ihn ungünstigen Auktionsverlaufs durch die Wahl eines unverhältnismäßig niedrigen Startpreises zuzurechnen ist, wenn er es unterlässt, seine Interessen durch Einrichtung eines Mindestpreises abzusichern.1132 Bei erheblich unter Wert liegendem Sofortkaufpreis erscheint es unbillig, die Interessen des Verkäufers vollständig unberücksichtigt zu lassen, zumal dieser bei diesem Verkaufsformat – anders als bei einer Auktion mit niedrigem Startpreis – keine Vorteile erwarten kann. Wird im Rahmen einer Internetauktion gegen Höchstgebot neben einem ganz offensichtlich 587 unangemessenen Startpreis (z.B. 5 Euro für einen Pkw) auch ein entsprechend niedriger Sofortkaufpreis (z.B. 7 Euro für diesen Pkw) angegeben, spricht dies für einen Irrtum in der Erklärungshandlung i.S.v. § 119 Abs. 1 Alt. 2 BGB auch in Bezug auf die Start- bzw. Mindestpreisangabe. Es wird sich wohl um einen Tippfehler bei beiden Preisangaben handeln. Bei Annahme eines solchen Sofortangebots hat das LG Konstanz das wirksame Zustandekommen eines Kaufvertrags verneint, daneben aber auch eine anfechtbare Angebotserklärung wegen Erklärungsirrtums gem. § 119 Abs. 1 BGB angenommen.1133 3.2.4 Irrtumsvermeidung, Benutzerführung Im Hinblick auf die Pflicht des Anbieters gem. § 312i Abs. 1 Satz 1 Nr. 1 BGB, dem Kunden 588 durch angemessene. wirksame und zugängliche technische Mittel die Möglichkeit zu geben, den Eingabefehler vor Abgabe seiner Erklärung zu erkennen und zu berichtigen, werden von den Anbietern eine Reihe von Maßnahmen ergriffen, die allerdings zum Teil in der konkreten Ausführung die Gefahr mit sich bringen, andere Probleme neu zu erzeugen. Durch eine 1128 LG Koblenz v. 18.3.2009 – 10 O 250/08, CR 2009, 466 (Ls. 2); zustimmend OLG Koblenz v. 3.6.2009 – 5 U 429/09, CR 2010, 49. 1129 LG Koblenz v. 18.3.2009 – 10 O 250/08, CR 2009, 466 (468); vgl. auch OLG Nürnberg v. 10.6.2009 – 14 U 622/09, MMR 2010, 31 (32). 1130 BGH v. 12.11.2014 – VIII ZR 42/14, CR 2015, 106 (107) m. Anm. Mankowski/Loose; ebenso OLG Jena v. 15.1.2014 – 7 U 399/13, juris Rz. 32. 1131 Vgl. BGH v. 24.8.2016 – VIII ZR 182/15. 1132 BGH v. 12.11.2014 – VIII ZR 42/14, CR 2015, 106 (107) m. Anm. Mankowski/Loose. 1133 Vgl. LG Konstanz v. 2.9.2003 – 4 O 134/03, juris Rz. 2, 14, 16: Neuerer, technisch gut ausgestatteter Pkw versteigert zu einem Mindestpreis i.H.v. 11 Euro für 13 Euro zum Sofortkauf angeboten.
Kosmides
579
B Rz. 589
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Vielzahl von – durchaus gebotenen – Informationen kann die Bildschirmseite bzw. die Abfolge mehrerer Bildschirmseiten irritierend und insofern das Angebot intransparent werden. Dennoch dürfte es empfehlenswert sein, ab einem bestimmten Stadium des Geschäftsprozesses (der Kunde legt etwas in den Warenkorb) für klare Information und strikte Bedienerführung zu sorgen. 589 Einzelfälle: – Kein Zustandekommen des Vertrags bei Irrtum über Kostenpflicht (Online-Ärzteverzeichnis).1134 – Falsche Angaben in Angebot auf Eintrag in Online-Firmenverzeichnis indizieren subjektiven Tatbestand der arglistigen Täuschung.1135 – Die Beschreibung des Kaufgegenstandes stellt auch bei einer Online-Auktion Beschaffenheitsangaben dar. Fehlt in einem späteren schriftlichen Vertrag eine vorher bei der Auktion angegebene Beschaffenheit, wird diese dennoch Vertragsbestandteil.1136 – Schlichte Falschangabe zur Beschaffenheit: „Echt Silbernes …“.1137 – Divergenz zwischen Ankündigung und Abbildung dazu ergibt unzureichende Erfüllung der Verpflichtung zu klarer und verständlicher Information des Verbrauchers.1138
3.3 Formmängel 590 Das Gesetz regelt in den §§ 126–129 BGB verschiedene Arten der Formen, namentlich die Schriftform (§ 126 BGB), die elektronische Form (§ 126a BGB), die Textform (§ 126b BGB), die notarielle Beurkundung (§ 128 BGB) und die öffentliche Beglaubigung durch Unterschrift (§ 129 BGB). Da die elektronische Form keine eigenständige Form ist, sondern ein Substitut der gesetzlichen Schriftform bei elektronischen Dokumenten bildet (§ 126 Abs. 3 BGB),1139 gehört sie systematisch zum Bereich der Schriftform. Die jeweilige Formvorschrift ist dort einschlägig, wo das Gesetz die entsprechende Form anordnet. 591 Die Parteien können für eine Willenserklärung oder einen Vertrag eine bestimmte Form durch Rechtsgeschäft vereinbaren. Für den Fall, dass die Parteien keine Regelung über den Inhalt des vereinbarten Formerfordernisses getroffen haben und die Auslegung nach §§ 133, 157 BGB keine Anhaltspunkte ergibt, sieht § 127 Abs. 1 BGB eine Auslegungsregel vor.1140 Die Regel ist auf die Schriftform, die elektronische Form und die Textform beschränkt. Hiernach sind im Zweifel jeweils die in den §§ 126, 126a oder 126b BGB gestellten Anforderungen maßgeblich. Mit § 127 Abs. 2 und 3 BGB werden Erleichterungen für die Schriftform und die elektronische Form eingeführt. 592 Schriftform, notarielle Beurkundung und öffentliche Beglaubigung durch Unterschrift können im elektronischen Geschäftsverkehr nicht erfüllt werden.1141 Ein Online-Vertragsschluss kann insoweit den entsprechenden gesetzlichen Anforderungen nicht genügen. Die gesetzlich angeordnete Form wird durch ein Vorgehen, das der jeweiligen Formvorschrift tatbestandlich nicht entspricht, nicht gewahrt, auch wenn dadurch den mit dieser Vorschrift erzielten Formzwecken, insb. der Warn- und Beweisfunktion, auf gleiche Weise genügt wird.1142
1134 1135 1136 1137
1142
AG Düsseldorf v. 13.11.2003 – 52 C 7882/03, MMR 2004, 840 (Ls.S). BGH v. 22.2.2005 – X ZR 123/03, MMR 2005, 447. LG Bielefeld v. 31.10.2007 – 21 S 170/07, CR 2008, 742. LG Frankfurt/M. v. 31.1.2007 – 2-16 S 3/06: Schadensersatz, „fahrlässig falsche“ Beschreibung entlastet nicht. LG Kleve v. 2.3.2007 – 8 O 128/06, MMR 2007, 332. BT-Drs. 14/4987, S. 12. Ellenberger, in: Palandt, § 127 BGB Rz. 1. Härting, Internetrecht Rz. 486 f.; s.a. Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 239 (37. EL Stand 1/2014). Vgl. OLG München v. 4.6.2012 – 19 U 771/12, CR 2013, 115 (116).
580
Kosmides
1138 1139 1140 1141
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 597
B
Die Nichteinhaltung einer gesetzlich vorgeschriebenen Form führt nach § 125 Satz 1 BGB grds. zur Nichtigkeit des Vertrags. Gem. § 125 Satz 2 BGB ist ein Vertrag, der die vereinbarte Form nicht erfüllt, im Zweifel gleichfalls nichtig.
593
3.3.1 Schriftform Wo das BGB oder eine andere privatrechtliche Vorschrift ein Schriftformerfordernis vorsieht, 594 ist § 126 BGB einschlägig. Die wenigsten Geschäfte des Alltags bedürfen der Schriftform. Zum Schutz des Mieters, Verbrauchers, Arbeitnehmers oder auch generell des Vertragspartners wird allerdings durch Einzelbestimmungen eine Schriftform insb. für bestimmte Willenserklärungen, Vertragsschlüsse oder einzelne Vertragsvereinbarungen angeordnet (z.B. § 492 Abs. 1 Satz 1, § 510 Abs. 1 Satz 1 BGB, § 550 Satz 1, § 557a Abs. 1, § 557b Abs. 1, § 568 Abs. 1, § 766 Satz 1 BGB). Im Bereich der Prozessordnung sieht die Angelegenheit weitgehend anders aus. Dort kann zugunsten der Parteien bzw. Anwälte wirksam und fristwahrend auch ein bestimmender Schriftsatz per Fax übermittelt werden. Streit gibt es insoweit nur hinsichtlich eventueller Unterschiede zwischen Computer-Fax und „normalem“ Fax. Die Schriftform setzt voraus, dass die Urkunde von dem Aussteller eigenhändig durch Na- 595 mensunterschrift oder mittels notariell beglaubigten Handzeichens unterzeichnet wird (§ 126 Abs. 1 BGB). Eine schriftliche Urkunde setzt dauerhaft verkörperte Schriftzeichen auf einem Schreibmaterial, gleich welcher Art voraus, woran es bei einem elektronischen Dokument stets fehlt.1143 Dies macht die Erfüllung der Schriftform auf elektronischem Wege generell nicht möglich.1144 Die Schriftform wird nicht durch die handgeschriebene elektronische Unterschrift auf ei- 596 nem elektronischen Schreibtablett gewahrt. Denn in diesem Fall erfolgt die Unterschrift nicht eigenhändig auf der Urkunde, sondern wird darauf nur als elektronische Kopie wiedergegeben. Dies gilt selbst dann, wenn das auf dem Schreibtablett gespeicherte elektronische Dokument in Papierform ausgedruckt wird.1145 Auch eine Übermittlung und Wiedergabe einer solchen Namensunterschrift durch Telefax reicht nicht aus.1146 Die Voraussetzungen für die Schriftform lassen sich per SMS nicht erfüllen. Z.B. bedarf im Arbeitsverhältnis die Kündigung nach § 623 BGB der Schriftform. Dem genügt eine Kündigung per SMS nicht.1147 Gleiches gilt für eine E-Mail. Denn ihr fehlt die nach § 126 Abs. 1 BGB gebotene Unterschrift.1148 Bei Vereinbarung eines Schriftformerfordernisses entspricht nach Auffassung des LG Köln eine E-Mail nur dann der vereinbarten Form gem. § 127 Abs. 2 Satz 1 BGB, wenn mit dieser E-Mail eine eingescannte Erklärung, die eigenhändig unterschrieben wurde, übermittelt wird.1149 Eine andere Ansicht vertritt hingegen das OLG München, das ein eingescanntes, eigenhändig unterzeichnetes Dokument nicht verlangt.1150
1143 1144 1145 1146 1147 1148 1149
1150
OLG München v. 4.6.2012 – 19 U 771/12, CR 2013, 115 (116). Ebenso Härting, Internetrecht, Rz. 489. OLG München v. 4.6.2012 – 19 U 771/12, CR 2013, 115 (116) zu § 492 Abs. 1 Satz 1 BGB. OLG München v. 4.6.2012 – 19 U 771/12, CR 2013, 115 (116); OLG Hamm v. 13.12.2012 – 4 U 107/12, juris Rz. 30; OLG Köln v. 27.11.2012 – 3 U 69/12, juris Rz. 31; Ellenberger, in: Palandt, § 126 BGB Rz. 12. LAG Hamm v. 17.8.2007 – 10 Sa 512/07, CR 2008, 375. LG Halle v. 24.4.2014 – 3 T 38/14, NZI 2014, 618 (Ls. 2.). LG Köln v. 7.1.2010 – 8 O 120/09, juris Rz. 45 f.; ebenso AG Wedding v. 26.2.2009 – 21a C 221/08, juris Os.; vgl. auch Schäfer, NJW 2012, 891. Zur Formunwirksamkeit der Eintragungsanordnung nach § 882c ZPO bei eingescannter und hineinkopierter Unterschift des Gerichtsvollziehers LG Stuttgart v. 26.6.2014 – 10 T 82/14, CR 2014, 778. OLG München v. 26.1.2012 – 23 U 3798/11, WM 2012, 1743. (1744).
Kosmides
581
597
B Rz. 598
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
598 Nach dem Verständnis des OLG München entspricht die gewillkürte Schriftform im Ergebnis der gesetzlich angeordneten Textform i.S.v. § 126b BGB.1151 Aus der dem Formerfordernis unterliegenden Erklärung muss allerdings erkennbar sein, von wem sie abgegeben wurde.1152 3.3.2 Elektronische Form 599 Um den Bedürfnissen des elektronischen Geschäftsverkehrs Rechnung zu tragen und zu dessen Entwicklung beizutragen, sieht § 126 Abs. 3 BGB vor, dass anstelle der schriftlichen Form die elektronische Form i.S.v. § 126a BGB eingehalten werden kann, wenn sich nicht aus dem Gesetz etwas anderes ergibt (z.B. § 766 Satz 2 BGB). Über die elektronische Form kommt das Thema Signatur mit ins Spiel. Nach § 126a Abs. 1 BGB muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz (SigG) versehen, wenn die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden soll. Somit besteht das Erfordernis insoweit, die elektronische Form und damit wiederum die Schriftform durch eine „qualifizierte elektronische Signatur“, wo dies gewollt ist, zu erfüllen. Bei einem Vertrag müssen nach § 126 Abs. 2 BGB die Parteien jeweils ein gleich lautendes Dokument auf die in § 126 Abs. 1 BGB bezeichnete Weise elektronisch signieren. 600 Der Begriff der in § 126a Abs. 1 BGB vorausgesetzten „qualifizierten elektronischen Signatur“ wird in § 2 Nr. 3 SigG bestimmt. Er basiert auf den in § 2 Nr. 1 und 2 SigG enthaltenen Legaldefinitionen der elektronischen Signatur und der fortgeschrittenen elektronischen Signatur.1153 Diese beiden Signaturarten sind i.R.v. § 126a BGB unzureichend. Alle drei Begriffsbestimmungen gehen auf die RL 1999/93/EG (Signaturrichtlinie)1154 zurück. 601 Nach § 2 Nr. 3 SigG handelt es sich bei der qualifizierten elektronischen Signatur um eine fortgeschrittene elektronische Signatur i.S.v. § 2 Nr. 2 SigG, die a) auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruht und b) mit einer sicheren Signaturerstellungseinheit erzeugt wird. Eine solche Signatur stellt sicher, dass der Aussteller der Urkunde bzw. des Dokuments identifiziert und eine unzweideutige Verbindung zwischen dem Dokument und dem Aussteller hergestellt wird. Sie hat insoweit Identitätsfunktion.1155 602 Eine fortgeschrittene elektronische Signatur ist eine elektronische Signatur i.S.v. § 2 Nr. 1 SigG, die a) ausschließlich dem Signaturschlüssel-Inhaber zugeordnet ist, b) die Identifizierung des Signaturschlüssel-Inhabers ermöglicht, c) mit Mitteln erzeugt wird, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und d) mit den Daten, auf die sie sich bezieht, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Unter elektronischer Signatur sind gem. § 2 Nr. 1 SigG Daten in elektronischer Form zu verstehen, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. 603 Wird mit einem elektronischen Stift eine bloße Unterschrift auf einem Schreibtablett geleistet, ohne dass das elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen wurde, ist die elektronische Form nach § 126a BGB nicht gewahrt.1156
1151 So zutreffend Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 300. 1152 OLG München v. 26.1.2012 – 23 U 3798/11, WM 2012, 1743; (1744); Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.1 Rz. 300. 1153 Zu diesen Begriffen B. Brisch/K. Brisch, in: Hoeren/Sieber/Holznagel, Teil 13.3 Rz. 28 ff. (32. EL Stand 8/2012); Härting, Internetrecht, Rz. 494 ff. 1154 Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. Nr. L 13 v. 19.1.2000, S. 12). 1155 BPatG v. 18.3.2013 – 19 W (pat) 16/12, juris Rz. 28 – Elektrischer Winkelstecker. 1156 OLG München v. 4.6.2012 – 19 U 771/12, CR 2013, 115 (116).
582
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 608
B
Eine E-Mail erfüllt nicht die Voraussetzungen des § 126a Abs. 1 BGB, sofern sie nicht mit der nach dieser Vorschrift erforderlichen qualifizierten elektronischen Signatur signiert ist.1157 Wird im Rahmen eines Vertriebsvertrags über die Vermittlung von Pay-TV-Abonnements eine Schriftformklausel sowohl für Vertragsergänzungen und -änderungen als auch für den Verzicht auf das Formerfordernis vereinbart, ist eine Zusatzvereinbarung über die Zahlung von Zuschlägen oder die Vornahme von Abschlägen auf die vereinbarten Provisionen für die Vermittlung von Abonnements zum Bezug von Bezahlfernsehen, die per E-Mail ohne qualifizierte elektronische Signatur getroffen wird, formnichtig.1158
604
Relevant werden u.a. die Regelungen in den §§ 126, 126a BGB im hier fraglichen Themen- 605 kreis im Zshg. mit Telefax und E-Mail, soweit damit empfangsbedürftige Willenserklärungen, die auch noch dem Erfordernis der Schriftftorm bzw. elektronsichen Form unterliegen, generiert werden sollen. I.d.R. wird man davon ausgehen können, dass selbst dann, wenn eine formgültige Erklärung nachfolgt, die zunächst formungültige Übermittlung nicht zur Fristwahrung ausreicht. 3.3.3 Textform Die Textform stellt die einfachste gesetzliche Form dar.1159 Anders als die elektronische Form 606 ist die Textform eine eigene Form bzw. ein eigener Formtyp. Sie wird in § 126b BGB geregelt. Der Wortlaut der Vorschrift wurde im Zuge der Umsetzung der RL 2011/83/EU (s. Rz. 21, 612) modifiziert und an deren Terminologie (Art. 2 Nr. 10 und Erw.grd. 23 RL 2011/83/EU) angepasst. Eine inhaltliche Änderung war allerdings damit – laut der Gesetzesbegründung1160 – nicht beabsichtigt. Die zu wahrenden Anforderungen ergeben sich aus der Zusammenschau von § 126b Sätze 1 und 2 BGB. Hervorzuheben sind besonders die Dokumentationsfunktion der Textform. Das OLG Naumburg weist dabei auf die Funktion der Perpetuierung der Erklärung hin.1161 Nach § 126b Satz 1 BGB setzt die Textform voraus, dass eine lesbare Erklärung, in der die 607 Person des Erklärenden genannt ist, auf einem dauerhaften Datenträger abgegeben wird.1162 Eine Erklärung ist lesbar, wenn sie bestimmungsgemäß visuell in Symbolen einer Sprache dargestellt werden kann.1163 Nach der Gesetzesbegründung braucht aber die Erklärung nicht unmittelbar lesbar zu sein. Eine unmittelbare Lesbarkeit ist etwa bei einer auf einem Papier geschriebenen Erklärung der Fall.1164 Vielmehr genügt auch eine Erklärung in einem elektronischen Dokument, die mit Hilfe eines Anzeigeprogramms gelesen werden kann, den Anforderungen der Textform.1165 Das Merkmal der Lesbarkeit führt dazu, dass akustische Erklärungen (z.B. eine Nachricht auf einer Voice-Box) nicht erfasst werden.1166 Für die Nennung der Person des Erklärenden reicht aus, dass seine Identität, i.d.R. der vollständige Name der Person (§ 12 BGB) bzw. die Firma des Kaufmanns (§ 17 HGB), angegeben wird. Eine Unterschrift ist nicht notwendig.1167 Als dauerhafter Datenträger wird in § 126b Satz 2 BGB jedes Medium legal definiert, das 608 dem Empfänger ermöglicht, eine auf dem Datenträger befindliche, an ihn persönlich gerich1157 LG Hanau v. 1.12.2011 – 7 O 316/11, juris Ls. 1. 1158 OLG München v. 23.10.2013 – 7 U 321/13, CR 2014, 586. 1159 Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 242 (37. EL Stand 1/2014); vgl. auch Härting, Internetrecht, Rz. 506. 1160 BT-Drs. 17/12637, S. 44. 1161 OLG Naumburg v. 13.7.2007 – 10 U 14/07, NJW-RR 2008, 776. 1162 Vgl. BGH v. 10.6.2015 – IV ZR 105/13, CR 2015, 678 Rz. 11. 1163 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 126b Rz. 21. 1164 BT-Drs. 17/12637, S. 44. 1165 BT-Drs. 17/12637, S. 44. 1166 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 126b Rz. 24. 1167 Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 126b Rz. 17 f.
Kosmides
583
B Rz. 609
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
tete Erklärung so aufzubewahren oder zu speichern, dass sie ihm während eines für ihren Zweck angemessenen Zeitraums zugänglich ist, und geeignet ist, die Erklärung unverändert wiederzugeben. Damit wird die allgemeine Regel, wonach eine formgerechte Erklärung nicht nur vom Erklärenden in Textform abgegeben werden, sondern dem Empfänger auch in Textform zugehen muss,1168 ausdrücklich festgelegt. Dementsprechend ist die bloße Abrufbarkeit bzw. Zurverfügungstellung der Erklärung auf einer gewöhnlichen Website über einen Hyperlink grds. nicht ausreichend.1169 Denn in einem solchen Fall kann i.d.R. weder der Empfänger die Erklärung aufbewahren oder speichern noch ist sichergestellt, dass die Erklärung für einen bestimmten Zeitraum unverändert zugänglich ist.1170 609 Als dauerhafte Datenträger sind insoweit insb. Papier, USB-Sticks, CD-ROMs, DVDs, Speicherkarten, die Festplatten von Computern, sowie Computerfax anzusehen (Erw.grd. 23 Satz 2 RL 2011/83/EU).1171 Auch eine E-Mail genügt den Anforderungen des § 126b BGB.1172 Nach dem BAG ist für die Erfüllung des Schriftlichkeitsgebots des § 99 Abs. 3 Satz 1 BetrVG eine Mitteilung per E-Mail, die den Erfordernissen der Textform genügt, ausreichend.1173 610 Von Bedeutung ist das Textformerfordernis u.a. i.R.v. Verbraucher- und Fernabsatzgeschäften. Der Textform bedarf die Widerrufsbelehrung nach Art. 246 Abs. 3 Satz 1 EGBGB (s. Rz. 111 ff.), Art. 246a § 1 Abs. 2 Satz 2 EGBGB (s. Rz. 111 ff.) und Art. 246b § 2 Abs. 3 EGBGB (s. Rz. 104, 163, 891), jedoch nicht mehr der Widerruf nach § 355 BGB, der anders als nach alter Rechtslage, formlos erklärt werden kann (Rz. 303 f.). Eine Textform wird ferner für die Kündigung des Verbrauchers oder die Vollmacht zur Kündigung gem. § 312h BGB vorgeschrieben (s. Rz. 383 ff.). Außerhalb des Rechts der besonderen Vertriebsformen wird etwa Textform für die Garantieerklärung (§ 477 Abs. 2 BGB) sowie für den Vertragsinhalt bei Ratenlieferungsverträgen nach § 510 Abs. 1 Satz 3 BGB vorgesehen. In manchen Regelungen wird wiederum (nur) das Erfordernis eines dauerhaften Datenträgers normiert (z.B. Art. 246a § 4 Abs. 2 Satz 1 EGBGB, Art. 246b § 2 Abs. 1 Satz 1 EGBGB). Dies entspricht nicht der Textform i.S.v. § 126b BGB. Denn die Textform verlangt noch die Erfüllung weiterer Merkmale (Lesbarkeit der Erklärung und Nennung der Person des Erklärenden).1174 610a Wird der Begriff der Textform in vertraglichen Dokumenten und dergl. verwandt, so braucht er nicht dem durchschnittlichen Kunden erläutert zu werden.1175 4. Regulierung der Beziehung der Parteien – Zwingende Inhaltsvorgaben 611 Im Gesetz findet sich eine Reihe von Bestimmungen, die zwingende Inhaltsvorgaben enthalten und in die Vertragsinhaltsfreiheit einschränkend eingreifen. Solche Vorschriften sind (auch) bei Online-Verträgen relevant. Neben allgemeinen Regelungen wie die §§ 305 ff. BGB 1168 Vgl. EuGH v. 5.7.2012 – C-49/11, CR 2012, 793 (Ls.) – Content Services; BGH v. 15.5.2014 – III ZR 368/13, CR 2014, 736 (737); v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (Ls.) – Holzhocker; so oder im Ergebnis so auch OLG Stuttgart v. 4.2.2008 – 2 U 71/07, CR 2009, 61; OLG Hamburg v. 12.9.2007 – 5 W 129/07, CR 2008, 116; OLG Naumburg v. 13.7.2007 – 10 U 14/07 (Hs), NJW-RR 2008, 776 (777 f.); OLG Köln v. 24.8.2007 – 6 U 60/07, GRUR-RR 2008, 88 (89 f.); OLG Hamburg v. 24.8.2006 – 3 U 103/06, CR 2006, 854; KG v. 5.12.2006 – 5 W 295/06, = CR 2007, 331; BGH v. 18.7.2006 – 5 W 156/06, CR 2006, 680; BT-Drs. 17/12637, S. 44. 1169 Vgl. EuGH v. 5.7.2012 – C-49/11, CR 2012, 793 (Ls.) – Content Services; BGH v. 15.5.2014 – III ZR 368/13, CR 2014, 736 (737); v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (Ls.) – Holzhocker; BT-Drs. 17/12637, S. 44; a. A.: LG Flensburg v. 23.8.2006 – 6 O 107/06, CR 2007, 112; LG Paderborn v. 28.11.2006 – 6 O 70/06, CR 2007, 465. 1170 BT-Drs. 17/12637, S. 44. 1171 BT-Drs. 17/12637, S. 44; Ellenberger, in: Palandt, § 126b BGB Rz. 3; s.a. R. Koch, in: Erman, BGB, § 312d Rz. 33. 1172 BAG v. 10.3.2009 – 1 ABR 93/07, CR 2009, 680 (Ls. 2). 1173 BAG v. 10.3.2009 – 1 ABR 93/07, CR 2009, 680 (Ls. 1). 1174 S.a. Junker, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 126b Rz. 11. 1175 BGH v. 10.6.2015 – IV ZR 105/13, CR 2015, 678 Rz. 11.
584
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 617
B
zur Rechtmäßigkeit von AGB (s. Rz. 618 ff.) sind in diesem Zshg. insb. verschiedene Einzelregelungen in den §§ 312 ff. BGB relevant, die besondere Vertriebsformen, darunter auch E-Commerce-Verträge betreffen (s. Rz. 389 ff., 495 ff.). Im B2C-Bereich ist u.a. auch § 241a BGB zur Zusendung unbestellter Leistungen (s. Rz. 614) von praktischer Bedeutung. 4.1 Zusendung unbestellter Produkte Die im Wesentlichen wettbewerbsrechtlich relevante Problematik der Erbringung unbestell- 612 ter Leistungen an Verbraucher durch Unternehmer (s. Rz. 908) wird auf dem Terrain des Vertragsrechts mit § 241a BGB aufgegriffen. Die Vorschrift wurde im Zuge der Umsetzung der RL 2011/83/EU neu gefasst. Die Änderungen haben – laut Gesetzesbegründung – nur erläuternden Charakter.1176 Sie dienen zum einen dazu, die Definition der Ware in Art. 2 Nr. 3 RL 2011/83/EU sowie die Regelung über unbestellte Produkte in Art. 27 RL 2011/83/EU umzusetzen. Zum anderen wird dadurch die Unabdingbarkeitsregel in Art. 25 RL 2011/83/EU umgesetzt.1177 Eine unbestellte Ware oder Dienstleistung liegt vor, wenn sie dem Verbraucher ohne eine ihm zurechenbare Aufforderung, d.h. eine invitatio ad offerendum oder einen Vertragsantrag, zugeht und er zur Bezahlung, Verwahrung oder Rücksendung aufgefordert wird.1178 Auch eine aliud-Lieferung i.S.v. § 434 Abs. 3 BGB gilt als unbestellt.1179
613
§ 241a Abs. 1 BGB bestimmt, dass die Lieferung unbestellter Waren oder die Erbringung unbe- 614 stellter Dienstleistungen nicht zur Begründung von Ansprüchen des Unternehmers gegenüber dem Verbraucher führen kann. Ausgeschlossen sind einerseits vertragliche Ansprüche, insb. solche auf eine Gegenleistung, andererseits aber i.d.R. auch gesetzliche Ansprüche wie etwa solche auf Nutzungsherausgabe und Schadensersatz, sowie Ansprüche aus §§ 985 und 812 BGB.1180 Eine Ausnahmeregelung sieht § 241a Abs. 2 BGB für gesetzliche Ansprüche vor. Derartige Ansprüche bestehen hiernach in folgenden Fällen: – die Leistung war nicht für den Empfänger bestimmt oder – die Leistung ist in der irrigen Vorstellung einer Bestellung erfolgt. Dabei wird zudem vorausgesetzt, dass der Empfänger die Bestimmung für einen anderen Empfänger oder den Irrtum des Unternehmers erkannt hat oder bei Anwendung der im Verkehr gebotenen Sorgfalt hätte erkennen können.
615
Um einen wirksamen Schutz der Verbraucherinteressen sicherzustellen, werden mit § 241a Abs. 3 Sätze 1 und 2 BGB jeweils ein Verbot von Abweichungen (zum Nachteil des Verbrauchers) und ein Umgehungsverbot festgelegt. Diese Regelungen entsprechen im Wesentlichen § 312k Abs. 1 Sätze 1 und 2 BGB (ebenso wie § 361 Abs. 2 Sätze 1 und 2 BGB). Es kann insofern auf die dortigen Ausführungen verwiesen werden (Rz. 28 ff.).
616
4.2 Regeln für besondere Vertriebsformen in §§ 312 ff. BGB (Verweis) In den §§ 312 ff. BGB sind verschiedene Sonderregeln niedergelegt, die zwingende Inhaltsvorgaben enthalten. Bei (Online-)Verbraucherverträgen sind § 312a Abs. 3 Satz 1 BGB (s. Rz. 365 ff.), § 312a Abs. 4 BGB (s. Rz. 371 ff.) sowie § 312a Abs. 5 BGB (s. Rz. 377 ff.) einschlägig. Bei Fernabsatzgeschäften gilt es, § 312d Abs. 1 Satz 2 BGB (s. Rz. 361 ff.) zu beachten. Auf Verbraucherverträge im elektronischen Geschäftsverkehr findet § 312a Abs. 3 Satz 2 BGB (s. 1176 1177 1178 1179 1180
BT-Drs. 17/12637, S. 37. BT-Drs. 17/12637, S. 44. Grüneberg, in: Palandt, § 241a BGB Rz. 4. Toussaint, in: Herberger/Martinek/Rüßmann/Weth (Hrsg.), jurisPK-BGB, § 241a Rz. 9. Grüneberg, in: Palandt, § 241a BGB Rz. 6 f.
Kosmides
585
617
B Rz. 618
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Rz. 481 ff.) Anwendung. Liegen im Einzelfall die tatbestandlichen Begriffsmerkmale verschiedener Vertriebsformen (z.B. Verbraucher- und Fernabsatzvertrag) vor, kommen diese Normen grds. nebeneinander zur Anwendung, sofern keine Normenkollision (zur Auflösung von Normenkollisionen s. Rz. 393) besteht oder sich nicht ein anderes aus dem Gesetz ergibt. 5. Allgemeine Geschäftsbedingungen 5.1 Allgemein – Überblick 618 Die Vertragsbeziehungen im elektronischen Geschäftsverkehr werden auf breiter Front durch die Verwendung von AGB gekennzeichnet.1181 Dies ist in erster Linie darauf zurückzuführen, dass gleichartige Produkte grds. eine gleichartige und einheitliche Vertragsabwicklung erfordern. Eine derartige Vertragsabwicklung setzt gerade die Verwendung von für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen i.S.d. § 305 Abs. 1 Satz 1 BGB, d.h. AGB, voraus. Solche Geschäftsbedingungen werden von der einen Vertragspartei, dem Verwender, der anderen Vertragspartei bei Vertragsabschluss gestellt, § 305 Abs. 1 Satz 1 BGB. Das wesentliche Merkmal von AGB ist darin zu sehen, dass sie einerseits einseitig auferlegt werden und andererseits der Vertragspartner des Verwenders auf ihre Ausgestaltung keinen Einfluss nehmen kann. So gesehen ist von einem „Stellen“ i.S.d. § 305 Abs. 1 Satz 1 BGB auszugehen, wenn die Formularbestimmungen auf Initiative einer Partei oder ihres Abschlussgehilfen in die Verhandlungen eingebracht und ihre Verwendung zum Vertragsschluss verlangt werden.1182 Im Gegensatz dazu entfällt ein „Stellen“ von Vertragsbedingungen, „wenn die Einbeziehung vorformulierter Vertragsbedingungen in einen Vertrag auf einer freien Entscheidung desjenigen beruht, der vom anderen Vertragsteil mit dem Verwendungsvorschlag konfrontiert wird.“.1183
619 Die Verbreitung von AGB hat praktisch dazu geführt, dass die Online-Geschäfte weitgehend standardisiert und deren Inhalt gleichförmig ausgestaltet sind.1184 Diese Standardisierung und Gleichförmigkeit bringen erhebliche Vorteile für den Geschäftsverkehr, insb. den Verwender, mit sich. Insb. wird dadurch die Geschäftsabwicklung rationalisiert, indem ein erheblicher Beitrag zur Minimierung von Kosten und Mühe, die mit der Geschäftsabwicklung verbunden sind, geleistet wird.1185 Andererseits haben AGB eine Schattenseite. Der Anbieter, der AGB verwendet, kann ihren Inhalt einseitig diktieren, woraus sich eine unangemessene Risikoabwälzung zum Nachteil des Kunden ergibt. Damit gehen ein partielles Marktversagen wegen eines Informations- und Motivationsgefälles sowie eine unzureichende Wahrung des Vertragsgerechtigkeitsgedankens einher.1186 Diesen Umständen soll die AGB-Kontrolle nach Maßgabe der §§ 305–310 BGB entgegenwirken. 620 Einer Prüfung unterliegen nicht nur AGB i.R.v. Verbraucherverträgen, d.h. von Verträgen im B2C-Bereich. Bei Verbraucherverträgen ist für den Anwendungsbereich der Kontrolle der den Schutz für Verbraucher erweiternde § 310 Abs. 3 BGB zu beachten. Vielmehr erstreckt sich der Schutzbereich der §§ 305–310 BGB, wenn auch mit Einschränkungen, auch auf die Verwendung von AGB gegenüber Unternehmern. Auf derartige AGB finden aber nach § 310 Abs. 1 Satz 1 BGB die Regelungen in § 305 Abs. 2 und 3 BGB, § 308 Nr. 1, 2–8 BGB und § 309 BGB keine Anwendung.1187 Verträge zwischen Verbrauchern (C2C) werden gleichfalls er-
1181 1182 1183 1184 1185 1186 1187
S.a. Kosmides, Providing-Verträge, S. 267. BGH v. 20.1.2016 – VIII ZR 26/15, CR 2016, 285 (286, Rz. 24). BGH v. 20.1.2016 – VIII ZR 26/15, CR 2016, 285 (Ls. 1). Kosmides, Providing-Verträge, S. 267 f. S.a. Kosmides, Providing-Verträge, S. 267 m.w.N. Ähnlich Grüneberg, in: Palandt, Überbl. v. § 305 BGB Rz. 6 f. Vgl. im Einzelnen Grüneberg, in: Palandt, § 310 BGB Rz. 2 ff.
586
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 624
B
fasst.1188 Für solche Verträge ist der allgemeine Anwendungsbereich der §§ 305–310 BGB, ohne Modifikationen durch Spezialregelungen, maßgeblich.1189 Im Mittelpunkt der AGB-Kontrolle stehen die §§ 307–309 BGB über die Inhaltskontrolle. Hält eine Klausel der Inhaltskontrolle nicht stand, ist sie unwirksam. Eine Inhaltskontrolle ist entbehrlich, wenn die fragliche AGB-Klausel nicht Vertragsinhalt geworden ist.1190 Folgerichtig soll insoweit die Einbeziehungskontrolle nach den § 305 Abs. 2 und 3 BGB (vgl. auch § 305a BGB), § 305b BGB zum Vorrang der Individualabrede sowie § 305c Abs. 1 BGB zu überraschenden Klauseln der Inhaltskontrolle vorausgehen. Ein Verstoß gegen diese Vorschriften hat zur Folge, dass die fragliche AGB-Klausel nicht Vertragsbestandteil wird.
621
Die Gesetzesreihenfolge ist für die Prüfungsreihenfolge nicht maßgeblich. Die Rechtmäßigkeit von AGB ist vielmehr nach folgender Rangordnung zu prüfen: Einbeziehungskontrolle: § 305 Abs. 2 und 3 BGB; § 305b BGB; § 305c BGB. Inhaltskontrolle: § 309 BGB, § 308 BGB, § 307 Abs. 2 BGB und zuletzt § 307 Abs. 1 BGB.
622
In § 306 BGB werden die Rechtsfolgen bei Nichteinbeziehung bzw. Unwirksamkeit geregelt. 623 Die salvatorische Bestimmung in § 306 Abs. 1 BGB sieht vor, dass der Vertrag trotz Nichteinbeziehung oder Unwirksamkeit i.Ü.wirksam bleibt. Nach § 306 Abs. 2 BGB tritt an die Stelle der nichteinbezogenen oder unwirksamen AGB-Klausel das dispositive Gesetzesrecht.1191 Bei unzumutbaren Härtefällen tritt ausnahmsweise nach § 306 Abs. 3 BGB Gesamtnichtigkeit ein. Einzelne Probleme:
624
– Einwilligung in die Verwendung personenbezogener Daten (s. A Rz. 969 ff.) – Einwilligung in Werbung (s. Rz. 829 ff.) – MwSt1192 – Preisangaben, die aufgrund elektronischer Verknüpfung feststellbar sind1193 – laufzeit- und verbrauchsabhängige Preise1194 – Transparenz hinsichtlich Teilleistungen1195 – DSL-Tarife1196 – Ausübung des Widerrufsrechts (insb. Einschränkungen)1197 und Widerrufsfolgen (s. Rz. 297 ff., 317 ff.) – Gestaltung eines Formulars mit dem Eindruck der Kostenfreiheit begründet keinen Zahlungsanspruch1198 – Sichtbare Gestaltung der Zusatzkosten in einer Werbeanzeige1199
1188 1189 1190 1191 1192 1193 1194 1195 1196 1197
S.a. Hoeren, Internetrecht, S. 347. Grüneberg, in: Palandt, Überbl. v. § 305 BGB Rz. 12. Grüneberg, in: Palandt, § 307 BGB Rz. 2; Kosmides, Providing-Verträge, S. 270. Grüneberg, in: Palandt, § 306 BGB Rz. 12. AG Meppen v. 26.7.2004 – 8 C 742/04, CR 2005, 147. OLG Frankfurt v. 12.5.2004 – 6 W 72/04, CR 2005, 343 = ITRB 2005, 136. OLG Hamburg v. 11.3.2004 – 3 U 146/03, CR 2005, 368. OLG Düsseldorf v. 15.2.2005 – I-20 U 119/04, CR 2005, 518. OLG Hamburg v. 10.2.2005 – 5 U 131/04, CR 2005, 521. Vgl. etwa OLG Hamburg v. 20.12.2006 – 5 U 105/06, jur-pc 124/2007 (Ls. 1) = ITRB 2007, 274; LG Düsseldorf v. 17.5.2006 – 12 O 496/05, CR 2006, 858 = ITRB 2007, 12; LG Konstanz v. 5.5.2005 – 8 O 94/05 KfH. 1198 AG Herford v. 15.1.2003 – 12 C 1184/02, MMR 2003, 347. 1199 OLG Celle v. 1.9.2004 – 21 Ss 47/04, MMR 2004, 821 = CR 2005, 274.
Kosmides
587
B Rz. 625
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
– Bei Fernabsatz nur über Link oder erst im Warenkorb genannten Versandkosten fehlt es an Erkennbarkeit1200 – Ungenaue Angabe der Versand- und Nachnahmekosten/Verstoß gegen die Anforderungen an die Preisangabe gem. der PAngV1201 – Angabe der Versandkosten nicht notwendig in unmittelbarem Zshg. mit dem Warenpreis1202 625 Die Verletzung einer AGB-Regel wird i.d.R. als Wettbewerbsverstoß eingestuft und ist damit abmahnfähig.1203 Sie kann ferner zur Begründung von Schadensersatzansprüchen nach §§ 280, 311 BGB führen.1204 5.2 Einbeziehung 5.2.1 Einbeziehungsvereinbarung (§ 305 Abs. 2 BGB) 626 Die Einbeziehung von AGB setzt u.a. voraus, dass der Verwender den Kunden bei Vertragsabschluss ausdrücklich oder, wenn ein ausdrücklicher Hinweis wegen der Art des Vertragsschlusses nur unter unverhältnismäßigen Schwierigkeiten möglich ist, durch deutlich sichtbaren Aushang am Ort des Vertragsschlusses auf die AGB hinweist (§ 305 Abs. 2 Nr. 1 BGB). Bei einem Online-Vertragsschluss muss der Hinweis so gestaltet sein, dass er von einem Durchschnittskunden auch bei flüchtiger Betrachtung nicht übersehen werden kann.1205 627 Nach § 305 Abs. 2 Nr. 2 BGB hat der Verwender dem Kunden die Möglichkeit zu verschaffen, in zumutbarer Weise vom Inhalt der AGB Kenntnis zu nehmen. In Anbetracht von Sinn und Zweck der Regelung muss die Möglichkeit der Kenntnisnahme grds. bestehen, bevor sich der Kunde durch eine auf die Einbeziehung der Allgemeinen Geschäftsbedingungen gerichtete Erklärung bindet, also vor Vertragsschluss.1206 628 Folgende Klausel geht nach dem BGH davon aus, dass die AGB dem Kunden bei Abgabe seiner Vertragserklärung nicht zur Verfügung stehen, sondern ihm erst später mitgeteilt werden, mit der Folge, dass die Voraussetzungen ihrer Einbeziehung nicht vorliegen: „Die Teilnahme an HappyDigits erfolgt auf Grundlage der Allgemeinen Teilnahmebedingungen, die Sie mit Ihrer Karte erhalten und die Sie dann mit Ihrer ersten Aktivität, z.B. Sammeln, anerkennen“.1207
629 Mit Blick auf das Urteil des BGH vom 9.10.2014,1208 das aber zu einer ganz anderen Frage ergangen ist (s. Rz. 626 f.), ist wohl anzunehmen, dass es bei Verträgen, die offline geschlossen werden, nicht zumutbar ist, den Kunden auf die Möglichkeit zu verweisen, AGB online im Internet zu lesen.1209 Ein solcher Verweis genügt grds. nicht den Anforderungen des § 305 Abs. 2 BGB für eine wirksame Einbeziehung.
1200 LG Hamburg v. 27.10.2005 – 327 O 614/05, MMR 2006, 420; OLG Frankfurt v. 6.3.2008 – 6 U 85/07, CR 2008, 741 = MIR 2008, Dok. 181. 1201 LG Hamburg v. 29.10.2012 – 315 O 422/12, MMR 2013, 506. 1202 LG Bielefeld v. 2.6.2006 – 15 O 53/06, MMR 2006, 561 = CR 2006, 857 = ITRB 2007, 7. 1203 Hoeren, Internetrecht, S. 347. 1204 Hoeren, Internetrecht, S. 347. 1205 LG Essen v. 13.2.2004 – 16 O 416/02, MMR 2004, 49. 1206 BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 (90) – Happy Digits. 1207 BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 (90) – Happy Digits. 1208 BGH v. 9.10.2014 – III ZR 32/14, CR 2014, 784 (Ls. 2). 1209 A.A. Härting, Internetrecht Rz. 610.
588
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 635
B
Bei Online-Geschäften ist grds. ein Link ausreichend, die AGB müssen nicht zugleich mit 630 dem Bestellformular aufgerufen werden.1210 Nach dem BGH kann es für die Möglichkeit der Kenntnisverschaffung genügen, wenn bei einer Bestellung über das Internet die AGB des Anbieters „über einen auf der Bestellseite gut sichtbaren Link aufgerufen und ausgedruckt werden können“.1211 Eine Einbeziehung ist hingegen zu verneinen, wenn der Link unverständlich ist1212 oder wenn unklar ist, welche der ins Internet gestellten Vertragsbedingungen auf den Vertrag anwendbar sein sollen.1213 Problematisch ist ferner in Anbetracht der vorausgesetzten Zumutbarkeit der Kenntnisnahme, wenn der Nutzer die Geschäftsbedingungen nur über eine Linkkette erreichen kann.1214 Alllerdings kann allein das Vorhalten von AGB, die über einen Link auf einer Internetseite abrufbar sind, im Einzelfall unzureichend sein. Nach Ansicht des LG Wiesbaden ist es für die Einbeziehung von AGB eines Händlers auf einer Internet-Verkaufsplattform (hier: Amazon), die (nur) über einen Link auf der Internetseite der Verkaufsplattform aufzurufen sind, nicht ausreichend, wenn er seine Kunden bei Vertragsschluss nicht darauf aufmerksam macht, dass der Kaufvertrag nur unter Zugrundelegung der eigenen, bei Amazon abrufbaren AGB zustande kommen soll.1215 In einem solchen Fall fehlt es an den in § 305 Abs. 2 BGB vorgesehehen Anforderungen.
631
Mit § 305 Abs. 2 Nr. 2 BGB wird keine Pflicht begründet, dem Kunden die AGB in Textform (§ 126b BGB; s. Rz. 606 ff.) bereitzustellen.1216 Wird eine Textform von einer anderen Vorschrift (z.B. Art. 246a § 1 Abs. 2 Satz 2 EGBGB) verlangt, ist deren Einhaltung dennoch nicht Voraussetzung für eine wirksame Einbeziehung.1217
632
Nach § 305 Abs. 2 BGB ist für die Einbeziehung der AGB das Einverständnis des Kunden er- 633 forderlich. Auch ein schlüssiges Einverständnis ist ausreichend.1218 Ein solches liegt vor, wenn eine Bestellung über eine Website abgegeben wird, die den Voraussetzungen des § 305 Abs. 2 Nr. 1 und 2 BGB entspricht.1219 Die abweichend von den AGB des Providers erfolgte einseitige Verlängerung der Vertrags- 634 laufzeit eines DSL-Anschlusses durch den Anbieter per E-Mail ist mangels Einbeziehung gem. § 305 BGB unwirksam und irreführend.1220 Bei Internetauktionen sind die Eingabemasken des Betreibers in das Angebot des Anbieters 635 und das Gebot des Kunden schon einbezogen.1221 Das heißt aber nicht zwingend, dass auch 1210 LG Lübeck v. 22.4.2008 – 11 O 9/08, MIR 2008, Dok. 171, unter Hinweis auf BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 zur Anbieterkennzeichnung im Internet. 1211 BGH v. 14.6.2006 – I ZR 75/03, CR 2006, 773 (Ls. 1): Versandauftrag Online mit Link zu den AGB unter Verweis u.a. auf OLG Hamburg v. 13.6.2002 – 3 U 168/00, CR 2002, 915. Der Auszug aus dem „Auftrag“ lautete: „Ihren Versandauftrag erteilen Sie nach den AGB‘s der … GmbH & Co. KG“. Durch Anklicken des unterstrichenen Worts „AGB‘s“ konnten die Allgemeinen Geschäftsbedingungen des Anbieters aufgerufen und ausgedruckt werden; s. auch schon OLG Frankfurt v. 17.4.2001 – 6 W 37/01, CR 2001, 782 m. Anm. Vehslage. 1212 Grüneberg, in: Palandt, § 305 BGB Rz. 36; OLG Hamm v. 14.4.2005 – 4 U 2/05, CR 2005, 666. 1213 Grüneberg, in: Palandt, § 305 BGB Rz. 36. 1214 Härting, Internetrecht, Rz. 606. 1215 LG Wiesbaden v. 21.12.2011 – 11 O 65/11, MMR 2012, 372 (373) m. Anm. Faustmann. 1216 Grüneberg, in: Palandt, § 305 BGB Rz. 36. 1217 Grüneberg, in: Palandt, § 305 BGB Rz. 31. 1218 Grüneberg, in: Palandt, § 305 BGB Rz. 41. 1219 Härting, Internetrecht, Rz. 614. 1220 LG Frankfurt v. 15.12.2005 – 2/03 O 352/05, MMR 2006, 489. 1221 BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 (Ls. 2) m. Anm. Wiebe: Enthält die Eingabemaske für einen Auktionsanbieter eine gesonderte ausdrückliche antizipierte Annahmeerklärung des höchsten Gebots, so wird nach Anklicken der Erklärung bei Freischaltung der Angebotsseite im Rahmen einer Internetauktion eine wirksame Willenserklärung abgegeben, die mit Zugang beim Auktionshaus als Empfangsvertreter wirksam wird.
Kosmides
589
B Rz. 636
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
die AGB des Betreibers für die Parteien verbindlich bereits einbezogen sind.1222 Die Frage ist also, ob die eBay-AGB1223 auch zwischen den Mitgliedern gelten.1224 Der eBay-Anbieter kann selbst seine AGB stellen, wobei darin kein Wettbewerbsverstoß liegt.1225 Sind die gesetzlichen Informationspflichten bereits in den AGB des Plattformbetreibers enthalten, ist eine gesonderte Mitteilung durch den Anbieter wohl entbehrlich. 636 Schwierigkeiten bereiten auf dem Gebiet des M-Commerce die wirksame Einbeziehung von AGB angesichts der geringen Display-Größe und der geringen Kapazität (Stichwort: Kenntnisverschaffung)1226 sowie die transparente Darstellung der AGB.1227 5.2.2 Vorrang der Individualabrede (§ 305b BGB) 637 Nach § 305b BGB haben individuelle Vertragsabreden Vorrang vor AGB. Folgende Klausel in den Beförderungsbedingungen eines Luftfahrtunternehmens verstößt nach Ansicht des OLG Köln1228 gegen § 305b BGB, weil sie so verstanden werden kann, der Kunde sei verpflichtet – unabhängig von einer getroffenen Individualvereinbarung – die gesamte im Flugschein aufgeführte Flugstrecke in Anspruch zu nehmen: „Die vereinbarte Beförderungsleistung umfasst die Beförderungsstrecke, die im Flugschein enthalten ist, beginnend mit dem ersten und endend mit dem letzten Ort der gesamten im Flugschein eingetragenen Streckenführung. Der Flugschein verliert seine Gültigkeit und wird nicht zur Beförderung angenommen, wenn Sie nicht alle Flugcoupons vollständig und in der im Flugschein vorgesehenen Reihenfolge ausnutzten. Die Inanspruchnahme der gesamten Beförderungsleistung ist wesentlicher Bestandteil des mit uns geschlossenen Beförderungsvertrages. Die Kündigung einzelner Teilstrecken (Coupons) ist vertraglich ausgeschlossen.“
638 Der BGH hat in diesem Fall hingegen einen Verstoß § 307 Abs. 1 Satz 1, Satz 2 Nr. 1 BGB angenommen. Der generelle Ausschluss des Rechts eines Kunden, die Beförderungsleistung nur teilweise in Anspruch zu nehmen, benachteiligt den Kunden entgegen von Treu und Glauben unangemessen, weil er mit dem Grundgedanken der gesetzlichen Regelung nicht zu vereinbaren ist.1229 Ein Reisender ist nicht verpflichtet, jeden Flugabschnitt eines gebuchten Rundfluges anzutreten. 5.2.3 Überraschende und mehrdeutige Klauseln (§ 305c BGB) 639 Bestimmungen in AGB, die nach den Umständen, insb. nach dem äußeren Erscheinungsbild des Vertrags, so ungewöhnlich sind, dass der Vertragspartner des Verwenders mit ihnen nicht zu rechnen braucht, sind als überraschend einzustufen und werden gem. § 305c Abs. 1 BGB nicht Vertragsbestandteil. I.d.R. ist eine überraschende Klausel nach den §§ 307 ff. BGB unwirksam, weil die Überraschung aus der Unangemessenheit folgt.1230 640 Manche Angebote suggerieren mit „gratis“, „umsonst“ oder „Null-…“, eine Leistung sei unentgeltlich. Wird z.B. mit „Gratisversand“ von SMS geworben, kann in den AGB nicht 1222 1223 1224 1225 1226 1227
BGH v. 7.11.2001 – VIII ZR 13/01, CR 2002, 213 (Ls. 3) m. Anm. Wiebe. S. http://pages.ebay.de/help/policies/user-agreement.html (Stand [Abruf] 1/2016). Bejahend LG Lübeck v. 22.4.2008 – 11 O 9/08, MIR 2008, Dok. 171. OLG Köln v. 16.5.2008 – 6 U 26/06, MIR 2008, Dok. 178. Zum Scroll-Kasten zu geringer Größe s. OLG Frankfurt v. 9.5.2007 – 6 W 61/07, CR 2008, 124. S. Rössel, ITRB 2006, 235, der Hinweis per Link wäre darstellbar, dazu BGH v. 14.6.2006 – I ZR 75/03, CR 2006, 773. 1228 OLG Köln v. 31.7.2009 – 6 U 224/08, juris Rz. 22 f. = VuR 2009, 437 m. Anm. Purnhagen. 1229 BGH v. 29.4.2010 – Xa ZR 101/09, Rz. 20 ff. = VuR 2010, 312; vgl. auch AG Frankfurt v. 21.2.2006 – 31 C 2972/05; BGH v. 20.7.2006 – I ZB 105/05, NJW 2006, 3010 (Ls. 2): Widerspruch zum gesetzlichen Leitbild des Werkvertrags, wonach der Gläubiger die geschuldete Leistung auch nur teilweise in Anspruch nehmen darf. 1230 BGH v. 28.2.1973 – IV ZR 34/71, BGHZ 60, 243 (245) m.w.N.; Kosmides, Providing-Verträge, S. 270.
590
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 646
B
wirksam hierfür eine Vergütung vorgesehen sein, weil dies überraschend gem. § 305c Abs. 1 BGB ist.1231 Überraschend ist auch eine AGB-Klausel in einem Mobilfunkvertrag über SMS-Dienste, wenn die Preisangabe für die vereinbarte Flatrate bereits im Vertrag erfolgt und der Vertrag keine Erläuterungen über bestehende Funknetzbeschränkungen enthält.1232 Denn ohne solche Erläuterungen kann der Verbraucher davon ausgehen, dass die Flatrate uneingeschränkt für alle Netze gilt.1233 Der im Vertrag enthaltene allgemeine Hinweis auf die AGB und einen Tarifflyer reicht nicht aus.1234
641
In Anbetracht des regelmäßig unentgeltlichen Charakters von Einträgen in ein Branchenver- 642 zeichnis im Internet hat der BGH geurteilt, dass eine Entgeltklausel in einem Antragsformular für einen Grundeintrag in ein Branchenverzeichnis im Internet überraschenden Charakter hat und damit gem. § 305c Abs. 1 BGB nicht Vertragsbestandteil wird, wenn sie nach der drucktechnischen Gestaltung des Antragsformulars so unauffällig in das Gesamtbild eingefügt ist, dass sie von dem Vertragspartner des Klauselverwenders dort nicht vermutet wird.1235 Die Nichterkennbarkeit bzw. Verschleierung der Kostenpflichtigkeit des Dienstes in AGB 643 hat im Allgemeinen regelmäßig überraschenden Charakter und verstößt damit gegen § 305c Abs. 1 BGB.1236 Hierzu gehören auch sog. Internetabofallen.1237 Nach dem BGH kann die Verweisung in einem Einheitspreisvertrag zwischen dem Generalunternehmer (Auftraggeber) und einem Nachunternehmer (Auftragnehmer) auf Bedingungen eines Pauschalpreisvertrags zwischen dem Generalunternehmer und seinem Auftraggeber, die den Werklohn für den Fall der Nichtinanspruchnahme der Leistung beschränken, überrachend gem. § 305c Abs. 1 BGB sein.1238
644
Folgende Klausel in den AGB eines Unternehmers, der auf einer Internetauktionsplattform Autoradios anbietet, verstößt nach Ansicht des KG gegen § 305c BGB und ist zudem nach §§ 3, 4 Nr. 11 UWG a.F. (vgl. § 3a UWG n.F.) unlauter1239:
645
„Technische Änderungen sowie Änderungen in Form, Farbe, und/oder Gewicht bleiben im Rahmen des Zumutbaren vorbehalten.“
Eine Rechtswahlklausel in den AGB eines ausländisches Online-Bezahldiensts mit einem 646 inländischen Verbraucher unterliegt der AGB-Kontrolle.1240 Verwendet ein solcher Anbieter eine Rechtswahlklausel, in der das Recht eines Drittstaates vorgesehen ist, in welchem weder der Diensteanbieter selbst noch der Verbraucher ansässig ist, ist nach LG Hamburg bereits ein Verstoß gegen § 305c Abs. 1 BGB anzunehmen.1241 Eine Klausel in den AGB eines Unternehmens, die auf einen mit einem Verbraucher im Internet abgeschlossenen Vertrag pauschal das Recht des Mitgliedstaats für anwendbar erklärt, in dem das Unternehmen seinen Sitz hat, ist i.S.v. Art. 3 Abs. 1 RL 93/13/EWG missbräuchlich und damit unwirksam, wenn der Verbraucher nicht darauf hingewiesen wird, dass trotz der Wahl des Rechts eines fremden 1231 1232 1233 1234 1235 1236 1237 1238 1239 1240 1241
S. AG Hamm v. 26.3.2008 – 17 C 62/08, MIR 2008, Dok. 156. LG Kiel v. 7.9.2012 – 1 S 25/12, CR 2013, 302 (303) = ITRB 2013, 81. LG Kiel v. 7.9.2012 – 1 S 25/12, CR 2013, 302 (303) = ITRB 2013, 81. LG Kiel v. 7.9.2012 – 1 S 25/12, CR 2013, 302 (303) = ITRB 2013, 81. BGH v. 26.7.2012 – VII ZR 262/11, CR 2012, 598 (Ls.) m. Anm. Ernst = ITRB 2012, 218; vgl. auch LG Saarbrücken v. 6.9.2013 – 10 S 185/12; v. 26.10.2012 – 13 S 143/12, CR 2013, 130; LG Flensburg v. 8.7.2011 – 1 S 71/10; LG Offenburg v. 15.52012 – 1 S 151/11. Vgl. LG Bonn v. 22.8.2012 – 5 S 82/12; LG Berlin v. 21.10.2011 – 50 S 143/10, MMR 2012, 95 (96). S.a. Härting, Internetrecht Rz. 623 m.w.N. aus der Rechtsprechung. BGH v. 12.7.2007 – VII ZR 154/06, CR 2008, 630 = NJW 2007, 3423 (Ls. 2). KG v. 9.11.2007 – 5 W 304/07, GRUR-RR 2008, 131 (Ls. 3). LG Hamburg v. 2.9.2014 – 327 O 187/14, IPRax 2015, 348 (Ls. 1.). LG Hamburg v. 2.9.2014 – 327 O 187/14, IPRax 2015, 348 (juris Ls. 2).
Kosmides
591
B Rz. 647
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Staates zwingende verbraucherschutzrechtliche Vorschriften im Land des Verbrauchers dennoch gelten.1242 647 Eine AGB-Klausel, die im Rahmen eines Vertrags über die Überlassung einer client-serverbasierten Unternehmenssoftware ein Aufspaltungsverbot enthält, ist weder überraschend nach § 305c Abs. 1 BGB noch bedeutet sie eine unangemessene Benachteiligung des Kunden i.S.d. § 307 Abs. 1, 2 BGB.1243 648 Die Beschränkung der Übertragbarkeit des Besuchsrechts, die ein Fußballbundesligaverein seinen Kunden durch die Gestaltung der Eintrittskarten und seine AGB i.R.d. Erstverkaufs der Eintrittskarten für Bundesligaspiele auferlegt, sind nach Ansicht des OLG Hamburg aufgrund der wiederholten öffentlichen Diskussion solcher Weitergabebeschränkungen nicht überraschend i.S.v. § 305c Abs. 1 BGB.1244 649 Eine AGB-Klausel, die eine vom gesetzlichen Regelfall abweichende vertragliche Vereinbarung erfasst, kann nach § 305c BGB nur dann wirksam einbezogen werden, wenn der Kunde dies aufgrund der Gesamtumstände ausreichend deutlich erkennen kann.1245 Ist dies nicht der Fall, ist neben einem Verstoß gegen § 305c BGB auch ein solcher gegen das Transparenzgebot nach § 307 Abs. 1 Satz 2 BGB gegeben.1246 5.3 Inhaltskontrolle 650 Die Generalklausel des § 307 BGB bildet das Kernstück des AGB-Rechts.1247 Nach § 307 Abs. 1 Satz 1 BGB sind AGB unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Gleiches gilt, wenn eine AGB-Klausel gegen das in § 307 Abs. 1 Satz 2 BGB vorgesehene Transparenzgebot verstößt. Nach § 307 Abs. 2 BGB, der der Konkretisierung von § 307 Abs. 1 BGB dient, ist eine AGB-Klausel im Falle einer Unvereinbarkeit mit wesentlichen Grundgedanken der gesetzlichen Regelung (§ 307 Abs. 2 Nr. 1 BGB) oder einer Einschränkung wesentlicher Rechte und Pflichten bei Gefährdung des Vertragszwecks (§ 307 Abs. 2 Nr. 2 BGB) unwirksam. Die Inhaltskontrolle wird durch die Auflistung einer Reihe von Klauselverboten mit Wertungsmöglichkeit (§ 308 BGB) und ohne Wertungsmöglichkeit (§ 309 BGB) komplettiert. 651 Eine Inhaltskontrolle mit der Folge der Unwirksamkeit wird auch außerhalb des AGBRechts vorgesehen. Im B2B-Bereich sowie im Geschäftsverkehr zwischen Unternehmern und öffentlichen Auftraggebern ist der im Zuge der Umsetzung der RL 2011/7/EU (Zahlungsverzugs-Richtlinie)1248 neu geschaffene § 271a BGB1249 zu beachten. Die Vorschrift betrifft – laut amtlicher Überschrift – Vereinbarungen über Zahlungs-, Überprüfungs- oder Abnahmefristen. Dabei sieht § 271a Abs. 1 Satz 1 BGB vor, dass eine Vereinbarung, wonach der Gläubiger die Erfüllung einer Entgeltforderung erst nach mehr als 60 Tagen nach Empfang der Gegenleistung verlangen kann, nur dann wirksam ist, wenn sie ausdrücklich getroffen und im Hinblick auf die Belange des Gläubigers nicht grob unbillig ist. Ist eine Entgeltforderung erst nach Überprüfung oder Abnahme der Gegenleistung zu erfüllen, so ist gem. § 271a Abs. 3 BGB eine Vereinbarung, nach der die Zeit für die Überprüfung oder Abnahme der Gegenleistung mehr als 30 Tage nach Empfang der Gegenleistung beträgt, nur wirksam, wenn
1242 1243 1244 1245 1246 1247 1248
LG Hamburg v. 2.9.2014 – 327 O 187/14; EuGH v. 28.7.2016 – C-191/15, juris (Ls. 2). OLG Karlsruhe v. 27.7.2011 – 6 U 18/10, CR 2011, 641 (Ls. 1) = ITRB 2011, 224. OLG Hamburg v. 13.6.2013 – 3 U 31/10, MMR 2014, 595 (Ls. 1). OLG Hamburg v. 17.2.2010 – 5 W 10/10, MMR 2010, 320 f. OLG Hamburg v. 17.2.2010 – 5 W 10/10, MMR 2010, 320 (321). Wurmnest, in: MüKoBGB, § 307 Rz. 21; Kosmides, Providing-Verträge, S. 269. Richtlinie 2011/7/EU des Europäischen Parlaments und des Rates v. 16.2.2011 zur Bekämpfung von Zahlungsverzug im Geschäftsverkehr (ABl. Nr. L 48 v. 23.2.2011, S. 1). 1249 Gesetzesmaterialien: BT-Drs. 18/1309; BT-Drs. 18/1576; BT-Drs. 18/2037.
592
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 656
B
sie ausdrücklich getroffen und im Hinblick auf die Belange des Gläubigers nicht grob unbillig ist. Nach § 271a Abs. 6 BGB lassen die Regeln in § 271a Abs. 1–3 BGB sonstige gesetzlich an- 652 geordnete Beschränkungen für Vereinbarungen über Zahlungs-, Überprüfungs- oder Abnahmefristen unberührt. Werden die Voraussetzungen dieser Bestimmungen nicht erfüllt, kann sich demnach die Unwirksamkeit einer Vereinbarung über die Zahlungsfrist aus den allgemeinen Regeln ergeben, bei AGB aus § 307, § 308 Nr. 1a und § 308 Nr. 1b BGB.1250 5.3.1 Verbot unangemessener Benachteiligung (§ 307 Abs. 1 und 2 BGB) Beim Kauf mehrerer Artikel von einem Anbieter auf eBay wird der Nutzer bei kundenfeind- 653 licher Auslegung verpflichtet, will er einen Gesamtbetrag anfordern, um Versandkosten zu sparen, eine verbindliche Annahmeerklärung abzugeben, damit die Artikel zu kaufen, bevor ihm die Versandkosten mitgeteilt werden. Dadurch wird der Nutzer entgegen von Treu und Glauben i.S.v. § 307 Abs. 1 Satz 1 BGB unangemessen benachteiligt. Außerdem liegt hierin ein Verstoß gegen das Transparenzgebot (§ 307 Abs. 1 Satz 2 BGB) vor, weil der Kunde beim Kaufentschluss im Unklaren über den gesamten Kaufpreis (Artikelpreis + Versandkosten) ist. Preis- oder Leistungsänderungsvorbehalte sind nur unter bestimmten Bedingungen zulässig, 654 ansonsten u.a. gem. § 307 Abs.1 Satz 1 BGB unwirksam. Nach dem BGH ist eine Preisanpassungsklausel nur dann wirksam, wenn die Preisanhebung von einer Kostenerhöhung abhängig gemacht wird und die einzelnen Kostenelemente sowie deren Gewichtung bei der Berechnung des Gesamtpreises offen gelegt werden, sodass der Kunde bei Vertragsschluss die auf ihn zukommenden Preissteigerungen einschätzen kann.1251 Solche gem. § 307 Abs. 1 Satz 1 BGB unwirksame Klauseln sind i.d.R. auch intransparent (§ 307 Abs. 1 Satz 2 BGB), weil sie die Reichweite der Anpassungsbefugnis des Verwenders nicht hinreichend bestimmen, etwa an eine Preiserhöhung ganz allg. anknüpfen, ohne die Voraussetzungen und den Umfang der Preiserhöhung sowie die Kostenelemente näher zu regeln.1252 Denkbar ist auch ein Verstoß gegen das Klauselverbot in § 308 Nr. 4 BGB (s. auch Rz. 704 ff.).1253 Im Einklang mit seiner Rspr. hat der BGH entschieden, dass eine Preisanpassungsklausel in einem Erdgassondervertrag, wonach sich der Arbeitspreis für die Lieferung von Gas zu bestimmten Zeitpunkten ausschließlich in Abhängigkeit von der vertraglich definierten Preisentwicklung für Heizöl ändert, zulässig ist.1254 Gleiches gilt für eine Preisanpassungsklausel, die den Grundpreis für die Gaslieferung von einem vertraglich bestimmten Lohnpreisindex abhängig macht.1255 Diese Beurteilung ist auf den elektronischen Geschäftsverkehr übertragbar.
655
Als unwirksam wegen Verstoßes gegen § 307 Abs. 1 Satz 1 BGB (ebenso wie gegen § 308 Nr. 5 BGB) wurde etwa folgende Änderungsvorbehaltsklausel gewertet1256:
656
„Entertainment behält sich das Recht vor, sämtliche in dieser Vereinbarung enthaltenen Regeln und Bedingungen jederzeit und nach eigenem Ermessen zu ändern (…), die Höhe von Gebühren oder 1250 Grüneberg, in: Palandt, § 271a BGB Rz. 5. 1251 BGH v. 15.11.2007 – III ZR 247/06, CR 2008, 178 (Rz. 10); v. 11.10.2007 – III ZR 63/07, CR 2008, 104 (105) = ITRB 2008, 57; v. 19.11.2002 – X ZR 253/01, NJW 2003, 746 (747); v. 11.6.1980 – VIII ZR 174/79, NJW 1980, 2518 (2519). 1252 Vgl. BGH v. 15.11.2007 – III ZR 247/06, CR 2008, 178 (179); v. 11.10.2007 – III ZR 63/07, CR 2008, 104 (104) = ITRB 2008, 57. 1253 Vgl. BGH v. 15.11.2007 – III ZR 247/06, CR 2008, 178 (180, Rz. 20 f.); v. 11.10.2007 – III ZR 63/07, CR 2008, 104 (105, Rz. 15 f.) = ITRB 2008, 57. 1254 BGH v. 14.5.2014 – VIII ZR 116/13; vgl. auch BGH v. 14.5.2014 – VIII ZR 114/13. 1255 BGH v. 14.5.2014 – VIII ZR 116/13; vgl. auch BGH v. 14.5.2014 – VIII ZR 114/13. 1256 LG Berlin v. 28.1.2014 – 15 O 300/12, K&R 2014, 284 (286) – World of Warcraft.
Kosmides
593
B Rz. 657
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Kosten für World of Warcraft oder die Grundlagen zu ihrer Festlegung und die Einführung neuer Gebühren oder Kosten für World of Warcraft zu ändern oder zu modifizieren“.
657 Unangemessen und daher unwirksam kann die Befristung der Einlösbarkeit von Geschenkgutscheinen in AGB sein (zum Thema Gutscheine beim Fernabsatz Rz. 78, 327). Maßgeblich ist dabei die dreijährige Verjährungsfrist für entsprechende Ansprüche nach den §§ 195, 199 BGB. So gesehen ist die Beschränkung der Gültigkeitsdauer auf ein Jahr als unangemessene Benachteiligung i.S.v. § 307 Abs. 1 Satz 1, Abs. 2 Nr. 1 BGB anzusehen.1257 Teils wird eine Befristung auf ein Jahr auch für sonstige Gutscheine, die im Internet über eine Plattform erworben wurden (z.B. Groupon-Gutscheine) für unwirksam erklärt.1258 Jedenfalls bei stark reduzierten Preisen ist allerdings eine unangemessene Benachteiligung abzulehnen, und zwar auch dann, wenn eine Gültigkeitsbefristung vorliegt, die deutlich kürzer als ein Jahr ist.1259 Zum Beispiel wurde vom OLG Frankfurt die Befristung der Gültigkeitsdauer einer Bahnfahrkarte auf ca. 11 Wochen als wirksam gewertet.1260 658 Die unterschiedliche Behandlung von Geschenkgutscheinen und Preisnachlassgutscheinen lässt sich dadurch rechtfertigen, dass der Kunde bei Preisnachlassgutscheinen im Unterschied zu den Geschenkgutscheinen dadurch profitiert, dass er das fragliche Produkt zu einem – gegenüber dem regulären Preis – niedrigeren Preis erhält.1261 Ob die jeweilige Verkürzung der Gültigkeitsdauer angemessen ist, hängt insoweit im Einzelfall maßgeblich von der Höhe der Preissenkung ab. Gültigkeitsdauer und Preisnachlass stehen im Verhältnis zu einander. Je größer der Preisnachlass gegenüber dem regulären Preis ist, desto kürzer darf die Gültigkeitsdauer sein. 659 Die AGB-Klausel „Teillieferungen und Teilabrechnungen sind zulässig“ ist gegenüber Verbrauchern nach § 307 Abs. 2 Nr. 1, § 309 Nr. 2 lit. a BGB unwirksam.1262 659a Eine unangemessene Benachteiligung i.S.v. 307 Abs. 2 Nr. 2 BGB hat das LG Potsdam in folgender in einem Mobilfunkvertrag einbezogene AGB-Klausel gesehen1263: „Datenvolumen unbegrenzt; davon mtl. Highspeedvolumen (max. 21,6 Mbit/s) 500 MB (danach GPRS-Speed mit max. 56 Kbit/s)“.
Die vorgesehene Drosselung der Geschwindigkeit um das 500-Fache schränke die wesentliche Pflicht des Mobilfunkanbieters, eine unbegrenzte Datennutzung über einen mobilen Internetzugang bereitzustellen, entgegen Treu und Glauben so ein, dass die Erreichung des Vertragszwecks gefährdet sei. 660 Selbst bei einer kostenlosen Bereitstellung von Online-Diensten kann eine AGB-Klausel infolge einer Inhaltskontrolle für unwirksam erklärt werden.1264 Problematisch ist etwa unter dem Gesichtspunkt der unangemessenen Benachteiligung eine Vereinbarung, nach der der E-Mail-Dienst ohne Frist gekündigt werden kann.1265 Denn dem Nutzer wird nicht die Möglichkeit eingeräumt, seine Daten zu sichern, bevor das Konto gelöscht wird. Wird ein Kundenkonto durch den Anbieter geschlossen, so muss dem Nutzer zuvor die Möglichkeit eingeräumt werden, auf seine im Nutzerkonto vorgehaltenen Daten zuzugreifen und diese ggf. herunterzuladen. 1257 OLG München v. 17.1.2008 – 29 U 3193/07, MMR 2009, 70; vgl. auch LG München v. 5.4.2007 – 12 O 22084/06, K&R 2007, 428. 1258 So AG Köln v. 4.5.2012 – 118 C 48/12. 1259 OLG Frankfurt v. 15.4.2010 – 6 U 49/09, MMR 2010, 535 (Ls. 2); vgl. auch LG Berlin v. 25.10.2011 – 15 O 663/10, juris Rz. 65. 1260 OLG Frankfurt v. 15.4.2010 – 6 U 49/09, MMR 2010, 535 (536). 1261 Vgl. OLG Frankfurt v. 15.4.2010 – 6 U 49/09, MMR 2010, 535 (537). 1262 KG v. 25.1.2008 – 5 W 344/07, GRUR-RR 2008, 308 (Ls. 1). 1263 LG Potsdam v. 14.1.2016 – 2 O 148/14, CR 2016, 472 (Ls. 1). 1264 Vgl. LG Berlin v. 19.11.2013 – 15 O 402/12, (Ls. 2 und 3), CR 2014, 404. 1265 Vgl. aber BGH v. 12.2.2009 – III ZR 179/08, CR 2009, 302 (304 f.).
594
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 665
B
Folgende Bestimmung des Betreibers einer Internetplattform ist insoweit nach § § 307 Abs. 1 Satz 1 BGB unwirksam1266:
660a
„Wir behalten uns das Recht vor, Ihnen Services auf der Webseite vorzuenthalten, Mitgliedskonten zu schließen oder Inhalte zu entfernen oder zu verändern, wenn Sie gegen anwendbare Gesetze, diese Nutzungsbedingungen oder andere anwendbare Vertragsbedingungen oder Richtlinien verstoßen“.
Umfangreiche Rspr. ist zur Wirksamkeit von AGB-Klauseln in Mobilfunkverträgen ergan- 661 gen. Diese Rspr. ist mutatis mutandis auf vergleichbare Bereiche bzw. Sachverhalte übertragbar. Die in einem Produktkatalog enthaltenen Hinweise „Änderungen und Irrtümer vorbehalten“ und „Abbildungen ähnlich“ sind grds. zulässig. Solche Hinweise stellen keine AGB i.S.v. § 305 Abs. 1 Satz 1 BGB dar.1267 Ihnen ist kein vertraglicher Regelungsgehalt, vornehmlich keine Beschränkung der Rechte des Vertragspartners in haftungs- oder gewährleistungsrechtlicher Hinsicht, zu entnehmen.1268 Der BGH hat zwei gängige Klauseln aus AGB von Mobilfunkanbietern für unwirksam er- 662 achtet. Es geht dabei um Pfandklauseln für die SIM-Karte und zusätzliche Gebühren für die Zusendung einer Rechnung in Papierform. Nach ihm ist eine Klausel, wonach für die Überlassung der SIM-Karte ein Betrag in Rechnung gestellt wird, der als „pauschalierter Schadensersatz“ einbehalten wird, sofern der Kunde die Karte nicht innerhalb von drei Wochen nach Vertragsende in einwandfreiem Zustand zurücksendet, unwirksam.1269 Ebenso ist eine Klausel unwirksam, die für die Zusendung einer Rechnung in Papierform eine Extrazahlung vorsieht, wenn der Anbieter den Dienst nicht allein über das Internet vertreibt.1270 Bei einem Online-Tarif ist hingegen folgerichtig eine AGB-Klausel, nach der der Kunde nur eine Online-Rechnung erhält, die im Internet-Portal des Anbieters zur Verfügung gestellt und von ihm abgerufen, heruntergeladen und ausgedruckt werden kann, wirksam.1271
663
Bei einem Prepaid-Mobilfunkvertrag ist eine AGB-Klausel, wonach bei Roamingverbindungen sowie weiteren Mehrwertdiensten die für die Abrechnung erforderlichen Daten verzögert vom Netzbetreiber übermittelt werden können, mit der Folge, dass aufgrund von verzögerten Abbuchungen ein Negativsaldo auf dem Guthabenkonto des Kunden entstehen kann, den dieser auszugleichen hat, unter Wahrung des Transparenzgebots wirksam.1272
664
Unwirksam wegen einer unangemessenen Benachteiligung i.S.v. § 307 Abs. 1 Satz 1 BGB ist 664a eine AGB-Klausel, die eine unangemessene Vertragsstrafe vorsieht. Der BGH bejahte die Unangemessenheit in Bezug auf eine Klausel, die für Vertragsverstöße von erheblich unterschiedlichem Gewicht pauschal ein und denselben Betrag vorgesehen hat.1273 Eine solche Vertragsstrafenklausel hält der Inhaltskontrolle nur dann stand, wenn der Betrag auch in Anbetracht der typischerweise geringsten Vertragsverletzung angemessen ist.1274 Nach dem BGH halten AGB-Klauseln folgenden Inhalts im Rahmen eines Prepaid-Mobil- 665 funkvertrags der Inhaltskontrolle gem. § 307 BGB nicht stand: 1266 1267 1268 1269 1270
1271 1272 1273 1274
OLG Köln v. 26.2.2016 – 6 U 90/15, CR 2016, 458 (460). BGH v. 4.2.2009 – VIII ZR 32/08, CR 2009, 305 (Ls.). BGH v. 4.2.2009 – VIII ZR 32/08, CR 2009, 305 (Ls.). BGH v. 9.10.2014 – III ZR 32/14, CR 2014, 784 (Ls. 1).1); s.a. OLG Schleswig v. 3.7.2012 – 2 U 12/11, MMR 2012, 809 (811); LG Kiel v. 14.5.2014 – 4 O 95/13, MMR 2014, 43. BGH v. 9.10.2014 – III ZR 32/14, CR 2014, 784 (Ls. 2); vgl. auch OLG v. 29.1.2015 – I-6 U 82/14, Ls.: „Vodafone darf kein gesondertes Entgelt für die Erstellung von Papierrechnungen verlangen“; ebenso OLG Düsseldorf v. 29.1.2015 – I-6 U 166/13; OLG München v. 5.2.2015 – 29 U 830/14; AG Kassel v. 4.3.2015 – 435 C 4822/14, CR 2015, 580. BGH v. 16.7.2009 – III ZR 299/08, CR 2009, 710. BGH v. 9.10.2014 – III ZR 33/14, CR 2015, 26 (Ls.). BGH v. 20.1.2016 – VIII ZR 26/15, CR 2016, 285 (Ls. 2). BGH v. 20.1.2016 – VIII ZR 26/15, CR 2016, 285 (Ls. 2).
Kosmides
595
B Rz. 665a
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
– Der Anbieter kann, unabhängig von der Höhe eines Zahlungsrückstandes des Kunden, von ihm die Erbringung einer Kaution oder die Stellung einer Bürgschaft verlangen.1275 – Der Dienst kann unabhängig von der Höhe eines Zahlungsrückstands des Kunden abgesperrt werden.1276 – Der Anbieter kann bei missbräuchlichem Verhalten des Kunden seine Leistung sperren, ohne hinreichend klarzustellen, dass der Kunde die Sperre durch Wiederherstellung seiner Vertragstreue beenden kann.1277 – Dem Kunden, der sein Guthaben innerhalb des auf einen bestimmten Zeitraum befristeten Aktivitätszeitfensters nicht bestimmungsgemäß verbraucht hat, wird nicht ausreichend klargestellt, dass er nach Vertragsende die Möglichkeit hat, vom Diensteanbieter die Auszahlung des Guthabens zu fordern.1278 – Der Anbieter ist berechtigt, den Vertrag unter Abweichung von § 314 Abs. 2 Satz 1 BGB fristlos zu kündigen, ohne dem Kunden zuvor eine angemessene Frist zur Begleichung seiner Forderung zu setzen.1279 – Bei Überschreiten eines bestimmten Kreditlimits kann eine Sperre der Mobilfunkdienstleistung sofort und ohne Ankündigung angeordnet werden.1280 665a Zu einer unangemessenen Benachteiligung des Nutzers führt auch die Übersendung eines Formulars durch den Anbieter nach Kündigung eines Prepaid-Mobilfunkvertrags, nach dem für die Auszahlung des Restguthabens vorausgesetzt wird, dass der Kunde in das Formular das Abschaltdatum und die Restguthabenhöhe einträgt sowie die Original SIM-Karte und eine Kopie des Personalausweises beifügt.1281 666 Folgende Sperrklausel in den AGB eines Mobilfunkvertrags ist unwirksam: „Ist der Kunde mit Zahlungsverpflichtungen in Höhe von mindestens 15,50 Euro in Verzug, kann c. den Mobilfunkanschluss auf Kosten des Kunden sperren“.1282
667 Hingegen sind nach dem BGH wirksam1283: „Der Kunde hat auch die Preise zu zahlen, die durch … unbefugte Nutzung der überlassenen Leistungen durch Dritte entstanden sind, wenn und soweit er diese Nutzung zu vertreten hat.“
und „Nach Verlust der c. Karte hat der Kunde nur die Verbindungspreise zu zahlen, die bis zum Eingang der Meldung über den Verlust der Karte bei c. angefallen sind. Das gleiche gilt für Preise über Dienste, zu denen c. den Zugang vermittelt.“
668 Bei einem Vertrag über einen Festnetzanschluss bedeutet nach dem BGH folgende Kündigungsklausel keine unangemessene Benachteiligung des Kunden i.S.v. § 307 Abs. 1 Satz 1 BGB1284: „Das Vertragsverhältnis ist für beide Vertragspartner zum Schluss eines jeden Werktages kündbar. Die Kündigung muss der zuständigen Niederlassung der X (= Anbieter) oder dem Kunden mindestens sechs Werktage vor dem Tag, an dem sie wirksam werden soll, zugehen. Der Samstag gilt nicht als Werktag“. 1275 1276 1277 1278 1279 1280 1281 1282 1283 1284
BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506. BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506. BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506. BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506. BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506. BGH v. 9.6.2011 – III ZR 157/10, CR 2011, 506. LG Kiel v. 19.5.2015 – 8 O 128/13, CR 2015, 578 (Ls.). BGH v. 17.2.2011 – III ZR 35/10, CR 2011, 300 (Ls. 2). BGH v. 17.2.2011 – III ZR 35/10, CR 2011, 300 (Ls. 1). BGH v. 12.2.2009 – III ZR 179/08, CR 2009, 302 (Ls.).
596
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 675
B
Eine solche Klausel trägt allerdings den Interessen des Nutzers nicht ausreichend Rechnung.
669
Nach Auffassung des LG Berlin bedeutet eine in einem Vertrag über die entgeltliche Nut- 670 zung eines Online-Computerspiels verwendete Klausel, nach der der Kunde nur dann zur fristlosen Kündigung (aus wichtigem Grund) berechtigt ist, wenn der Dienst mehr als drei Tage unterbrochen ist, ohne dass der Provider den Kunden über die Unterbrechung vorab informiert hat, eine unangemessene Benachteiligung des Kunden und ist daher unwirksam (§§ 307 Abs. 1 Satz 1, Abs. 2 Satz 1 i.V.m. § 314 BGB).1285 Eine in den AGB eines Luftverkehrsunternehmens, das fast ausschließlich im Fernabsatz seine Leistungen anbietet, verwendete Klausel über den Ausschluss der Barzahlung kann wirksam sein.
671
Zum Beispiel:1286 „Wegen der erhöhten Sicherheits- und Verwaltungskosten wird von Ryanair kein Bargeld für die Bezahlung von Flugscheinen, die Entrichtung von Gebühren und Kosten für die Beförderung von Übergepäck und Sportausrüstung akzeptiert“.
Hier ist allerdings eine AGB-Klausel, die zusätzliche Gebühren für die Zahlung mit Kreditoder Zahlungskarten vorsieht, i.d.R. unwirksam.
672
Zum Beispiel:1287 „(1) Kreditkartengebühr pro Fluggast und einfachen Flug: 4,00 Euro/4,00 Euro. (2) Zahlkartengebühren pro Fluggast und einfachen Flug: 1,50 Euro/1,50 Euro“.
Unwirksam, weil sie den Kunden gem. § 307 Abs. 1 Satz 1 BGB entgegen Treu und Glauben unangemessen benachteiligt, ist eine Klausel im Teilnehmervertrag für ein Flugprämienprogramm, wonach bei einer Kündigung dieses Vertrags durch das Luftverkehrsunternehmen oder bei Beendigung des Prämienprogramms erworbene und bis dahin innerhalb von fünf Jahren nach Flugdatum gegen Prämienflüge einlösbare Bonuspunkte sechs Monate nach Zugang der Kündigung nicht mehr gültig sind.1288
673
Folgende Gefahrübergangsregelung in den AGB eines Online-Shops eines Möbelhauses, das auf Wunsch des Kunden auch den Aufbau der gekauften Möbel beim Kunden anbietet, verstößt gegen §§ 307 Abs. 1 und 2, 309 Nr. 7 lit. b BGB1289:
674
„§ 4 Versand; Gefahrübergang; Versicherung (1) Wir schulden nur die rechtzeitige, ordnungsgemäße Ablieferung der Ware an das Transportunternehmen und sind für vom Transportunternehmen verursachte Verzögerungen nicht verantwortlich“.
In den AGB von Online-Marktplätzen wird dem Betreiber für den Fall einer Rechtsverletzung durch den Nutzer ein Recht auf Sperrung oder Kündigung eingeräumt (z.B. § 4 der eBay-AGB)1290. Die Sperrung einer eBay-Mitgliedschaft ist auch dann „gerechtfertigt, wenn der Ehepartner des Mitglieds bereits bei eBay gesperrt wurde“.1291 Infolgedessen ist auch die
1285 LG Berlin v. 28.1.2014 – 15 O 300/12, K&R 2014, 284 (Ls. 2) – World of Warcraft. 1286 BGH v. 20.5.2010 – Xa ZR 68/09, CR 2010, 674; KG v. 30.4.2009 – 23 U 243/08, K&R 2009, 498 (500). 1287 BGH v. 20.5.2010 – Xa ZR 68/09, CR 2010, 674; KG v. 30.4.2009 – 23 U 243/08, K&R 2009, 498 (Ls.). 1288 BGH v. 28.1.2010 – Xa ZR 37/09, NJW 2010, 2046. 1289 BGH v. 6.11.2013 – VIII ZR 353/12, CR 2014, 195 (Ls.). 1290 S. http://pages.ebay.de/help/policies/user-agreement.html (Stand [Abruf] 1/2016). 1291 LG Berlin v. 28.12.2004 – 14 O 482/04, CR 2005, 372; KG v. 5.8.2005 – 13 U 4/05, CR 2005, 818 m. Anm. Spindler.
Kosmides
597
675
B Rz. 676
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Neuanmeldung im eigenen Namen ein Umgehungsgeschäft mit der Folge der Sperrung.1292 Es entsteht über die AGB ein Zshg. mit den Bewertungen und deren Qualität. Eine Sperrung wegen zu vieler negativer Bewertungen hat in einem ähnlichen Fall1293 das LG Potsdam1294 bestätigt, ohne dass es darauf ankommt, „ob die negativen Bewertungen berechtigt sind“. Offen bleibt, ob nicht eine Abmahnung – bei Zumutbarkeit – in den AGB vorgeschaltet werden müsste.1295 676 § 4 Nr. 4 der eBay-AGB1296: „eBay kann den Nutzungsvertrag jederzeit mit einer Frist von 14 Tagen zum Monatsende kündigen. Das Recht zur Sperrung bleibt hiervon unberührt“.
677 Die in den AGB vorgesehene Kündigungsfrist des Betreibers von 14 Tagen (der Nutzer kann jederzeit kündigen) ist nicht unangemessen.1297 Diese ordentliche Kündigung ist unabhängig von der evtl. möglichen vorherigen Sperrung.1298 678 Bedenklich können beim Versandhandel sog. Nachbarschaftsklauseln sein. Solche Klauseln werden in den AGB von Logistikunternehmen verwendet. Dadurch bedingt sich der Beförderer aus, eine Lieferung statt an den vertragsmäßigen Empfänger auch an dessen „Nachbarn“ und/oder „Hausbewohner“ zustellen zu dürfen. Hierin kann eine unangemessene Benachteiligung des Kunden gem. § 307 Abs. 1 Satz 1, Abs. 2 BGB liegen.1299 Denkbar ist aber auch ein Verstoß gegen das Transparenzgebot, wenn nicht hinreichend bestimmt wird, wer genau als Ersatzempfänger gelten soll. Die bloße Bezugnahme auf den „Nachbarn“ ist wohl unzureichend.1300 679 Eine Klausel in den AGB des Betreibers eines Kundenbindungs- und Rabattsystems für Verträge mit Verbrauchern über die Teilnahme an dem System, die allein die Einwilligung in die Verwendung von personenbezogenen Daten für die Zusendung von Werbung per Post sowie zu Zwecken der Marktforschung betrifft, unterliegt nach dem BGH nicht der Inhaltskontrolle, weil sie nicht von den Regelungen des BDSG abweicht (§ 307 Abs. 3 Satz 1 BGB).1301 680 Pauschale Buchungskosten in AGB können unzulässig sein. Der BGH hat etwa entschieden, dass die unterschiedslos auf sämtliche Buchungen bezogene Bestimmung in dem Preis- und Leistungsverzeichnis einer Bank „Preis pro Buchungsposten 0,35 Euro“
nach § 307 Abs. 3 Satz 1 BGB kontrollfähig und nach § 307 Abs. 1 Satz 1 BGB gegenüber Verbrauchern unwirksam ist, weil sie zu deren Nachteil von § 675y BGB abweicht.1302 1292 „Sittenwidrigkeit“ der Überlassung eines Internet-Accounts an einen Dritten zwecks Umgehung dessen Sperrung: AG Neumünster v. 3.4.2007 – 31 C 1338/06, CR 2007, 750. 1293 Wie LG Berlin v. 28.12.2004 – 14 O 482/04, CR 2005, 372; KG v. 5.8.2005 – 13 U 4/05, CR 2005, 818. 1294 LG Potsdam v. 21.7.2004 – 2 O 49/04, CR 2005, 380, bestätigt durch OLG Bdb. v. 18.5.2005 – 7 U 169/04, CR 2005, 662. 1295 „Bedenklich, dass der Sperrung des Ehemanns keine Abmahnung vorausging“: KG v. 5.8.2005 – 13 U 4/05, CR 2005, 818 (819), m. Anm. Spindler. S.a. zur Unwirksamkeit von AGB zur sofortigen Sperrung ohne vorherige Maßnahmen bei Mobilfunkvertrag: LG München I v. 21.12.2006 – 12 O 12375/06, CR 2008, 31. 1296 S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). 1297 OLG Bdb. v. 18.5.2005 – 7 U 169/04, CR 2005, 662. 1298 OLG Bdb. v. 18.5.2005 – 7 U 169/04, CR 2005, 662, ansonsten würde das Erfordernis eines wichtigen Grundes zur Voraussetzung der ordentlichen Kündigung (Ls. 2). 1299 Vgl. OLG Köln v. 2.3.2011 – 6 U 165/10; OLG Düsseldorf v. 14.3.2007 – 18 U 163/06, 7MDR 2007, 1268; anders LG Köln v. 18.8.2010 – 26 O 260/10. 1300 OLG Düsseldorf v. 14.3.2007 – 18 U 163/06, 6MDR 2007, 1268; vgl. auch OLG Köln v. 2.3.2011 – 6 U 165/10. 1301 BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 (88) – Happy Digits. 1302 BGH v. 27.1.2015 – XI ZR 174/13 (Ls.).
598
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 686
B
5.3.2 Insb. Transparenzgebot (§ 307 Abs. 1 Satz 2 BGB) Nach § 307 Abs. 1 Satz 2 BGB ist der Verwender entsprechend den Grundsätzen von Treu 681 und Glauben verpflichtet, Rechte und Pflichten des Kunden möglichst klar und verständlich darzustellen (zum Transparenzgebot s.a. Rz. 135 ff.). Dabei wird geboten, dass die Klausel die wirtschaftlichen Nachteile und Belastungen so weit erkennen lässt, wie dies nach den Umständen gefordert werden kann.1303 Das Transparenzgebot ist u.a. für das Kleingedruckte relevant.1304 Auch die Nutzung fremdsprachiger AGB kann unter dem Gesichtspunkt der (fehlenden) Verständlichkeit zur Intransparenz führen.1305
682
Die Preisangaben müssen dem Kunden rechtzeitig im Vorfeld seines Kaufentschlusses die notwendige Klarheit geben. Die Anforderungen an diese Klarheit gehen über die allgemeine Transparenz hinaus. Deshalb gelten strengere Anforderungen als für die allgemeineren Informationen.1306 Dies gilt auch bei SMS, wenn erst nach mehrmaligem Herunterscrollen die Angabe erkennbar wird.1307 Die Klausel
683
„Wenn Sie uns keinen bestimmten Wunsch mitteilen, wird der Wert der Rücksendung Ihrem Kundenkonto gutgeschrieben oder Sie erhalten beim Nachnahmekauf einen Verrechnungsscheck“
in AGB für den Versandhandel verstößt gegen das Transparenzgebot.1308 Der Gesichtspunkt der Transparenz ist bei einer Beschränkung von Online-Angeboten auf Unternehmer-Kunden zu beachten.1309 Eine entsprechende Klausel (z.B. „Wir verkaufen ausschließlich an Gewerbetreibende, ein Widerrufsrecht wird deshalb ausgeschlossen“) mit dem Ziel, die Eröffnung des Anwendungsbereichs der Verbraucherschutzvorschriften mangels vorhandenen Schutzobjekts auszuschließen, kann aufgrund eines versteckten Standorts gegen § 307 Abs. 1 Satz 2 BGB verstoßen und damit unwirksam sein.1310
684
Wird für den Fall der vereinbarten Zahlungsart Vorkasse die Annahme des Vertragsangebots 685 des Kunden in einer AGB-Klausel „zu dem Zeitpunkt, in dem der Kunde Vorkasse leistet“ erklärt, ist diese Klausel unwirksam, weil sie keine klare und verständliche Regelung beinhaltet, mit der der Zeitpunkt der Annahmeerklärung des Kunden festgelegt wird (§§ 307 Abs. 1 Satz 2 BGB).1311 Daneben liegt hierin ein Verstoß gegen § 307 Abs. 2 Nr. 1 BGB, da der Kunde gezwungen wird, den Kaufpreis zu einem Zeitpunkt zu zahlen, in dem noch kein Vertrag zustande gekommen ist.1312 „Die Inhalte der Webseite werden mit größter Sorgfalt erstellt. Dennoch kann keine Garantie für Aktualität und Vollständigkeit übernommen werden.“
Diese Klausel in den AGB eines Online-Shops wurde vom OLG Hamburg als intransparent 686 gem. § 307 Abs. 1 Satz 2 BGB gewertet, weil sie den Kunden darüber im Unklaren lässt, ob
1303 BGH v. 12.3.2014 – IV ZR 295/13, Rz. 23; v. 9.5.2001 – IV ZR 121/00, BGHZ 147, 354 (361 f., 364); v. 9.5.2001 – IV ZR 138/99, BGHZ 147, 373 (377 f., 380); v. 24.3.1999 – IV ZR 90/98, BGHZ 141, 137 (143); v. 8.10.1997 – IV ZR 220/96, BGHZ 136, 394 (401 f.). 1304 Vgl. auch Härting, Internetrecht, Rz. 629. 1305 Härting, Internetrecht, Rz. 632. 1306 OLG Hamburg v. 15.2.2007 – 3 U 253/06, ITRB 2007, 128 in Abgrenzung gegenüber BGH v. 20.7.2006 – I ZR 228/03, CR 2006, 850 m. Anm. Zimmerlich. 1307 LG Hannover v. 21.6.2005 – 14 O 158/04, CR 2006, 529 m. Anm. Müglich. 1308 BGH v. 5.10.2005 – VIII ZR 382/04, CR 2006, 120. 1309 Kahlert/Dovas, ITRB 2014, 285 (286). 1310 Vgl. OLG Hamm v. 28.2.2008 – 4 U 196/07, CR 2008, 539 (Ls.); s.a. Kahlert/Dovas, ITRB 2014, 285 (286 f.) mit dem zusätzlichen Hinweis, dass eine solche Klausel gem. § 305c Abs. 1 BGB bereits nicht Vertragsbestandteil werden kann. 1311 OLG Frankfurt v. 29.8.2012 – 6 W 84/12, CR 2013, 48 f. 1312 OLG Frankfurt v. 29.8.2012 – 6 W 84/12, CR 2013, 48 f.
Kosmides
599
B Rz. 687
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
der Anbieter hiermit eine weitreichende inhaltliche Unverbindlichkeit der präsentierten Angebote erreichen will.1313 687 „UVP“ ist im Verkehr als Abkürzung für eine unverbindliche Herstellerpreisempfehlung bekannt und deshalb kein Verstoß gegen das Irreführungsgebot.1314 Es dürfte demnach auch genügend verständlich i.S. der Klarheit der Informationen und der Verständlichkeit der AGB sein. Bei einem „Internetversandhaus“-Angebot wird der Kunde erwarten, dass die beworbene Ware unverzüglich versandt werden kann, wenn nicht auf das Bestehen einer abweichenden Lieferfrist unmissverständlich hingewiesen wird.1315 688 Der Verkäufer trägt ohnehin die Transportgefahr (§ 474, 447 BGB), weshalb optionale, teurere Angebote, den Versand zu versichern, AGB-rechtlich intransparent und wettbewerbsrechtlich irreführend sind.1316 688a Eine Klausel in den AGB eines Verkäufers, nach der einerseits die Verjährungsfrist für Nachbesserungsansprüche auf 1 Jahr verkürzt wird und andererseits für Schadensersatzansprüche die gesetzliche Verjährungsfrist von 2 Jahren gilt, ist intrasparent und damit unwirksam.1317 5.3.3 Klauselverbote (§§ 308, 309 BGB) 689 Nach Ansicht des LG Hamburg verstößt die von einem Online-Händler verwendete AGBKlausel, wonach die Bindung des Kunden an seinen Antrag nach Ablauf von fünf Tagen ohne Erhalt einer Auftragsbestätigung oder eines Hinweises auf die Auslieferung der Ware bzw. ohne Erhalt der Ware entfällt, gegen § 308 Nr. 1 BGB. Denn sie enthält eine unangemessen lange Frist für die Annahme bzw. Ablehnung des Angebots durch den Anbieter.1318 Unter Berücksichtigung von § 147 Abs. 2 BGB erscheint vielmehr eine zwei-tägige Annahmefrist sachgerecht und zumutbar.1319 690 Auch folgende AGB-Klausel verstößt nach Ansicht des OLG Frankfurt gegen § 308 Nr. 1 BGB, weil der Zeitpunkt der Vertragsannahme nicht hinreichend bestimmt wird1320: „Für den Fall der vereinbarten Zahlungsart Vorkasse erklären wir bereits jetzt und an dieser Stelle die Annahme des Vertragsangebotes des Kunden zu dem Zeitpunkt, in dem der Kunde Vorkasse leistet, wenn die Zahlung innerhalb von 10 Tagen nach Absendung der Bestellung erfolgt.“
691 Eine AGB-Klausel, mit der eine Lieferzeit mit dem Zusatz „in der Regel“ versprochen wird, ist als AGB mangels hinreichender Bestimmtheit (Verbot unklarer Lieferfristen in § 308 Nr. 1 BGB) unwirksam und wettbewerbsrechtlich unlauter.1321 Zum Beispiel: „Übergabe der Ware an den Paketdienst in der Regel 1–2 Tage nach Zahlungseingang“:
1313 OLG Hamburg v. 10.12.2012 – 5 W 118/12, MMR 2013, 505; a.A. LG Hamburg v. 29.10.2012 – 315 O 422/12, MMR 2013, 506 (Ls. 4). 1314 BGH v. 7.12.2006 – I ZR 271/03, CR 2007, 681. 1315 BGH v. 7.4.2005 – I ZR 314/02, CR 2005, 591; s.a OLG Frankfurt v. 10.11.2005 – 1 U 127/05, CR 2006, 195: unwirksame AGB zu Unverbindlichkeit der Lieferfrist, wenn nicht ausnahmsweise der Termin verbindlich und schriftlich zugesagt wird (und einseitigem Änderungsvorbehalt). 1316 A.M. LG Hamburg v. 18.1.2007 – 315 O 457/06, MMR 2007, 461; s. aber LG Frankfurt v. 8.11.2012 – 2-03 O 205/12, CR 2013, 51; LG Bochum v. 10.2.2009 – 12 O 12/09, MMR 2009, 505 (506); LG Saarbrücken v. 15.9.2006 – 7 I O 94/06, WRP 2007, 578 (Ls.); LG Hamburg v. 6.11.2007 – 315 O 888/07. 1317 BGH v. 29.4.2015 – VIII ZR 104/14, CR 2015, 495 (Ls.) m. Anm. Intveen. 1318 LG Hamburg v. 29.10.2012 – 315 O 422/12, MMR 2013, 506 (Ls. 3). 1319 LG Hamburg v. 29.10.2012 – 315 O 422/12, MMR 2013, 506 (Ls. 3). 1320 OLG Frankfurt v. 29.8.2012 – 6 W 84/12, CR 2013, 48 f. 1321 OLG Bremen v. 8.9.2009 – 2 W 55/09, CR 2010, 533 (Ls.); OLG Frankfurt v. 27.7.2011 – 6 W 55/11, CR 2012, 59 (Ls. 1); KG v. 3.4.2007 – 5 W 73/07, CR 2007, 682 (Ls. 1 und 2).
600
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 696
B
„Ein Durchschnittskunde muss ohne Schwierigkeiten und ohne rechtliche Beratung in der Lage sein, das Ende einer in Allgemeinen Geschäftsbedingungen vorgegebenen Lieferfrist selbst zu erkennen und zu berechnen“.1322
Die Formulierung erlaubt keine klare, zweifelsfreie Berechnung, wobei unklar ist, wann ein 692 Regel- und wann ein Ausnahmefall vorliegt. Das Ende der Frist für die Lieferung ist für den Kunden nicht erkennbar.1323 Unwirksam sind unter diesem Gesichtspunkt auch AGB-Klauseln, die den Zusatz „voraussichtlich“ (z.B. „voraussichtliche Versanddauer: 1–3 Werktage“) oder ähnliche relativierende Zusätze (z.B. „gewöhnlich“, „normalerweise“) enthalten.1324 Uneinheitlich ist die Rspr. in Bezug auf die hinreichende Bestimmtheit und damit die Zulässigkeit von „ca.“-Angaben.1325 So hat das OLG München geurteilt, dass die Angabe der Lieferzeit mit „ca. 2–4 Werktage“ ausreichend bestimmt i.S.d. § 308 Nr. 1 BGB ist.1326 Denn aus dieser Angabe ergebe sich auch mit Blick auf Art. 246a § 1 Abs. 1 Nr. 7 EGBGB eine Endfrist für die Lieferung, nämlich spätestens nach vier Tagen.1327 Dies überzeugt kaum, da auch in diesem Fall Unklarheiten für eine taggenaue Bestimmung des Endes der Lieferzeit verbleiben.1328 In diesem Zshg. findet es das KG fraglich, weshalb die Unschärfe von „ca.“Angaben überhaupt toleriert werden soll.1329 LG Frankfurt geht wiederum davon aus, dass zwischen „ca.-Fristen“ und „voraussichtlichen Lieferzeiten“ kein inhaltlicher Unterschied vorhanden ist.1330
693
Die in AGB eines Internetshops enthaltene Klausel
694
„Sollte ein bestimmter Artikel nicht lieferbar sein, senden wir Ihnen in Einzelfällen einen qualitativ und preislich gleichwertigen Artikel (Ersatzartikel) zu.“
stellt einen gemäß § 308 Nr. 4 BGB unzulässigen Änderungsvorbehalt dar. Im Zshg. mit der nachfolgenden Bestimmung „Auch diesen können Sie bei Nichtgefallen innerhalb von 14 Tagen zurückgeben. Sollte ein bestellter Artikel nicht lieferbar sein, sind wir berechtigt, uns von der Vertragspflicht zur Lieferung zu lösen; …“
ist zudem ein Verstoß gegen das Transparenzgebot anzunehmen.1331 Die von App-Anbietern verwendeten Nutzungsbedingungen sind nicht selten in AGB-rechtlicher Hinsicht problematisch.1332 Das LG Frankfurt hat neuerdings eine Reihe von AGBKlauseln für das Samsung-App-Store als unwirksam eingestuft1333:
695
„Die Software, die Sie im Rahmen der Services nutzen, kann Updates von Samsung automatisch herunterladen und installieren. Sie willigen ein, diese Updates im Rahmen der Nutzung des Services anzunehmen und gestatten Samsung die Bereitstellung.“
696
1322 1323 1324 1325 1326 1327 1328 1329 1330 1331 1332 1333
KG v. 3.4.2007 – 5 W 73/07, Rz. 5, CR 2007, 682. KG v. 3.4.2007 – 5 W 73/07, Rz. 6 NJW 2007, 2266 (2267) = CR 2007, 682. Vgl. OLG Bremen v. 5.10.2012 – 2 U 49/12, CR 2012, 798 (Ls. 1). Ausdrücklich offengelassen von OLG Hamm v. 18.9.2012 – I-4 U 105/12, CR 2012, 805 (806). OLG München v. 8.10.2014 – 29 W 1935/14, CR 2015, 199 (Ls.) mit Verweis auf OLG Frankfurt v. 27.7.2011 – 6 W 55/11, CR 2012, 59; OLG Bremen v. 8.9.2009 – 2 W 55/09, CR 2010, 533; a.A. Hoeren, Internetrecht, S. 350. OLG München v. 8.10.2014 – 29 W 1935/14, CR 2015, 199. KG v. 3.4.2007 – 5 W 73/07, 8, CR 2007, 682; im Ergebnis auch Hoeren, Internetrecht, S. 350; a.A. Grüneberg, in: Palandt, § 308 BGB Rz. 8. KG v. 3.4.2007 – 5 W 73/07, 8, CR 2007, 682. LG Frankfurt v. 3.7.2008 – 2-31 O 128/07, juris Rz. 47. BGH v. 21.9.2005 – VIII ZR 284/04, CR 2006, 74; s.a. OLG Frankfurt v. 10.11.2005 – 1 U 127/05, CR 2006, 195: unwirksame AGB zu einseitigem Änderungsvorbehalt. S.a. Baumgartner/Ewald, Apps und Recht, Rz. 63. LG Frankfurt v. 6.6.2013 – 2-24 O 246/12, CR 2013, 744 ff.; zu den AGB von Apple und Google Baumgartner/Ewald, Apps und Recht, Rz. 64 ff.
Kosmides
601
B Rz. 697
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
In dieser Klausel ist ein Verstoß gegen § 308 Nr. 4 BGB zu sehen, weil der Änderungsvorbehalt ohne Rücksicht darauf vereinbart wurde, ob er für den Kunden zumutbar ist. 697 „Samsung kann diese Bedingungen jederzeit ändern.Wenn Änderungen vorgenommen werden, stellt Samsung ein neues Exemplar der STORE Bedingungen ein. Neue Bedingungen werden Ihnen in den Services mitgeteilt“ sowie „Der Lizenzgeber behält sich das Recht vor, die Bedingungen dieser Lizenz durch Aktualisierung der Lizenz auf seiner Website zu revidieren oder Sie per Post oder E-Mail zu informieren.“
Hier liegt ein Verstoß gegen §§ 308 Nr. 4, 307 BGB vor, da ein versteckter Änderungsvorbehalt des Anbieters vorliegt, der generalisierend für alle Klauseln gilt und nicht auf das nachträgliche Entstehen von Äquivalenzstörungen oder Regelungslücken beschränkt ist, weshalb er u.a. inhaltlich unbestimmt ist. 698 „Samsung kann die Services ganz oder teilweise einstellen. Wir behalten uns das Recht vor, die Services jederzeit einzustellen oder zu ändern.“
Diese Klausel verstößt gegen § 308 Nr. 4 BGB wegen Unvereinbarkeit des Vorbehalts der Einstellung der Dienste mit dem Leitbild eines entgeltlichen Vertrags. 699 „Bei einfacher Fahrlässigkeit haften wir nur für den typischerweise vorhersehbaren Schaden.“ Hier ist ein Verstoß gegen § 309 Nr. 7 lit. a BGB anzunehmen, weil bei verbraucherfeindlicher Auslegung nicht deutlich wird, dass die Beschränkung sich nicht auf Körperschäden beziehen soll. 700 „Vorbehaltlich der Abs. 6.1 und 6.2 ist die Gesamthaftung des Lizenzgebers unter dieser Lizenz auf den Preis, den Sie für die Applikationsnutzung zahlen, oder auf 50,– Euro beschränkt, wobei der höhere Wert maßgeblich ist.“
Hier ist ein Verstoß gegen § 309 Nr. 7 lit. a und b BGB vorhanden, weil die Haftungsbeschränkung dem Kunden nicht klarstellt, dass sie nicht für Personenschäden gilt. 701 „Sie erkennen an, dass die Bestimmungen von Ziff. 6 im Verhältnis zu den Gebühren der Applikation angemessen sind und dass Sie dieses Risiko entsprechend übernehmen bzw. versichern.“
Hier verstößt das Anerkenntnis des Kunden, dass eine (eingeschränkte) Entschädigung in einem angemessenen Verhältnis in dem für die Nutzung der Applikation gezahlten Betrag steht, gegen §§ 307 Abs. 1, 308 Nr. 5, 309 Nr. 7 BGB u.a. deshalb, weil dieses Anerkenntnis eine Erklärungsfiktion darstellt, die ohne Beachtung der gesetzlichen Voraussetzungen erfolgte. 702 „Wenn Sie die Services von Samsung nach Eintritt der Änderungen nutzen, gilt dies als Anerkennung der aktualisierten Bedingungen durch Sie.“ sowie „Die fortgesetzte Nutzung der Lizenz durch Sie gilt als Annahme der revidierten Bedingungen.“
Die obige Zustimmungsfiktion zu Änderungen der AGB verstößt gegen § 308 Nr. 5 BGB, da dem Kunden keine Frist zur Abgabe einer ausdrücklichen Zustimmungserklärung eingeräumt wird. 703 „Im Gegenzug willigen Sie ein, dass Samsung in den Services Werbung schalten kann.“ Diese Klausel verstößt gegen § 4a BDSG, § 12 f. TMG und § 7 Abs. 2 UWG, weil die Einwilligung in die Werbung (s. Rz. 829 ff.) nicht in hervorgehobener Form erfolgt ist, der Verbraucher nicht darüber informiert wird, welchen Datennutzungsprozessen er damit zustimmt und die Werbung nicht auf vom Anbieter angebotene Produkte beschränkt ist. 704 Einen gem. § 308 Nr. 4 BGB unzulässigen Änderungsvorbehalt stellen – neben Preis- und Leistungsanpassungsklauseln (s. Rz. 654 f.) – sog. Ersatzlieferungsklauseln in Bezug auf
602
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 710
B
gleichwertige Produkte dar. Zum Beispiel ist folgende AGB-Klausel nach dem BGH unwirksam:1334 „Sollte ein bestimmter Artikel nicht lieferbar sein, senden wir Ihnen in Einzelfällen einen qualitativ und preislich gleichwertigen Artikel (Ersatzartikel) zu.“
In einer Klausel in den AGB eines Luftfahrtunternehmens, die für den Fall einer Rücklast- 705 schrift eine Bearbeitungsgebühr von 50 Euro pro Buchung vorsieht, ist eine nach § 309 Nr. 5 Alt. 1 lit. a BGB unwirksame Schadenspauschalierung zu sehen.1335 Genauso ist folgende AGB-Klausel eines Online-Reiseportals zu beurteilen: „Sollte es zu einem unberechtigten Zurückhalten bzw. einer unberechtigten Rückgängigmachung einer Zahlung (Lastschriftrückgabe/Rückgabe einer Kreditkartenzahlung/etc.) durch Sie kommen, so erhebt (X) … hierfür für jeden Fall eine Gebühr i.H.v. bis zu 50,– Euro.“1336
Die Klausel in den Versteigerungsbedingungen eines Auktionshauses, wonach der Käufer ge- 706 gen das Auktionshaus keine Einwendungen oder Ansprüche wegen Sachmängeln erheben kann, ist unwirksam, weil der darin enthaltene Gewährleistungsausschluss gegen § 309 Nr. 7 lit. a BGB verstößt.1337 AGB-Klauseln, die die Kenntnisnahme bestätigen (z.B. „Ich habe die AGB gelesen und verstanden und bin mit der Geltung der AGB einverstanden.“), sind nach Härting zu vermeiden, weil sie gegen das Klauselverbot in § 309 Nr. 12 lit. b BGB verstoßen.1338
707
Eine Regelung, gleichgültig ob in AGB oder individualvertraglich vereinbart, die eine Rügepflicht bei offensichtlichen Mängeln im B2C-Bereich postuliert, verstößt gegen §§ 475 Abs. 1, 437 BGB, denn sie weicht zulasten des Verbrauchers vom geltenden Recht ab und schränkt die Mängelrechte zum Nachteil des Verbrauchers ein.1339
708
Die Verkürzung der gesetzlichen Verjährungsfrist für Gewährleistungsansprüche des Käufers mittels AGB ist wegen Verstoßes gegen § 309 Nr. 7 lit. a und b BGB unwirksam.1340 Im Rahmen eines Verbrauchsgüterkaufs ist die Verkürzung der Gewährleistungsfrist auf weniger als zwei Jahre (auch) in Bezug auf nicht gebrauchte B-Ware nach § 475 Abs. 2 BGB unzulässig.1341 Die Vorschrift bezieht sich auf alle vertraglichen Vereinbarungen, also sowohl auf individualvertragliche Regelungen als auch – erst recht – auf AGB. Bei der Beurteilung, ob eine Sache gebraucht ist, kommt es entscheidend darauf an, ob diese bereits ihrem gewöhnlichen Verwendungszweck zugeführt, mithin tatsächlich gebraucht wurde.1342
709
Der Verwender von AGB darf nicht die elektronische Form als Ersatz für die Schriftform ausschließen. Eine entsprechende Klausel, die mit Ausnahme des Fax-Versands die elektronische Form ausschließt und damit die gesetzlich vorgesehenen Möglichkeiten zur Wahrung der Schriftform einschränkt, wurde vom OLG München unter Geltung des § 309 Nr. 13 BGB a.F. für unwirksam erachtet.1343
710
1334 BGH v. 21.9.2005 – VIII ZR 284/04, CR 2006, 74; LG Hamburg v. 5.9.2003 – 324 O 224/03, CR 2004, 136 (Ls. 2) m. Anm. Föhlisch. 1335 BGH v. 17.9.2009 – Xa ZR 40/08, MIR 2009, Dok. 227; s.a. Hoeren, Internetrecht, S. 350. 1336 LG Leipzig v. 30.4.2015 – 08 O 2084/14, MMR 2015, 518. 1337 BGH v. 9.10.2013 – VIII ZR 224/12, NJW 2013, 3570 (3571). 1338 Härting, Internetrecht, Rz. 617 unter Verweis auf BGH v. 28.3.1996 – III ZR 95/95, NJW 1996, 1819; LG München I v. 14.8.2003 – 12 O 2393/03, CR 2004, 221 (224). 1339 Vgl. OLG Hamm v. 24.5.2012 – I-4 U 48/12, MMR 2012, 594 (Ls. 3); LG Hamburg v. 5.9.2003 – 324 O 224/03, CR 2004, 136 (Ls. 1) m. Anm. Föhlisch; LG Frankfurt v. 9.3.2005 – 2-02 O 341/04, juris Os. 3, WRP 2005, 922. 1340 BGH v. 15.11.2006 – VIII ZR 3/06, CR 2007, 351 (Ls. 1); s.a. Hoeren, Internetrecht, S. 350. 1341 OLG Hamm v. 16.1.2014 – 4 U 102/13, CR 2014, 617; vgl. auch LG Essen v. 12.6.2013 – 42 O 88/12. 1342 OLG Hamm v. 16.1.2014 – 4 U 102/13, CR 2014, 617. 1343 OLG München v. 9.10.2014 – 29 U 857/14, CR 2015, 50 (Ls.).
Kosmides
603
B Rz. 711
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
6. Internationale Zuständigkeit und anwendbares Recht – Online-Streitbeilegung 711 Aufgrund des länderübergreifenden Charakters der Telemedien, darunter speziell auch des Internet, ergeben sich auf dem Gebiet des elektronischen Geschäftsverkehrs zahlreiche Fragen betreffend die internationale Zuständigkeit deutscher Gerichte sowie das von deutschen Gerichten auf Sachverhalte mit Auslandsberührung anwendbare materielle Recht. 712 Die Zuständigkeit deutscher Gerichte für die rechtliche Überprüfung von länderübergreifenden Streitigkeiten im Online-Bereich ergibt sich aus dem autonomen deutschen internationalen Zuständigkeitsrecht, sofern nicht europäische oder staatsvertragliche Spezialregelungen einschlägig sind.1344 Autonomes deutsches internationales Zuständigkeitsrecht ist insofern anwendbar, wenn der Beklagte seinen Wohnsitz nicht in einem EU-Mitgliedstaat oder EFTA-Staat (mit Ausnahme von Liechtenstein)1345 hat.1346 In diesem Fall lässt sich die internationale Zuständigkeit mittelbar aufgrund einer „stillschweigenden Verweisung“ auf die Regelungen der örtlichen Zuständigkeit deutscher Gerichte in der ZPO bestimmen.1347 Die internationale Zuständigkeit deutscher Gerichte ist i.d.R. zu bejahen, wenn ein deutsches Gericht örtlich zuständig ist.1348 Hat der Beklagte hingegen seinen Wohnsitz innerhalb der EU, ist die Verordnung Nr. 1215/2012 (EuGVVO n.F.)1349 maßgeblich.1350 Es handelt sich um eine Neufassung der bis zum 10.1.2015 geltenden Verordnung Nr. 44/2001 (EuGVVO a.F.). Die EuGVVO n.F. ist am 10.1.2015 in Kraft getreten. Im Verhältnis zu den EFTA-Staaten (Island, Norwegen, Schweiz, jedoch nicht Liechtenstein) gilt das Lugano-Übereinkommen.1351 713 Bei Online-Verträgen mit Auslandsbezug bestimmen die Art. 3 ff. EGBGB das anwendbare Recht.1352 Dem deutschen IPR geht allerdings die Rom I-VO1353 in ihrem Anwendungsbereich vor (Art. 3 Nr. 1 lit. b EGBGB). Für den internationalen Warenkauf zwischen Unternehmern gilt das in der CISG1354 normierte UN-Kaufrecht. Es fällt unter Art. 3 Nr. 2 EGBGB und genießt dabei gleichfalls Vorrang vor dem EGBGB. Nach Art. 25 Abs. 1 Rom I-VO geht das UN-Kaufrecht der Rom I-VO vor.1355 Im europäischen Binnenmarkt gilt es auch das Herkunftslandprinzip zu beachten (s. Rz. 55). 714 Viele Online-Shops richten sich (gleichfalls) auf ausländische Verbraucher aus. In diesem Fall kann der Shopbetreiber nach Art. 17 Abs. 1 lit. c i.V.m. Art. 18 Abs. 1 Alt. 2 VO (EU) Nr. 1215/2012 (früher: Art. 15 Abs. 1 lit. c i.V.m. Art. 16 Abs. 1 2. Alt. VO (EG) Nr. 44/2001) im Wohnsitzmitgliedstaat des Verbrauchers verklagt werden. Insofern ist in diesem Zshg. von besonderer Bedeutung, wann sich ein Shop (auch) auf das Ausland ausrichtet. Nach dem EuGH hängt die Frage, ob ein Unternehmer, dessen Tätigkeit auf einer Website dargestellt wird, als ein Unternehmer gilt, der seine Tätigkeit auf den Wohnsitzstaat des Verbrauchers i.S.v. Art. 15 Abs. 1 lit. c VO (EG) Nr. 44/2001 „ausrichtet“ (entspricht: Art. 17 Abs. 1 lit. c 1344 Ausführlich dazu Banholzer, in: Hoeren/Sieber/Holznagel, Teil 25 insb. Rz. 16 ff. (42. EL Stand 6/2015). 1345 Vgl. BGH v. 28.6.2007 – I ZR 49/04, CR 2007, 655 (Rz. 21) – Cambridge Institute. 1346 S.a. Hoeren, Internetrecht, S. 508. 1347 Vgl. auch Hoeren, Internetrecht, S. 508. 1348 BGH v. 28.6.2007 – I ZR 49/04, CR 2007, 655 (Rz. 21) – Cambridge Institute. 1349 Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates v. 12.12.2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivilund Handelssachen (ABl. Nr. L 351 v. 20.12.2012, S. 1). 1350 Vgl. Banholzer, in: Hoeren/Sieber/Holznagel, Teil 25 Rz. 16 f. (42. EL Stand 6/2015). 1351 Luganer Übereinkommen über die gerichtliche Zuständigkeit und die Vollstreckung gerichtlicher Entscheidungen in Zivil- und Handelssachen (LugÜ) vom 16.9.1988. S.a. Banholzer, in: Hoeren/Sieber/Holznagel, Teil 25 Rz. 19 (42. EL Stand 6/2015). 1352 S.a. Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 251 (37. EL Stand 1/2014). 1353 Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates v. 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (ABl. Nr. L 177 v. 4.7.2008, S. 6). 1354 United Nations Convention on Contracts for the International Sale of Goods v. 11.4.1980 (BGBl. 1989 II, S. 588), in Kraft getreten in der Bundesrepublik Deutschland am 1.1.1991. 1355 S.a. Kitz, in: Hoeren/Sieber/Holznagel, Teil 13.1 Rz. 255 (37. EL Stand 1/2014).
604
Kosmides
E-Commerce-Vertragsrecht (Teil 2): Vertragsschluss – Wirksamkeit – AGB
Rz. 716a
B
VO (EU) Nr. 1215/2012), davon ab, ob vor einem möglichen Vertragsschluss mit dem Verbraucher aus dieser Website und der gesamten Tätigkeit des Unternehmers folgt, dass dieser mit Verbrauchern, die in einem oder mehreren Mitgliedstaaten, darunter dem Wohnsitzstaat des Verbrauchers, wohnhaft sind, derart Geschäfte zu tätigen beabsichtigte, dass er zu einem Vertragsschluss mit ihnen bereit war.1356 Die bloße Zugänglichkeit der Website im Wohnsitzland des Verbrauchers reicht nicht aus.1357 Der Gerichtshof hat dabei eine nicht erschöpfende Liste von Indizien für die internationale Ausrichtung einer gewerblichen Online-Tätigkeit aufgestellt. Es geht im Einzelnen um1358:
715
– den internationalen Charakter der Tätigkeit; – die Angabe von Anfahrtsbeschreibungen von anderen Mitgliedstaaten aus zu dem Ort, an dem der Gewerbetreibende niedergelassen ist; – die Verwendung einer anderen Sprache oder Währung als der in dem Niederlassungsort des Unternehmers üblicherweise verwendeten Sprache oder Währung mit der Möglichkeit der Buchung und Buchungsbestätigung in dieser anderen Sprache; – die Angabe von Telefonnummern mit internationaler Vorwahl; – die Tätigung von Ausgaben für einen Internetreferenzierungsdienst, um in anderen Mitgliedstaaten wohnhaften Verbrauchern den Zugang zur Website des Unternehmers oder seines Vermittlers zu erleichtern; – die Verwendung eines anderen Domainnamens oberster Stufe als desjenigen des Staats der Niederlassung des Unternehmens und – die Erwähnung einer internationalen Kundschaft, die sich aus in verschiedenen Mitgliedstaaten wohnhaften Kunden zusammensetzt. Im Anschluss an den EuGH1359 hat der BGH entschieden, dass für die Begründung der internationalen Gerichtszuständigkeit nach Art. 15 Abs. 1 lit. c VO (EG) Nr. 44/2001 (nunmehr: Art. 17 Abs. 1 lit. c VO (EU) Nr. 1215/2012) nicht tatbestandlich vorausgesetzt wird, dass der Vertrag zwischen Verbraucher und Unternehmer im Fernabsatz geschlossen wurde.1360 Auch muss das zum Ausrichten der beruflichen oder gewerblichen Tätigkeit auf den Wohnsitzmitgliedstaat des Verbrauchers eingesetzte Mittel i.S.v. Art. 17 Abs. 1 lit. c VO (EU) Nr. 1215/2012 nicht kausal für den Vertragsschluss mit diesem Verbraucher sein.1361
716
In Umsetzung der RL 2013/11/EU wurde am 19.2.2016 das VSBG (Verbraucherstreitbeile- 716a gungsgesetz) erlassen. Dieses Gesetz, das überwiegend am 1.4.2016 in Kraft getreten ist, regelt die außergerichtliche Beilegung von Streitigkeiten durch die Anerkennung bzw. Schaffung entsprechender Streitbeilegungsstellen.1362 Das vorgesehene Streitbeilegungsverfahren gilt für Streitigkeiten zwischen Unternehmern und Verbrauchern. Nach § 4 Abs. 1 Satz 1 VSBG führt die Verbraucherschlichtungsstelle auf Antrag eines Verbrauchers Verfahren zur Beilegung von Streitigkeiten aus einem Verbrauchervertrag nach § 310 Absatz 3 BGB oder über das Bestehen eines solchen Vertragsverhältnisses durch.
1356 1357 1358 1359 1360
EuGH v. 7.12.2010 – C-585/08 und C-144/09, CR 2011, 108 (Ls. 2) – Pammer und Alpenhof. EuGH v. 7.12.2010 – C-585/08 und C-144/09, CR 2011, 108 (113) – Pammer und Alpenhof. EuGH v. 7.12.2010 – C-585/08 und C-144/09, CR 2011, 108 (113) – Pammer und Alpenhof. EuGH v. 6.9.2012 – C-190/11, CR 2012, 670 (Ls.) – Mühlleitner/Yusufi. BGH v. 24.4.2013 – XII ZR 10/10, CR 2012, 326; vgl. auch LG Saarbrücken v. 17.1.2014 – 5 S 68/12. 1361 EuGH v. 17.10.2013 – C-218/12, CR 2014, 408 noch zu Art. 15 Abs. 1 lit. c VO (EG) Nr. 44/2001; vgl. auch LG Saarbrücken v. 17.1.2014 – 5 S 68/12. 1362 Vgl auch Lederer, CR 2015, 380 ff.; zur alternativen Streitbeilegung für Domainnamen nach dem Uniform Rapid Suspension System Müller, CR 2016, 446 ff.
Kosmides
605
B Rz. 716b
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
716b Ergänzt wird das VSBG durch die ODR-Verordnung (Verordnung (EU) Nr. 524/2013).1363 Aufgrund dieser Verordnung wurde eine europäische Online-Streitbeilegungsplattform (OSPlattform) durch die EU-Kommission eingerichtet (vgl. Art. 5 ODR-Verordnung).1364 Diese Plattform soll eine unabhängige, unparteiische, transparente, effektive, schnelle und faire außergerichtliche digitale Beilegung von Streitigkeiten über vertragliche Verpflichtungen aus Online-Verträgen zwischen in der Union wohnhaften Verbrauchern und in der Union niedergelassenen Unternehmern ermöglichen (Art. 1, 2 Abs. 1 ODR-Verordnung). Die einzelnen Schritte des Streitbeilegungsverfahrens ergeben sich aus Art. 8-10 ODR-Verordnung.1365 Der gerichtliche Rechtsweg wird durch die Durchführung des außergerichtlichen Online-Streitbeilegungsprozesses nicht ausgeschlossen.1366
V. E-Werbung und weitere geschäftliche Handlungen 1. Allgemeines 717 Werbung (zum Begriff A Rz. 1028) im Online-Bereich ist in den letzten beiden Jahrzehnten weit gediehen. Sie nimmt gerade angesichts der verstärkten Nutzung von Informations- und Kommunikationstechnologien sowie der ständigen Verbreitung des Internet zu. Die Grundregeln lauterer Werbung finden sich im UWG.1367 718 Das UWG hat neuerdings weitreichende Änderungen erfahren. Die wichtigsten Gesetzesänderungen wurden durch das Zweite Gesetz zur Änderung des Gesetzes gegen unlauteren Wettbewerb v 2.12.20151368 herbeigeführt. Sie sind am 10.12.2015 in Kraft getreten. Die Neuregelungen sind ohne Übergangsfrist sofort anwendbar. Die Rede ist von der UWG-Novelle 2015.1369 Ziel der Novelle ist, eine verbesserte Umsetzung der RL 2005/29/EG1370 zu erreichen.1371 Das UWG wurde zuletzt durch das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts v. 17.2.20161372 geändert. Damit wurde § 8 UWG mit Wirkung v. 24.2.2016 neu gefasst. 719 Die UWG-Regeln sind im Lichte der in § 1 UWG verankerten Schutzzwecktrias, nämlich – Schutz der Mitbewerber vor unlauteren geschäftlichen Handlungen, – Schutz der Verbraucher und sonstigen Marktteilnmer vor unlauteren geschäftlichen Handlungen und – Schutz der Allgemeinheit vor verfälschtem Wettbewerb, zu interpretieren und anzuwenden. 720 Die UWG-Regeln sind grds. für jede für den deutschen Markt bestimmte und sich auf diesem Markt auswirkende Werbung einschlägig, wobei ihre Anwendung gemäß dem Markt1363 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 416.2; Lederer, CR 2015, 380 (382). 1364 https://webgate.ec.europa.eu/odr/main/index.cfm?event=main.home.chooseLanguage (Stand (Abruf) 8/2016). 1365 Vgl. im Einzelnen Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 416.4. 1366 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 416.5. 1367 Härting, Internetrecht, Rz. 1398. 1368 BGBl. I, 2158. 1369 Zu einer Übersicht über die Neuregelungen Köhler/Bornkamm/Köhler, UWG, Einl. Rz. 2.29 ff. 1370 Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11.5.2005 über unlautere Geschäftspraktiken im binnenmarktinternen Geschäftsverkehr zwischen Unternehmen und Verbrauchern und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates (Richtlinie über unlautere Geschäftspraktiken) (ABl. Nr. L 149 v. 11.6.2005, S. 22). 1371 S.a. Köhler/Bornkamm/Köhler, UWG, Einl. Rz. 2.28. 1372 BGBl. I, S. 233.
606
Kosmides
B Rz. 716b
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
716b Ergänzt wird das VSBG durch die ODR-Verordnung (Verordnung (EU) Nr. 524/2013).1363 Aufgrund dieser Verordnung wurde eine europäische Online-Streitbeilegungsplattform (OSPlattform) durch die EU-Kommission eingerichtet (vgl. Art. 5 ODR-Verordnung).1364 Diese Plattform soll eine unabhängige, unparteiische, transparente, effektive, schnelle und faire außergerichtliche digitale Beilegung von Streitigkeiten über vertragliche Verpflichtungen aus Online-Verträgen zwischen in der Union wohnhaften Verbrauchern und in der Union niedergelassenen Unternehmern ermöglichen (Art. 1, 2 Abs. 1 ODR-Verordnung). Die einzelnen Schritte des Streitbeilegungsverfahrens ergeben sich aus Art. 8-10 ODR-Verordnung.1365 Der gerichtliche Rechtsweg wird durch die Durchführung des außergerichtlichen Online-Streitbeilegungsprozesses nicht ausgeschlossen.1366
V. E-Werbung und weitere geschäftliche Handlungen 1. Allgemeines 717 Werbung (zum Begriff A Rz. 1028) im Online-Bereich ist in den letzten beiden Jahrzehnten weit gediehen. Sie nimmt gerade angesichts der verstärkten Nutzung von Informations- und Kommunikationstechnologien sowie der ständigen Verbreitung des Internet zu. Die Grundregeln lauterer Werbung finden sich im UWG.1367 718 Das UWG hat neuerdings weitreichende Änderungen erfahren. Die wichtigsten Gesetzesänderungen wurden durch das Zweite Gesetz zur Änderung des Gesetzes gegen unlauteren Wettbewerb v 2.12.20151368 herbeigeführt. Sie sind am 10.12.2015 in Kraft getreten. Die Neuregelungen sind ohne Übergangsfrist sofort anwendbar. Die Rede ist von der UWG-Novelle 2015.1369 Ziel der Novelle ist, eine verbesserte Umsetzung der RL 2005/29/EG1370 zu erreichen.1371 Das UWG wurde zuletzt durch das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts v. 17.2.20161372 geändert. Damit wurde § 8 UWG mit Wirkung v. 24.2.2016 neu gefasst. 719 Die UWG-Regeln sind im Lichte der in § 1 UWG verankerten Schutzzwecktrias, nämlich – Schutz der Mitbewerber vor unlauteren geschäftlichen Handlungen, – Schutz der Verbraucher und sonstigen Marktteilnmer vor unlauteren geschäftlichen Handlungen und – Schutz der Allgemeinheit vor verfälschtem Wettbewerb, zu interpretieren und anzuwenden. 720 Die UWG-Regeln sind grds. für jede für den deutschen Markt bestimmte und sich auf diesem Markt auswirkende Werbung einschlägig, wobei ihre Anwendung gemäß dem Markt1363 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 416.2; Lederer, CR 2015, 380 (382). 1364 https://webgate.ec.europa.eu/odr/main/index.cfm?event=main.home.chooseLanguage (Stand (Abruf) 8/2016). 1365 Vgl. im Einzelnen Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 416.4. 1366 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 4.2 Rz. 416.5. 1367 Härting, Internetrecht, Rz. 1398. 1368 BGBl. I, 2158. 1369 Zu einer Übersicht über die Neuregelungen Köhler/Bornkamm/Köhler, UWG, Einl. Rz. 2.29 ff. 1370 Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11.5.2005 über unlautere Geschäftspraktiken im binnenmarktinternen Geschäftsverkehr zwischen Unternehmen und Verbrauchern und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates (Richtlinie über unlautere Geschäftspraktiken) (ABl. Nr. L 149 v. 11.6.2005, S. 22). 1371 S.a. Köhler/Bornkamm/Köhler, UWG, Einl. Rz. 2.28. 1372 BGBl. I, S. 233.
606
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 722a
B
ortprinzip voraussetzt, dass die wettbewerbsrechtlichen Interessen der Mitbewerber im Inland aufeinandertreffen.1373 Nach dem BGH ist das Marktortprinzip auch dann maßgeblich, „wenn sich der wettbewerbliche Tatbestand im Ausland ausschließlich unter inländischen Unternehmen abspielt oder sich gezielt gegen einen inländischen Mitbewerber richtet, der dadurch im Wettbewerb behindert wird“.1374 Im Bereich des E-Commerce gilt allerdings in erster Linie das Herkunftslandprinzip nach 721 § 3 TMG (s. Rz. 57).1375 Bei einer solchen E-Werbung, die sich bestimmungsgemäß im Inland auswirkt, bleibt es gleichwohl nach dem OLG Köln bei der Maßgeblichkeit des Marktortpinzips und damit der Anwendbarkeit des entsprechenden Sachrechts (hier: deutschen Rechts), sofern sich die streitgegenständliche Frage (hier: der irreführende Charakter der Werbung) in rechtlicher Hinsicht nach den am Marktort (hier: Deutschland) in gleicher Weise wie im Herkunftsland (hier: Polen) geltenden nationalen Regelungen zur Umsetzung der einschlägigen Richtlinie(n) (hier: RL 2005/29/EG und ggf. RL 2006/114/EG)1376 richtet. Diese Frage muss sich zudem in tatsächlicher Hinsicht nach dem Verständnis der konkret angesprochenen Durchschnittsverbraucher (hier: der durchschnittlich verständigen und informierten sowie situationsadäquat aufmerksamen Kaufinteressenten in Deutschland) richten.1377 2. Irreführende Werbung 2.1 Allgemein § 5 UWG verbietet jede Form einer irreführenden geschäftlichen Handlung. Anders als nach 722 § 5 Abs. 1 Satz 1 UWG a.F. muss aber diese geschäftliche Handlung nach geltendem Recht zudem geeignet sein, „den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte“ (§ 5 Abs. 1 Satz 1 UWG n.F.; sog. Relevanzklausel).1378 Der BGH hat bereits klargestellt, dass § 5 Abs. 1 Satz 1 UWG n.F. in Bezug auf das Element der Spürbarkeit keine inhaltliche Änderung gegenüber der bisherigen Rechtslage mit sich bringt, denn dieses Element war bisher i.R.v. § 3 Abs. 1 UWG a.F. zu prüfen.1379 I.R.v. § 5 Abs. 1 Satz 1 UWG n.F. wird vorausgesetzt, dass „die Werbung geeignet ist, bei einem erheblichen Teil der umworbenen Verkehrskreise irrige Vorstellungen über marktrelevante Umstände hervorzurufen und die zu treffende Marktentschließung in wettbewerblich relevanter Weise zu beeinflussen“.1380 Nach dem BGH ist eine irreführende Werbung über die Verfügbarkeit eines Produkts auch dann erheblich, wenn die Werbung außerhalb seines Absatzgebiets trotz eines Geo-Targeting-Verfahrens noch in einem spürbaren Umfang (im Streitfall: 5 % der Abrufe der Werbung aus anderen Regionen) abrufbar ist.1381 Irreführend ist eine geschäftliche Handlung, wenn sie unwahre Angaben oder sonstige zur 722a Täuschung geeignete Angaben enthält, § 5 Abs. 1 Satz 2 UWG.1382 Aus § 5 Abs. 1 Satz 2 UWG ergibt sich, dass unter „irreführenden Handlungen“ irreführende Angaben zu verstehen 1373 BGH v. 11.2.2010 – I ZR 85/08, Rz. 12 – Ausschreibung in Bulgarien; v. 30.3.2006 – I ZR 24/03, CR 2006, 539 (540) – Arzneimittelwerbung im Internet; OLG Köln v. 19.2.2014 – I-6 U 163/13, juris Rz. 8. 1374 BGH v. 11.2.2010 – I ZR 85/08, Ls. – Ausschreibung in Bulgarien. 1375 S.a. Köhler/Bornkamm/Köhler, UWG, Einl. Rz. 5.21 ff. 1376 Richtlinie 2006/114/EG des Europäischen Parlaments und des Rates v. 12.12.2006 über irreführende und vergleichende Werbung (ABl. Nr. L 376 v. 27.12.2006, S. 21). 1377 OLG Köln v. 19.2.2014 – I-6 U 163/13, juris Rz. 8. 1378 Vgl. BGH v. 28.4.2016 – I ZR 23/15, Rz. 27 – Geo-Targeting. 1379 BGH v. 3.3.2016 – I ZR 110/15, Ls. 2. 1380 BGH v. 28.4.2016 – I ZR 23/15, Rz. 27 – Geo-Targeting. 1381 BGH v. 28.4.2016 – I ZR 23/15, Ls. 4 – Geo-Targeting. 1382 Ohly/Sosnitza/Sosnitza, UWG, § 5 Rz. 103.
Kosmides
607
B Rz. 723
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
sind.1383 Den Hauptfall von Angaben im Rahmen einer geschäftlichen Handlung i.S.v. § 5 UWG stellen werbende Angaben dar, sodass die Vorschrift im Kern nach wie vor die irreführende Werbung betrifft.1384 § 5 UWG wird durch § 5a UWG, der eine Irreführung durch Unterlassen betrifft, ergänzt. 723 Bei Missverständlichkeit oder Mehrdeutigkeit der Werbeaussage muss das beworbene Unternehmen die ihm ungünstigste Verständnisalternative gegen sich gelten lassen.1385 2.2 Werbung mit Produktmerkmalen 724 Bei einer Werbung für einen Internet-Zugang stellt nach BGH folgende Aussage keine Irreführung dar: „Für z.B. nur 29,90 Euro pro Monat surfen Sie mit 1 Mbit/s so lange und so viel Sie wollen.“
Der Anbieter brauche nicht darauf hinzuweisen, dass er die angegebene Übertragungsgeschwindigkeit aufgrund von Umständen, auf die er keinen Einfluss hat, nicht ununterbrochen gewährleisten kann.1386 725 Nach Auffassung des OLG Köln stellt die Werbeaussage „Das schnellste Internet Deutschlands“ keine unlautere Werbung wegen Irreführung dar, sofern in der Werbung die Downloadgeschwindigkeit begrenzt wird. Denn der durchschnittlich informierte Internetnutzer könne erkennen, dass sich der Superlativ nicht auf das Internet schlechthin, sondern nur auf eine bestimmte Angebotsvariante beziehe.1387 726 „X hat gemessen: Im Deutschland-Durchschnitt und über alle Anschluss-Geschwindigkeiten (DSL 2.000, 6.000 und 16.000) hinweg liegt Y vorn.“
Diese Werbeaussage ist nach Ansicht des OLG Köln irreführend, wenn die entsprechenden Leistungen des Anbieters lediglich in einigen städtischen Ballungsgebieten zur Verfügung stehen.1388 Dies gilt, weil beim Durchschnittsverbraucher entgegen den tatsächlichen Gegebenheiten der Eindruck erweckt werde, dass eine überregionale Verfügbarkeit des Leistungsangebots des Providers gegeben sei. 727 Mit ähnlicher Begründung wurde vom OLG Hamburg folgende Werbeaussage eines Providers, der seine Leistungen nicht in allen Bundesländern angeboten hatte, als irreführend eingestuft: „Denn wir sind der beliebteste Anbieter Deutschlands für Internet, Telefon und TV aus einer Hand!“.1389
728 Die Werbeangabe „Deutschlands beliebtester DSL-Anbieter“ stellt dann keine irreführende Werbung dar, wenn das so beworbene Unternehmen den Anbieter mit den meisten Kunden darstellt.1390
1383 Köhler/Bornkamm/Bornkamm, UWG, § 5 Rz. 2.2. 1384 Vgl. auch Köhler/Bornkamm/Bornkamm, UWG, § 5 Rz. 2.22. 1385 BGH v. 8.3.2012 – I ZR 202/10, ITRB 2012, 267– Marktführer Sport; OLG Hamburg v. 13.2.2014 – 5 U 160/11, WRP 2014, 729 (731) – Tiefpreisgarantie. 1386 BGH v. 10.12.2009 – I ZR 149/07, CR 2010, 510 (Ls. 2). 1387 OLG Köln v. 7.9.2012 – 6 U 6/12, juris Rz. 8. 1388 OLG Köln v. 18.12.2009 – 6 U 60/09, GRUR-RR 2010, 345. 1389 OLG Hamburg v. 11.11.2009 – 5 U 57/09, MMR 2010, 331 f. (Ls. 1). 1390 OLG Hamburg v. 11.11.2009 – 5 U 214/08, MMR 2010, 333 (Ls.).
608
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 735
B
Bei der Werbeaussage „SMS Flat“ handelt es sich um eine irreführende Werbung, wenn der Tarif auf 3.000 SMS monatlich begrenzt ist.1391 In solchen Fällen kann die Irreführung durch eine rechtzeitige irrtumsausschließende Aufklärung ausgeschlossen werden.1392
729
Nach Ansicht des LG Hamburg erfasst die Werbeformulierung „unbegrenzte“ und „echte 730 SMS Flat“ aus Sicht der angesprochenen Verkehrskreise auch die Versendung von SMS-Nachrichten an ausländische Mobilnummern.1393 Dieser E. zufolge ist eine irreführende Werbung i.S.v. § 5 Abs. 1 Satz 2 Nr. 2 UWG anzunehmen, sofern SMS-Nachrichten an ausländische Mobilnummern nicht von der vereinbarten Pauschalgebühr abgedeckt werden. Das LG Bochum hat eine irreführende Werbung wegen widersprüchlicher Angaben zur Ver- 731 fügbarkeit und Lieferung bestellter Ware i.S.v. § 5 Abs. 1 Satz 2 Nr. 1 UWG, in einem Fall angenommen, in dem im Internetversandhandel einerseits mit der Aussage „Bestellen Sie Werktags bis 11 Uhr und wir versenden die Ware – Verfügbarkeit vorausgesetzt – noch am selben Tag!“ geworben wurde und andererseits die Artikelbeschreibung die Information „gewöhnlich versandfertig in 3–5 Wochen“ enthalten hat.1394 In Bezug auf die Angabe „Original Druckerpatronen innerhalb 24 Stunden“ in einer Adwords-Anzeige hat der BGH eine Irreführung im Hinblick auf die zutreffenden näheren Informationen, auf die die Anzeige verweist, abgelehnt, sofern der Durchschnittsverbraucher mit den entsprechenden Einschränkungen beim Lieferservice (z.B. keine Auslieferung am Sonntag) rechnet.1395
732
Wird ein Angebotsschreiben für einen erstmaligen Eintrag in ein Internet-Branchenver- 733 zeichnis versandt, das aber bei einem flüchtigen Leser den unzutreffenden Eindruck erweckt, mit der Annahme des entsprechenden Angebots werde nur eine Aktualisierung von Eintragungsdaten im Rahmen eines bestehenden Vertrags vorgenommen, ist nach dem BGH eine irreführende Werbung i.S.v. § 5 Abs. 1 UWG ebenso wie ein Verstoß gegen das Verschleierungsverbot des § 4 Nr. 3 UWG a.F. (vgl. nunmehr § 5a Abs. 6 UWG n.F.) anzunehmen.1396 Eine Entgeltklausel in einem Antragsformular für einen Grundeintrag in ein Branchenverzeichnis im Internet kann nach der drucktechnischen Gestaltung des Formulars überraschenden Charakter haben und damit gem. § 305c Abs. 1 BGB nicht Vertragsbestandteil werden.1397 Marken- und lauterkeitsrechtlicher Schutz bestehen seit Umsetzung der Geschäftspraktiken-Richtlinie (RL 2005/29/EG) nebeneinander. Liegt eine Herkunftstäuschung vor, so stehen einem Dritten, der nicht Markeninhaber ist, die lauterkeitsrechtlichen Ansprüche aus § 5 Abs. 1 Satz 2 Nr. 1 UWG zu.1398
734
Die Grundsätze zur Blickfangwerbung, also einer werblichen Gesamtaussage in der bestimmte Angaben besonders (blickfangartig) hervorgehoben werden, gelten auch für den Online-Bereich.1399 Es gibt Internet-Vertragsfallen. Diese werden u.a. durch das Institut der Blickfangwerbung erfasst, z.B.:
735
1391 OLG Schleswig v. 19.3.2014 – 6 U 31/13, CR 2014, 787 (Ls.). 1392 BGH v. 24.10.2002 – I ZR 50/00, CR 2003, 91 – Computerwerbung II; OLG Schleswig v. 19.3.2014 – 6 U 31/13, CR 2014, 787 (Ls.). 1393 LG Hamburg v. 4.10.2012 – 327 O 169/12, WRP 2013, 237 (Ls. 1). 1394 LG Bochum v. 3.7.2013 – I-13 O 55/13, GRUR-RR 2014, 169. 1395 BGH v. 12.5.2011 – I ZR 119/10, CR 2012, 53 (Ls.). 1396 BGH v. 30.6.2011 – I ZR 157/10, IPRB 2012, 75 – Branchenbuch Berg; s.a. OLG Düsseldorf v. 14.2.2012 – 20 U 100/11, MMR 2012, 527 (528); dazu Hampe/Köhlert, MMR 2012, 722 (723). 1397 BGH v. 26.7.2012 – VII ZR 262/11, CR 2012, 598 (Ls.) m. Anm. Ernst. 1398 BGH v. 15.8.2013 – I ZR 188/11, GRUR 2013, 1161 (1165) – Hard Rock Café. 1399 Dazu Härting, Internetrecht, Rz. 1615.
Kosmides
609
B Rz. 735a
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Beispiele: – Eine „nicht weiter erläuterte Werbung für Schlafzimmereinrichtungen mit den hervorgehobenen Angaben ‚KOMPLETT DREHTÜRENSCHRANK (FUNKTIONSSCHRANK) DOPPELBETT (STOLLENBETT) NACHTKONSOLEN (BETTPANEELE)‘ und der Abbildung eines Bettes mit Matratze erweckt beim Durchschnittsverbraucher den Eindruck, dass das Angebot ein funktionsgerecht ausgestattetes Bett samt Lattenrosten und Matratzen“ umfasst.1400 – Weist ein Diensteanbieter auf einer Internetseite blickfangmäßig auf die Möglichkeit hin, eine (Gratis-) Leistung beziehen zu können (hier: 111 Gratis-SMS und ein Gewinnspiel mit der Gewinnchance über 1.000,00 EUR) ohne hinreichend deutlich und in ähnlicher Form wie diese Blickfangwerbung eine tatsächlich bestehende Zahlungspflicht und/oder Preisbestandteile herauszustellen, kann der Fall einer irreführenden Blickfangwerbung vorliegen.1401
735a Nach ständiger Rspr. des BGH muss in Fällen, in denen der Blickfang für sich genommen zu einer fehlerhaften Vorstellung führt, der dadurch veranlasste Irrtum durch einen klaren und unmissverständlichen Hinweis ausgeschlossen werden, der selbst am Blickfang teilhat.1402 Der Irrtum kann etwa durch – Sternchenhinweis oder – einen anderen klarstellenden Hinweis in der Werbung ausgeschlossen werden, sofern der Verbraucher sich vor einer rechtsgeschäftlichen Entscheidung mit dem gesamten Inhalt der Werbeaussage befassen wird.1403 Allerdings ist „die Annahme, der Verbraucher werde die Einschränkung einer blickfangmäßig herausgestellten Werbeaussage durch eine andere Aussage in der Werbung erkennen, zu der er nicht durch einen klaren und unmissverständlichen Hinweis an der blickfangmäßig herausgestellten Aussage hingeführt wird, nur unter engen Voraussetzungen gerechtfertigt“.1404 735b Händler, die ihre Produkte im Internet über eine Verkaufsplattform wie Amazon in ihrem Namen zum Verkauf anbieten, sind auch für Angaben über Produktmerkmale, die sie nicht selbst, sondern Dritte gemacht haben, verantwortlich. Sie sind insoweit verpflichtet, solche in der entsprechenden Internetseite der Verkaufsplattform enthaltenen Angaben auf ihre Richtigkeit und Aktualität hin zu überwachen und zu überprüfen.1405 In dieser Hinsicht haftet ein Amazon-Händler (auch dann) als Täter für den infolge unzutreffender Angabe der Preisempfehlung irreführenden Inhalt seines Angebots i.S.v. § 5 Abs. 1 Satz 1 UWG n.F., wenn der Plattformbetreiber für die Angabe und Änderung der Preisempfehlung zuständig ist.1406 2.3 Werbung mit Preisen – Preisangabe 736 Bei einer Werbung mit hervorgehobenen Einführungspreisen, denen durchgestrichene (höhere) Normalpreise gegenübergestellt werden, sind eine Irreführung sowie ein Verstoß gegen das Transparenzgebot anzunehmen, wenn die Werbung nicht eindeutig klarstellt, ab welchem Zeitpunkt die Normalpreise verlangt werden.1407 In einer Werbung mit durchgestrichenen Statt-Preisen (z.B. „Statt 49,95 Euro NUR 19,95 Euro“) ist hingegen keine irreführen-
1400 BGH v. 18.12.2014 – I ZR 129/13, Rz. 13 – Schlafzimmer komplett. 1401 LG Stuttgart v. 15.5.2007 – 17 O 490/06, MIR 2007, Dok. 226. (Ls. 1). 1402 Vgl. nur BGH v. 15.10.2015 – I ZR 260/14, Rz. 16 – All Net Flat – m.w.N. sowie v. 18.12.2014 – I ZR 129/13, Rz. 16 – Schlafzimmer komplett. 1403 BGH v. 15.10.2015 – I ZR 260/14, Rz. 18 – All Net Flat; v. 18.12.2014 – I ZR 129/13, Rz. 15, 18 f. – Schlafzimmer komplett. 1404 BGH v. 15.10.2015 – I ZR 260/14, Rz. 18 – All Net Flat. 1405 BGH v. 3.3.2016 – I ZR 140/14, Ls. 1406 BGH v. 3.3.2016 – I ZR 110/15, Ls. 4. 1407 BGH v. 17.3.2011 – I ZR 81/09, Ls, IPRB 2011, 227.
610
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 740
B
de geschäftliche Handlung zu sehen.1408 Eine Werbung mit durchgestrichenem Preis, dem ein niedriger Preis gegenübergestellt wird, ist vielmehr grds. zulässig.1409 Dabei muss sich aber aus der Werbung eindeutig ergeben, worum es sich bei dem durchgestrichenen Preis handelt.1410 In einem durchgestrichenen Preis sieht der durchschnittliche Kunde im Rahmen einer Internetverkaufsplattform wie Amazon einen früher vom Werbenden geforderten Preis.1411 Eine Klarstellung, um welchen Preis es sich bei der durchgestrichenen Preisangabe handelt, ist insoweit nur notwendig, wenn ein anderer Preis wie etwa eine unverbidliche Preisempfehlung des Herstellers oder der Preis eines Mitbewerbers in Betracht kommt. Die Werbeaussage „Wir garantieren den niedrigsten Preis“ (Tiefpreisgarantie) ist nicht irre- 737 führend, wenn die Werbung maßgebliche Einschränkungen wie etwa „Abgabe nur in handelsüblichen Mengen“ enthält.1412 Eine Irreführung ist auch bei einer Werbung mit „besten Preisen“ abzulehnen, wenn zumindest „sehr gute Preise“ angeboten werden. Die angesprochenen Verbraucher sehen in dieser Werbeaussage nach Ansicht des OLG Hamm keine Alleinstellungswerbung wie bei „Der beste Preis der Stadt“.1413 Nach Auffassung des BGH wird die Werbeaussage „Bester Preis der Stadt“ im Zshg. mit einer Geld-zurück-Garantie vom Verkehr dahingehend verstanden, dass das beworbene Produkt nach dem Wissensstand des Werbenden zum Zeitpunkt der Schaltung der Werbung in der fraglichen Stadt nicht günstiger angeboten wurde. Daher ist in einem solchen Fall eine irreführende Alleinstellungswerbung zu verneinen.1414 Keine „Tiefpreisgarantie“ liegt vor, wenn sich der Verkäufer im Falle eines tieferen Preises der Konkurrenz verpflichtet, dem Käufer gegen Rückgabe der Ware den Kaufpreis zu erstatten (sog. Geld-zurück-Garantie). Eine als „Tiefpreisgarantie“ bezeichnete Werbung, die neben einer echten Tiefpreisgarantie als zweite Alternative eine solche Geld-zurück-Garantie enthält, ist dann irreführend, wenn nicht allein dem Kunden das Recht zusteht, zu bestimmen, von welcher Alternative er Gebrauch machen will, sondern auch der Werbende entscheiden kann, welche Garantie im Einzelfall gilt.1415
738
Die Verletzung bzw. Nichterfüllung der Anforderungen an Hinweise auf Preise nach §§ 1 ff. PAngV (s. Rz. 211 ff.) ist grds. unlauter. Nach § 1 Abs. 1 Satz 1 PAngV ist derjenige, der in einer an die Allgemeinheit gerichteten Werbung Preise für die von ihm beworbenen Produkte nennt, verpflichtet, den Gesamtpreis anzugeben.1416 Eine Preiswerbung, die beim durchschnittlich informierten und verständigen Verbraucher den unzutreffenden Eindruck erweckt, bei dem angegebenen Preis handele es sich um den Endpreis, ist insoweit irreführend.1417
739
Eine Irreführung ist etwa anzunehmen, wenn bei einer Werbung für Internet-Flatrate und In- 740 ternet-Zugang nicht die Kosten des Kabelanschlusses angegeben werden, sofern die Inanspruchnahme dieser Dienstleistungen einen Kabelanschluss des Anbieters voraussetzt.1418 Allerdings beziehen sich die Anforderungen gem. § 1 PAngV nur auf die unmittelbar angebotenen und beworbenen Produkte, nicht auch auf Produkte, die für die Verwendung der angebotenen oder beworbenen Produkte erforderlich … sind.1419 Die Leistungen, die zur Erbringung 1408 1409 1410 1411 1412 1413 1414 1415 1416 1417 1418 1419
OLG Düsseldorf v. 29.6.2010 – I-20 U 28/10, 15, K&R 2010, 601 (602). BGH v. 5.11.2015 – I ZR 182/14, Rz. 8. BGH v. 5.11.2015 – I ZR 182/14, Rz. 8; v. 17.3.2011 – I ZR 81/09, Rz. 22 – Original Kanchipur. BGH v. 5.11.2015 – I ZR 182/14, Rz. 9. OLG Hamm v. 2.8.2011 – I-4 U 93711, K&R 2011, 805; Härting, Internetrecht, Rz. 1612. OLG Hamm v. 4.6.2009 – 4 U 19/09, NJW-RR 2010, 344 = ITRB 2010, 181; s.a. Härting, Internetrecht, Rz. 1613. BGH v. 19.4.2012 – I ZR 173/11, Rz. 7, GRUR-RR 2012, 495. OLG Hamburg v. 13.2.2014 – 5 U 160/11, WRP 2014, 729 (Ls.) – Tiefpreisgarantie. BGH v. 29.4.2010 – I ZR 99/08, CR 2011, 39 (40). BGH v. 29.4.2010 – I ZR 99/08, CR 2011, 39 (41). BGH v. 10.12.2009 – I ZR 149/07, CR 2010, 510 (513). BGH v. 20.12.2007 – I ZR 51/05, CR 2008, 488 – Werbung für Telefondienstleistungen.
Kosmides
611
B Rz. 741
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
der angebotenen Leistungen erforderlich sind, hier Verbindungsdienstleistungen anderer Anbieter, müssen nicht mit angeboten werden; das Fehlen solchen Angebots, konkret auch der Preis über die Grundgebühr des angebotenen Dienstes hinaus, ist nicht irreführend.1420 741 Typisch für einen Wettbewerbsverstoß sind ferner unzureichende bzw. nicht als Preisangaben oder Verweise darauf erkennbare Links, sodass es an der leichten Erkennbarkeit und guten Wahrnehmbarkeit fehlt. In diesem Fall ist sowohl ein Verstoß gegen das Irreführungsgebot als auch ein Verstoß gegen eine Marktverhaltensregelung i.S.v. § 4 Nr. 11 UWG a.F. (vgl. nunmehr § 3a UWG n.F.) anzunehmen.1421 Nach dem BGH ist allerdings kein Wettbewerbsverstoß anzunehmen, wenn bei einer Google-Adwords-Anzeige für ein Arzneimittel die Pflichtangaben nach § 4 HWG nicht in der Anzeige selbst enthalten sind, sondern diese Anzeige einen elektronischen Verweis enthält, der zu einer Internetseite führt, auf der die Pflichtangaben unmittelbar, d.h. ohne weitere Zwischenschritte leicht lesbar wahrgenommen werden können.1422 Denn in diesem Fall ist ein eindeutig als solcher klar erkennbarer elektronischer Verweis gegeben. 742 Eine Werbung mit „Ab-Preisen“ (z.B. „ab 19,90 Euro“) kann irreführend sein, wenn der Adressat nicht hinreichend deutlich über die geltenden Preiskonditionen aufgeklärt wird. Das OLG Hamburg hat – entgegen der Vorinstanz, die eine irreführende Werbung i.S.v.§ 5 Abs. 1 Satz 2 Nr. 2 UWG angenommen hat1423 – die Werbung mit der Angabe „Tickets ab 19,90 Euro*“ als zulässig eingestuft, weil sie mittels folgenden Sternchenhinweises darüber aufklärte, dass weitere Gebühren hinzukommen können1424: „*Hotlinekosten: 14 Ct./Min (…). Ticketpreis gültig für alle abgebildeten Produktionen (…) (Tickets ab 29,90 Euro). — Gültig für ausgewählte Termine und Preiskategorien, buchbar bis 31.8.2008 für Vorstellungen bis 30.9.2008 (…). Nur solange Vorrat reicht. — Alle Preise verstehen sich zzgl. Vorverkaufsgebühr und 2,– Euro Systemgebühr pro Ticket“.
743 Die anfängliche Angabe von Nettopreisen mit dem Zusatz „zzgl. Steuern und Gebühren“ ist nicht irreführend.1425 Die Verwendung der Abkürzung „UVP“ stellt keinen Verstoß gegen das Irreführungsgebot dar, weil diese Abkürzung im Verkehr als für eine unverbindliche Herstellerpreisempfehlung bekannt ist.1426 744 Nicht alle Verletzungen der Preisangabenpflicht oder ähnliche Vorschriften zu Informationen aber sind wettbewerbsrechtlich relevant bzw. auch abmahnfähig. Zum Beispiel kommt der sog. Bagatellverstoß in Betracht: – Koppelungsangebote von Telefonanschluss und Gerät.1427 – „Versand nach Europa“ ohne Angabe der Versandkostenpauschale bei „nicht marktstark erkennbarem Händler“.1428 1420 BGH v. 20.12.2007 – I ZR 51/05, CR 2008, 488 – Werbung für Telefondienstleistungen. 1421 S. etwa Link zu „mehr Info“, am Preis ein Sternchen, das nicht aufgelöst wird: OLG Hamburg v. 3.2.2005 – 5 U 128/04, CR 2005, 366; s. aber BGH v. 4.10.2007 – I ZR 143/04, CR 2008, 108 m. Anm. Kaufmann, zu OLG Hamburg v. 12.8.2004 – 5 U 187/03, CR 2005, 129 und BGH v. 4.10.2007 – I ZR 22/04 zu OLG Hamburg v. 21.12.2004 – 5 U 17/04. 1422 BGH v. 6.6.2013 – I ZR 2/12, MMR 2014, 252 (Ls.). 1423 LG Hamburg v. 18.6.2009 – 315 O 17/09, juris Rz. 24 f. 1424 OLG Hamburg v. 25.3.2010 – 3 U 108/09, MMR 2010, 408. 1425 OLG Köln v. 29.10.2004 – 6 U 126/04, ITRB 2005, 179; s.a. BGH v. 3.4.2003 – I ZR 222/00, CR 2003, 849 – Internet-Reservierungssystem: Preisermittlung erst im Laufe der Buchung ist nicht unlauter. 1426 BGH v. 7.12.2006 – I ZR 271/03, CR 2007, 681. 1427 OLG Schleswig v. 15.7.2003 – 6 U 92/02, MMR 2003, 750; a.A. Vorinstanz, LG Flensburg v. 15.11.2002 – 6 O 136/02. 1428 KG v. 7.9.2007 – 5 W 266/07, CR 2008, 259; a.M. OLG Hamm v. 28.3.2007 – 4 W 19/07. S.a. KG v. 13.2.2007 – 5 W 37/07: fehlender Hinweis auf evtl. anfallende Versandkosten aufgrund besonderer Fallgestaltung als Bagatellverstoß.
612
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 750
B
Wird der Käufer von Batterien i.R.d. Belehrung über die Rückgabe der erworbenen Batterien 745 auf die entsprechenden Regelungen in der „Batterieverordnung“ anstatt nunmehr richtigerweise im „Batteriegesetz“ hingewiesen, kann dies nicht zur Begründung eines Unterlassungsanspruchs führen. Denn diese falsche Angabe ist ein Bagatellverstoß und damit nicht geeignet, das Marktverhalten des Verbrauchers zu beeinflussen.1429 Im Gegenteil hat das OLG Stuttgart das Überschreiten der Bagatellschwelle bei mangelnder 746 guter Lesbarkeit des Sternchenhinweises im Rahmen eines Koppelungsangebots aus Handy und Netzkartenvertrag angenommen.1430 Die Bewerbung von Waren gegenüber Verbrauchern im Fernabsatz unter der Angabe von Preisen ohne einen eindeutig zuzuordnenden Hinweis, dass die Preise einschließlich der gesetzlichen Umsatzsteuer gelten, verstößt gegen § 1 Abs. 2 Nr. 1, Abs. 6 Satz 2 PAngV und stellt einen nicht nur „bagatellartigen“ Wettbewerbsverstoß dar.1431 Fehlt die Angabe des Grundpreises völlig nach § 2 Abs. 1 und Abs. 3 PAngV, ist eine wesentliche Rechtsverletzung anzunehmen.1432 2.4 Kundenbewertung In den letzten Jahren haben sich im Internet neue Marketingformen entwickelt, die auf „Li- 747 kes“, „Followers“ und Kundenbewertungen basieren. Solche Marketingstrategien können unlauter sein.1433 Dies ist insb. dann der Fall, wenn es sich um gekaufte „Likes“ und Bewertungen sowie fingierte „Followers“ handelt. Solche Bewertungen sind bei eBay aufgrund dessen AGB untersagt1434: „§ 7 Nr. 2 Satz 1: ‚Nutzer sind verpflichtet, in den abgegebenen Bewertungen ausschließlich wahrheitsgemäße Angaben zu machen.‘ § 7 Nr. 3 1. Punkt: ‚Jede zweckwidrige Nutzung des Bewertungssystems ist verboten. Insbesondere ist es untersagt: Bewertungen über sich selbst abzugeben oder durch Dritte abgeben zu lassen.‘“
Auch ist laut eBay-AGB verboten, „andere Nutzer durch Drohung mit der Abgabe oder Nichtabgabe einer Bewertung zu einer Handlung, Duldung oder Unterlassung zu nötigen“ (§ 7 Nr. 3 4. Punkt eBay-AGB)1435. Auch dies könnte unlauter sein.
748
Nach dem OLG Hamm ist eine Irreführung anzunehmen, wenn dem Kunden für die Abgabe 749 einer positiven Bewertung eines Online-Shops ein Gutschein, ein Rabatt o.Ä. angeboten wird. Durch das Versprechen von solchen Belohnungen werden die Kunden in ihrem Urteil beeinflusst und sind nicht mehr frei, eine neutrale Bewertung abzugeben. Wird mit der Bewertung geworben, ohne auf die Belohnung ausdrücklich hinzuweisen, liegt grds. ein Verstoß gegen § 5 Abs. 1 Satz 1, Satz 2 Nr. 1 UWG vor.1436 Irreführend ist es ferner, wenn ein Unternehmen online mit einem Kundenbewertungssys- 750 tem wirbt (z.B. „Kundenbewertung 4,9/5“), bei dem die positiven Bewertungen sofort angezeigt werden, während die neutralen und negativen Bewertungen einer Prüfung unterzogen werden, die auch zur Löschung der Bewertung führen kann. Dadurch kann ein übertrieben positives Bild des Anbieters entstehen.1437 Bei einer Angabe auf der Startseite des Internetauftritts des Werbenden
1429 OLG Hamm v. 23.5.2013 – 4 U 196/12, MMR 2014, 30 (Ls. 2). 1430 OLG Stuttgart v. 17.3.2005 – 2 U 173/04, MMR 2005, 852 mit Anforderungen an „gute Lesbarkeit“, Angabe von Preisbestandteilen bei 1-Euro-Handy. 1431 OLG Hamburg v. 4.1.2007 – 3 W 224/06, CR 2007, 753, 818. 1432 OLG Hamm v. 9.2.2012 – I-4 U 70/11, MMR 2012, 377 (Ls.). 1433 Vgl. auch Kaumanns/Wießner, K&R 2013, 145 ff. 1434 S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). 1435 S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). 1436 OLG Hamm v. 23.11.2010 – 4 U 136/10, GRUR-RR 2011, 473. 1437 OLG Düsseldorf v. 19.2.2013 – I-20 U 55/12, CR 2013, 329 (Ls.); Härting, Internetrecht, Rz. 1602.
Kosmides
613
B Rz. 751
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
„Kundenbewertung 4,8/5 (…) Garantiert echte Meinungen. Kundenauszeichnung“
hat der Werbende insoweit darüber zu informieren, dass ein zwischen Unternehmen und Kunden vorgesehenes Schlichtungsverfahren die Berücksichtigung negativer und neutraler Anbieterbewertungen einschränken kann.1438 2.5 Angaben im Rahmen vergleichender Werbung 751 Ein Verstoß gegen das Irreführungsverbot des § 5 Abs. 1 UWG kann auch durch eine vergleichende Werbung (z.B. Preisvergleichswerbung) herbeigeführt werden. Eine irreführende Preisvergleichswerbung wurde in Zshg. mit dem Fragesatz „Was ist blau und günstiger als A?“ angenommen, weil dieser Werbeaussage entnommen werden könne, die Preise des beworbenen Telekommunikationsunternehmens seien günstiger als die seines Konkurrenten, was allerdings nicht für sämtliche von ihm angebotenen Produkte zutreffe.1439 752 Der Nutzer hat – mangels klarer gegenteiliger Hinweise des Anbieters – die berechtigte Erwartung, dass die angegebenen Preise bei einem Preisvergleichsportal im Internet eine höchstmögliche Aktualität aufweisen. Liegt der tatsächlich verlangte Preis über dem dem Nutzer präsentierten Preis, ist i.d.R. eine irreführende geschäftliche Handlung anzunehmen.1440 753 Ferner liegt nach Ansicht des OLG Hamburg bei der Formulierung „Günstiger und mehr als 3x so schnell wie …“ im Rahmen einer Preis- und Leistungsvergleichswerbung eine Irreführung vor, da infolge der absoluten, einschränkungslos angegebenen Geschwindigkeitszahlen der Verbraucher davon ausgehe, dass diese Geschwindigkeiten immer und fortwährend gegeben seien.1441 2.6 Irreführung durch Unterlassen 754 In § 5a UWG wird die Irreführung durch Unterlassen geregelt. Nach BGH statuiert § 5a Abs. 2 UWG a.F. keine allgemeine Informationspflicht. Gleiches ist wohl in Bezug auf den im Zuge der UWG-Novelle 2015 völlig neu gefassten § 5a Abs. 2 UWG anzunehmen. § 5a Abs. 2 UWG a.F. verpflichtet nach dem BGH grds. nur „zur Offenlegung solcher Informationen, die für die geschäftliche Entscheidung erhebliches Gewicht haben und deren Angabe unter Berücksichtigung der beiderseitigen Interessen vom Unternehmer erwartet werden kann“.1442 In Bezug auf anwaltliche Werbung bedeutet dies, dass ein Rechtsanwalt zur Vermeidung einer Irreführung nicht verpflichtet ist, auf seinen beruflichen Briefbogen „sämtliche Standorte seiner Niederlassungen zu nennen oder durch Verwendung der Begriffe ‚Kanzlei‘ und ‚Zweigstelle‘ kenntlich zu machen, wo er seine Kanzlei i.S.v. § 27 Abs. 1 BRAO und wo er Zweigstellen unterhält“.1443 Demgegenüber hat das LG Frankfurt/M. im Verschweigen der von § 13 Abs. 1 TMG angeordneten Information eine Irreführung durch Unterlassen gesehen.1444 755 Bei einer Werbung mit einem Testergebnis im Internet ist die eindeutige Angabe der Fundstelle erforderlich. Fehlt es daran, liegt ein Verstoß gegen § 5a Abs. 2 UWG a.F. (vgl. nunmehr § 5a Abs. 2 UWG n.F.) vor.1445
1438 1439 1440 1441 1442 1443 1444
BGH v. 21.1.2016 – I ZR 252/14, CR 2016, 538 (Ls.). Vgl. OLG Frankfurt v. 6.12.2012 – 6 U 144/12, juris Rz. 27. BGH v. 11.3.2010 – I ZR 123/08, CR 2010, 680 (Ls.). OLG Hamburg v. 11.11.2009 – 5 U 57/09, MMR 2010, 331 (332, Ls. 2). BGH v. 16.5.2012 – I ZR 74/11, NJW 2013, 314 (Ls. 1). BGH v. 16.5.2012 – I ZR 74/11, NJW 2013, 314 (Ls. 2); s.a. Kleine-Cosack, NJW 2013, 272 (273). BGH v. 16.5.2012 – I ZR 74/11, NJW 2013, 314 (Ls. 2); s.a. Kleine-Cosack, NJW 2013, 272 (273). LG Frankfurt/M. v. 10.6.2016 – 2-03 O 364/15, K&R 2016, 530 (532). 1445 BGH v. 16.7.2009 – I ZR 50/07, ITRB 2010, 158 – Kamerakauf im Internet; Härting, Internetrecht, Rz. 1633.
614
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 761
B
Werden Waren oder Dienstleistungen unter Hinweis auf deren Merkmale und Preis in einer 756 dem verwendeten Kommunikationsmittel angemessenen Weise so angeboten, dass ein durchschnittlicher Verbraucher das Geschäft abschließen kann, so ist der werbende Unternehmer gem. § 5a Abs. 3 UWG verpflichtet, den Verbraucher über das beworbene Produkt und dessen Preis zu unterrichten, um eine geschäftliche Entscheidung treffen zu können,1446 sowie über seine Identität zu informieren.1447 Zu den nach § 5a Abs. 3 Nr. 2 UWG mitzuteilenden Informationen gehören auch die Identität und Anschrift1448 sowie die Rechtsform des werbenden Unternehmens.1449 2.7 Sonstige Fälle Beim Einstellen von Links mit der Beschriftung „Hotelbuchung“ und „Online buchen“ 757 beim Eintrag von Hotels auf einer Website, die sich an Hotel suchende Nutzer richtet, handelt es sich um irreführende Werbung, sofern der Nutzer beim Anklicken nicht auf die Internetseite des entsprechenden Hotels geführt, sondern auf die Internetseite eines Hotelmaklers verlinkt wird.1450 Die Aufnahme von Links zu Fachverbänden ist selbst dann nicht irreführend, wenn das Unternehmen den Verbänden nicht angehört, solange die Gestaltung der Internetpräsenz keine besondere Nähebeziehung zu dem Verband suggeriert.1451
758
Die Werbung mit Selbstverständlichkeiten bei eBay wie „Ich garantiere für die Echtheit der 759 Ware“ stellt nach Ansicht des LG Frankfurt eine irreführende Werbung i.S.d. § 5 UWG dar, da der Verkäufer ohnehin zur Lieferung von Originalware verpflichtet sei.1452 Gleiches gilt für die Werbeaussage „Versicherter Versand“, sofern für den versicherten Versand ein höherer Preis gegenüber dem unversicherten verlangt und der Kunde nicht darauf aufmerksam gemacht wird, dass der Verkäufer in jedem Fall die Versandgefahr trägt (§§ 474, 447 BGB). Denn der Käufer erhält im Falle des versicherten Versands gegenüber der gesetzlichen Regelung keinen zusätzlichen Vorteil. Allerdings erwartet er einen solchen Vorteil aufgrund der Werbung.1453 Er geht konkret davon aus, dass er einen versicherten Versand wählen muss, um nicht die Gefahr des Untergangs während des Transports zu tragen. Die Versendung eines „Begrüßungsschreibens“, das beim Durchschnittsverbraucher infolge 760 der darin enthaltenen Angaben den Eindruck hervorruft, er habe bereits einen verbindlichen Auftrag erteilt, ist eine irreführende geschäftliche Handlung gemäß § 5 Abs. 1 UWG a.F.1454 Gleiches gilt grds. i.R.v. § 5 Abs. 1 n.F. Eine vertragswidrige Schlecht- oder Nichterfüllung kann zwar vertragliche Rechte des Kunden auslösen, stellt jedoch grds. kein irreführendes Verhalten des Unternehmers dar. Dies gilt deshalb, weil einer Leistungsstörung als solche der Charakter einer geschäftlichen Handlung fehlt.1455 Etwas anderes gilt, wenn der Unternehmer mit einer Handlung auf eine 1446 1447 1448 1449 1450 1451 1452 1453
1454 1455
EuGH v. 12.5.2011 – C-122/10, Slg. 2011, I-3903 – Konsumentombudsmann/Ving Sverige. BGH v. 18.4.2013 – I ZR 180/12, MIR 2013, Dok. 063 (Ls. 1) – Brandneu von der IFA. OLG München v. 9.9.2010 – 6 U 2690/10m, WRP 2011, 134. BGH v. 18.4.2013 – I ZR 180/12, MIR 2013, Dok. 063 (Ls. 2) – Brandneu von der IFA. So LG Frankfurt v. 20.2.2013 – 3-08 O 197/12, MMR 2013, 795 (Ls. 1); Härting, Internetrecht, Rz. 1601. OLG Jena v. 14.5.2003 – 2 U 1234/02, CR 2003, 520; anders Vorinstanz LG Erfurt v. 28.11.2002 – 2 HK O 373/02, CR 2003, 533. LG Frankfurt v. 8.11.2012 – 2-03 O 205/12, CR 2013, 51 (Ls. 1). LG Frankfurt v. 8.11.2012 – 2-03 O 205/12, CR 2013, 51 (Ls. 2); LG Bochum v. 10.2.2009 – 12 O 12/09, MMR 2009, 505 (506); LG Saarbrücken v. 15.9.2006 – 7 I O 94/06, WRP 2007, 578 (Ls.); vgl. auch LG Hamburg v. 6.11.2007 – 315 O 888/07; ebenso Härting, Internetrecht, Rz. 1610; a.A. noch LG Hamburg v. 18.1.2007 – 315 O 457/06, MMR 2007, 461. LG Bonn v. 29.5.2012 – 11 O 7/12, juris Rz. 32. BGH v. 10.1.2013 – I ZR 190/11, CR 2013, 592 (595).
Kosmides
615
761
B Rz. 761a
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Übervorteilung des Kunden abzielt und von vornherein nicht gewillt ist, sich an seine Ankündigungen zu halten. Hier dient die Täuschung über die Leistungsstörung dem Abschluss eines Vertrags.1456 761a Die Erteilung einer unrichtigen Auskunft durch den Unternehmer i.R.d. Kundendienstes für das Abonnement eines Verbrauchers über Kabelfernsehdienstleistungen, die dem Abonnenten zusätzliche Kosten verursacht, stellt eine irreführende geschäftliche Handlung dar.1457 761b Wird der Internetnutzer i.R.d. Regisitrierungsprozesses bei einem sozialen Netzwerk wie Facebook dahingehend getäuscht, dass ihn der Anbieter nicht hinreichend über Art und Umfang der mit dem Import von Kontaktdaten verbundenen Datenverwendung aufklärt, liegt eine irreführende geschäftliche Handlung i.S.v. § 5 Abs. 1 Satz 1 UWG a.F. ebenso wie § 5 Abs. 1 Satz 1 UWG n.F. vor.1458 3. Vergleichende Werbung 762 Nach § 6 Abs. 1 UWG ist vergleichende Werbung jede Werbung, die unmittelbar oder mittelbar einen Mitbewerber oder die von einem Mitbewerber angebotenen Waren oder Dienstleistungen erkennbar macht (identifizierende vergleichende Werbung).1459 Um als vergleichend zu gelten, muss sich aus der Werbung zudem ergeben, dass sich unterschiedliche, aber hinreichend austauschbare Produkte des Werbenden und des Mitbewerbers gegenüberstehen.1460 Vergleichende Werbung ohne Vergleich ist insofern gemäß § 6 Abs. 1 UWG nicht möglich.1461 763 In einer Linie mit der Werbe-Richtlinie (RL 2006/114/EG) ist vergleichende Werbung grds. zulässig,1462 sofern sie nicht gegen eine gesetzliche Regelung verstößt. In § 6 Abs. 2 UWG werden die Voraussetzungen vorgesehen, unter denen eine vergleichende Werbung als unlauter einzuordnen ist.1463 Die irreführende vergleichende Werbung ist nicht in § 6 Abs. 2 UWG erfasst. Auf diese finden vielmehr § 5 Abs. 2 und Abs. 3 Alt. 1 UWG Anwendung.1464 764 In Fällen vergleichender Werbung ist nicht selten eine Konkurrenz von marken- und lauterkeitsrechtlichen Interessen festzustellen, sodass sich die Frage nach dem Verhältnis der entsprechenden Rechtsvorschriften zueinander stellt. Nach höchstrichterlicher Rspr. ist der Markeninhaber nicht dazu berechtigt, dem Werbenden die Benutzung eines mit seiner Marke identischen oder ihr ähnlichen Zeichens zu verbieten, wenn die vergleichende Werbung den Zulässigkeitsvoraussetzungen des Art. 4 RL 2006/114/EG (Werbe-Richtlinie) entspricht.1465 Daraus folgt aber auch, dass dem betroffenen Mitbewerber bei unzulässiger vergleichender Werbung (etwa i.S.d. § 6 Abs. 2 Nr. 3 oder 6 UWG) nicht nur lauterkeitsrechtliche, sondern auch markenrechtliche Ansprüche zustehen können.1466
1456 BGH v. 10.1.2013 – I ZR 190/11, CR 2013, 592 (595). 1457 EuGH v. 16.4.2015 – C-388/13, CR 2015, 576 (577, Rz. 37). 1458 So BGH v. 14.1.2016 – I ZR 65/14, Ls. 5 – Freunde finden – für die Datennutzung im Rahmen der „Freunde-finden“-Funktion bei Facebook. 1459 Ohly/Sosnitza/Ohly, UWG, § 6 Rz. 21. 1460 BGH v. 19.5.2011 – I ZR 147/09, CR 2012, 51 (Ls. 1) – Coaching-Newsletter; Köhler/Bornkamm/ Köhler, UWG, § 6 Rz. 46; Ohly/Sosnitza/Ohly, UWG, § 6 Rz. 36. 1461 Scherer, GRUR 2012, 545. 1462 Vgl. auch Köhler/Bornkamm/Köhler, UWG, § 6 Rz. 11. 1463 Vgl. auch Härting, Internetrecht, Rz. 1638. 1464 Köhler/Bornkamm/Köhler, UWG, § 6 Rz. 95. 1465 EuGH v. 12.6.2008 – C-533/06, Slg. 2008, I-4231, Rz. 45 – O2 und O2 (UK); BGH v. 4.2.2010 – I ZR 51/08, Rz. 41 = CR 2010, 602 = ITRB 2010, 223 – POWER BALL. 1466 Vgl. Köhler/Bornkamm/Köhler, UWG, § 6 Rz. 143, 192.
616
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 769
B
Listen, welche die Eigenschaften verschiedener im Wettbewerb befindlicher Produkte ver- 765 gleichen (Vergleichslisten), können als vergleichende Werbung angesehen werden.1467 Die markenrechtsverletzende Benutzung einer solchen Vergleichsliste (etwa das Einstellen einer Duftvergleichsliste im Internet, in der Luxusparfüme und Imitate gegenübergestellt werden) kann eine unlautere Werbung i.S.v. § 6 Abs. 2 UWG (z.B. Nr. 3, 4 oder 6) darstellen.1468 Eine unter Verwendung der Formulierung „duftet wie …“ oder „identisch …“ i.V.m. dem Namen eines Markenparfüms ausgeführte Werbung mit Nachahmerprodukten ist eine dem Einsatz von Duftvergleichslisten vergleichbare Werbung, die gleichfalls als unlautere vergleichende Werbung zu bewerten ist.1469
766
Eine Adword-Werbung bei Google, auf der der Internetnutzer bei Eingabe des Namens eines Mitbewerbers auf eine Internetseite des werbenden Unternehmens weitergeleitet wird, auf der zu einem Anbieterwechsel aufgefordert und durch einen Surface-Link auf die Eingangsseite der Internetpräsenz des beworbenen Unternehmens verwiesen wird, fällt nach Ansicht des OLG Dresden unter § 6 Abs. 2 Nr. 5 UWG, wenn auf der Website dieses Unternehmens herabsetzende Behauptungen über Mitbewerber erscheinen.1470
767
Das OLG Hamburg hat in einem Urteil zur Frage, ob (anonyme) Hotelbewertungen in einem 768 Hotelbewertungsportal einen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb oder einen Wettbewerbsverstoß darstellen können, offen gelassen, ob und unter welchen Voraussetzungen das Bereithalten einer Bewertungsfunktion und das Publizieren von Bewertungen in einem Internet-Portal als vergleichende Werbung eingestuft werden kann.1471 Einen lauterkeitsrechtlichen Unterlassungsanspruch (ebenso wie ein Unterlassungsanspruch wegen Eingriffs in den eingerichteten und ausgeübten Gewerbebetrieb) hat das Gericht im streitgegenständlichen Falle abgelehnt.1472 In einem anderen Urteil wurde vom KG klargestellt, dass ein Portalbetreiber, der Internetnutzern die Möglichkeit bietet, ihre Bewertungen unter ihrem Vornamen oder Pseudonymen zu veröffentlichen, grds. die objektiven Voraussetzungen des Verbreitens von Tatsachenbehauptungen i.S.d. § 4 Nr. 8 UWG a.F. (vgl. nunmehr § 4 Nr. 2 UWG n.F.) nicht erfüllt.1473 Auf dieser Linie hat der BGH entschieden, dass keine fremden Tatsachenbehauptungen vorliegen, wenn der Betreiber im Falle der Aufnahme von Äußerungen Dritter in sein Portal weder seine neutrale Stellung aufgibt noch konkrete Prüfungspflichten verletzt.1474 Wird in einer Internetwerbung die Marke eines Mitbewerbers mit einem „Verbotsschild“ unter Beifügung der Formulierungen „BETTER WITHOUT“ oder „Warum unsere Produkte nicht …-zertifiziert sind“ präsentiert, um so Lücken des Zertifizierungssystems in Bezug auf die Waren eines Konkurrenten hervorzuheben, handelt es sich nach OLG Braunschweig um eine sachlich gerechtfertigte Kritik und damit eine zulässige vergleichende Werbung. Eine solche Werbung kann auch keine markenrechtlichen Unterlassungsansprüche auslösen.1475
1467 EuGH v. 18.6.2009 – C-487/07, Slg. 2009, I-5185, Rz. Rz. 52 – L‘Oréal/Bellure. 1468 LG Berlin v. 7.1.2013 – 101 O 84/12, juris Rz. 31; vgl. auch EuGH v. 18.6.2009 – C-487/07, Slg. 2009, I-5185, Rz. 66 – L‘Oréal/Bellure; KG v. 30.6.2009 – 5 U 73/06, juris Rz. 63. 1469 KG v. 30.6.2009 – 5 U 73/06, juris Rz. 61 ff. 1470 OLG Dresden v. 8.3.2011 – 14 U 134/11, juris Rz. 3 f. 1471 OLG Hamburg v. 18.1.2012 – 5 U 51/11, CR 2012, 183, juris Rz. 79. 1472 OLG Hamburg v. 18.1.2012 – 5 U 51/11, CR 2012, 183, juris Rz. 78 ff. 1473 KG v. 16.4.2013 – 5 U 63/12, CR 2014, 333, juris Os. 3 f. 1474 KG v. 16.4.2013 – 5 U 63/12, CR 2014, 333, juris Os. 3 f. BGH v. 19.3.2015 – I ZR 94/13, MMR 2015, 726 (Ls. 3). 1475 OLG Braunschweig v. 12.1.2011 – 2 U 73/10, juris Rz. 4, 6 f.
Kosmides
617
769
B Rz. 770
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
4. Belästigende Werbung 4.1 Allgemein 770 Die Vorschrift zur unzumutbaren Belästigung nach § 7 UWG bietet den wettbewerbsrechtlichen Rahmen für die rechtliche Beurteilung der belästigenden Werbung. 771 § 7 Abs. 1 Satz 1 UWG enthält die sog. „kleine Generalklausel“, wonach eine „geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird“ unzulässig ist. Nach dem Beispielstatbestand des § 7 Abs. 1 Satz 2 UWG, der Satz 1 ergänzt,1476 ist eine Werbung als unzumutbare Belästigung zu werten, wenn für den Werbenden erkennbar ist, dass der Empfänger diese Werbung nicht wünscht. Das Tatbestandsmerkmal der Erkennbarkeit des entgegenstehenden Willens ist gegeben, wenn der Werbungsadressat seinen entsprechenden Willen ausdrücklich geäußert hat oder dieser Wille irgendwie aufgrund der äußeren Umstände identifizierbar ist.1477 Der entgegenstehende Wille des Empfängers muss zudem vom Werbenden bei Anwendung der im Verkehr erforderlichen Sorgfalt festgestellt werden können.1478 772 § 7 Abs. 1 Satz 2 UWG betrifft „erkennbar unerwünschte Werbung“ und damit nur Individual-, d.h. die gezielt gegenüber einer Person vorgenommene Werbung, nicht Allgemeinwerbung (z.B. Plakat- oder Medienwerbung). Dies wird aus der Verwendung des Begriffs „der angesprochene Marktteilnehmer“ geschlossen.1479 Insofern ist die „Briefkastenwerbung“ erfasst, die mit einem Aufkleber abgewehrt werden kann.1480 772a § 7 Abs. 1 UWG ist darauf ausgerichtet, das Eindringen des Werbenden in die Privatsphäre des Verbrauchers und die geschäftliche Sphäre, vornehmlich die Ungestörtheit der Betriebsabläufe des sonstigen Marktteilnehmers vorzubeugen.1481 Insb. soll dabei verhindert werden, dass dem Verbraucher und sonstigen Marktteilnehmer Werbemaßnahmen gegen seinen erkennbaren oder mutmaßlichen Willen aufgedrängt werden sowie die belästigende Werbung zu einer Bindung von Ressourcen des Empfängers (z.B. Zeitaufwand, Kosten für Faxpapier, Vorhaltekosten von Empfangseinrichtungen, Entsorgungskosten) führt.1482 773 Von Bedeutung sind ferner die Spezialtatbestände des § 7 Abs. 2 UWG, deren Verwirklichung stets zur Unzulässigkeit der Werbung führt. Sie enthalten insofern Per-se-Verbote.1483 Bei § 7 Abs. 2 Nr. 1 UWG geht es um Werbung mit Fernkommunikationsmitteln. § 7 Abs. 2 Nr. 2 UWG betrifft die Telefonwerbung (für „Individualverträge“), also unmittelbar das sog. Direktmarketing (s. Rz. 778 ff.). Die genannte Regel ist für sog. Cold Calls (Kaltanrufe), also Telefonanrufe, mit denen ein potenzieller Kunde, zu dem bisher keine Geschäftsbeziehungen bestehen, zum ersten Mal angesprochen wird, besonders relevant. § 7 Abs. 2 Nr. 2 UWG greift nicht ein, sofern automatische Anrufmaschinen verwendet werden. Für sie ist die Spezialregelung des § 7 Abs. 2 Nr. 3 UWG einschlägig.1484 774 Die Praxis versucht das Problem unverlangter Werbung u.a. mit sog. Double-Opt-In- oder -Out zu lösen. Insb. werden solche Verfahren im Bereich des E-Mail-Marketing angewandt. Double-Opt-In stellt ein zweistufiges Verfahren dar, bei dem die E-Mail-Adresse vom Interessenten zunächst in ein Anmeldeformular eingetragen und an den Werbetreibenden ver1476 1477 1478 1479 1480 1481 1482 1483 1484
Köhler/Bornkamm/Köhler, UWG, § 7 Rz. 4. Köhler/Bornkamm/Köhler, UWG, § 7 Rz. 37. Köhler/Bornkamm/Köhler, UWG, § 7 Rz. 37. Köhler/Bornkamm/Köhler, UWG, § 7 Rz. 33 m.w.N. Oder mit Eintrag in die „Robinson“-Liste gegenüber den Mitgliedern des Deutschen Direktmarketingverbands. BGH v. 21.4.2016 – I ZR 276/14, Ls. 1 und Rz. 16 – Lebens.Kost. BGH v. 21.4.2016 – I ZR 276/14, Ls. 1 und Rz. 16 – Lebens.Kost. Köhler/Bornkamm/Köhler, UWG, § 7 Rz. 5. Köhler/Bornkamm/Köhler, UWG, § 7 Rz. 128.
618
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 777
B
sandt wird. Anschließend wird eine Bestätigungs-E-Mail an die eingegebene E-Mail-Adresse automatisch verschickt. Der Interessent hat durch Klick auf einen Bestätigungslink zu erklären, dass er mit der E-Mail-Werbung einverstanden ist. Das Gegenstück bilden DoubleOpt-Out, bei denen der Empfänger – analog zum Double-Opt-In – per Antwort auf eine zugestellte Abmeldungs-E-Mail die Austragung seiner E-Mail-Adresse aus einer Verteilerliste bestätigt. Durch solche zweistufige Verfahren wird zwar die Gefahr einer missbräuchlichen Nutzung 775 von E-Mail-Adressen reduziert,1485 denn mit ihnen kann sichergestellt werden, dass Angaben bezogen auf E-Mail-Adressen nicht versehentlich oder unberechtigt verarbeitet werden. Grds. stellen allerdings die unverlangten Anfragen oder Informationen die Belästigung dar.1486 Dennoch nehmen einige Gerichte an, die Zusendung von Anfragen oder einer Bestätigungs-E-Mail o.Ä. stelle keine unzumutbare Belästigung bzw. keine unzulässige Werbung dar. Für „Sicherungsmaßnahmen“ wie das Double-Opt-In-Verfahren sei anerkannt, dass es geeignet sei und ausreiche, um Missbrauch zu verhindern.1487 In diesem Double-Opt-In-Verfahren erhielt der dortige Kläger vier E-Mails des Verfügungsbeklagten an vier verschiedene Mailadressen einer bestimmten Domain. „Inhalt der Mails war die Aufforderung, innerhalb von vier Tagen einen Bestätigungslink anzuklicken, um sicherzustellen, dass weitere E-Mails vom Empfänger auch wirklich gewünscht werden. Bei Untätigbleiben würde die Anforderung nach Ablauf von vier Tagen verfallen.“
Der Kläger war der Auffassung, von einer so genannten Spamming-engine des Verfügungsbeklagten belästigt worden zu sein.1488 Das OLG München hat allerdings zum einen einen völlig anderen Sachverhalt beurteilt, zum 776 anderen ein Ergebnis gefunden, das dem des Amtsgerichts diametral widerspricht: schon das einmalige Zusenden eines Newsletters kann bereits einen Unterlassungsanspruch begründen,1489 auch wenn die Zusendung über einen Dritten im Wege eines „Spamming-Engine“ geschieht.1490 Das Besondere bei der E. des OLG München war zudem, dass es um politische Werbung bzw. Informationen ging, und zwar in Form von so genannten E-Cards.1491 In einem anderen Urteil hat das OLG München entschieden, dass die Bestätigungs-E-Mail 777 im Rahmen eines Double-Opt-In-Verfahrens unter das Verbot des § 7 Abs. 2 Nr. 3 UWG fällt.1492 Daraus folgt, dass der Absender der Bestätigungs-E-Mail den Nachweis erbringen muss, dass der Empfänger in den Erhalt dieser Email eingewilligt hat.1493 Entgegen dem OLG München vertritt das OLG Celle die Auffassung, dass das Double-Opt-In-Verfahren als praxisgerechte Möglichkeit angesehen werden kann, die Einwilligung in E-Mail-Werbung nachzuweisen, weshalb die Übersendung einer Aufforderung zur Bestätigung im Rahmen eines solchen Verfahrens keine unzulässige Werbung i.S.d. § 7 Abs. 2 Nr. 3 UWG darstellt.1494 Auch die h.M. in der Lit. sieht hierin keine Wettbewerbsverletzung.1495
1485 Vgl. auch Menke/Witte, K&R 2013, 25 (26). 1486 S. für aufgedrängte „Auftragsbestätigungen“ LG Bonn v. 3.7.2007 – 11 O 142/05, CR 2008, 94 mit ausführlicher Behandlung des § 7 UWG. 1487 AG München v. 16.11.2006 – 161 C 29330/06, CR 2007, 818, unter Hinweis auf OLG München v. 12.2.2004 – 8 U 4223/03, CR 2004, 695, das insoweit wiederum verweist auf LG Berlin v. 16.5.2002 – 16 O 4/02, CR 2002, 606; s.a. AG Berlin Mitte v. 11.6.2008 – 21 C 43/08, MIR 2008, Dok. 191. 1488 AG München v. 16.11.2006 – 161 C 29330/06, CR 2007, 818. 1489 Vgl. auch BGH v. 19.5.2011 – I ZR 147/09, CR 2011, 51 (52). 1490 OLG München v. 12.2.2004 – 8 U 4223/03, CR 2004, 1795 (Ls. 2). 1491 OLG München v. 12.2.2004 – 8 U 4223/03, CR 2004, 1795. 1492 OLG München v. 27.9.2012 – 29 U 1682/12, CR 2012, 799 (801); anders LG München v. 13.3.2012 – 33 O 11089/11, juris Rz. 19. 1493 Ebenso Menke/Witte, K&R 2013, 25 (26). 1494 OLG Celle v. 15.5.2014 – 13 U 15/14, MMR 2014, 611. 1495 S. Ernst, WRP 2013, 160 (162) m.w.N.
Kosmides
619
B Rz. 778
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
778 Zusammenfassend ist eine unzumutbare Belästigung und damit eine unzulässige geschäftliche Handlung nach § 7 Abs. 2 UWG in folgenden Fällen anzunehmen: – Werbung mit Fernkommunikationsmitteln, durch die ein hartnäckiges und erkennbar unerwünschtes Ansprechen eines Verbrauchers bewirkt wird (Nr. 1). – Telefonwerbung gegenüber Verbrauchern ohne vorherige ausdrückliche Einwilligung (Nr. 2 Alt. 1). – Telefonwerbung gegenüber sonstigen Teilnehmern ohne mutmaßliche Einwilligung (Nr. 2 Alt. 2).1496 – Werbung unter Verwendung von automatischen Anrufmaschinen, Faxgeräten oder elektronischer Post ohne vorherige ausdrückliche Einwilligung (Nr. 3). Speziell in Bezug auf die Verwendung elektronischer Post für die Durchführung von Werbung gegenüber (aktuellen und ehemaligen) Kunden wird in der Regelung des § 7 Abs. 3 UWG eine Ausnahme vom Einwilligungserfordernis gemäß § 7 Abs. 2 Nr. 3 UWG eingeführt.1497 – Anonyme elektronische Werbung (Nr. 4). 779 Ein Vertrag, für dessen Erfüllung vorausgesetzt wird, dass ein Vertragspartner einen Wettbewerbsverstoß begeht, ist nichtig (§ 134 BGB).1498 4.2 Arten 4.2.1 Telefon, Cold Calls, Call Center 4.2.1.1 Direktmarketing 780 Im Bereich des Direktmarketing hat sich die Telefonwerbung als eine preisgünstige und effiziente Werbemethode fest etabliert.1499 Eine wesentliche Voraussetzung für das Direktmarketing1500 ist die Verbreitung der Kunden- bzw. Interessentendaten, etwa zwischen Kooperationspartnern, aber auch simpel i.R.d. Datenhandels wie etwa „Adresskauf“.1501 Die Betroffenen könnten im Rahmen bzw. gemäß § 28 Abs. 4 BDSG widersprechen. Dies geschieht selten. Insofern kommt praktisch dem wettbewerbsrechtlichen Unterlassungsbegehren besondere Bedeutung zu. Es ist allerdings strittig, ob § 28 BDSG den erforderlichen Marktbezug aufweist und damit eine Marktverhaltensregelung i.S.v. § 4 Nr. 11 UWG a.F. (vgl. nunmehr § 3a UWG) darstellt.1502 781 Nach höchstrichterlicher Rspr. ist die Kopplung von Preisausschreiben und Gewinnspielen mit Umsatzgeschäften (Gewinnspielkopplung) nicht generell verboten. Ein solches Verbot ist mit der RL 2005/29/EG (Geschäftspraktiken-Richtlinie) unvereinbar.1503 Auch eine an Kinder und Jugendliche adressierte Werbung mit einem an den Warenumsatz gekoppelten Gewinnspiel ist nicht generell unlauter.1504
1496 Die Regelung des § 7 Abs. 2 Nr. 2 UWG wurde durch den BGH (v. 10.2.2011 – I ZR 164/09, CR 2011, 581 [582] – Double-Opt-In-Verfahren) als unionsrechtskonform eingestuft. 1497 S.a. Eckhardt/Rheingans, ZD 2013, 318 (320). 1498 Vgl. LG Düsseldorf v. 20.12.2013 – 33 O 95/13, ZD 2014, 200. 1499 Hecker, K&R 2009, 601. 1500 S.a. Schulze zur Wiesche, CR 2004, 742. 1501 S. auch A Rz. 159, A Rz. 1246. 1502 Zu dieser Frage A Rz. 482, 1025; s. zum Marktbezug der §§ 307 ff. BGB: OLG Hamburg v. 13.11.2006 – 5 W 162/06, ITRB 2007, 254. 1503 EuGH v. 14.1.2010 – C-304/08, Slg. 2010, I-217, Rz. 45, 47, 51 54 – Plus Warenhandelsgesellschaft; BGH v. 12.12.2013 – I ZR 192/12, NJW 2014, 2279 – Goldbärenbarren. 1504 OLG Köln v. 21.9.2012 – 6 U 53/12, GRUR-RR 2013, 168 (Ls. 3).
620
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 784
B
Bei sog. Lock- oder Ping-Anrufen1505 bzw. „Tastendruckmodellen“1506 wird die Verbindung 782 seitens des Anrufers nach dem ersten „Klingel“-Zeichen abgebrochen. Der Angerufene soll zum Rückruf an die kostenpflichtige Nummer animiert werden.1507 Hier greift das Verbot der „Verwendung von automatischen Anrufmaschinen“, § 7 Abs. 2 Nr. 3 UWG. Die mit einem Ping-Anruf verbundenen Entgeltansprüche sind nichtig.1508 Nicht ohne Weiteres wettbewerbsrechtlich soll zu beanstanden sein, wenn ein Mitarbeiter 783 des TK-Unternehmens den Kunden nach Eingang von dessen Wechselanzeige anruft.1509 Das Abwerben von Kunden ist grds. wettbewerbsrechtlich nicht zu beanstanden, zumal nach ständiger Rspr. des BGH der Kundenkreis kein geschütztes Rechtsgut darstellt.1510 In Übereinstimmung mit dieser Judikatur ist kein Wettbewerbsverstoß anzunehmen, wenn der ehemalige Mitarbeiter eines Unternehmens nach Unternehmenswechsel versucht, Kunden seines früheren Arbeitgebers für seinen jetzigen Arbeitgeber zu gewinnen.1511 4.2.1.2 Telefonwerbung gegenüber Unternehmen Ob bzw. wann bei Telefonwerbung gegenüber einem Gewerbetreibenden von einer mutmaß- 784 lichen Einwilligung ausgegangen werden kann, ist strittig.1512 Es soll nach Ansicht des OLG Hamm von den Umständen vor dem Anruf sowie von Art und Inhalt der Werbung abhängig sein.1513 Dagegen sieht das OLG Köln keinen Raum für die Annahme mutmaßlicher Einwilligung für Telefonwerbung.1514 Dieser Streit ist weitgehend entschieden, wenn auch im Einzelfall noch Fragen der genauen Grenzziehung offen sein mögen: Gem. BGH können Werbeanrufe bei Unternehmen wettbewerbswidrig sein, und zwar trotz vorausgegangenen Eintrags des Unternehmens in einer kostenlosen Suchmaschine, „weil sie zu belästigenden oder sonst unerwünschten Störungen der beruflichen Tätigkeit des Angerufenen führen können“.1515 Allerdings sei im geschäftlichen anders als im privaten Bereich ein Anruf bereits zulässig, wenn aufgrund konkreter Umstände ein sachliches Interesse des Anzurufenden daran zu vermuten ist.1516
1505 Zur Unzulässigkeit von Lock- und Pinganrufen: VG Köln v. 28.1.2005 – 11 K 3734/04, CR 2005, 638; zur Strafbarkeit von Pinganrufen: BGH v. 27.3.2014 – 3 StR 342/13, CR 2015, 507: Täuschung i.S.v. § 263 StGB. 1506 VG Köln v. 16.4.2008 – 11 L 307/08, CR 2008, 431: grober Missbrauch des Telefonanschlusses, auch Verstoß gegen § 66i TKG a.F. (nunmehr § 66j TKG); rechtswidrig auch, wenn der Anruf von Kunden ausgeht, der mit einem Weiterleitungsangebot überrascht wird, dessen Kostenrisiko ihm (momentan) nicht klar ist. 1507 Vgl. auch Erfurth/Ellbogen, CR 2008, 353; Gabriel/Heinemann, ITRB 2009, 93 (94); Seidl, in: Heckmann (Hrsg.), jurisPR-ITR 20/2010 Anm. 3, A. 1508 Vgl. auch Rehm/Sassenberg, CR 2009, 290 (291); zu den zivilrechtlichen Möglichkeiten der Opfer von Ping-Anrufen auf Mobiltelefone, gegen die so verursachten Kosten vorzugehen Erfurth/Ellbogen, CR 2008, 353 ff.; zu den strafrechtlichen Folgen solcher Anrufe Ellbogen/Erfurth, CR 2008, 635 ff. 1509 OLG Düsseldorf v. 31.1.2008 – I-20 U 151/07, MMR 2008, 331 m. zust. Anm. Isele zu dem als zulässig entschiedenen Problem des heimlichen Mitschneidens = CR 2008, 562 = ITRB 2008, 246. 1510 BGH v. 8.11.2001 – I ZR 124/99, GRUR 2002, 548 (549); v. 11.3.2010 – I ZR 27/08, CR 2010, 649 (651). 1511 BGH v. 11.3.2010 – I ZR 27/08, CR 2010, 649 (651). 1512 S. z.B. ablehnend gegenüber Handwerksbetrieben OLG Frankfurt v. 24.7.2003 – 6 U 36/03, CR 2004, 359 (Ls.); AG München v. 24.11.2003 – 213 C 29365/03, CR 2004, 379 (1 × reicht bei Gewerbebetrieb nicht für Eingriff); LG Berlin v. 26.8.2003 – 16 O 339/03, CR 2004, 544 (1 × reicht auch bei Gewerbebetrieb); keine Unterscheidung Unternehmer/Verbraucher, Einwilligung erforderl., OLG Düsseldorf v. 22.9.2004 – I-15 U 41/04, MMR 2004, 820. 1513 OLG Hamm v. 18.1.2005 – 4 U 126/04, CR 2006, 19. 1514 OLG Köln v. 5.11.2004 – 6 U 88/04, CR 2005, 633. 1515 BGH v. 20.9.2007 – I ZR 88/05, CR 2008, 220 (Rz. 14) – Suchmaschineneintrag. 1516 BGH v. 20.9.2007 – I ZR 88/05, CR 2008, 220 (Rz. 14) – Suchmaschineneintrag.
Kosmides
621
B Rz. 785
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
785 Beim konkret zu beurteilenden Anruf war dies aber nicht der Fall. Der BGH differenziert hinsichtlich der Berechtigung nach dem Eintrag hinsichtlich der Nähe dazu: Ein Anruf, um die Daten für den kostenlosen Dienst zu überprüfen, wäre zulässig bzw. berechtigt, da insoweit Einverständnis angenommen werden darf. Der Anruf hingegen, um zugleich das Angebot einer entgeltlichen Leistung zu unterbreiten, sei unzumutbar belästigend, weil der Anrufer nicht mit einem besonderen Interesse des Unternehmens habe rechnen können, in dem Verzeichnis der nicht besonders bekannten Suchmaschine mit einem erweiterten Eintrag aufgeführt zu werden.1517 Dabei spielt die große Zahl solcher Suchmaschinen-Angebote eine Rolle, aufgrund derer dem Unternehmen die Gefahr drohe, einer Vielzahl entsprechender Anrufe ausgesetzt zu sein und dadurch gestört zu werden.1518 4.2.1.3 An Rechtsanwalt adressierte Werbung 786 In Bezug auf an Rechtsanwälte adressierte Werbung hinsichtlich eines unabhängigen Anwaltsportals im Internet, über welches Interessierte eine Kanzlei bzw. einen Rechtsanwalt finden und wichtige Informationen über die Tätigkeiten der entsprechenden Kanzlei bzw. des Rechtsanwalts einschließlich Kontaktdaten erfahren können, hat das LG Dortmund wie folgt geurteilt: – Die Werbeaussage „konkurrenzlos“ sei nicht irreführend, sofern sie aus dem Gesamtzusammenhang so zu verstehen sei, dass es keinen anderen Dienst gebe, der dasselbe Konzept wie dieser verfolge.1519 – Die Bezeichnung „Standort“ bei der Behauptung, dass dem Kunden ein exklusiver Anzeigenplatz pro Standort und Rechtsgebiet eingeräumt werden kann, stelle keine Irreführung dar, weil es für den Adressaten der Werbung klar sei, dass der Standort in großen Städten nicht die ganze Stadt betreffe.1520 – Die Verwendung des Ausdrucks „Ihre Anzeige (wird) überdurchschnittlich häufig aufgerufen“ sei nicht irreführend, sofern durch die Vergabe eines einzigen Profils pro Ort/ Stadtbezirk eine höhere Aufrufrate und dadurch eine höhere Konversionsrate sichergestellt werde.1521 787 Auch außerhalb des UWG ist das unaufgeforderte Zusenden von Werbe-E-Mails rechtswidrig, bei Zusendung an einen Rechtsanwalt nicht nur wegen der Persönlichkeitsverletzung, sondern auch wegen der Beeinträchtigung von dessen eingerichtetem und ausgeübtem Geschäftsbetrieb und der Berufsausübung.1522 Dies gilt auch für die Werbung mittels E-Cards, die also Dritte über den Werbenden versenden.1523 4.2.1.4 E-Mail-Werbung am Arbeitsplatz 788 Die Gewerkschaftswerbung während der Arbeitszeit kann im Betrieb u.U. erlaubt sein.1524 Eine Gewerkschaft ist nach der Rspr. des BAG grds. berechtigt, E-Mails zu Werbezwecken auch ohne Einwilligung des Arbeitgebers und Aufforderung durch die Arbeitnehmer an für dienstliche Zwecke eingerichtete E-Mail-Adressen der Beschäftigten zu versenden.1525 An1517 1518 1519 1520 1521 1522
BGH v. 20.9.2007 – I ZR 88/05, CR 2008, 220 (221) – Suchmaschineneintrag. BGH v. 20.9.2007 – I ZR 88/05, CR 2008, 220 (221) – Suchmaschineneintrag. LG Dortmund v. 17.4.2013 – 19 O 122/13, juris Rz. 35 f. LG Dortmund v. 17.4.2013 – 19 O 122/13, juris Rz. 40. LG Dortmund v. 17.4.2013 – 19 O 122/13, juris Rz. 41. LG München I v. 15.4.2003 – 33 O 5791/03, ITRB 2003, 243 u.a. wegen der Blockadewirkung und des Selektionsaufwands sowie -risikos (versehentliches Mitlöschen wichtiger anderer Mails). 1523 LG München I v. 15.4.2003 – 33 O 5791/03, ITRB 2003, 243. 1524 LAG Schl.-Holst. v. 1.12.2000 – 6 Sa 562/99, ITRB 2003, 102. 1525 BAG v. 20.1.2009 – 1 AZR 515/08, BAGE 129, 145; anders ArbG Frankfurt/M. v. 12.4.2007 – 11 Ga 60/07, ITRB 2007, 177.
622
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 794
B
dererseits kann vom Arbeitgeber nicht verlangt werden, die Verwendung des betrieblichen E-Mail-Kontos durch die bei ihm beschäftigten Arbeitnehmer zu Zwecken des Arbeitskampfs zu dulden.1526 Mahnt der Arbeitgeber solche Aktivität ab, muss er die Pflichtwidrigkeit darlegen. 4.2.2 SMS-Werbung Die Versendung von SMS stellt eine „Verwendung elektronischer Post“ dar, § 7 Abs. 2 Nr. 3 UWG.1527 „Elektronische Post“ ist in Art. 2 Satz 2 lit. h RL 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation)1528 definiert:
789
„Jede über ein öffentliches Kommunikationssystem verschickte Text-, Sprach-, Ton oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird.“
Der bisherige Hauptfall der elektronischen Post ist die E-Mail. Gemäß § 7 Abs. 2 Nr. 3 790 UWG sind Faxmaschinen und automatische Anrufmaschinen nicht ein Unterfall der elektronischen Post, sondern dieser gleichgestellte Alternativ-Techniken. Ohne dass diese erwähnt wäre, gehört die SMS zur elektronischen Post.1529 Hat ein Familienangehöriger des Anschlussinhabers dem Werbungtreibenden die Nummer 791 des Anschlusses ohne vorherige ausdrückliche Einwilligung des Anschlussinhabers als Zustelladresse mitgeteilt, so ist die Versendung von SMS-Werbung an diesen Telefonanschluss regelmäßig unzulässig, auch wenn die Werbung für diesen Familienangehörigen bestimmt ist.1530 Die unverlangte Zusendung einer SMS etwa zur Teilnahme an einem Flirt-Chat stellt eine unzumutbare Belästigung dar.1531
792
Die Weitergabe durch den Mobilfunkanbieter der SMS-Kurzwahlnummern seiner Vertrags- 793 kunden an Dritte kann eine Störerhaftung des Anbieters für unverlangte SMS-Werbung mittels dieser Kurzwahlnummern begründen.1532 Wie bei E-Mail besteht auch bei SMS die erhebliche Gefahr des Missbrauchs wegen der Beliebigkeit der Gestaltung der Absenderkennung.1533 Deshalb besteht auch seitens des Empfängers Bedarf, den tatsächlichen Absender zu eruieren. Der (privat nutzende) Anschlussinhaber hat gegenüber der Telefongesellschaft einen Auskunftsanspruch über Namen und Anschrift des Versenders der SMS. Dieser wird gestützt auf § 13a UKlaG analog
1526 BAG v. 15.10.2013 – 1 ABR 31/12, DB 2014, 606. 1527 Im Ergebnis OLG Düsseldorf v. 27.9.2012 – I-6 U 11/12, MMR 2013, 300 (302); s.a. LG Berlin v. 14.1.2003 – 15 O 420/02, CR 2003, 339 m. Anm. Ayad, als Eingriff ins allgemeine Persönlichkeitsrecht; SMS wettbewerbswidrig und Verstoß gegen Persönlichkeitsrecht und negative Informationsfreiheit: Schmittmann, K&R 2003, 250; AG Essen v. 13.1.2004 – 11 C 481/03, MMR 2004, 840; s.a. Remmertz, MMR 2003, 314. 1528 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ABl. Nr. L 201 v. 31.7.2002, S. 37). 1529 Köhler/Bornkamm/Köhler, UWG, § 7 Rz. 196. 1530 OLG Köln v. 12.5.2011 – 6 W 99/11, CR 2011, 514 f. (Ls. 1) – Nicht ohne meine Tochter. 1531 LG Hannover v. 21.6.2005 – 14 O 158/04, CR 2006, 529 („Im Anschluss“ an die Rspr. des BGH zu Telefonwerbung und Werbung per E-Mail: BGH v. 11.3.2004 – I ZR 81/01, CR 2004, 445) m. Anm. Müglich. 1532 LG Berlin v. 9.3.2010 – 16 S 28/08, MMR 2010, 764. 1533 S. Müglich in Anm. zu LG Hannover v. 21.6.2005 – 14 O 158/04, CR 2006, 529 (531), als unzumutbare Belästigung wettbewerbswidrig, wenn Anmeldung unter Absenderkennung eines Dritten und unverlangte SMS-Versendung möglich.
Kosmides
623
794
B Rz. 795
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
und besteht deshalb nur, wenn nicht bereits ein Verband den Einspruch einklagt bzw. eingeklagt hat.1534 4.2.3 Fax 795 Die Werbung über Telefax ist ein Fall des § 7 Abs. 2 Nr. 3 UWG („Faxgeräte“) und somit wie elektronische Post1535 den Ausnahmen nach § 7 Abs. 3 UWG zugänglich. Es handelt sich um eine immer noch bestehende Form des Direktmarketing.1536 Grds. bedarf also die Faxwerbung der Einwilligung. Die Rspr. hatte Faxwerbung schon früher als wettbewerbswidrig eingestuft.1537 796 Allerdings erfolgte eine Reihe von „Schwankungen“, wenn es um Unternehmer als Adressaten ging. Dabei spielte hinsichtlich der Störung bzw. des Eingriffs in den eingerichteten und ausgeübten Gewerbebetrieb die Blockade des Geräts und der Papierverbrauch eine Rolle.1538 Auch die unfaire Verlagerung der Kosten, indem sich der Versender die Versandkosten spart und dafür die Ressourcen des Empfängers in Anspruch nimmt, macht diese unzulässig.1539 797 Zum Fax hat sich das OLG Hamm1540 im Bereich von Nicht-Wettbewerbern festgelegt und dezidiert geäußert: „Aus dem fehlendem Widerspruch des Betroffenen gegen angeblich vorangegangene Werbesendungen lässt sich kein konkludentes Einverständnis herleiten. Der rechtswidrige Übergriff zwingt nicht zum Handeln, kommentarloses Dulden hat keinen Aussagewert“.1541
798 Die unaufgeforderte Übersendung von Werbung per Telefax stellt im geschäftlichen Verkehr neben einem Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb auch eine rechtswidrige Eigentumsverletzung dar.1542 799 Die Störung des Geschäftsablaufs und die Beaufschlagung der Mitarbeiter mit Lesen und Kontrollieren ist bei Fax – noch stärker als bei E-Mail – erheblich und kontraproduktiv: „In dem unaufgefordert zugesandten Telefax-Schreiben liegt auch ein Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb des Betroffenen, weil solche Schreiben die Empfangsgeräte blockieren, was auch außerhalb der üblichen Geschäftszeiten stört, weil potentielle Kunden auch diese Zeiten z.B. aus Kostengründen nutzen, und außerdem nur mit spürbarem Arbeitsaufwand aussortiert werden können. Die Störung des Betriebsablaufs der Empfängerfirma ist bei Telefax-Schreiben wesentlich einschneidender als bei E-Mails, die mit einem Mausklick gelöscht werden können“.1543
1534 BGH v. 19.7.2007 – I ZR 191/04, CR 2008, 222; s.a. LG Bonn v. 19.7.2004 – 6 S 77/04, CR 2005, 198. 1535 Anders ist Telefax i.R.d. TMG zu beurteilen; vgl. KG v. 7.5.2013 – 5 U 32/12, CR 2013, 599 (Ls. 1): keine Gleichwertigkeit einer E-Mail-Adresse und einer Telefaxnummer i.R.d. § 5 Abs. 1 Nr. 2 TMG. 1536 Zum Direktmarketing s. Schulze zur Wiesche, CR 2004, 742 ff. 1537 S. z.B. Störerhaftung für unaufgeforderte Faxwerbung: LG Frankfurt v. 27.11.2002 – 2/6 O 401/02, CR 2003, 859. 1538 Z.B. hat LG Frankfurt/M. v. 27.11.2002 – 2/6 O 401/02, CR 2003, 859; OLG Frankfurt v. 20.5.2003 – 2 Ss 39/03, CR 2004, 434 Sachbeschädigung, § 203 StGB geprüft (abgelehnt). 1539 OLG Hamm v. 18.1.2005 – 4 U 126/04, CR 2006, 19. 1540 Zu Telefon oben OLG Hamm v. 18.1.2005 – 4 U 126/04, CR 2006, 19; BGH v. 20.9.2007 – I ZR 88/05, CR 2008, 220. 1541 OLG Hamm v. 22.5.2007 – 27 W 58/06, MIR 2007, Dok. 333 (Ls. 3) unter Berücks. BGH v. 25.10.1995 – I ZR 255/93, CR 1996, 337, dort allerdings unter UWG-Aspekten. 1542 „Anders als bei unerwünschter elektronischer Post, stellt der Zugang eines Telefax-Schreibens bereits eine Eigentumsverletzung dar, die jedenfalls in dem Verbrauch von Papier und Druckerfarbe zu sehen ist.“ So OLG Hamm v. 22.5.2007 – 27 W 58/06, MIR 2007, Dok. 333 (Ls. 1). 1543 OLG Hamm v. 22.5.2007 – 27 W 58/06, MIR 2007, Dok. 333 (Ls. 2).
624
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 804
B
Bei Anwälten tritt der Kontrollaufwand in den Vordergrund. Die Regelung im UWG umfasst 800 auch den Unternehmer als Werbeadressaten.1544 Eine mutmaßliche Einwilligung reicht nach § 7 Abs. 2 Nr. 3 UWG nicht. Vielmehr ist eine ausdrückliche Einwilligung erforderlich. Auch Faxumleitung auf PC-Fax statt auf herkömmliches Ausdruckgerät ändert nichts an der grds. Wettbewerbswidrigkeit gegenüber Gewerbetreibenden.1545 Fax-Provider:
801
– Bloße Bereitstellung der Abrufnummer genügt nicht für Haftung.1546 – Mithaftung Faxabruf-Provider für Spam.1547 – Haftung Reseller 0190-Nummer für Werbefaxe.1548 – Telefaxabrufdienste: unlauteres Belegen erst kürzlich übernommener Fax-Abruf-Nummer mit anderen Werbeinhalten.1549 Nach Ansicht des OLG Stuttgart handelt es sich bei der Übermittlung eines Telefaxes durch 802 eine Auskunftei an ein Unternehmen zur Abfragung von Geschäftszahlen weder um eine Werbemaßnahme noch um eine geschäftliche Handlung. Die Faxübermittlung ohne vorherige ausdrückliche Einwilligung könne daher keine unzumutbare Belästigung i.S.v. § 7 Abs. 1, Abs. 2 Nr. 3 UWG darstellen.1550 4.2.4 E-Mail Werbe-E-Mails sind gemäß TMG als solche deutlich zu kennzeichnen, andererseits der typische Fall „elektronischer Post“, § 7 Abs. 2 Nr. 3 UWG. Da der Begriff der Werbung weit zu verstehen ist, wird hiervon auch die Übermittlung von Rechnungen, Zahlungsaufforderungen und Mahnungen mittels E-Mail, die dem Absatz und der Verwertung von Leistung des Inhabers des E-Mail-Kontos dienen, erfasst.1551
803
Generell sind Werbe-E-Mails ohne vorherige ausdrückliche Einwilligung unzulässig, § 7 804 Abs. 2 Nr. 3 UWG.1552 Vor diesem Hintergrund ist das massenhafte Versenden von Werbe-EMails (Spamming) grds. wettbewerbswidrig.1553 Bereits das einmalige Versenden von Spam stellt einen Wettbewerbsverstoß dar.1554 Das Einwilligungserfordernis gilt auch, wenn in einer Autoresponder-Mail werblicher Inhalt enthalten ist.1555 Eine insoweit unzulässige
1544 OLG Hamm v. 18.1.2005 – 4 U 126/04, CR 2006, 19; BGH v. 1.6.2006 – I ZR 167/03, CR 2007, 88 – Telefax-Werbung II. 1545 BGH v. 1.6.2006 – I ZR 167/03, CR 2007, 88 – Telefaxwerbung II. 1546 LG Wuppertal v. 25.3.2003 – 1 O 539/02, MMR 2003, 488. 1547 LG Hamburg v. 17.11.2004 – 304 S 82/03, CR 2005, 496: Das Bereitstellen von Fax-Abrufnummern und Faxservern kann zur Mithaftung des Anbieters führen, wenn Dritte in unverlangten Werbefaxen hierauf hinweisen und der Anbieter solche Hinweise nicht i.R.d. Zumutbaren durch besondere Gestaltung der Bereitstellungsverträge ausgeschlossen hat. 1548 LG Hamburg v. 14.1.2003 – 315 O 324/02, MMR 2003, 600. 1549 OLG Frankfurt v. 23.1.2003 – 6 U 148/02, MMR 2003, 403. 1550 OLG Stuttgart v. 25.7.2013 – 2 U 9/13, ITRB 2014, 55; anders LG Ulm v. 11.1.2013 – 10 O 102/12 KfH, ZD 2013, 454 (456): „In der Datenerhebung … liegt damit zumindest eine mittelbare Förderung ihres Wettbewerbs, die für eine geschäftliche Handlung ausreichend ist (…). Damit liegt auch eine „mittelbare“ Werbung vor.“ 1551 OLG Frankfurt v. 30.9.2013 – 1 U 314/12, MMR 2014, 115. 1552 BGH v. 15.12.2015 – VI ZR 134/15, CR 2016, 451 (452); LG München v. 15.10.2013 – 1 HKO 8016/13, juris Rz. 37; Härting, Internetrecht, Rz. 1712. 1553 S.a. Härting, Internetrecht, Rz. 1725. 1554 Härting, Internetrecht, Rz. 1738 mit Hinweis auf LG Bonn v. 8.9.2009 – 11 O 56/09. 1555 BGH v. 15.12.2015 – VI ZR 134/15, CR 2016, 451 (452); AG Stuttgart – Bad Cannstatt v. 25.4.2014 – 10 C 225/14, CR 2014, 822 (Ls. 2).
Kosmides
625
B Rz. 805
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
E-Mail stellt einen Eingriff in das allgemeine Persönlichkeitsrecht des Empfängers dar, wenn dieser dem Erhalt von Werbung zuvor explizit widersprochen hat.1556 805 Eine Einwilligung bleibt nicht ewig gültig. Eine einmal erteilte Einwilligung kann mit Ablauf eines längeren Zeitraums ihre Wirksamkeit verlieren und damit die betreffende WerbeEmail eine unzumutbare Belästigung i.S.d. § 7 Abs. 2 Nr. 3 UWG darstellen. Insoweit hat der Unternehmer den Aspekt des Zeitablaufs zu beachten. Die Gültigkeitsdauer kann je nach Umständen des Einzelfalls variieren, wobei aber auch das entscheidende Gericht eine Rolle spielt.1557 806 Die unerlaubte Zusendung von Werbe-E-Mails kann das allgemeine Persönlichkeitsrecht des Empfängers verletzen.1558 Das elektronische Postfach einer natürlichen Person gehört zu deren Privatsphäre.1559 Der betroffene Verbraucher ist insofern gem. §§ 823 Abs. 1, 1004 Abs. 1 Satz 2 BGB berechtigt, einen Unterlassungsanspruch gegen den Werbenden geltend zu machen.1560 Ein Unterlassungsanspruch aus §§ 8 Abs. 1 i.V.m. § 7 Abs. 2 Nr. 3 UWG steht ihm hingegen nicht zu (vgl. § 8 Abs. 3 UWG).1561 Eine unlautere E-Mail-Werbung gegenüber Gewerbetreibenden ist ein unterlassungsrelevanter Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb.1562 807 Es gilt als Prinzip striktes Opt-In.1563 Dies gilt auch für politische Parteien.1564 Jedoch: Die Zusendung einer E-Mail durch eine Verlagsredaktion kann aufgrund des Medienprivilegs auch ohne (mutmaßliche) Einwilligung des Empfängers rechtmäßig sein, wenn sie nicht der Werbung, sondern der Nachrichtenbeschaffung (Umfrage) dient.1565 808 Mutmaßlichkeit der Einwilligung reicht nicht. Die Unzumutbarkeit der Belästigung wird i.d.R. angenommen.1566 Die Zusendung vorgeblicher Bestätigungen bereits werbender Telefonate, „Auftragsbestätigungen“ ohne tatsächlich zugrunde liegenden Vertrag oder Anforderung ist eine unzumutbare Belästigung.1567 809 Bei E-Mail-Werbung greift die Regelung möglicher Ausnahmen gem. § 7 Abs. 3 UWG. Die möglichen Ausnahmen sind als „Abweichung“, wenn eine unzumutbare Belästigung einer Werbung unter Verwendung elektronischer Post also nicht anzunehmen ist, nach § 7 Abs. 3 UWG zulässig: 1556 BGH v. 15.12.2015 – VI ZR 134/15, CR 2016, 451 (Ls. 2); a.A. LG Stuttgart v. 4.2.2015 – 4 S 165/14. 1557 LG Berlin v. 2.7.2004 – 15 O 653/03, CR 2004, 941: Werbe-E-Mail 2 Jahre nach Zustimmung nicht mehr davon gedeckt; strenger LG Berlin v. 9.12.2011 – 15 O 343/11, WRP 2012, 610 (Ls.): Erlöschen der Einwilligung wegen Zeitablaufs, wenn sie über 1,5 Jahre zurück liegt; ebenso LG München v. 8.4.2010 – 17 HK O 138/10, CR 2011, 830. 1558 OLG Frankfurt v. 30.9.2013 – 1 U 314/12, MMR 2014, 115. 1559 BGH v. 15.12.2015 – VI ZR 134/15, CR 2016, 451 (Ls. 1). 1560 BGH v. 15.12.2015 – VI ZR 134/15, CR 2016, 451 (452, Rz. 9). 1561 BGH v. 15.12.2015 – VI ZR 134/15, CR 2016, 451 (452, Rz. 9). 1562 BGH v. 20.5.2009 – I ZR 218/07, CR 2009, 733 (Ls.) – E-Mail-Werbung II; OLG Naumburg v. 22.12.2006 – 10 U 60/06, MIR 2007, Dok. 122; s.a. OLG Bamberg v. 6.9.2006 – 3 U 363/05, CR 2007, 262 (Ls. 1). 1563 Vgl. Härting, Internetrecht, Rz. 1725; Weiler, MMR 2003, 223; Eckhardt, MMR 2003, 557; zu USA Wendlandt, MMR 2004, 365: CAN-Spam-Act ausgehend v. Opt-out-Prinzip im Vergleich mit deutschen und europäischen Regelungen. 1564 AG Rostock v. 28.1.2003 – 43 C 68/02, CR 2003, 621 (Politische Partei bietet E-Card-Versand); a.M. Khorrami, K&R 2005, 161 (166); Massenversand gewerkschaftlicher E-Mails nicht über UWG, sondern Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb: ArbG Frankfurt v. 12.4.2007 – 11 Ga 60/07, ITRB 2007, 177. 1565 LG München v. 15.11.2006 – 33 O 11693/06, ITRB 2007, 82. 1566 Z.B. noch mit detaillierteren Überlegungen: OLG Düsseldorf v. 24.5.2006 – I-15 U 45/06, ITRB 2006, 178, unzumutbare Belästigung bei RA wegen Sorgfaltsanforderungen an E-Mail-Prüfung rasch erfüllt, Beurteilung hat im Gesamtzusammenhang zu erfolgen. 1567 LG Bonn v. 3.7.2007 – 11 O 142/05, CR 2008, 94.
626
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 814
B
1. das werbende Unternehmen hat im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen von den Kunden dessen elektronische Post-Adresse erhalten, 2. das werbende Unternehmen verwendet die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen, 3. der Kunde hat der Verwendung nicht widersprochen und 4. der Kunde wird bei der Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Diese Anforderungen an die Ausnahmen müssen kumulativ bestehen.1568 Die Praxis der Direktwerbung hält sich bekanntlich öfter nicht daran.1569 Aber auch die Rspr. ist nicht ganz einheitlich. Bei der Beurteilung der Frage, ob eine geschäftliche Handlung (z.B. der Versand von Newslettern per E-Mail) unter die Ausnahmeregelung des § 7 Abs. 3 UWG fällt oder eine unzulässige Werbung darstellt, ist zu beachten, dass diese Vorschrift im Interesse eines effizienten Kundenschutzes eng auszulegen ist.1570
810
Das in § 7 Abs. 3 Nr. 2 UWG vorgesehene Merkmal der „Ähnlichkeit“ ist insoweit dahin zu verstehen, dass es sich auf die bereits erworbenen Waren oder Dienstleistungen bezieht.1571 Dies ist i.d.R. der Fall, wenn die Produkte austauschbar sind oder dem gleichen oder zumindest einem ähnlichen Bedarf oder Verwendungszweck dienen.1572 Beschränkt sich die Werbung nicht auf ähnliche Produkte, sondern werden neben solchen ähnlichen Produkten weitere Produkte beworben, greift die Ausnahme nicht und die E-Mail darf nur mit ausdrücklicher Einwilligung verschickt werden.1573 Gleiches gilt, wenn der Unternehmer die Adresse des Kunden nicht (nur) zur Werbung für eigene Waren oder Dienstleistungen verwendet.1574
811
Nach Ansicht des LG München ist § 7 Abs. 3 UWG nicht anwendbar, sofern der Adressat 812 ein Bestellformular ausgefüllt hat, bei dem er vor Eingabe seiner E-Mail-Adresse darauf hingewiesen wurde, dass er „auf Wunsch den kostenlosen Newsletter“ erhält und diesen jederzeit abbestellen könne, ohne jedoch darüber aufgeklärt zu werden, dass seine E-Mail-Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet wird.1575 Folgende Klausel betreffend die Einwilligung in E-Mail-Werbung im Antragsformular für ei- 813 nen Mobilfunkvertrag verstößt nach Auffassung des OLG Koblenz gegen das Transparenzgebot (§ 307 Abs. 1 Satz 2 BGB), da sie geeignet sei, den Kunden über den Umfang seines Widerrufsrechts im Unklaren zu lassen: „Die …[A2] GmbH darf Sie zum Zwecke der Beratung, Werbung und Marktforschung zu eigenen Produkten postalisch oder per E-Mail kontaktieren, sofern Sie nicht gegenüber der …[A2] GmbH widersprechen.“1576
Strittig bzw. problematisch ist noch die Einordnung von Bestätigungs-E-Mails und E-Mail- 814 Verteilerlisten (s.a. Rz. 532, 772 ff., 1000): Z.B. soll die Schutzverpflichtung des Betreibers 1568 OLG Jena v. 21.4.2010 – 2 U 88/10, CR 2010, 815 (816). 1569 Vgl. etwa LG Frankfurt v. 6.6.2013 – 2-24 O 246/12, CR 2013, 744 (Ls. 4) zur Wirksamkeit einer Einwilligungsklausel in den AGB des Samsung-App-Stores. 1570 KG v. 18.3.2011 – 5 W 59/11, K&R 2011, 605 (Ls.). 1571 OLG Jena v. 21.4.2010 – 2 U 88/10, CR 2010, 815 (816); KG v. 18.3.2011 – 5 W 59/11, K&R 2011, 605 (Ls.). 1572 KG v. 18.3.2011 – 5 W 59/11, K&R 2011, 605 (Ls.). 1573 OLG Jena v. 21.4.2010 – 2 U 88/10, CR 2010, 815 (Ls.); KG v. 18.3.2011 – 5 W 59/11, K&R 2011, 605 (Ls.). 1574 Vgl. auch LG Frankfurt v. 6.6.2013 – 2-24 O 246/12, CR 2013, 744 (Ls. 4). 1575 LG München v. 15.10.2013 – 1 HKO 8016/13, juris Rz. 38. 1576 OLG Koblenz v. 26.3.2014 – 9 U 1116/13, CR 2014, 716.
Kosmides
627
B Rz. 815
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
für einen Eintrag im Verteiler dahin gehen, dass Dritte nur mit ihrer Zustimmung aufgenommen werden, die Wiederholungsgefahr nicht durch Löschung aus dem Verteiler beseitigt wird, und der Unterlassungsanspruch nicht nur Werbung betrifft, sondern auch unerwünschte Bestätigungsmails.1577 Unabhängig von der Frage der Zulässigkeit haben Werbe-E-Mails den Anforderungen des TMG zu genügen: Nach § 6 Abs. 1 Nr. 1 TMG muss kommerzielle Kommunikation klar als solche erkennbar sein. Gem. § 6 Abs. 2 Satz 1 TMG darf weder der Absender noch der kommerzielle Charakter der Nachricht verschleiert oder verheimlicht werden. Demnach kann evtl. bereits unzulässige E-Mail-Werbung bei entsprechender Verschleierung auch wegen Verstoßes gegen das TMG zusätzlich rechtswidrig sein.1578 Ebenso kann auch erlaubte Werbung noch gegen das TMG verstoßen. 815 Die Versendung einer E-Mail durch einen Online-Shop in Form einer Begrüßungs-E-Mail, mit der die Eröffnung eines Kundenkontos bestätigt wird, kann nach Ansicht des AG Pankow/Weißensee unzulässige Werbung darstellen.1579 816 Einer Werbe-E-Mail, die durch den Werbung treibenden Unternehmer selbst unverlangt versandt wird, ist eine sog. Empfehlungs-E-Mail („Tell-a-Friend“-Email) gleichzustellen, die durch den Nutzer einem Dritten ohne Einwilligung geschickt wird, wenn der Unternehmer die Möglichkeit der Versendung auf seiner Website zur Verfügung stellt und diese Empfehlungs-E-Mail auf den Internetauftritt des Unternehmens hinweist.1580 Eine solche Empfehlungs-E-Mail stellt, sofern der Ausnahmetatbestand des § 7 Abs. 3 UWG nicht eingreift, eine unzumutbare Belästigung i.S.v. § 7 Abs. 2 Nr. 3 UWG dar.1581 817 In wettbewerbsrechtlicher Hinsicht problematisch sind ferner sog. Warenkorb-ErinnerungsE-Mails, z.B. „Sie erhalten diese E-Mail, weil Sie auf der Seite (…) Daten eingegeben haben, aber unklar ist, wie damit weiter verfahren werden soll. Wenn Sie möchten, dass diese Daten sofort gelöscht werden, klicken Sie einfach den folgenden Link: NEIN DANKE DATEN LÖSCHEN“.
818 Die Wettbewerbszentrale sieht in einer solchen E-Mail einen Fall der unzulässigen und belästigenden E-Mail-Werbung gem. § 7 Abs. 1, Abs. 2 Nr. 3 UWG, wenn der Verbraucher zuvor keine Einwilligung erteilt hat.1582 Derartige Warenkorb-Erinnerungen seien ferner nach der Wettbewerbszentrale „datenschutzrechtlich mehr als bedenklich“.1583 819 Nach Ansicht des AG Hannover ist das Versenden einer Bewertungsaufforderung bzw. einer Feedback-Anfrage per E-Mail, mit der die Meinung eines Kunden zu einem von ihm erworbenen Produkt eingeholt werden soll, als Werbung anzusehen. Daher ist sie ohne vorherige Einwilligung unzulässig.1584 820 Es droht Haftung des Domaininhabers und des dahinter stehenden Unternehmens gegenüber einem Wettbewerber auf Unterlassung und Schadensersatz bei massenhafter Versendung von Werbe-E-Mails durch Website (§ 7 Abs. 2 Nr. 3 UWG), zugleich ein Auskunftsanspruch gegenüber Wettbewerbern hinsichtlich der Daten der Adressaten.1585 1577 AG Hamburg v. 18.8.2005 – 22A C 113/05, MMR 2006, 183; s.a. „double opt in“ als zulässig, single opt in als technisch zu unsicher und deshalb ohne Beweiswert: AG Burgwedel v. 7.2.2008 – 70 C 161/06, MIR 2008, Dok. 149. 1578 S.a. Schmittmann/Lorenz, K&R 2007, 609 (610). 1579 AG Pankow/Weißensee v. 16.12.2014 – 101 C 1005/14, ITRB 2015, 91 (Laoutoumai/Schwarz). 1580 Zur lauterkeitsrechtlichen Zulässigkeit der Freundschaftsempfehlung als Marketinginstrument Terhaag/Schwarz, K&R 2012, 377 ff. 1581 BGH v. 12.9.2013 – I ZR 208/12, CR 2013, 797 (798) – Empfehlungs-E-Mail; dazu Dehißelles, K&R 2014, 7 ff. 1582 https://www.wettbewerbszentrale.de/de/home/_news/?id=1493 (abgerufen am 24.8.2016). 1583 https://www.wettbewerbszentrale.de/de/home/_news/?id=1493 (abgerufen am 24.8.2016). 1584 AG Hannover v. 3.4.2013 – 550 C 13442/12, CR 2013, 679. 1585 LG Düsseldorf v. 16.8.2006 – 12 O 376/05, CR 2007, 114.
628
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 826
B
Bei unverlangt versandter E-Mail-Werbung kann das Unterlassen zumutbarer Überprüfungsmaßnahmen zu einer Haftung des Domaininhabers, des Betreibers der Internetseite sowie seines Geschäftsführers i.R.d. von ihnen eingerichteten Internet-Vertriebssystems führen.1586
821
Den Schutz vor unzumutbaren Belästigungen muss sich der Adressat nicht selbst dadurch schaffen, dass er Filtermechanismen bzw. -funktionen einsetzt. Er verliert den Schutz nicht, wenn er solche nicht einsetzt.1587
822
Eine Markenrechtsverletzung kann durch die Verwendung einer geschützten Marke in der 823 Absenderadresse des Spam-Mail erfolgen und neben den Auskunfts- und Unterlassungsansprüchen Schadensersatzansprüche auslösen.1588 Die Übersendung von unerbetenen Werbe-E-Mails stellt eine andere Verletzungsform als die 824 unzulässige Zusendung von Werbung an eine postalische Adresse dar.1589 So gesehen ist ein Unternehmen, das sich in einer strafbewehrten Unterlassungserklärung gegenüber einem Kunden verpflichtet, die eine Verletzungsform (postalische Werbung) zu unterlassen, nicht zur Zahlung einer Vertragsstrafe verpflichtet, wenn es die andere Verletzungsform (E-MailWerbung) begeht.1590 In der Rspr. besteht Einigkeit darüber, dass der Unterlassungsanspruch bei unverlangter 825 Werbe-E-Mail nicht auf ein Verbot der Versendung von E-Mails an diejenige E-Mail-Adresse beschränkt ist, an die der Werbungtreibende die E-Mails versandt hat, sondern auch weitere beliebige E-Mail-Adressen des Adressaten umfasst.1591 Unklar ist allerdings, ob eine Unterlassungserklärung, die auf konkrete E-Mail-Adressen des Empfängers beschränkt wird, geeignet ist, die Wiederholungsgefahr zu beseitigen. Nach Ansicht des LG Hagen ist eine solche Verpflichtungserklärung nicht ausreichend. Vielmehr müsse sie „vorbehaltlos und uneingeschränkt abgegeben werden und die gesamte verbotene Handlung umfassen“.1592 4.2.5 E-Card Ob E-Card trotz deren Individualität mit Spam gleichgesetzt werden darf bzw. soll, ist noch 826 nicht ganz klar.1593 Nach Ernst/Seichter soll der Anbieter von E-Cards nicht wegen Belästigung in Anspruch genommen werden können. Im Gegensatz zu herkömmlichem Spam sei bei E-Cards eine Individualisierung möglich, weshalb eine Haftung des Anbieters auf Unterlassung wegen der unerheblichen Belästigung des Empfängers ausscheidet.1594 Nach Meinung von Weber/Meckbach wird eine Gleichsetzung mit herkömmlicher Spam-Werbung
1586 OLG Köln v. 8.10.2010 – 6 U 69/10, MMR 2011, 321; speziell zur Haftung des Geschäftsführers aufgrund einer eigenen wettbewerbsrechtlichen Verkehrspflicht BGH v. 18.6.2014 – I ZR 242/12, GRUR 2014, 883. 1587 LG München v. 15.4.2003 – 33 O 5791/03, CR 2003, 615 (Ls. 3). 1588 OLG Karlsruhe v. 25.10.2006 – 6 U 35/06, CR 2007, 105 m. Anm. Utz. 1589 LG Heidelberg v. 28.3.2013 – 3 O 183/12, ITRB 2013, 131. 1590 LG Heidelberg v. 28.3.2013 – 3 O 183/12, ITRB 2013, 131. 1591 BGH v. 11.3.2004 – I ZR 81/01, CR 2004, 445 (448); OLG Celle v. 15.5.2014 – 13 U 15/14, K&R 2014, 531 (Ls. 1). 1592 LG Hagen v. 25.10.2013 – 2 O 278/13, juris Rz. 28. 1593 Politische Parteien genießen Privileg und zumindest E-Cards sind im Hinblick auf Art. 21 GG zulässig: Khorrami, K&R 2005, 161 (166). 1594 Ernst/Seichter, MMR 2006, 779 mit krit. Beleuchtung der insoweit ergangenen Rechtsprechung, die nicht auf den Unterschied des individualisierbaren Inhalts abstellt, etwa OLG Nürnberg v. 25.10.2005 – 3 U 1084/05, CR 2006, 196; LG München I v. 5.11.2002 – 33 O 17030/02, ITRB 2003, 98; LG München I v. 15.4.2003 – 33 O 5791/03, ITRB 2003, 243; OLG München v. 12.2.2004 – 8 U 4223/03, CR 2004, 695; KG v. 22.6.2004 – 9 W 53/04, CR 2005, 64; AG Rostock v. 28.1.2003 – 43 C 68/02, CR 2003, 621.
Kosmides
629
B Rz. 827
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
dem Mischcharakter von privater Kommunikation und Werbung nicht gerecht.1595 Die Praxis berücksichtigt die Differenzierungen – E-Mail/E-Card, kommerziell orientierte oder rein private Verbreitung – i.d.R. nicht. Auch die Ablehnung einer Privilegierung der Werbung politischer Parteien ist ziemlich einhellig.1596 827 Das Prinzip dürfte sein: „Wer über die E-Card-Funktion seiner Homepage Dritten ein anonymes Spamming erleichtert, muss als Mitstörer einstehen“.1597 828 Das OLG Nürnberg würde dies anders sehen, wenn nur die bestimmte, vom Verbraucher ausgewählte Produkt-Info weitergeleitet würde: Werbung durch Empfehlungs-E-Mail Dritter ist unzulässig, wenn nicht nur die Empfehlung des bestimmten Produkts enthalten ist, sondern auch eine darüber hinausgehende Werbung.1598 829 Mittelbare E-Mail-Werbung (hier mit Prämienanreizen) durch eine Bank, die ihre Kunden zu Empfehlungs-E-Mails an Freunde auffordert, ist unzulässig, da die Einwilligung der Adressaten nicht abgefragt wird.1599 Diese Werbeart über Freunde der Adressaten ist insb. deshalb unzulässig, weil dadurch Maßnahmen der Adressaten, etwa Spam-Filter, umgangen werden.1600 830 E-Cards nicht als Spam bzw. unverlangte Werbung zu qualifizieren, fällt angesichts der klaren Umgehungsfunktion schwer.1601 Infolgedessen dürfte die weitgehend identische Behandlung in der Rspr. angemessen sein. Weber/Meckbach versuchen einen vermittelnden Ansatz über Abwägung1602: Das Opt-in-Erfordernis soll nicht gelten, wenn der Inhalt überwiegend privat ist. Dann wäre für Verstoß bzw. Haftung Vorsatz erforderlich. Gegenüber Unternehmern als Nutzern gilt dagegen das Opt-in-Erfordernis.1603 Der Service-Anbieter soll als „Störer“ nur haften, wenn er zusätzlich Verhaltens- oder Prüfungspflichten verletzt hat.1604 4.3 Einwilligung 831 Die Einwilligung muss, um wirksam zu sein, in Kenntnis der Sachlage, für den konkreten Fall und freiwillig erteilt werden.1605 Sie muss konkret geschrieben und für Außenstehende erkennbar so gemeint sein.1606 832 Sog. Blanko- oder Generaleinwilligungen genügen nicht den gesetzlichen Anforderungen.1607
1595 Weber/Meckbach, MMR 2007, 482 (zu „E-Mail-basierten viralen Werbeinstrumenten“). A.M.: E-Cards mit werbendem Inhalt sind Spam und persönlichkeitsverletzend, AG Rostock v. 28.1.2003 – 43 C 68/02, CR 2003, 621 (s.a. Dieselhorst, ITRB 2003, 222). 1596 Keine Privilegierung: LG München I v. 5.11.2002 – 33 O 17030/02, ITRB 2003, 98; Rechtsanwalt erhält unerwünschte Mails mit politischer Information: OLG München v. 12.2.2004 – 8 U 4223/03, CR 2004, 695; Politische Partei als Mitstörer bei anonymem Spamming: KG v. 22.6.2004 – 9 W 53/04, CR 2005, 64; AG Rostock v. 28.1.2003 – 43 C 68/02, CR 2003, 621 (Politische Partei bietet E-Card-Versand); a.M., Politische Parteien genießen Privileg und zumindest E-Cards sind im Hinblick auf Art. 21 GG zulässig: Khorrami, K&R 2005, 161 (166). 1597 KG v. 22.6.2004 – 9 W 53/04, CR 2005, 64; LG Berlin v. 23.1.2007 – 15 O 346/06, ITRB 2007, 273, juris Rz. 28. 1598 OLG Nürnberg v. 25.10.2005 – 3 U 1084/05, CR 2006, 196; nachgehend BGH v. 29.5.2008 – I ZR 189/05, CR 2008, 797 zur Rechtsfolge eines wettbewerbsrechtlichen Unterlassungsantrags. 1599 LG Nürnberg-Fürth v. 4.3.2004 – 4 HK O 2056/04, CR 2007, 702. 1600 LG Nürnberg-Fürth v. 4.3.2004 – 4 HK O 2056/04, CR 2007, 702. 1601 So aber Weber/Meckbach, MMR 2007, 482. 1602 Weber/Meckbach, MMR 2007, 482 (485 f.). 1603 Weber/Meckbach, MMR 2007, 482 (487). 1604 Weber/Meckbach, MMR 2007, 482 (487). Noch weiter: Die Störerhaftung ist zu verneinen, wenn für den Empfänger der Initiator der Sendung ersichtlich ist: Dieselhorst, ITRB 2003, 222. 1605 BGH v. 25.10.2012 – I ZR 169/10, CR 2013, 440 (Ls. 3) – Einwilligung in Werbeanrufe II; zum einwilligungsbasierten Marketing Voigt, K&R 2013, 371 ff. 1606 LG Baden-Baden v. 18.1.2012 – 5 O 100/11, WRP 2012, 612 (613). 1607 Härting, Internetrecht, Rz. 1739; vgl. auch A Rz. 979, A Rz. 1005.
630
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 839
B
Allein der Umstand, dass die Einwilligung im Rahmen einer vorformulierten Erklärung abgegeben wurde, führt nicht zur Unwirksamkeit.1608
833
Versteckte Einwilligungserklärungen in AGB etwa innerhalb der „Datenschutzerklärung“ 834 gelten nach Härting als überraschende Klauseln gemäß § 305c Abs. 1 BGB und werden damit nicht Vertragsbestandteil.1609 Wer Werbeanrufe vornimmt, muss – so das OLG Hamm – eine Erklärung des Anzurufenden 835 vorlegen, aus der er schließen darf, dieser sei mit dem Anruf zu dem betreffenden Zweck einverstanden. Eine Einverständniserklärung an versteckter Stelle mitten in einem vorformulierten Text widerspricht dem Transparenzgebot und stellt eine unangemessene Benachteiligung des Kunden dar.1610 LG Berlin sah ferner in folgender Klausel in der Google-Datenschutzerklärung einen Verstoß 836 gegen § 7 UWG, weil sie bei kundenfeindlichster Auslegung die Einwilligung zur Nutzung der Telefonnummer sowie der E-Mail-Adresse des Betroffenen für Zwecke der Werbung beinhalte1611: „Wir nutzen diese Informationen außerdem um Ihnen maßgeschneiderte Inhalte anzubieten – beispielsweise um Ihnen [relevantere Suchergebnisse und] Werbung zur Verfügung zu stellen.“
Gegenüber einem Verbraucher ist Werbung mit einem Telefonanruf nur mit vorheriger ausdrücklicher Einwilligung erlaubt (§ 7 Abs. 2 Nr. 2 UWG).1612 Über § 7 Abs. 3 UWG erfolgt insoweit keine Ausnahmeregelung, anders als zu § 7 Abs. 2 Nr. 3 UWG für Werbung mit automatischen Anrufmaschinen, Faxgeräten und elektronischer Post. Es handelt sich also um ein pauschales Verbot der Telefonwerbung gegenüber Verbrauchern. Gegenüber „sonstigen Marktteilnehmern“ (die nicht Verbraucher sind) gilt das Verbot grds. ebenso, jedoch reicht hier eine „zumindest mutmaßliche Einwilligung“. Zu deren Beurteilung kommt es auf die näheren konkreten Umstände vor dem Anruf sowie auf Art und Inhalt der Werbung an.1613
837
Die Rspr. zur mutmaßlichen Einwilligung darf grds. nicht auf die Fälle angewandt werden, 838 in denen es um die Einwilligung eines Verbrauchers geht. Die mutmaßliche Einwilligung ist ebenso wie die konkludente nicht ausreichend.1614 Für Werbung unter Verwendung von automatischen Anrufmaschinen, Faxgeräten und elektronischer Post muss stets eine vorherige ausdrückliche Einwilligung vorliegen, § 7 Abs. 2 Nr. 3 UWG. Bei der Zusendung einer Werbe-E-Mail an Nichtkonkurrenten ohne vorherige Einwilligung des Adressaten und ohne Vorliegen eines Ausnahmefalls entsprechend § 7 Abs. 3 UWG handelt es sich um einen rechtswidrigen Eingriff in den Gewerbebetrieb des Adressaten.1615 Eine E-Mail-Werbung ist insoweit nur zulässig, wenn der Werbende seine
1608 Vgl. BGH v. 25.10.2012 – I ZR 169/10, CR 2013, 440 (441) – Einwilligung in Werbeanrufe II; v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 (88) – Happy Digits; v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 (722) – Payback. 1609 Härting, Internetrecht, Rz. 1740. 1610 OLG Hamm v. 15.8.2006 – 4 U 78/06, CR 2006, 750. 1611 LG Berlin v. 19.11.2013 – 15 O 402/12, CR 2014, 404; zustimmend in Bezug auf die Anwendung des Grundsatzes der verbraucherfeindlichsten Auslegung Meyer, K&R 2013, 90 (92). 1612 Zur Nichtigkeit eines Callcenter-Vertrags zur Telefonwerbung ohne Einwilligung s. OLG Stuttgart v. 26.8.2008 – 6 W 55/08, CR 2008, 711. 1613 BGH v. 16.11.2006 – I ZR 191/03, CR 2007, 440. Fax-Nummer-Veröffentlichung eines Unternehmens lässt auf konkludente Einwilligung schließen, was Kaufanfragen im Rahmen der üblichen Verkaufstätigkeit betrifft: BGH v. 17.7.2008 – I ZR 75/06. Anders bei Sportvereinen: BGH v. 17.7.2008 – I ZR 197/05, CR 2008, 718. 1614 Köhler/Bornkamm/Köhler, § 7 Rz. 145, 163 ff. 1615 LG Hagen v. 10.5.2013 – 1 S 38/13, ITRB 2013, 278.
Kosmides
631
839
B Rz. 840
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Adresslisten von vornherein auf die Empfänger beschränkt, deren Einwilligung ihm vorliegt oder bei denen die Ausnahmekriterien des § 7 Abs. 3 UWG vorliegen.1616 840 § 7 Abs. 2 Nr. 2 und 3 UWG verlangen, dass für eine wettbewerbskonforme Einwilligung ein Opt-in-Verfahren eingesetzt wird.1617 Das „Auskreuz“-Verfahren (Opt-Out) entspricht hingegen nicht den UWG-rechtlichen Anforderungen an eine wirksame Einwilligung.1618 Dies ist i.R.d. BDSG nicht der Fall. Nach der Payback-E. des BGH steht § 4a BDSG der Optout-Gestaltung der Einholung der Einwilligung nicht entgegen.1619 841 Die Grenze zur Unfreiwilligkeit der Einwilligung in eine Datennutzung i.S.d. § 4a BDSG wird bei „Opt-out-Klauseln“ dann überschritten, wenn diese nach ihrer Gestaltung für den Kunden unnötige Barrieren aufbauen, die ihn an der Versagung der Einwilligung hindern.1620 842 Die Einholung einer Einwilligung durch die Verwendung einer Opt-in-Klausel ändert nichts an der Qualifizierung der Klausel als AGB. Eine solche AGB-Klausel unterliegt insofern der Inhaltskontrolle.1621 843 Dem Verwender des Double-Opt-In-Verfahrens ist nicht zuzumuten, im Einzelfall den Schutz vor Missbrauch sicherzustellen.1622 Anders wäre es wohl auch gemäß LG Berlin bei massenhafter oder bei zahlreich missbräuchlicher Verwendung. Konkret sah die Werbe-EMail eher wie eine fehlgeleitete E-Mail „neutral“ aus. 844 Bei Telefonwerbung wird eine Einwilligung „in Kenntnis der Sachlage“ erteilt, wenn der Adressat „hinreichend auf die Möglichkeit von Werbeanrufen hingewiesen wird und weiß, auf welche Art von Werbemaßnahmen und auf welche Unternehmen sich seine Einwilligung bezieht“.1623 845 Eine Einwilligung, die nicht für einen konkreten Fall erteilt wird und/oder nicht auf einen bestimmten Kreis von Unternehmen bezogen ist, ist unwirksam.1624 So liegt eine unangemessene Benachteiligung vor – und ist die betreffende Klausel deshalb unwirksam –, wenn sich die Einwilligung auch auf Telefonkontakte mit Unternehmen erstreckt, die nicht namentlich genannt werden (§ 307 Abs. 1 Satz 1 BGB i.V.m. § 7 Abs. 2 Nr. 2 UWG): „Ja ich stimme zu und möchte zu den Produkten der … [A2] GmbH und der mit verbundenen Unternehmen, die zur …[A] Gruppe gehören, beraten werden. Meine Bestandsdaten dürfen während der Vertragslaufzeit zum Zwecke der Beratung, Werbung, und Marktforschung verarbeitet und genutzt werden. Hierzu darf ich auch telefonisch kontaktiert werden.“1625
846 Lässt ein Unternehmen im Anschluss an die Geschäftsabwicklung den eigenen Kunden durch ein Marktforschungsinstitut anrufen, um nach seiner Zufriedenheit mit der Geschäftsabwicklung zu fragen, ist eine unzumutbare Belästigung i.S.d. § 7 Abs. 2 Nr. 2 UWG gegeben, wenn der Kunde keine wirksame Einwilligung in einen solchen Anruf erteilt hat.1626
1616 1617 1618 1619
1624 1625 1626
LG Hagen v. 10.5.2013 – 1 S 38/13, ITRB 2013, 278. Vgl. BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 (722) – Payback. Vgl. auch Pauli, WRP 2011, 1232 (1234). BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 (722) – Payback; vgl. auch Feldmann/Höppner, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, Teil 3 II Rz. 11; Nowak/Zieger, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, Teil 6 II Rz. 10. LG Köln v. 7.3.2007 – 26 O 77/05, MIR 2007, Dok. 288, unter Verweis auf OLG München v. 28.9.2006 – 29 U 2769/06. OLG Köln v. 29.4.2009 – 6 U 218/08, CR 2009, 783. LG Berlin v. 23.1.2007 – 15 O 346/06, ITRB 2007, 273. BGH v. 25.10.2012 – I ZR 169/10, CR 2013, 440 (441) – Einwilligung in Werbeanrufe II; LG Bonn v. 10.1.2012 – 11 O 40/11, CR 2012, 336 (337). LG Berlin v. 9.12.2011 – 15 O 343/11, WRP 2012, 610 (Ls.). OLG Koblenz v. 26.3.2014 – 9 U 1116/13, CR 2014, 716. OLG Köln v. 30.3.2012 – 6 U 191/11, CR 2012, 520.
632
Kosmides
1620 1621 1622 1623
E-Werbung und weitere geschftliche Handlungen
Rz. 852
B
Das LG Düsseldorf hat entschieden, dass keine wirksame Einwilligung gemäß § 7 Abs. 2 Nr. 2 UWG vorliegt, wenn sie durch einen als Meinungsbefragung getarnten Telefonanruf generiert wird.1627 Die Einverständniserklärung hatte folgenden Wortlaut:
847
„Ja, ich möchte am Gewinnspiel teilnehmen und erteile den in dieser Liste aufgeführten Sponsoren für die jeweils angegebenen Produkte oder Dienstleistungen mein Einverständnis für die Mail-, Post- und/oder Telefonwerbung wie in der Liste angegeben. Das Einverständnis kann ich jederzeit widerrufen.“
Die Angabe der Telefonnummer, der E-Mail-Adresse oder der Telefaxnummer des Verbrauchers in öffentlichen Verzeichnissen oder auf Briefköpfen und Visitenkarten rechtfertigt nicht die Annahme einer Einwilligung in die entsprechende Werbung.1628
848
Die Versuche der Marketing-Unternehmen, i.R.d. § 7 UWG eine Zulässigkeit aufgrund der 849 Einwilligung des Betroffenen zu konstruieren, sind vielfältig. Typisch sind etwa Befragungen, Preisrätsel1629 und Gewinnspiele. Gewinnspiel als Einwilligung in Telefonwerbung:
850
„Ob ein Unternehmer im Rahmen einer Telefonwerbung selbst durch einen Angestellten handelt oder ein Mitarbeiter eines mit den Werbeanrufen beauftragten Unternehmens tätig wird, ist ohne Bedeutung, da der Unternehmer sich das Verhalten derartiger ‚Mitarbeiter‘ zurechnen lassen muss.“1630
Das LG Hamburg hat entschieden, dass die Kopplung einer Einwilligung in eine Gewinnspielteilnahme und einer Einwilligungserklärung in die Zusendung von Werbung per E-Mail oder SMS-Nachricht nicht erlaubt sei.1631 Vielmehr werde eine eigenständige Einwilligungserklärung ausschließlich bezogen auf die Datenfreigabe vorausgesetzt.1632 Praktisch bedeutet dies, dass vom Betroffenen zwei Kästchen anzukreuzen bzw. zwei Unterschriften zu leisten sind, nämlich eins bzw. eine zur Bestätigung der Teilnahmebedingungen und eins bzw. eine zur Erteilung der Einwilligung in die werbliche Nutzung seiner Daten.1633
851
Unter Geltung des § 7 Abs. 2 Nr. 3 UWG 2004 hatte der BGH entschieden, dass die Angabe 852 auf der Internetseite eines gewerblichen Händlers, dass derjenige, der mit ihm in Kontakt treten möchte, ihm hierzu eine E-Mail senden könne, nicht als konkludente Einwilligung in eine E-Mail-Werbung beurteilt werden kann.1634 Erst recht gilt diese Beurteilung des BGH i.R.d. geltenden Rechts fort. Denn die Neuregelung in § 7 Abs. 2 Nr. 3 UWG stellt eine Verschärfung gegenüber der Altregelung dar. Sie sieht als Zulässigkeitsvoraussetzung das Bestehen einer ausdrücklichen Einwilligung vor.
1627 LG Düsseldorf v. 20.12.2013 – 33 O 95/13, ZD 2014, 200. 1628 Köhler/Bornkamm/Köhler, UWG, § 7 Rz. 187; vgl. auch LG Baden-Baden v. 18.1.2012 – 5 O 100/11, WRP 2012, 612 (613). 1629 Zur wettbewerbsrechtlichen Beurteilung von Preisrätseln als redaktionelle Werbung OLG Karlsruhe v. 7.6.2013 – 4 U 7/12, WRP 2013, 1053, wonach der Hinweis „Verlagsanzeige“ für die Erkennbarkeit des Werbecharakters nicht ausreiche, genau wie der Hinweis darauf, dass der Produkthersteller die ausgelobten Gewinne kostenlos zur Verfügung gestellt hat. 1630 LG Düsseldorf v. 2.2.2007 – 38 O 145/06, CR 2007, 442 – Teilnahmekarte an Gewinnspiel kein Einverständnis mit Werbeanrufen Dritter; a.M. i.V.m. „Haushaltsumfrage“: OLG Frankfurt v. 13.12.2000 – 13 U 204/98, CR 2001, 294, Revision nicht angenommen BGH v. 15.11.2001 – I ZR 47/01. LG Frankfurt v. 30.10.2007 – 2/18 O 26/07, MIR 2007, Dok. 405, Einwilligung in Werbung i.R.v. Life-Style-Befragung nicht i.R.d. konkreten Vertragsverhältnisses ist analog AGB-Recht wg. Benachteiligung unwirksam; zur Nichtigkeit des Call Center-Vertrages s. OLG Stuttgart v. 26.8.2008 – 6 W 55/08, CR 2008, 711. 1631 LG Hamburg v. 10.8.2010 – 312 O 25/10, juris Rz. 31. 1632 LG Hamburg v. 10.8.2010 – 312 O 25/10, juris Rz. 35. 1633 Vgl. auch Pauli, WRP 2011, 1232 (1234). 1634 BGH v. 10.12.2009 – I ZR 201/07, CR 2010, 525 (Ls.).
Kosmides
633
B Rz. 853
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
853 Die Einwilligung muss zum Zeitpunkt der Werbung („bei Werbung“) vorliegen. Dabei kommt es nicht darauf an, ob ursprünglich eine Einwilligung vorlag, die dann widerrufen wurde, oder ob von Beginn an keine solche Einwilligung gegeben war.1635 854 Folgende AGB-Klausel in der Datenschutzerklärung von Google verstößt nach Ansicht des LG Berlin gegen § 307 Abs. 1 i.V.m. Abs. 2 Nr. 1 BGB, weil sie bei kundenfeindlichster Auslegung die Einwilligung zur Nutzung der E-Mail-Adresse oder der Telefonnummer des Verbrauchers § 7 UWG zuwider beinhalte: „Wir nutzen diese Informationen außerdem um Ihnen maßgeschneiderte Inhalte anzubieten – beispielsweise um Ihnen [relevantere Suchergebnisse und] Werbung zur Verfügung zu stellen.“1636
855 Anders als i.R.v. § 4a Abs. 1 Satz 4 BDSG, nach dem es zulässig ist, die Einwilligung zusammen mit anderen Erklärungen abzugeben,1637 darf eine Einwilligung in Werbung gemäß § 7 Abs. 2 Nr. 2 und 3 UWG nicht zusammen mit anderen Erklärungen erteilt werden. Sie setzt eine gesonderte, nur auf die Einwilligung in die Werbung mit einem Telefonanruf oder elektronischer Post bezogene Einverständniserklärung des Adressaten voraus.1638 856 Eine wirksame Einwilligung setzt demnach voraus, dass die Einwilligungserklärung in einem separaten Text oder Textabschnitt ohne anderen Inhalt enthalten ist.1639 857 Folgende AGB-Klausel stellt insofern eine unangemessene Benachteiligung i.S.d. § 307 Abs. 1 Satz 1 BGB dar: „Mit Abschluss Ihres Abonnementvertrages willigen Sie ein, dass … ihre angegebenen personenbezogenen Daten auch zu Marketingzwecken für eigene Produktangebote per Telefon, SMS, E-Mail und Post sowie zur Marktforschung nutzen darf.“1640
858 Auch ist eine unangemessene Benachteiligung anzunehmen, wenn der Kunde mit der Unterschrift, mit der er eine Bestellung (für ein ISDN-Gerät oder eine Flatrate) abgibt, auch seine Einwilligung erteilt.1641 859 Bezieht sich etwa eine eine Telefonwerbung betreffende Einverständniserklärung auch auf die telefonische Benachrichtigung über einen Gewinn, so wird diese gesetzliche Voraussetzung nicht erfüllt.1642 860 Gleiches gilt, wenn mit dem Ankreuzen eines Kästchens sowohl den Teilnahmebedingungen eines Gewinnspiels als auch der Datennutzung für Werbezwecke zugestimmt wird.1643 861 Die formularmäßige Einwilligung zu unbeschränkten Werbeanrufen ist unzulässig. Es liegt ein Verstoß gegen das Transparenzgebot bei einer ohne sachlichen Zshg. in AGB eingebauten Einwilligung vor.1644 862 Wird durch eine AGB-Klausel ein Einverständnis mit telefonischer Werbung für Angebote nicht nur des Verwenders, sondern auch „Dritter und Partnerunternehmen“ eingeholt, ist 1635 1636 1637 1638
1640 1641 1642 1643 1644
Vgl. LG Braunschweig v. 18.10.2012 – 22 O 66/12, WRP 2013, 537 (539). LG Berlin v. 19.11.2013 – 15 O 402/12, CR 2014, 404 (407). Vgl. BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 (722) – Payback. BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 (723) – Payback; v. 14.4.2011 – I ZR 38/10, ITRB 2011, 251; OLG München v. 21.7.2011 – 6 U 4039/10, ZD 2011, 180 (182); LG München I v. 9.7.2010 – 21 O 23548/09; LG Hamburg v. 10.8.2010 – 312 O 25/10, juris Rz. 28 f. BGH v. 25.10.2012 – I ZR 169/10, CR 2013, 440 (441) – Einwilligung in Werbeanrufe II; OLG München v. 21.7.2011 – 6 U 4039/10, ZD 2011, 180 (182); OLG Hamm v. 17.2.2011 – 4 U 174/10, CR 2011, 539 (540). OLG München v. 21.7.2011 – 6 U 4039/10, juris (Os.), ZD 2011, 180. OLG Hamm v. 17.2.2011 – 4 U 174/10, CR 2011, 539 (541). BGH v. 14.4.2011 – I ZR 38/10, = CR 2011, 516. LG Hamburg v. 10.8.2010 – 312 O 25/10, juris Rz. 35. LG Bonn v. 31.10.2006 – 11 O 66/06, CR 2007, 237.
634
Kosmides
1639
E-Werbung und weitere geschftliche Handlungen
Rz. 868
B
eine unangemessene Benachteiligung des Kunden i.S.v. § 307 Abs. 1 Satz 1 BGB anzunehmen.1645 Dies gilt nach OLG Köln deshalb, weil eine solche Klausel die Bewerbung aller möglichen Waren und Dienstleistungen durch einen nicht überschaubaren Kreis von Unternehmen erlaube, wodurch für den Kunden nicht erkennbar sei, wer sich ihm gegenüber auf seine dem Verwender erteilte Einwilligung berufen kann.1646 Nach demselben Urteil verstößt folgende Klausel gegen das Transparenzgebot:
863
„Ja, ich bin damit einverstanden, dass ich telefonisch/per E-Mail/SMS/Post über interessante Angebote … informiert werde“.
Die Formulierung „interessante Angebote“ sei für den durchschnittlichen Kunden weder klar noch eindeutig.1647 Hat der Verbraucher keine Einwilligung in die Nutzung seiner Daten zu Marketingaktionen 864 erteilt, so stellt die Versendung eines Schreibens an ihn, in dem sich der Werbungtreibende für die Nutzung der Daten bedankt, eine unzumutbare belästigende geschäftliche Handlung i.S.v. § 7 Abs. 1 Satz 1 UWG dar. Denn der Empfänger werde durch ein derartiges Schreiben – so das LG Bonn – veranlasst, seine fehlende Zustimmung ausdrücklich zu geben, um der Gefahr zu entgehen, dass die widerspruchslose Entgegennahme des Schreibens als Zustimmung zur Datennutzung und als Bestätigung der Richtigkeit des Schreibens bewertet würde.1648 Folgende formularmäßige Klausel, mit der auf die Widerspruchsmöglichkeit in Bezug auf die Werbesendung unter Verwendung der E-Mail-Adresse des Kunden hingewiesen wird, verstößt nach Ansicht des OLG Düsseldorf gegen das Transparenzgebot i.S.v. § 307 Abs. 1 Satz 2 BGB und ist damit unwirksam:
865
„Mein Vertragspartner kann mir Text- oder Bildmitteilungen an … meine E-Mail … zukommen lassen. Ich kann dem jederzeit widersprechen.“
Sie sei geeignet, die Kunden über den Umfang der ihnen gegenüber nach Abs. 3 „auch ohne 866 Einwilligung gesetzlich zulässigen Werbeansprache zu verwirren und sie auf diese Weise möglicherweise von der Wahrnehmung der ihnen gesetzlich zustehenden Rechte abzuhalten“. Denn dadurch könne der Eindruck erweckt werden, dass eine Werbeansprache per E-Mail auch außerhalb der Zwecke des § 7 Abs. 3 Nr. 2 UWG bis auf weiteres zulässig sei, mit der Folge, dass der Kunde dieser auch dann widersprechen müsste, wenn er keine Einwilligung i.S.v. § 7 Abs. 2 Nr. 3 UWG erteilt hätte.1649 Bei Zweifeln an der Urheberschaft der Abbestellung einer Werbung, für die eine (ausdrück- 867 liche) Einwilligung des Adressaten vorausgesetzt wird, hat der Werbungtreibende grds. eine entsprechende Rückfrage zu stellen.1650 Für die Einwilligung trägt grds. der Werbetreibende die Darlegungs- und Beweislast.1651
868
1645 1646 1647 1648 1649 1650
OLG Köln v. 29.4.2009 – 6 U 218/08, CR 2009, 783 (784). OLG Köln v. 29.4.2009 – 6 U 218/08, CR 2009, 783 (784). OLG Köln v. 29.4.2009 – 6 U 218/08, CR 2009, 783 (784). LG Bonn v. 10.1.2012 – 11 O 40/11, CR 2012, 336 (337). OLG Düsseldorf v. 27.9.2012 – I-6 U 11/12, MMR 2013, 300 (302). So in Bezug auf E-Mail-Werbung LG Braunschweig v. 18.10.2012 – 22 O 66/12, WRP 2013, 537 (539). 1651 BGH v. 10.2.2011 – I ZR 164/09, CR 2011, 581 (583) – Double-Opt-In-Verfahren; v. 11.3.2004 – I ZR 81/01, GRUR 2004, 517 (519) – E-Mail-Werbung I; OLG München v. 27.9.2012 – 29 U 1682/12, CR 2012, 799 (800).
Kosmides
635
B Rz. 869
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
4.4 Verhinderung, Blocker 869 Gegenüber TV-Werbung gibt es Techniken, die die Werbung gegenüber dem Teilnehmer ausblenden, z.B. durch Wechsel, oder die die Aufzeichnung auf Video ohne Werbung erreichen. Werbeblocker in Form von Add-Ons werden zunehmend auch im Internetbereich eingesetzt. Das Angebot und der Vertrieb solcher „Werbeblocker“, auch die Werbung hierfür, sind wettbewerbsrechtlich relevant. Insb. könnte eine gezielte Behinderung von Mitbewerbern,1652 eine Irreführung sowie eine allgemeine Marktbehinderung in Betracht kommen. Ein Wettbewerbsverstoß ist nach bisheriger höchstrichterlicher Rspr. grds. zu verneinen.1653 Es wird nur der Wunsch des Zuschauers ausgeführt, ein unmittelbarer Eingriff in die Rundfunkfreiheit liegt nicht vor.1654 Etwas anderes ist alledings nach Ansicht des OLG Köln anzunehmen, wenn die Entscheidung über das Blockieren der Werbung von einer Vergütung abhängig gemacht wird.1655 Auch ein rechtswidriger Eingriff in Urheber- und Leistungsschutzrechte des Webseitenbetreibers kommt i.d.R. nicht in Frage.1656 In dieser Linie bewegt sich im Ergebnis wohl auch ein amerikanisches Bezirksgericht (District Court) in Los Angeles, das mit einer E. v. 7.11.2012 einen Antrag auf einstweiligen Rechtsschutz, der von Fox Broadcasting gegen den Adblocker DISH Network eingereicht wurde, abgewiesen hat.1657 870 Um Ihre Interessen zu schützen, setzen Webseitenbetreiber sog. AdBlock-Detektoren ein. Mit deren Hilfe soll festgestellt werden, ob ein Nutzer Werbeblocker aktiviert hat, sowie die Sperrung des Contents bzw. das Einblenden des Warnhinweises ermöglicht werden.1658 Die Zulässigkeit solcher AdBlock-Detektoren ist fraglich.1659 4.5 Werbefinanzierte Telefonate 871 Werbefinanzierte Telefongespräche gelten nicht als Telefon-Werbung1660 und fallen deshalb auch nicht unter die unzumutbare Belästigung bzw. deren Verbot. 5. Sonstige Erscheinungsformen unlauteren Handelns 872 Als typische Formen unlauteren Handelns im Online-Bereich lassen sich zudem insb. feststellen1661: – die Verschleierung des Werbecharakters i.S.v. § 4 Nr. 3 UWG 20081662 bzw. § 5a Abs. 6 UWG n.F.,
1652 Vgl. etwa LG Frankfurt v. 26.11.2015 – 3-06 O 105/15, K&R 2016 134. 1653 BGH v. 24.6.2004 – I ZR 26/02, CR 2004, 760; s.a. OLG Köln v. 24.6.2016 – 6 U 149/15, ITRB 2016, 194 (Ls.); LG München I v. 22.3.2016 – 33 O 5017/15, MMR 2016, 406 zum unentgeltlichen Download-Angebot einer Werbeblocker-Software, die eine Whitelist-Funktion enthält; v. 27.5.2015 – 37 O 11673/14, CR 2015, 738 (Ls. 1); LG Hamburg v. 21.4.2015 – 416 HKO 159/14, CR 2016, 122 zur Veräußerung einer mit einer Whitelist versehenen Werbeblocker-Software; Hoeren, K&R 2013, 757 ff.; a.A. LG Frankfurt v. 26.11.2015 – 3-06 O 105/15, K&R 2016 134: Gezielte Behinderung i.S.d. § 4 Nr. 10 UWG a.F. (vgl. nunmehr § 4 Nr. 4 UWG n.F.) bejaht, wenn mittels einer Software der Aufruf von Werbeinhalten auf der Internetseite einer Tageszeitung verhindert wird. 1654 BGH v. 24.6.2004 – I ZR 26/02, CR 2004, 760. 1655 OLG Köln v. 24.6.2016 – 6 U 149/15, ITRB 2016, 194 (Ls.). 1656 LG München I v. 27.5.2015 – 37 O 11673/14, CR 2015, 738 (Ls. 1). 1657 MMR-Aktuell 2012, 340077. 1658 Bechtolf/Vogt, K&R 2016, 445. 1659 Dazu Bechtolf/Vogt, K&R 2016, 445 ff. 1660 BGH v. 20.12.2001 – I ZR 227/99, CR 2002, 573; BVerfG v. 7.1.2003 – 2 BvR 710/02, NJW 2003, 1726, nicht zur Entscheidung angenommen. 1661 Vgl. auch Boemke, in: Hoeren/Sieber/Holznagel, Teil 11 Rz. 36 ff. (36. EL Stand 9/2013). 1662 Zum Begriff der „Schleichwerbung“ Himmelsbach, GRUR-Prax 2013, 78 f.
636
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 875
B
– die unzulässige Nachahmung fremder Leistungsergebnisse i.S.v. § 4 Nr. 9 UWG 2008 bzw. § 4 Nr. 3 UWG n.F., – die gezielte Behinderung i.S.v. § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F., – der Verstoß gegen eine Marktverhaltensregelung i.S.v. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F., – eine unzulässige an Kinder und Jugendliche adressierte Werbung (u.a. § 4 Nr. 2 UWG a.F. bzw. § 4a Abs. 1 i.V.m. Abs. 2 Satz 1 Nr. 3 i.V.m. Abs. 2 Satz 2 UWG n.F.), – das Belassen eines Angebots für eine nicht (mehr) lieferbare Ware im Onlineshop (§ 3 Abs. 3 UWG i.V.m. Nr. 5 der UWG-Anlage)1663 sowie – die Aufforderung zur Bezahlung unbestellter Produkte (§ 3 Abs. 3 UWG i.V.m. Nr. 29 der UWG-Anlage). 5.1 Verschleierung des Werbecharakters § 4 Nr. 3 UWG (vgl. nunmehr § 5a Abs. 6 UWG n.F.) kommt u.a. etwa bei Links (Rz. 923 ff.) 873 und viralem Marketing (Rz. 983 f.) in Betracht. Auch ein Wikipedia-Eintrag kann als verschleierte Werbung eingestuft werden.1664 Nach Ansicht des KG ist die Platzierung der Animation eines Schneebälle werfenden Elches mit der Aufforderung „Klick und wirf zurück“ in einem für Kinder (ab sieben Jahren) konzipierten Internetportal, die der Bewerbung eines Joghurt-Produkts dient, u.a. als verschleierte Werbung unlauter, wenn kein hinreichend deutlicher Hinweis auf den Werbecharakter dieser Maßnahme von Anfang an vorhanden ist.1665 Der Grad der gebotenen Deutlichkeit hängt maßgeblich vom Adressatenkreis ab.1666 5.2 Unzulässige Nachahmung fremder Leistungsergebnisse In § 4 Nr. 9 UWG a.F. bzw. § 4 Nr. 3 UWG n.F. ist der sog. „ergänzende wetttbewerbsrecht- 874 liche Leistungsschutz“ geregelt.1667 Der Nachahmungsschutz kommt bekanntlich nur Leistungsergebnissen mit wettbewerblicher Eigenart zugute.1668 Eine solche Eigenart weist grds. auch ein Internetauftritt auf, sodass er in den Anwendungsbereich dieses Beispielstatbestands fallen kann.1669 Das Setzen eines Hyperlinks ist keine Übernahme einer fremden Leistung i.S.v. § 4 Nr. 9 875 UWG 2008 bzw. § 4 Nr. 3 UWG n.F. Vielmehr erleichtert der Verweis lediglich den Zugriff auf eine Seite, die der Öffentlichkeit ohnehin zugänglich ist.1670 Solange der Linksetzer die Herkunft der fremden Beiträge nicht verschleiert, liegt keine Übernahme fremder Leistungen und damit kein Wettbewerbsverstoß vor.1671 Erforderlich für die wettbewerbsrechtliche Zulässigkeit ist, dass der Linksetzer zusätzlichen Nutzen stiftet und der gute Ruf des Informationsanbieters nicht ausgebeutet wird.1672 Etwas anderes gilt allerdings dann, wenn der Linksetzer den Eindruck erweckt, der Inhalt stamme von ihm, so z.B. beim Framing.1673 AlOLG Hamm v. 11.8.2015 – 4 U 69/15, K&R 2015, 747. OLG München v. 10.5.2012 – 29 U 515/12, CR 2012, 827. KG v. 15.1.2013 – 5 U 84/12, CR 2014, 62 (Ls.). KG v. 15.1.2013 – 5 U 84/12, CR 2014, 62. Vgl. Boemke, in: Hoeren/Sieber/Holznagel, Teil 11 Rz. 38 (36. EL Stand 9/2013). Köhler/Bornkamm/Köhler, UWG, § 4 Rz. 3.24. Boemke, in: Hoeren/Sieber/Holznagel, Teil 11 Rz. 38 (36. EL Stand 9/2013). Bornkamm/Seichter, CR 2005, 747 unter Verweis auf BGH v. 17.7.2003 – I ZR 259/00, CR 2003, 920 – Paperboy; so schon OLG Düsseldorf v. 29.6.1999 – 20 U 85/98, CR 2000, 184; vgl. auch Hoeren, GRUR 2004, 1. 1671 BGH v. 17.7.2003 – I ZR 259/00, CR 2003, 920 – Paperboy. 1672 Lapp, ITRB 2004, 114. 1673 Lapp, ITRB 2004, 114; Bornkamm/Seichter, CR 2005, 747; Leistner, CR 2000, 187; anders OLG Düsseldorf v. 29.6.1999 – 20 U 85/98, CR 2000, 184. 1663 1664 1665 1666 1667 1668 1669 1670
Kosmides
637
B Rz. 876
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
lein die Adressänderung dürfte nicht ausreichen, da diese vom User möglicherweise nicht im erforderlichen Maß wahrgenommen wird.1674 5.3 Mitbewerberbehinderung 876 Einen besonders häufigen Fall der Mitbewerberbehinderung i.S.v. § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. stellt die unlautere Beeinflussung von Suchmaschinenergebnissen1675 (s. auch Rz. 909 ff.) dar. Dies ist der Fall, wenn die eingesetzten Techniken zu einer Suchmaschinenmanipulation (z.B. durch „Hidden Text“ oder Doorwaypages, s. Rz. 948) führen. Nach Auffassung des OLG Hamm ist etwa eine solche Manipulation anzunehmen, wenn „zum einen die Namen von Konkurrenten und anderen Personen für die Suchmaschinenoptimierung eingesetzt werden, zum anderen vor allem auch, weil für den Nutzer nicht sichtbare Seiten, die nur für die Suchmaschine ‚sichtbar‘ sind, installiert werden, um in den Suchlisten ein höheres Ranking zu erzielen“.1676
877 Im TK-Bereich sind Verträge üblich, die Vertragspartner schließen, die zugleich Wettbewerber sind. Wenn der eine als Netzbetreiber dem anderen die Zugänge oder Verbindungen nicht mehr zur Verfügung stellt, etwa aufgrund einer technischen Panne, liegt neben einer Vertragsverletzung evtl. auch eine Mitbewerberbehinderung vor. Diese Frage hatte der BGH für eine Vereinbarung zur „dauerhaften Voreinstellung des Verbindungsnetzes“ zu beurteilen, bei dem der eine Vertragspartner versehentlich gegen die Verpflichtung verstoßen hat, die Voreinstellung umzustellen. Danach reicht es für die Annahme einer unlauteren gezielten Mitbewerberbehinderung nicht aus, „dass sich auch die bloß versehentliche Verletzung einer vertraglichen Pflicht, die darauf gerichtet ist, dem Wettbewerber Kunden zuzuführen, auf den Absatz des Mitbewerbers nachteilig auswirken kann“.1677
878 Der BGH hat eine gezielte Behinderung eines Mobilfunkanbieters durch den Anbieter von Festnetzdiensten in dem Fall bejaht, in dem der zweitgenannte Anbieter wegen der Aktivierung eines Rufumleitungsdienstes Anrufe aus dem Festnetz nicht in das Netz des erstgenannten Anbieters weitergeleitet, sondern unmittelbar zum Festnetzanschluss des Angerufenen geschaltet und dem Anrufer das erhöhte Verbindungsentgelt für den – tatsächlich nicht getätigten – Anruf in das Mobilfunknetz in Rechnung gestellt hatte, während das Mobilfunkunternehmen kein Entgelt für die Bereithaltung des Mobilfunknetzes erhalten hatte.1678 Das Festnetzunternehmen behindere das Mobilfunkunternehmen darin, seine Leistungen auf dem Markt durch eigene Anstrengungen in angemessener Weise zur Geltung zu bringen und seine Investitionen zu erwirtschaften.1679 879 Nach Ansicht des LG Köln liegt keine gezielte Behinderung des Neuanbieters von TKDiensten (Bereitstellung eines Telefonanschlusses) vor, sofern der Altanbieter mit dem Kunden, der einen neuen Vertrag mit dem Neuanbieter abgeschlossen hat, einen Vertrag über die Aufhebung der Kündigung des Altvertrages schließt, wodurch eine doppelte Vertragsbindung verursacht wird.1680
1674 1675 1676 1677
Joppich, CR 2003, 504. Dazu Schirmbacher/Engelbrecht, CR 2015, 659 ff. OLG Hamm v. 18.6.2009 – 4 U 53/09, CR 2010, 196 (197). BGH v. 29.3.2007 – I ZR 164/04, CR 2007, 791. S. aber zur Konkurrentenbehinderung durch Abfangen in unangemessener Weise bei OLG Köln v. 24.8.2007 – 6 U 237/06, CR 2008, – Switch & Profit. 1678 BGH v. 7.10.2009 – I ZR 150/07, CR 2010, 447 f. (Ls.). 1679 BGH v. 7.10.2009 – I ZR 150/07, CR 2010, 447 (450). 1680 LG Köln v. 20.12.2012 – 31 O 292/12, CR 2013, 654 (Ls. 1).
638
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 884
B
Im Rahmen eines Anbieterwechsels ist der Altanbieter gemäß § 46 Abs. 4 Satz 1 TKG verpflichtet, die Portierungsregeln einzuhalten. Die Verweigerung der Rufnummerportierung führt zu einer wettbewerbsrelevanten Beeinträchtigung des Neuanbieters.1681
880
Bei einer von mehreren Mitbewerbern gemeinsam genutzten Internet-Verkaufsplattform, die nach dem Prinzip eines Warenkatalogs funktioniert, ist eine gezielte Mitbewerberbehinderung gemäß § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. anzunehmen, wenn ein Mitbewerber das Verkaufsangebot seines Konkurrenten durch Einfügung seiner Marke in den Warenkatalog einseitig ändert.1682
881
Eine wettbewerbswidrige Behinderung gemäß § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. 882 kann in Form des unlauteren Schleichbezugs erfolgen. Dies ist etwa der Fall, wenn ein Reiseanbieter zum Zwecke der Flugvermittlung auf die Buchungswebsite einer Fluggesellschaft zugreift, welche in ihren Nutzungsbedingungen die Nutzung der Datenbank durch Dritte zu kommerziellen Zwecken verbietet.1683 Nach dem BGH ist ferner eine Mitbewerberbehinderung anzunehmen, wenn der Markeninhaber, der eine Markenbeschwerde bei einer Suchmaschine eingelegt hat, durch die die Nutzung der Marke in Adwords-Anzeigen untersagt wird, die Zustimmung zu der AdwordsWerbung eines Mitbewerbers nicht erteilt, obwohl die Werbung das Markenrecht nicht verletzt.1684
882a
Keine Mitbewerberbehinderung liegt grds. vor, wenn eine Software angeboten, beworben 883 und in Verkehr gebracht wird, die es Nutzern ermöglicht, Inhalte von Internetseiten abzurufen, die deren Betreiber ohne Einschränkungen öffentlich zugänglich gemacht hat, und die es ihnen erspart, eine Internetseite aufzusuchen und die zur Finanzierung der Internetseite eingestellte Werbung zur Kenntnis zu nehmen.1685 Nach Ansicht des LG Hamburg ist aber ein unlauteres Abfangen von Kunden und damit eine gezielte Behinderung anzunehmen, wenn in einer Software ein Preisvergleichs-Toolbar integriert ist, das bei Aufruf eines konkreten Produkts im Online-Shop eines Anbieters automatisch aktiviert wird und auf günstigere Produkte anderer Anbieter hinweist.1686 Auch das Angebot und der Vertrieb von sog. Bots, i.e. automatisierten Computerprogrammen, die sich wiederholende Aufgaben ohne menschliche Mitwirkung abarbeiten, für ein Online-Computerspiel ist i.S.v. § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. wettbewerbswidrig.1687 5.4 Verstoß gegen eine Marktverhaltensregelung In Bezug auf § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. ist eine besonders interessante Frage, 884 ob und welche Datenschutzvorschriften eine marktverhaltensregelnde Funktion besitzen und damit lauterkeitsrechtliche Ansprüche auslösen können.1688 Auch außerhalb des BDSG normierte Datenschutzbestimmungen können eine Marktverhaltensregelung darstellen. Zum Beispiel ist dies bei § 13 TMG der Fall. Denn den Erwägungsgründen der dieser Vorschrift zugrunde liegenden RL 95/46/EG1689 ist zu entnehmen, dass damit die wettbewerb-
1681 1682 1683 1684 1685 1686 1687 1688 1689
LG Köln v. 20.12.2012 – 31 O 292/12, CR 2013, 654 (Ls. 2). LG Frankfurt v. 11.5.2011 – 3-08 O 140/10, CR 2011, 617. OLG Hamburg v. 24.10.2012 – 5 U 38/10, ITRB 2013, 77, juris (Os.). BGH v. 12.3.2015 – I ZR 188/13, CR 2015, 384. BGH v. 22.6.2011 – I ZR 159/10, ITRB 2011, 275. LG Hamburg v. 28.1.2015 – 416 HKO 163/14, CR 2015, 464. OLG Hamburg v. 6.11.2014 – 3 U 86/13, CR 2015, 308 (Ls. 1). Dazu A Rz. 1025, A Rz. 1245. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 v. 23.11.1995, S. 31).
Kosmides
639
B Rz. 885
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
liche Entfaltung des Mitbewerbers sowie die Verbraucherinteressen bei der Marktteilnahme geschützt werden sollen.1690 885 Außerdem hat eine Reihe von Vorschriften des BGB eine marktverhaltensregelnde Funktion, etwa die AGB-Regeln (§§ 307, 308 Nr. 1, § 309 Nr. 7a BGB)1691. Gleiches gilt ferner für § 355 BGB,1692 der die zentrale Regelung über das Widerrufsrecht bei Verbraucherverträgen darstellt. Auch bei den Vorschriften, welche die Rechtsfolgen des Widerrufs von außerhalb von Geschäftsräumen geschlossenen Verträgen und Fernabsatzverträgen bestimmen (insb. § 357 BGB), handelt es sich um Marktverhaltensregelungen i.S.d. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F.1693 Ferner zählt § 477 BGB, der Sonderbestimmungen für Garantien enthält, zu den Regelungen, die dazu bestimmt sind, im Interesse der Marktteilnehmer, insb. der Verbraucher, das Marktverhalten zu regeln.1694 Im Falle einer Werbung in Bezug auf den Verkauf eines Verbrauchsguts mit einer Garantie brauchen die in § 477 Abs. 1 Satz 2 BGB geforderten Angaben hinsichtlich der Garantiebedingungen nicht bereits in der Werbung gemacht werden.1695 886 Auch die Verletzung von Pflichten zur Produktkennzeichnung gemäß diversen Vorschriften kann wettbewerbsrechtlich als Verletzung von Marktverhaltensregeln relevant sein. Zum Beispiel ist die Energieeffizienzklasse für die Auswahl von Elektrogeräten eine wichtige Information, sodass die Marktbeeinträchtigung erheblich ist.1696 Gleiches gilt für die Kennzeichnungspflicht nach § 7 ElektroG.1697 887 Die Regeln der PAngV (z.B. § 1 Abs. 1, 2 und Abs. 6 PAngV) besitzen marktverhaltensregelnden Charakter.1698 Ein Verstoß gegen die damit begründeten Informationspflichten sowie die Grundsätze der Preiswahrheit und Preisklarheit im Rahmen einer Werbung kann (neben einer Irreführung bzw. unabhängig davon) einen Verstoß gegen §§ 3, 4 Nr. 11 UWG a.F. bzw. §§ 3, 3a UWG n.F.1699 darstellen. Insb. ist dies der Fall, wenn durch die Preiswerbung die Preisvergleichsmöglichkeiten des Adressaten erheblich erschwert werden.1700 Wenn die Überführungskosten im Endpreis fehlen und nur gesondert ausgewiesen sind, liegt ein Verstoß gegen § 1 Abs. 1 PAngV vor, der auch wettbewerbswidrig ist.1701 Bei „Gratis Download“ mit „Jetzt kostenlos testen“ ist wettbewerbswidrig, in den AGB vorzusehen, dass nach 14 Tagen oder Überschreiten eines Testvolumens ein Vertrag zustande kommt, wenn nicht recht-
1690 OLG Hamburg v. 27.6.2013 – 3 U 26/12, CR 2013, 596 (Ls. 1); vgl. aber KG v. 29.4.2011 – 5 W 88/11, CR 2011, 468 (Ls. 2), bestätigt LG Berlin v. 14.3.2011 – 91 O 25/11: § 13 Abs. 1 TMG stellt keine Marktverhaltensvorschrift dar. 1691 BGH v. 31.5.2012 – I ZR 45/11, IPRB 2012, 245; anders generell in Bezug auf die Vorschriften der §§ 305 ff. BGB: OLG Köln v. 16.5.2008 – 6 U 26/08, MMR 2008, 540; OLG Köln v. 30.3.2007 – 6 U 249/06, CR 2007, 799. 1692 OLG Hamm v. 17.1.2013 – I-4 U 147/12, juris Rz. 26, MMR 2013, 717. 1693 OLG München v. 7.2.2012 – 29 W 212/12, MMR 2012, 370 (371). 1694 BGH v. 14.4.2011 – I ZR 133/09, CR 2011, 525 (526); OLG Hamburg v. 26.11.2009 – 3 U 23/09, ITRB 2010, 131; OLG Hamm v. 16.12.2008 – I-4 U 173/08, GRUR-RR 2009, 342; zu § 475 Abs. 1 Satz 1 BGB als Marktverhaltensregelung BGH v. 31.3.2010 – I ZR 34/08, CR 2010, 806. 1695 BGH v. 14.4.2011 – I ZR 133/09, CR 2011, 525 (Ls. 2); a.A. OLG Hamm v. 13.8.2009 – 4 U 71/09 (Vorinstanz). 1696 LG Dresden v. 3.8.2007 – 41 O 1313/07, MIR 2007, Dok. 338. 1697 BGH v. 9.7.2015 – I ZR 224/13, CR 2015, 675 (Ls. 1); OLG Celle v. 21.11.2013 – 13 U 84/13, juris Ls. 1, WRP 2014, 228; LG Aachen v. 5.6.2012 – 41 O 8/12, MMR 2013, 44. 1698 BGH v. 14.1.2016 – I ZR 61/14, GRUR 2016, 516 (Ls. 3); v. 16.7.2009 – I ZR 50/07, Rz. 16, ITRB 2010, 158; v. 4.10.2007 – I ZR 143/04, CR 2008, 108 (Rz. 25) m. Anm. Kaufmann – Versandkosten; v. 18.3.2010 – I ZR 16/08, CR 2010, 809 (810) – Froogle II; OLG Hamm v. 1.2.2011 – I-4 U 196/10, MMR 2011, 523 (524); LG Hamburg v. 10.2.2011 – 315 O 356/10, juris Rz. 50 f. 1699 Vgl. BGH v. 14.1.2016 – I ZR 61/14, GRUR 2016, 516 (Ls. 3). 1700 BGH v. 29.4.2010 – I ZR 99/08, CR 2011, 39 (40 f.). 1701 OLG Schleswig v. 23.1.2007 – 6 U 65/06, MIR 2007, Dok. 124.
640
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 890
B
zeitig eine Kündigung erfolgt.1702 Auch ein Verstoß gegen § 5 PAngV kann Unlauterkeit nach § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. begründen.1703 Auch Art. 23 Abs. 1 Satz 2 der VO (EG) Nr. 1008/2008 wurde vom BGH als Marktverhaltensregelung eingestuft.1704
887a
Hinsichtlich etwaiger Verstöße gegen die Informationspflichten ist häufig strittig, ob inso- 888 weit wettbewerbsrechtliche Relevanz gegeben ist. Die Verfolgung der Verstöße mit Mitteln des UWG setzt den Marktbezug der jeweiligen Regelung voraus, erreicht dennoch zuweilen Missbrauchscharakter. Die Trennlinie ist allerdings unscharf. 889
Beispiele: – Kennzeichnungspflicht dient Verbraucherschutz.1705 – Manche Pflichtverletzungen sind wettbewerbsrechtlicher Bagatellverstoß – hier: Fehlen der Angabe der zuständigen Aufsichtsbehörde im Impressum (§ 5 Abs. 1 Nr. 3 TMG) – gegen telemediendienstliche Informationspflichten.1706 Abgekürzter Vorname des Geschäftsführers soll aber unzureichend sein.1707 – Telefonnummer im Impressum;1708 Telefax-Nr.1709 – Aufsichtsbehörde.1710
In verschiedenen aktuellen Urteilen wird eine unlautere Wettbewerbshandlung bei einer 889a Nichteinhaltung der Impressumspflichten nach § 5 Abs. 1 TMG bejaht.1711 Auch der Verstoß gegen im Fernabsatz bzw. E-Commerce geltende Informationspflichten wird als Wettbewerbsverstoß i.S.v. § 4 Nr. 11 UWG a.F. (nunmehr: § 3a UWG n.F.) eingestuft.1712 Gleiches ist wohl in Zshg. mit den neu geschaffenen Informationspflichten gem. Art. 14 ODR-Verordnung (Verordnung (EU) Nr. 524/2013) sowie §§ 36, 37 VSBG anzunehmen.1713 Ein Verstoß gegen eine marktverhaltensregelnde Vorschrift ist ferner anzunehmen, wenn 890 der eBay-Versteigerer, der aufgrund der Vielzahl der angebotenen Ware als Unternehmer anzusehen ist, den Verbraucher nicht über seine Unternehmereigenschaft und das Bestehen des Widerrufsrechts informiert.1714 Auch die Verletzung der Pflicht zur Gestaltung der Bestellsituation nach § 312j Abs. 3 BGB kann einen Wettbewerbsverstoß darstellen. Bei eBay 1702 LG Berlin v. 28.11.2007 – 96 O 175/07, jur-pc 79/2008; zur Preistransparenz im Online-Handel aus wettbewerbsrechtlicher Sicht und zu den sog. „Gratis“-Angeboten Rose, K&R 2012, 725 ff. 1703 BGH v. 22.3.2012 – I ZR 111/11, IPRB 2012, 270. 1704 BGH v. 30.7.2015 – I ZR 29/12, CR 2016, 321 (Rz. 15) – Buchungssystem II; v. 18.9.2013 – I ZR 29/12, CR 2014, 47 f. (Rz. 8) – Buchungssystem I. 1705 LG Düsseldorf v. 29.1.2003 – 34 O 188/02 Q, ITRB 2003, 147. 1706 OLG Koblenz v. 25.4.2006 – 4 U 1587/05, CR 2006, 692; nur Bagatellverstoß: OLG Hamburg v. 3.4.2007 – 3 W 64/07, CR 2008, 606. S. aber a.M. im Hinblick auf die RL 2005/29/EG OLG Hamm v. 13.3.2008 – I-4 U 192/07, MMR 2008, 469. 1707 LG Düsseldorf v. 17.5.2006 – 12 O 496/05, CR 2006, 858; nur Bagatellverstoß: KG v. 11.4.2008 – 5 W 41/08, CR 2008, 586. 1708 OLG Hamm v. 17.3.2004 – 20 U 222/03, CR 2005, 64; OLG Osnabrück v. 12.5.2006 – 1 W 29/06, ITRB 2007, 155; OLG Köln v. 13.2.2004 – 6 U 109/03, ITRB 2004, 149. 1709 Nur fakultative bzw. beispielhafte Erwähnung in der Musterbelehrung: LG Kempten v. 26.2.2008 – 3 O 146/08 – kein „Pflichtfax“: OLG Hamburg v. 5.7.2007 – 5 W 77/07, ITRB 2008, 130. 1710 OLG Zweibrücken v. 28.6.2007 – 4 U 210/06, CR 2007, 681– Hinweisbeschluss. 1711 Vgl. OLG Düsseldorf v. 13.8.2013 – I-20 U 75/13, CR 2014, 264; v. 18.6.2013 – I-20 U 145/12, CR 2013, 666 (668) = ITRB 2013, 224; v. 28.12.2012 – I-20 U 147/11, MMR 2013, 718; OLG Hamm v. 17.1.2013 – I-4 U 147/12, juris Rz. 26 = MMR 2013, 717; LG Bamberg v. 28.11.2012 – 1 HK O 29/12, CR 2013, 130 = ITRB 2013, 80. 1712 Vgl. OLG Hamm v. 24.3.2015 – 4 U 30/15, CR 2015, 462; LG Leipzig v. 16.12.2014 – 1 HK O 1295/14, CR 2015, 397. 1713 LG Bochum v. 31.3.2016 – 14 O 21/16, CR 2016, 461; vgl. auch Heckmann, in: Heckmann, jurisPKInternetrecht, Kap. 4.2 Rz. 416.3; Lederer, CR 2015, 380 (383). 1714 OLG Hamm v. 17.1.2013 – I-4 U 147/12, MMR 2013, 717 (718).
Kosmides
641
B Rz. 891
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
ist die Vertragsschlusssituation im Falle der Anforderung eines Gesamtbetrags aus bürgerlich-rechtlicher Sicht in mehrfacher Hinsicht problematisch (vgl. Rz. 446, 524, 653). Solche Rechtsverletzungen, insb. der Verstoß gegen § 312j Abs. 3 BGB sowie gegen das AGB-Recht, sind auch wettbewerbsrechtlich relevant. 891 Nach höchstrichterlicher Rspr. zählt zu den Vorschriften, die im Interesse der Marktteilnehmer, insb. der Verbraucher, auch das Verhalten von Unternehmen bestimmen, die Verpflichtung zur Erteilung einer Widerrufsbelehrung bei Fernabsatzverträgen gem. § 312d Abs. 1 BGB i.V.m. Art. 246a § 1 Abs. 2 EGBGB bzw. § 312d Abs. 2 BGB i.V.m. Art. 246b § 1 Abs. 1 Nr. 12 EGBGB.1715 Ein Verstoß gegen § 4 Nr. 11 UWG a.F. (vgl. nunmehr § 3a UWG n.F.) wurde etwa bei der gleichzeitigen Verwendung von zwei unterschiedlichen Widerrufsbelehrungen angenommen. Denn der Verbraucher wird dadurch irritiert und weiß nicht, welche der Belehrungen richtig ist und gelten soll.1716 Auch die Verpflichtung zur Information über das Nichtbestehen eines Widerrufsrechts bei Fernsabsatzverträgen nach § 312d Abs. 1 BGB i.V.m. Art. 246a § 1 Abs. 3 EGBGB bzw. § 312d Abs. 2 BGB i.V.m. Art. 246b § 1 Abs. 1 Nr. 12 EGBGB ist i.S.d. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. dazu bestimmt, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.1717 Die Verwendung einer rechtlich überholten Musterwiderrufsbelehrung, die den Verbraucher über den Beginn der Widerrufsfrist in die Irre führt, kann wettbewerbswidrig sein.1718 892 Auch Regeln, die dem Schutz der Jugend dienen, können i.S.d. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. dazu bestimmt sein, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Relevant ist diese Problematik insb. beim Versandhandel mit jugendgefährdenden Medien. Nicht selten ist eine Online-Bestellung von solchen Medien ohne Altersverifikation möglich. Auch bei der Warenlieferung wird öfter keine Altersüberprüfung vorgenommen. So hat das OLG Frankfurt entschieden, dass die Lieferung von Bildträgern, die mit „keine Jugendfreigabe“ gekennzeichnet sind, im Versandweg unzulässig und wettbewerbswidrig gem. §§ 3, 4 Nr. 11 UWG a.F. (vgl. nunmehr §§ 3, 3a UWG n.F.) i.V.m. §§ 1 Abs. 4, 12 Abs. 2 und 3 Nr. 2 JuSchG ist, wenn der Versand auf eine Bestellung hin an eine Versandadresse erfolgt, ohne dass von vornherein erkennbar ist, welche natürliche Person die Bestellung aufgegeben hat und an welche natürliche Person die Auslieferung erfolgen soll.1719 893 Nach Auffassung des LG Koblenz stellt hingegen der Vertrieb von Tabakwaren auf Bestellung über das Internet (auch) an Jugendliche unter 16 Jahren keinen Wettbewerbsverstoß durch Verstoß gegen Marktverhaltensregeln dar, weil der Internet-Versandhandel von Tabakwaren nicht den jugendschutzrechtlichen Beschränkungen für die Abgabe von Tabakwaren in der Öffentlichkeit unterfällt.1720 Dies passt nicht zum Maßstab der Beschränkungen der Internetwerbung für Tabakwaren und Alkohol.1721 894 Das in einem Landespressegesetz (z.B. § 10 LPresseG BW) enthaltene Gebot der Trennung von Beiträgen mit redaktionellem Inhalt und Werbung stellt eine Marktverhaltensregelung i.S.v. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. dar.1722 Bei einem von einem Unternehmen bezahlten redaktionellen Beitrag in einer Zeitung reicht der Hinweis „Sponsored by“ zur 1715 Vgl. nach altem Recht BGH v. 29.4.2010 – I ZR 66/08, CR 2010, 804 (806, Rz. 22 ff.) – Holzhocker; v. 9.11.2011 – I ZR 123/10, GRUR 2012, 643 (Rz. 15) – Überschrift zur Widerrufsbelehrung; s.a. BGH v. 20.7.2006 – I ZR 228/03, GRUR 2007, 159 (161) = CR 2006, 850 m. Anm. Zimmerlich – Anbieterkennzeichnung im Internet. 1716 Vgl. OLG Hamm v. 24.5.2012 – I-4 U 48/12, MMR 2012, 594 (595). 1717 Vgl. BGH v. 9.6.2011 – I ZR 17/10, CR 2012, 110 (Ls. 5) – Computer-Bild (zu Art. 246 § 1 Abs. 1 Nr. 10 EGBGB a.F.). 1718 Vgl. LG Cottbus v. 3.8.2011 – 11 O 73/11, WRP 2012, 91 (93). 1719 OLG Frankfurt v. 7.8.2014 – 6 U 54/14, WRP 2014, 1480. 1720 LG Koblenz v. 13.8.2007 – 4 HK O 120/07, MMR 2007, 725. 1721 Liesching, MMR 2007, 725 unter Hinweis auf OLG Hamm v. 19.10.2006 – 4 U 83/06. 1722 BGH v. 6.2.2014 – I ZR 2/11, CR 2012, 675, Rz. 15 f. – GOOD NEWS II.
642
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 902
B
Kenntlichmachung des Anzeigencharakters dieses Beitrags nicht aus. Ein solcher Beitrag muss vielmehr deutlich mit dem Begriff „Anzeige“ oder einem entsprechenden Ausdruck gekennzeichnet werden.1723 Steuerrechtliche Vorschriften stellen hingegen nach BGH grds. keine Marktverhaltensregelungen dar.1724
895
Die Nichtanwendbarkeit von § 284 StGB hat aus verfassungsrechtlichen Gründen zur Folge, dass das Anbieten und Vermitteln von privaten Sportwetten ohne deutsche behördliche Erlaubnis mangels Unlauterkeit kein wettbewerbswidriges Verhalten i.S.v. §§ 3, 4 Nr. 11 UWG a.F. bzw. §§ 3, 3a UWG n.F.darstellt.1725
896
Das Setzen von Links aufseiten von in Deutschland nicht konzessionierten Glücksspielanbietern ist nach LG Deggendorf nicht wettbewerbswidrig.1726
897
5.5 Unzulässige an Kinder und Jugendliche adressierte Werbung Nicht selten sind Minderjährige die Adressaten von Online-Werbung. § 3 Abs. 3 UWG i.V.m. Nr. 28 der Schwarzen Liste im Anhang zum UWG bezieht sich speziell auf eine an Kinder adressierte Werbung. Eine solche Werbung ist unzulässig, wenn sie die Kinder unmittelbar dazu auffordert, das beworbene Produkt selbst zu erwerben oder ihre Eltern bzw. andere Erwachsene zum Erwerb des beworbenen Produkts zu veranlassen. Dadurch sollen einerseits die Kinder vor der Ausnutzung ihrer Minderjährigkeit, geschäftlicher Unerfahrenheit und Leichtgläubigkeit und andererseits die Erwachsenen vor einer Beeinträchtigung ihrer Entscheidungsfreiheit durch die Einschaltung von Kindern geschützt werden.1727
898
Folgende Werbeangabe bei einem Onlinespiel, konkret einem Fantasierollenspiel, ist in ers- 899 ter Linie insoweit gezielt an Kinder gerichtet, als sie sprachlich durch eine durchgängige Verwendung der direkten Ansprache in der zweiten Person Singular gekennzeichnet ist und überwiegend kindertypische Begrifflichkeiten einschließlich gebräuchlicher Anglizismen erfasst1728: „Schnapp Dir die günstige Gelegenheit und verpasse Deiner Rüstung & Waffen das gewisse ‚Etwas‘.“
Die Formulierung „Schnapp Dir …“ ist dahingehend zu verstehen, dass die mit der Werbung 900 angesprochenen Kinder unmittelbar aufgefordert werden, selbst das beworbene Produkt zu erwerben. Dies stellt eine unzulässige Werbung i.S.d. § 3 Abs. 3 UWG i.V.m. Nr. 28 der Schwarzen Liste im Anhang zum UWG dar.1729 Im Gegensatz dazu liegt nach Ansicht des OLG Köln kein Fall der Nr. 28 vor, wenn in einer Werbung Kinder gezeigt werden, die sich die beworbene Ware kaufen oder ihre Eltern zum Kauf auffordern.1730
901
Nach demselben Urteil ist eine Gewinnspielkopplung unlauter, wenn Minderjährigen in einer Werbebotschaft ein unrealistischer Zshg. zwischen Mehreinkauf und Gewinnchance vorgespiegelt wird, wodurch sie zu einem Kauf über Bedarf angeregt werden.1731
902
1723 1724 1725 1726 1727 1728 1729 1730 1731
BGH v. 6.2.2014 – I ZR 2/11, CR 2012, 675, Rz. 29 ff. – GOOD NEWS II. BGH v. 2.12.2009 – I ZR 152/07, GRUR 2010, 654 (Ls.) – Zweckbetrieb. Vgl. BGH v. 14.2.2008 – I ZR 13/06, Rz. 21. LG Deggendorf v. 12.10.2004 – 1 S 36/04, CR 2005, 130; zur Glücksspielwerbung und der am 1.2.2013 in Kraft getretenen Werberichtlinie Glückspiel Viniol/Hofmann, MMR 2013, 434 ff. Köhler/Bornkamm/Köhler, UWG, Anh. zu § 3 III Rz. 28.2. BGH v. 17.7.2013 – I ZR 34/12, CR 2014 196 (Ls. 1). BGH v. 17.7.2013 – I ZR 34/12, CR 2014 196 f. (Ls. 2). OLG Köln v. 21.9.2012 – 6 U 53/12, GRUR-RR 2013, 168 (Ls. 1). OLG Köln v. 21.9.2012 – 6 U 53/12, GRUR-RR 2013, 168 (Ls. 3).
Kosmides
643
B Rz. 903
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
903 Nach § 4 Nr. 2 UWG a.F. (vgl. nunmehr § 4a Abs. 1 i.V.m. Abs. 2 Satz 1 Nr. 3 i.V.m. Abs. 2 Satz 2 UWG n.F.) handelt unlauter, wer geschäftliche Handlungen vornimmt, die geeignet sind, das Alter, die geschäftliche Unerfahrenheit oder die Leichtgläubigkeit von Verbrauchern auszunutzen.1732 Nach einem Urteil des BGH verstößt eine Krankenkasse gegen § 4 Nr. 2 UWG a.F. (vgl. nunmehr § 4a Abs. 1 i.V.m. Abs. 2 Satz 1 Nr. 3 i.V.m. Abs. 2 Satz 2 UWG n.F.), wenn sie im Zshg. mit der Durchführung von Gewinnspielen, die sie für Minderjährige veranstaltet, ohne Zustimmung der Erziehungsberechtigten personenbezogene Daten der Teilnehmer erhebt, um diese als Kunden werben zu können.1733 Auch die Angabe des Minutenpreises für Klingeltöne ohne Hinweis auf voraussichtliche Kosten für das Herunterladen ist grds. geeignet, die geschäftliche Unerfahrenheit Minderjähriger auszunutzen.1734 904 Wettbewerbsrechtlich problematisch gem. §§ 3, 4 Nr. 2 UWG a.F. bzw. §§ 3, 4a Abs. 1 i.V.m. Abs. 2 Satz 1 Nr. 3 i.V.m. Abs. 2 Satz 2 UWG n.F.) sowie § 3 Abs. 3 UWG i.V.m. Nr. 28 der Schwarzen Liste im Anhang zum UWG sind ferner In-App-Käufe in Spiele-Apps, die sich gezielt an Kinder richten.1735 905 Kinderschutz kann (auch) aufgrund von § 4 Nr. 3 UWG a.F. bzw. § 5a Abs. 6 UWG n.F. bewirkt werden. Die Vorschrift verbietet u.a. die Verschleierung des Werbecharakters bei einer gezielten Werbung gegenüber Minderjährigen. So wurde vom OLG Köln ein Verstoß gegen das Verschleierungsverbot des § 4 Nr. 3 UWG a.F. (vgl. nunmehr § 5a Abs. 6 UWG n.F.) angenommen, wenn auf einer an Kinder gerichteten Internetseite Spiele von Werbung nicht klar abgegrenzt werden können, weil die verwendeten Werbebanner in Anbetracht ihrer farblichen und inhaltlichen Ausgestaltung optisch ähnlich gestaltet sind wie die Bilder, über die die Kinder die jeweiligen Spiele auswählen, und damit ihren Werbecharakter nicht erkennen lassen.1736 906 Wichtige Regelungen zum Schutz von Minderjährigen bei der Nutzung von Telemedien sind ferner im Jugendmedienschutz-Staatsvertrag (JMStV) enthalten.1737 Ziel des JMStV ist es laut § 1 JMStV Kinder und Jugendliche vor Angeboten in elektronischen Informations- und Kommunikationsmedien zu schützen, die deren Entwicklung oder Erziehung beeinträchtigen oder gefährden, sowie vor Angeboten in elektronischen Informations- und Kommunikationsmedien, die die Menschenwürde oder sonstige durch das Strafgesetzbuch geschützte Rechtsgüter verletzen. In Anbetracht der Einheitlichkeit der Rechtsordnung kommt es für die Anwendbarkeit der Werberegeln des JMStV (z.B. § 6 JMStV) darauf an, ob die Werbung gegenüber Kindern und Jugendlichen deren Interessen in einer das rein wirtschaftliche Verbraucherinteresse überschießenden Weise beeinträchtigt.1738 907 Zum Schutz von Kindern und Jugendlichen können Bestimmungen des JuSchG mit marktverhaltensregelndem Charakter i.S.v. § 4 Nr. 11 UWG a.F. bzw. § 3a UWG n.F. eingesetzt werden (s. Rz. 890). 5.6 Aufforderung zur Bezahlung unbestellter Waren und Dienstleistungen 908 Nach § 3 Abs. 3 UWG i.V.m. Nr. 29 der UWG-Anlage unzulässig ist stets die Aufforderung zur Bezahlung nicht bestellter, aber gelieferter Waren oder erbrachter Dienstleistungen oder eine Aufforderung zur Rücksendung oder Aufbewahrung nicht bestellter Sachen. Die Pro1732 König/Börner, MMR 2012, 215 (216). 1733 BGH v. 22.1.2014 – I ZR 218/12, CR 2014, 573 (Ls.) – Nordjob Messe; OLG Hamm v. 20.9.2012 – I-4 U 85/12, WRP 2013, 375. 1734 BGH v. 6.4.2006 – I ZR 125/03, CR 2006, 746 m. Anm. Klees. 1735 Bisges, NJW 2014, 183 (186). 1736 OLG Köln v. 12.4.2013 – 6 U 132/12, ITRB 2013, 253; s.a. LG Berlin v. 14.9.2010 – 103 O 43/10, GRUR-RR 2011, 332 (333). 1737 König/Börner, MMR 2012, 215 (216). 1738 König/Börner, MMR 2012, 215 (218).
644
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 913
B
blematik der unbestellten Leistungen wird aus vertragsrechtlicher Sicht im Wesentlichen in § 241a BGB geregelt (s. Rz. 612 ff.). Von Nr. 29 des Anhangs zu § 3 Abs. 3 UWG erfasst ist auch die Ankündigung einer fortlaufenden Lieferung von Waren, bei der eine unbestellte, aber als bestellt dargestellte Ware zugesandt und, falls der Verbraucher nicht binnen einer Frist widerspricht, deren Zusendung gegen Entgelt fortgesetzt wird.1739 Diese Handlungen stellen i.d.R. auch eine unzumutbare Belästigung nach § 7 Abs. 1 Satz 1 UWG dar.1740 Diese Regeln sind hingegen nicht einschlägig, wenn der Unternehmer irrtümlich von einer 909 Bestellung ausgeht und der Irrtum seine Ursache nicht im Verantwortungsbereich des Unternehmens hat.1741 Eine unzumutbare Belästigung scheidet nach dem BGH im Falle einer einmaligen unaufgeforderten Übersendung einer bereits auf den Namen des Empfängers ausgestellten Kreditkarte durch ein Bankunternehmen an seine Kunden aus, wenn der Empfänger erkennt, dass er eine gesonderte Erklärung abgeben muss, um die Kreditkarte verwenden zu können, und dass er – wenn er an dem Angebot nicht interessiert ist – die Kreditkarte auf ihm sicher erscheinende Weise entsorgen kann.1742 6. Besondere Kommunikations-/Werbeformen Die Techniken und deren Nutzungsformen zu Kommunikation, v.a. Werbung und E-Commerce im Internet, sollen im Folgenden beschrieben werden. Hintergrund des Einsatzes der diversen Techniken sind ganz wesentlich die Suchmaschinen.
910
6.1 Ranking, Beeinflussung Was die Suchmaschine auf der Ergebnisliste nicht auf den ersten Plätzen nachweist, ist nicht in der Welt, überspitzt ausgedrückt. Die Chance, dass eine Website aufgesucht wird, hängt von der Platzierung auf der Suchergebnis-Liste ab. Ähnlich wie beim Kampf um die „richtige“ Domain gibt es einen Kampf um die ersten Plätze bei den Ergebnissen der Suchmaschinen. Die technischen Möglichkeiten hierzu sind reichlich und werden ständig fortentwickelt. Die Frage ist jeweils, wann es sich noch um eine zulässige Maßnahme handelt, wann ein Missbrauch bzw. wann eine Manipulation vorliegt. Naturgemäß lässt sich eine Kategorisierung dahingehend vornehmen, dass entweder die eigene Website durch derartige Maßnahmen besonders gut „sichtbar“ ist und dadurch einen guten Platz erhält, oder dass die anderen Websites bzw. deren Auffindbarkeit herabgesetzt werden. Die Erhöhung der Sichtbarkeit erfolgt etwa durch Verwendung berühmter Marken, also durch Schutzrechtsverletzungen, die Verdrängung der anderen Anbieter durch Umleiten der Besucherströme, mithin durch wettbewerbsrechtlich relevante Handlungen.
911
Bei Rechtsverletzungen stellt sich das Problem, inwieweit nicht nur der einzelne Werbende 912 belangt werden kann (was oft rein tatsächlich schwierig ist), sondern (auch) der Provider und dies trotz der Privilegierung. Im Folgenden sollen einzelne „Techniken“ kurz vorgestellt werden. Besonders interessant sind die Methoden, die zwar die Sichtbarkeit bzw. Platzziffer verbessern, aber gerade selbst nicht sichtbar sind, etwa Metatags und „Weiß-auf-Weiß-Schrift“. Es gibt weitere Arten technischer Möglichkeiten der nicht unmittelbar sichtbaren Manipulationsmöglichkeiten im Webseitenquelltext.1743
1739 1740 1741 1742 1743
BGH v. 17.8.2011 – I ZR 134/10, IPRB 2012, 30. BGH v. 17.8.2011 – I ZR 134/10, IPRB 2012, 30. BGH v. 17.8.2011 – I ZR 134/10, IPRB 2012, 30. BGH v. 3.3.2011 – I ZR 167/09, IPRB 2011, 198. S. z.B. Ernst, ITRB 2005, 91; Hartl, MMR 2007, 12, aufbauend auf BGH v. 18.5.2006 – I ZR 183/03, ITRB 2007, 156 – Impuls; dazu s.a. Stögmüller, CR 2007, 446.
Kosmides
645
913
B Rz. 914
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
914 Metatags waren über längere Zeit, als sie Suchmaschinen-Ergebnisse maßgeblich beeinflussen konnten, ein wichtiges „verstecktes“ Mittel, um durch unsichtbare Schlüsselbegriffe als Stichworte im HTML-Code der Website den Rang in der Ergebnisliste zu verbessern. Neuere Techniken haben Metatags mittlerweile weitgehend abgelöst. 915 „Cloaking“ ist ebenfalls eine der Techniken zur Manipulation von Suchmaschinen. Den Suchmaschinen werden andere, weitere Websites präsentiert als den realen Besuchern1744 („Verkleidungsstrategie“).1745 916 Man kann bzw. konnte sich gute Plätze im Suchergebnis „kaufen“, indem man bestimmte Schlüsselbegriffe – Keywords – für sich reserviert.1746 Beim Keyword-Buying wird der Listenplatz gekauft. Beim Keyword-Advertising wird Werbeplatz i.V.m.dem Schlüsselbegriff zugewiesen. Dies führt als Werbemaßnahme zu gesonderter Platzierung neben dem eigentlichen Suchergebnis und ist insofern als Werbung erkennbar. Problematisch wird die Verwendung der Keywords, wenn der Charakter der Werbemaßnahme verschleiert wird oder für Dritte geschützte Begriffe verwendet werden, die besonderen Aufmerksamkeitswert besitzen (s. auch Rz. 930 ff.). 917 Framing soll kurz erwähnt werden, weil es zu den Techniken gehört, die für unbedarfte Nutzer unerkannt zu fremdem Inhalt führen. Dabei kann Vervielfältigung vorliegen, indem Inhalte einer fremden Website auf der eigenen wiedergegeben werden. Der Nutzer wird also anders als bei Links nicht weitergeleitet. Zu Einzelheiten s. Rz. 975 ff., 1290 ff. 918 Bei einer Beeinflussung des Beliebtheits-Rankings für Hotels auf einem Internet-Buchungsportal durch Kommissionszahlungen hat das LG Berlin eine irreführende geschäftliche Handlung i.S.v. § 5 UWG a.F. angenommen, da der Verbraucher eine solche Beeinflussung nicht erwarte.1747 Zu demselben Ergebnis würde man wohl bei Anwendung des § 5 UWG n.F. gelangen. 919 Werden im Quelltext der Internetseite eines „akademischen Ghostwriters“ die Suchbegriffe „Diplomarbeit“ und „kaufen“ zur Suchmaschinenbeeinflussung verwendet, ist eine Irreführung gem. § 5 UWG a.F. zu verneinen, wenn nur legale Hilfestellungen bei der Anfertigung wissenschaftlicher Arbeiten angeboten werden.1748 Gleiches gilt i.R.v. § 5 UWG n.F. 6.2 Cookies 920 Cookies sind Daten, die ein (besuchter) Web-Server im Rahmen eines bestimmten Dienstes/ Angebots an den PC (Client) des Nutzers sendet und die dort auf der Festplatte abgelegt werden. Bei nochmaligem Besuch des Web-Servers bzw. des bestimmten Angebots kann erkannt werden, dass der Besucher mit diesem PC schon einmal da war. Eine Identifizierung ist damit zunächst nicht verbunden, auch wenn dem Nutzer spezielle Informationen (InteressenSchlagworte) über den Cookie zugeordnet sind. Es bedarf Zusatzinformationen, um den Personenbezug zu ermöglichen.1749 921 Manche Dienste machen die Nutzung davon abhängig, dass der Nutzer der Ablage des Cookie zustimmt. Dabei werden i.d.R. auch individualisierende Merkmale berücksichtigt, sodass Personenbezug entsteht.1750
1744 1745 1746 1747 1748 1749 1750
S.a. Hartl, MMR 2007, 12; Ernst, CR 2006, 66 (67); Stögmüller, CR 2007, 446 (447). Ernst, ITRB 2005, 91. Ernst, ITRB 2005, 91 (92). LG Berlin v. 25.8.2011 – 16 O 418/11, MMR 2012, 683. OLG Köln v. 23.2.2011 – 6 U 178/10, CR 2011, 538 (Ls.). Zu Datenschutzerklärungen und Hinweisen auf Cookies s. Eckhardt, ITRB 2005, 46. Zum Personenbezug von Cookies vgl. A Rz. 1077 f.
646
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 925
B
Es gibt aber auch Nutzer, die sich selbst „outen“ bzw. Systeme, die die Selbstidentifikation des Nutzers erzeugen. Dies kann durch Zusammenführung von Cookie, dynamischer IP-Adresse und sonstigen Angaben des Nutzers beim Anbieter erfolgen. Typisch ist auch die Angabe der E-Mail-Adresse bzw. das Versenden einer E-Mail während der Sitzung, sodass zweimal die gleiche IP-Adresse benutzt wird und der Cookie dem Nutzer zugeordnet werden kann.1751
922
Einige Anbieter erklären dem Kunden, was Cookies sind und welche Funktion sie bei ihnen haben, evtl. auch, wie der Nutzer die Verwendung ausschließen kann.
923
„Zur verbesserten Nutzung unserer Online-Angebote setzt … auf den genannten Websites Cookies ein. Cookies sind kleine Textdateien, die auf dem Computer des Anwenders abgelegt werden und die nur durch unsere Server wieder ausgelesen werden können, wenn der Besucher einen neuen Besuch auf diesen Websites unternimmt … Das Speichern von Cookies kann deaktiviert werden oder der Browser kann so eingestellt werden, dass er eine Benachrichtigung abgibt, sobald Cookies gesendet werden. Wir weisen Sie darauf hin, dass Sie nicht sämtliche Funktionen dieser Websites vollumfänglich werden nutzen können sofern das Speichern von Cookies deaktiviert ist.“1752
Ein Verbraucher kann seine Einwilligung in die Cookie-Nutzung im Zshg. mit seiner Teil- 923a nahme an einem kostenlosen Gewinnspiel auch durch eine vorformulierte Opt-Out-Erklärung wirksam erteilen.1753 Dabei hat aber die Einwilligungserklärung die Funktion von Cookies richtig herauszustellen sowie die Zusammenhänge bei der Setzung und Verwendung von Cookies detailliert zu erläutern (§ 307 BGB).1754 Beim sog. Cookie-Dropping werden Cookies im Browser eines Internet-Nutzers gesetzt, oh- 924 ne dass sie auf einen entsprechenden Werbelink bzw. Werbebanner geklickt haben. Es reicht vielmehr der Besuch einer Website aus.1755 Der Einsatz von Cookie-Dropping kann als gezielte Behinderung von anderen Publishern i.S.v. § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. gewertet werden.1756 6.3 Links, Deep Links Links sind ein wesentlicher Bestandteil des Internet.1757 Das Bereithalten eines Links auf ei- 925 ner Internetseite, das zum Angebot eines Produkts führt, stellt eine geschäftliche Handlung i.S.v. § 2 Abs. 1 Nr. 1 UWG dar.1758 Die Zulässigkeit von Links wird im Grundsatz bejaht. Das Setzen von Links ohne Zustimmung könnte allerdings im Einzelfall gegen § 3 UWG a.F. ebenso wie § 3 UWG n.F. verstoßen.1759 Probleme bereitet ferner die Haftungszuordnung bei Links auf rechtswidrige Inhalte. Es gibt Steigerungsformen über den einfachen Link hinaus, v.a. „deep links“. Auch diese sind grds. zulässig, also vom Verlinkten hinzunehmen.1760 Evtl. kann man durch seine „Hausordnung“ Verlinkungen zulassen und verbieten.1761 Die von Links ausgehenden Gefährdungen werden im Gegensatz zu z.B. Framing relativ gering angesehen, weil der Nutzer es stets in der Hand hat, ob er den Link, der erkennbar den Zugang zu fremdem Inhalt eröffnet, aufruft.1762 1751 1752 1753 1754 1755 1756 1757 1758 1759 1760 1761
Eckhardt, ITRB 2005, 46 (47). http://www.heinemann-dutyfree.com/berlin_schoenefeld_de/datenschutz (abgerufen im Januar 2016). OLG Frankfurt v. 17.12.2015 – 6 U 30/15, CR 2016, 256 (Ls. 1). OLG Frankfurt v. 17.12.2015 – 6 U 30/15, CR 2016, 256 (Ls. 2). Schirmbacher/Ihmor, CR 2009, 245 (249). Schirmbacher/Ihmor, CR 2009, 245 (250). Gates, Hyperlinks und die Nutzung und Verwertung von geschützten Inhalten im Internet. BGH v. 18.6.2015 – I ZR 74/14, CR 2016, 170 (171, Rz. 9). Hoeren, Internetrecht, S. 289 m.N. aus der Rechtsprechung. BGH v. 17.7.2003 – I ZR 259/00, CR 2003 920 – Paperboy; s. dazu auch Berger, CR 2004, 360. Zu einer Linking policy z.B. LG Berlin v. 29.6.2004 – 16 O 580/03, CR 2005, 382, Links waren grds. gestattet, aber auf die Startseite zu beziehen bzw. zu setzen. Auf bestimmte Seiten direkt sollte ein Link nur nach vorheriger schriftlicher Zustimmung erfolgen dürfen. 1762 S. in Abgrenzung zu Framing LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810.
Kosmides
647
B Rz. 926
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
926 Der Einsatz von Links zu Werbezwecken könnte den Tatbestand des § 4 Nr. 3 UWG a.F. bzw. § 5a Abs. 6 UWG n.F. erfüllen (getarnte Werbung). Setzt ein Unternehmer gegen Entgelt einen Link in einem Text auf einer Website, der auf sein Angebot verweist, ist eine Unlauterkeit i.S.v. § 4 Nr. 3 UWG a.F. anzunehmen, wenn der angesprochene Verkehrskreis nicht erkennen kann, dass es um Werbung geht.1763 Nach § 5a Abs. 6 UWG n.F. wird vorausgesetzt, dass der kommerzielle Zweck des Links nicht kenntlich gemacht wird und sich dieser Zweck auch nicht unmittelbar aus den Umständen ergibt sowie das Nichtkenntlichmachen geeignet ist, den Verbraucher zu einer Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Die Verschleierung des Werbecharakters eines auf Werbung verweisenden Links ist ausgeschlossen, sofern er mit „Werbung“ oder „Anzeige“ gekennzeichnet ist, § 6 TMG.1764 927 Deep Linking hat einen mit dem Framing vergleichbaren Effekt. Der Nutzer wird direkt auf die betreffende Seite unterhalb der Homepage geleitet. Besonders das Auslesen urheberrechtlich bzw. sonderrechtlich geschützter Werke bereitet Probleme für den Anbieter, auf den gelinkt wird.1765 Zum einen lässt sich deep linking technisch weitgehend verhindern, zum anderen ist die Fremdheit der nachgewiesenen Website relativ gut erkennbar. Das Gefährdungsbzw. Störungspotential erscheint deshalb geringer.1766 928 Von der Verlinkung zu unterscheiden ist die Übernahme der Inhalte anderer Websites, die evtl. speziell geschützt sind, etwa als Datenbanken.1767 Dem entspricht das Framing wesentlich mehr. 929 Nach Ansicht des OLG Köln haftet derjenige, der auf der eigenen Internetseite einen Link zur Startseite einer fremden Website setzt, i.d.R. nicht für wettbewerbswidrige Inhalte, die sich auf Unterseiten des verlinkten Internetauftritts befinden.1768 Diese E. wurde durch den BGH bestätigt.1769 Die wettbewerbswidrigen Inhalte seien nicht durch einfaches Klicken auf den vom Linksetzer bereitgestellten Link zugänglich, sondern erst durch weiteres unabhängiges und vom Linksetzer nicht gelenktes Navigieren innerhalb der fremden Website zugänglich.1770 Anders wäre der Fall zu beurteilen, wenn ein sog. Deeplink in Betracht käme.1771 In einem anderen Sachverhalt hat das OLG Karlsruhe entschieden, dass ein Linksetzer für den (wettbewerbswidrigen) Inhalt einer fremden Internetseite haftet, wenn er durch das Setzen eines Hyperlinks auf der eigenen Homepage den Inhalt der fremden Website zur eigenen Werbung einsetzt.1772 Diese Beurteilung ist insoweit richtig und steht mit dem obigen BGH-Urteil in Einklang, als in diesem Fall der Link einen wesentlichen Bestandteil des Geschäftsmodells des Linksetzers gebildet hat.1773 6.4 Banner 930 Banner-Werbung muss das Erkennbarkeits- und Trennungsgebot beachten (§ 4 Nr. 3 UWG 2008 bzw. § 5a Abs. 6 UWG n.F.). Die erscheinende Werbe-Anzeige ist bei Google optisch ab1763 Ernst/Seichter, CR 2011, 62 (64). 1764 Boemke, in: Hoeren/Sieber/Holznagel, Teil 11 Rz. 68 (36. EL Stand 9/2013). 1765 Grds. aber keine Verletzung: BGH v. 17.7.2003 – I ZR 259/00, CR 2003, 920 – Paperboy; s. z.B. krit. Berger, CR 2004, 360; s.a. Hartmann/Koch, CR 2002, 441 Datenbank gegen Deep Linking zu LG München I v. 1.3.2002 – 21 O 9997/01, ITRB 2002, 178. 1766 Verlinkung auch ohne Einwilligung zulässig z.B. OLG Celle v. 15.2.2007 – 13 U 4/07, ITRB 2007, 245. 1767 BGH v. 21.4.2005 – I ZR 1/02, CR 2006, 51 – Marktstudien (Datenbank und Erschöpfung). 1768 OLG Köln v. 19.2.2014 – 6 U 49/13, CR 2014, 390 (Ls.). 1769 BGH v. 18.6.2015 – I ZR 74/14, CR 2016, 170 (171, Rz. 11 ff.). 1770 BGH v. 18.6.2015 – I ZR 74/14, CR 2016, 170 (171 f., Rz. 19). 1771 BGH v. 18.6.2015 – I ZR 74/14, CR 2016, 170 (171, Rz. 19). 1772 OLG Karlsruhe v. 24.1.2014 – 4 U 260/13, juris Rz. 8. 1773 Vgl. BGH v. 18.6.2015 – I ZR 74/14, CR 2016, 170 (171, Rz. 18).
648
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 935
B
gesetzt, aber räumlich nahe an der Suchergebnisliste platziert.1774 Das Banner ist, wenn das Ergebnis also nicht die Ergebnisliste verfälscht, als Werbung erkennbar. Es kommt eine Haftung für Bannerwerbung auch in dem Sinne in Betracht, dass die Schal- 931 tung im Kontext zum Download bereitgehaltener verbotener Inhalte, insb.: jugendgefährdende Medien und Raubkopien, eine Haftung nach den Grundsätzen wettbewerbsrechtlicher Störer- bzw. Täterhaftung auslöst.1775 6.5 Keywords und Adwords Durch die Beschaffung und Schaltung von Keywords bei Suchmaschinen, also insb. Google, erscheint bei der Suche mit dem Begriff des Keywords bei den Suchergebnissen als suchwortabhängig erscheinendes Werbebanner eine sog. Adword-Werbung, die im Kontext der Suchfrage liegt.
932
Keywords führen dazu, dass neben der Suchergebnisliste unabhängig von der Platzierung in 933 dieser ein gezielter Werbehinweis erscheint, dessen Anzeigencharakter mehr oder weniger deutlich ist.1776 Keywords müssen nicht zu Werbung führen, jedoch beeinflussen (auch) sie die Suchergebnisliste. Bei Keyword-Advertising ist praktisch kein Unterschied zu Adwords erkennbar. Die Suchmaschinenbetreiber, voran Google, bieten Werbeplätze gegen Vergütung. Der Effekt ist, dass die zusätzlich geschalteten Werbeanzeigen von den Schlüsselworten abhängig sind, die vom Anbieter, nicht vom Nutzer, mit der Suchfrage verknüpft werden. Die typische Problematik besteht in der Verwendung geschützter fremder Marken als Keywords, ohne dass dies sichtbar würde.
934
Ob der Werbende als Störer haftet, ist umstritten. Anfänglich tendierten die Gerichte dazu, Keywords eher nicht als markenrechtsverletzend zu qualifizieren.1777 Die Begründungen für die Ablehnung variieren. Z.B. soll kein markenmäßiger Gebrauch bei Adword-Anzeigen vorliegen, wenn die Anzeige hinreichend abgesetzt ist,1778 oder es soll keine Benutzung der Marke gegenüber der Allgemeinheit vorliegen,1779 was nicht zur Rspr. zu Metatags „passt“.1780 Nur die Art der Präsentation der Ergebnisse ist gegenüber Metatags unterschiedlich.1781
935
1774 Vgl. auch BGH v. 22.1.2009 – I ZR 30/07, CR 2009, 328 – Beta Layout; v. 22.1.2009 – I ZR 139/07, CR 2009, 323 – pcb; v. 13.1.2011 – I ZR 46/08, MMR 2011, 608 (609). 1775 So – mit umfassenden Prüfungspflichten – LG Frankfurt v. 2.1.2008 – 3-08 O 143/07, CR 2008, 324 m. Anm. Schirmbacher. 1776 Vgl. auch Härting, Internetrecht, Rz. 1682. 1777 S. Hüsch, CR 2006 281, unter Hinweis auf LG Hamburg v. 21.9.2004 – 312 O 324/04, CR 2004, 938; LG Hamburg v. 21.12.2004 – 312 O 950/04, MMR 2005, 629; LG Leipzig v. 8.2.2005 – 05 O 146/05, MMR 2005, 622 – plakat24; s. aber LG Berlin v. 21.11.2006 – 15 O 560/08, CR 2007, 747; OLG Dresden v. 30.8.2005 – 14 U 498/05, MMR 2006, 326; s.a. weiterhin: OLG Köln v. 31.8.2007 – 6 U 48/07, MMR 2008, 50; s.a. OLG Stuttgart v. 9.8.2007 – 2 U 23/07, ITRB 2007, 274. 1778 OLG Hamburg v. 4.5.2006 – 3 U 180/04, MMR 2006, 754 (Vergleich mit Platzierung der Werbung in Presseerzeugnis neben passendem Artikel); ebenso OLG Frankfurt v. 26.2.2008 – 6 W 17/08, K&R 2008, 309 m. Anm. Mann (Ls. S. 1: von der Trefferliste klar und eindeutig getrennte Darstellung), das zur a.A. verweist auf: OLG Braunschweig v. 5.12.2006 – 2 W 23/06, ITRB 2007, 110: Im geschäftlichen Verkehr stellt die Verwendung eines fremden Kennzeichens als Google-Adword eine kennzeichenmäßige Benutzung dar; ebenso OLG Braunschweig v. 12.7.2007 – 2 U 24/07, MIR 2007, Dok. 305 – Bananabay; OLG Dresden v. 9.1.2007 – 14 U 1958/06, CR 2007, 740 und OLG Stuttgart v. 9.8.2007 – 2 U 23/07, ITRB 2007, 274; OLG Köln v. 12.10.2007 – 6 U 76/07, MIR 2008, Dok. 094. 1779 LG Hamburg v. 21.12.2004 – 312 O 950/04, MMR 2005, 629; OLG Köln v. 31.8.2007 – 6 U 48/07, jurpc 37/2008: keine markenmäßige Benutzung (Revision unter I ZR 162/07); s. aber in „Abgrenzung“ dazu: OLG Köln v. 12.10.2007 – 6 U 76/07, MIR 2008, Dok. 094. 1780 S. z.B. LG Braunschweig v. 15.11.2006 – 9 O 1840/06 (261), CR 2007, 188 m. Anm. Hüsch. 1781 OLG Braunschweig v. 12.7.2007 – 2 U 24/07, MIR 2007, Dok. 305 – Bananabay.
Kosmides
649
B Rz. 936
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
936 Dennoch ist z.B. das OLG Düsseldorf der Auffassung, dass die Verwendung fremder Marken als Adword bei Google weder gegen Marken- noch gegen Wettbewerbsrecht verstößt.1782 Begründet wird das Fehlen der Verwechslungsgefahr damit, dass die Darstellung des Ergebnisses getrennt von der Ergebnisliste – anders als die Zuführung über Metatags in die Ergebnisliste – erfolgt.1783 Das OLG Karlsruhe stellt hinsichtlich der kennzeichenrechtlichen Verletzung auf den Umstand ab, ob die verwendeten Keywords rein beschreibend sind,1784 das OLG Frankfurt darauf, ob die durch das Keyword angesteuerte Werbeanzeige als solche klar und eindeutig erkennbar und von der Trefferliste getrennt dargestellt wird.1785 937 Anders wäre zu entscheiden, wenn das Suchwort prägender Bestandteil einer eingetragenen Marke wäre.1786 Ein wichtiges Argument gegen die Gleichsetzung von Metatag und Keyword/ Adword sei, dass die „Lotsenfunktion“ des Zeichens nur zur Präsentation einer als solchen erkennbaren Eigenwerbung benutzt wird,1787 sodass nicht der Eindruck einer Verbindung zum Betrieb des Zeicheninhabers erweckt wird.1788 938 Auch wettbewerbsrechtlich sei eine Verletzung der Rechte des Markeninhabers zu verneinen. Weder liege eine unlautere Rufausbeutung1789 noch unlauteres Abfangen von Kunden1790 vor. 939 Wird die Verletzung bejaht,1791 kommt es auch zur Störerhaftung des Suchmaschinenbetreibers.1792 Auf die Sichtbarkeit des Key- bzw. Adwords kommt es nicht an. „Die Nennung eines kennzeichenrechtlich (markenrechtlich) geschützten Begriffes an Google zur Platzierung einer Adword-Werbung für identische Waren wie diejenigen des Markeninhabers stellt eine Verwendung der betreffenden Marke in kennzeichenmäßiger Form dar.“1793
1782 OLG Düsseldorf v. 23.1.2007 – I-20 U 79/06, ITRB 2007, 81, bestätigt LG Düsseldorf v. 7.4.2006 – 34 O 179/05. Revision ist zugelassen (netlaw.de). Wichtig dabei: keine Verwechslungsgefahr. Ebenso OLG Frankfurt v. 26.2.2008 – 6 W 17/08, das gerade auf den Unterschied zu Metatags abstellt, explizit entgegen OLG Braunschweig v. 5.12.2006 – 3 W 23/06, ITRB 2007, 110 und v. 11.12.2006 – 2 W 177/06, GRUR-RR 2007, 71; OLG Dresden v. 9.1.2007 – 14 U 1958/06, CR 2007, 740; OLG Stuttgart v. 9.8.2007 – 2 U 23/07, ITRB 2007, 274. 1783 OLG Düsseldorf v. 23.1.2007 – I-20 U 79/06, ITRB 2007, 81. A.M. OLG Braunschweig v. 12.7.2007 – 2 U 24/07, MIR 2007, Dok. 305 – Bananabay, der Kunde denkt nur, die Anzeige wird bezahlt, der Effekt sonst ist gleich. 1784 OLG Karlsruhe v. 26.9.2007 – 6 U 69/07, CR 2008, 246. 1785 OLG Frankfurt v. 26.2.2008 – 6 W 17/08 (Ls. 1); zustimmend Jaeschke, CR 2008, 375 (379). A.M. OLG Köln v. 12.10.2007 – 6 U 76/07, MIR 2008, Dok. 094 mit ausdrücklicher Haftung auch für Beauftragte, hier Werbeagentur. 1786 OLG Karlsruhe v. 26.9.2007 – 6 U 69/07, CR 2008, 246 in Abgrenzung zu OLG Karlsruhe v. 8.6.2004 – 6 W 59/04, K&R 2006, 240. 1787 OLG Frankfurt v. 26.2.2008 – 6 W 17/08 unter Hinweis auf Ullmann, GRUR 2007, 633 (638). 1788 OLG Frankfurt v. 26.2.2008 – 6 W 17/08 unter Bezugnahme auf OLG Düsseldorf v. 23.1.2007 – I-20 U 79/06, WRP 2007, 440 (442). 1789 OLG Frankfurt v. 26.2.2008 – 6 W 17/08; OLG Düsseldorf v. 23.1.2007 – I-20 U 79/06, WRP 2007, 440 (442 f.). 1790 OLG Frankfurt v. 26.2.2008 – 6 W 17/08 unter Bezugnahme auf u.a. Ullmann, GRUR 2007, 633 (638), und die a.A. von OLG Köln v. 8.6.2004 – 6 W 59/04, K&R 2006, 240 und Illmer, WRP 2007, 399 (405). 1791 OLG Dresden v. 30.8.2005 – 14 U 498/05, MMR 2006, 326 – plakat24 Adwords als Markenrechtsverletzung; LG Braunschweig v. 28.12.2005 – 9 O 2852/05 (388), 9 O 2852/05, CR 2006, 281 m. Anm. Hüsch. OLG Köln v. 8.6.2004 – 6 W 59/04, K&R 2006, 240. Offen, ob kennzeichenmäßige Verwendung zu bejahen: LG München I v. 26.10.2006 – 7 O 16794/06, CR 2007, 467, dazu Stögmüller, CR 2007, 446 (451). 1792 LG Hamburg v. 21.9.2004 – 312 O 324/04, CR 2004, 938: Verwendung einer Marke als Google Adword, Mitstörerhaftung des Suchmaschinenbetreibers für Adword-Werbung. 1793 LG Köln v. 9.2.2007 – 81 O 174/06, MMR 2007, 736; s.a. LG Leipzig v. 8.2.2005 – 05 O 146/05, MMR 2005, 622: keine Markenrechtsverletzung bei geringer Kennzeichnungskraft.
650
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 943
B
Verschiedene Entscheidungen plädieren ausdrücklich dafür, die Rspr. des BGH zu Metatags 940 auf Keywords/Adwords als technische Fortentwicklung entsprechend zu übertragen.1794 Nach ständiger BGH-Rspr. kann eine Markenrechtsverletzung zu bejahen sein, wenn ein als Suchbegriff verwendetes verwechslungsfähiges Zeichen als Metatag im HTML-Code auf der Internetseite des Werbenden benutzt wird.1795
941
Teilweise werden Adwords und Metatags praktisch gleich behandelt,1796 sodass die soeben 942 erwähnten BGH-E. zu Metatags und Begriffen in „Weiß-auf-Weiß-Schrift“ auch insoweit wirken könnten.1797 Eine markenmäßige Benutzung liege jedenfalls dann vor, wenn es sich für die betreffenden Waren bzw. Dienstleistungen um eine typische Markenbezeichnung handelt, die keinen beschreibenden Inhalt erkennen lässt.1798 Bei Verwendung zusammengesetzter Begriffe könne eine kennzeichenmäßige Verwendung sogar vorliegen, wenn nicht eine der Optionen „genau passende Keywords“ oder „ausschließende Keywords“ verwendet wird.1799 Das LG Braunschweig hat seine bisherige Auffassung in einer neueren E. relativiert. Es hat klargestellt, dass die Schaltung einer kennzeichenrechtsverletzenden Keywordanzeige zwar grds. eine Markenrechtsverletzung darstellen könne, ein markenmäßiger Gebrauch jedoch nur dann anzunehmen sei, wenn das Keyword durch direkte Eingabe oder über die quasi automatische Hinzufügung durch die Google-Standardoption „weitgehend passende Keywords“ geschaltet wurde.1800 Nach jüngerer Rspr. des BGH ist zwar die technische Funktion eines Keywords im Rahmen 943 der Adword-Werbung insoweit mit dem Einsatz eines Metatags vergleichbar, als in beiden Fällen das durch Eingabe des Suchworts durch den Internetnutzer in Gang gesetzte Auswahlverfahren beeinflusst wird.1801 Allerdings ist die Schaltung eines Keywords für Adwords-Anzeigen anders als der Einsatz von Metatags zu beurteilen.1802 Keywords im Rahmen einer Adword-Anzeige und Metatags lassen sich in einem wesentlichen Punkt voneinander unter1794 OLG Braunschweig v. 5.12.2006 – 2 W 23/06, CR 2007, 177, und OLG Braunschweig v. 12.7.2007 – 2 U 24/07, jur-pc 25/2008, Ls. 4 – Bananabay; vgl. auch Einschätzung Schirmbacher, ITRB 2007, 117. 1795 BGH v. 13.1.2011 – I ZR 46/08, MMR 2011, 608 (609); v. 7.10.2009 – I ZR 109/06, CR 2009, 794 (795 f.) – Partnerprogramm; BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103 – Impuls; vgl. auch BGH v. 30.7.2015 – I ZR 104/14, CR 2016, 116; OLG Braunschweig v. 2.4.2014 – 2 U 44/12, GRUR-RR 2014, 385 (386) – Posterlounge II; zur „Weiß-auf-Weiß-Schrift“ BGH v. 8.2.2007 – I ZR 77/04, CR 2007, 589 (Rz. 18) – AIDOL. 1796 OLG Dresden v. 9.1.2007 – 14 U 1958/06, CR 2007, 740; OLG Stuttgart v. 9.8.2007 – 2 U 23/07, ITRB 2007, 274; OLG München v. 6.12.2007 – 29 U 4013/07, CR 2008, 590; OLG Braunschweig v. 5.12.2006 – 2 W 23/06, CR 2007, 177: Markenverletzung durch Google adword; LG Braunschweig v. 15.11.2006 – 9 O 1840/06 (261), CR 2007, 188 m. Anm. Hüsch; LG Braunschweig v. 28.12.2005 – 9 O 2852/05 (388), 9 O 2852/05, CR 2006, 281 m. Anm. Hüsch. 1797 Entgegen den älteren Entscheidungen a.A.: LG Hamburg v. 21.12.2004 – 312 O 950/04, MMR 2005, 629: Platzierung der Adword-Anzeige, keine Benutzung; OLG Hamburg v. 4.5.2006 – 3 U 180/04, MMR 2006, 754; kein markenmäßiger Gebrauch bei Adword-Anzeigen, wenn Anzeige hinreichend abgesetzt (vgl. Platzierung von Werbung in Presseerzeugnis neben passendem Artikel); s. aber OLG Hamburg v. 6.5.2004 – 3 U 3 – 3 U 34/02, CR 2005, 258. 1798 OLG Braunschweig v. 5.12.2006 – 2 W 23/06, CR 2007, 177; Vorinstanz: LG Braunschweig v. 28.12.2005 – 9 O 2852/05 (388), 9 O 2852/05, CR 2006, 281 m. Anm. Hüsch. 1799 OLG Stuttgart v. 9.8.2007 – 2 U 23/07, ITRB 2007, 274. 1800 LG Braunschweig v. 30.1.2008 – 9 O 2958/07, MIR 2008, Dok. 53; zur möglichen Verletzung bei entspr. Nutzung der Lotsenfunktion LG Braunschweig v. 26.3.2008 – 9 O 250/08, MIR 2008, Dok. 146; ebenso bei gezielter Verwendung einer geschützten Marke LG Braunschweig v. 23.4.2008 – 9 0368/08, MIR 2008, Dok. 147; a.M. z.B. OLG München v. 6.5.2008 – 29 W 1355/08, MIR 2008, Dok. 170 – Lounge Poster II – zu LG München I v. 10.4.2008 – 1 HKO 5500/08, MIR 2008, Dok. 169; anders als bzw. in Abgrenzung zu OLG München v. 6.12.2007 – 29 U 4013/07, MMR 2008, 334 (der Werbende macht sich die spezifische Lotsenfunktion zu Nutze). 1801 BGH v. 22.1.2009 – I ZR 30/07, CR 2009, 328 (329) – Beta Layout. 1802 BGH v. 13.1.2011 – I ZR 46/08, MMR 2011, 608 (609); v. 13.1.2011 – I ZR 125/07, CR 2011, 664 (666) – Bananabay II; v. 22.1.2009 – I ZR 30/07, CR 2009, 328 (329) – Beta Layout.
Kosmides
651
B Rz. 944
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
scheiden, nämlich dem Ergebnis, das durch den Einsatz des jeweiligen Suchworts erzielt wird: „Die Verwendung eines Metatags führt dazu, dass in der Liste der Suchergebnisse (Trefferliste) auch auf das Angebot des Unternehmens hingewiesen wird, das den Metatag gesetzt hat. Dagegen erscheint beim Einsatz eines Schlüsselworts bei der im Streitfall zu beurteilenden Gestaltung die AdWord-Werbung des Unternehmens, das das betreffende Schlüsselwort bei Google gebucht hat, in der neben der Trefferliste stehenden Rubrik unter der Überschrift ‚Anzeigen‘.“1803
944 In einer weiteren E. des BGH wird in dieser Hinsicht hervorgehoben: „Metatags und vergleichbare Zeichenverwendungsformen beeinflussen den durch Eingabe des Suchworts ausgelösten Suchvorgang in der Weise, dass das Angebot des Verwenders in der Liste der Suchergebnisse, also der Trefferliste, erscheint. Bei den Ergebnissen der Trefferliste wird für den Internetnutzer in der Regel nicht hinreichend deutlich, ob der Verwender des Metatags, der identische oder ähnliche Produkte anbietet, im Verhältnis zum Markeninhaber Dritter oder aber mit diesem wirtschaftlich verbunden ist. (…) In der hinreichend deutlich gekennzeichneten Rubrik ‚Anzeigen‘ erwartet der verständige Internetnutzer hingegen nicht ausschließlich Angebote des Markeninhabers oder seiner verbundenen Unternehmen. Der Verkehr, der eine Trennung der Werbung von der eigentlich nachgefragten Leistung aus dem Bereich von Presse und Rundfunk kennt, unterscheidet zwischen den Fundstellen in der Trefferliste und den als solche gekennzeichneten Anzeigen. Ihm ist klar, dass eine notwendige Bedingung für das Erscheinen der Anzeige vor allem deren Bezahlung durch den Werbenden ist.“1804
945 Laut BGH ist eine Beeinträchtigung der Herkunftsfunktion einer Marke bei der Verwendung von Schlüsselwörtern für Adwords-Werbung bei Internetsuchmaschinen grds. zu verneinen, wenn die Werbung in einem eindeutig getrennten Werbeblock erscheint, sodass für den Nutzer klar erkennbar ist, dass es bei der Anzeige nicht um ein reguläres Suchergebnis, sondern um bezahlte Werbung geht.1805 946 Nach einer anderen E. des BGH ist eine Benutzung der fremden Marke i.S.v. § 14 Abs. 2 Nr. 1 MarkenG bei einer Adwords-Werbung mit einer fremden Marke als Schlüsselwort in einer Suchmaschine abzulehnen, wenn „die Anzeige selbst weder das Zeichen noch sonst einen Hinweis auf den Markeninhaber oder auf die von diesem angebotenen Produkte enthält, der angegebene Domainname vielmehr auf eine andere betriebliche Herkunft hinweist“.1806 947 In einer jüngeren E. des BGH werden für den Ausschluss einer Beeinträchtigung der Herkunftsfunktion der Marke die beiden oben genannten Kriterien kumulativ herangezogen: die Anzeige muss nämlich zum einen in einem von der Trefferliste eindeutig getrennten und entsprechend gekennzeichneten Werbeblock erscheinen; zum anderen darf die Anzeige weder die Marke noch sonst einen Hinweis auf den Markeninhaber oder die unter der Marke angebotenen Produkte enthalten.1807 948 Auch der EuGH stellt auf die Herkunftsfunktion der Marke ab. Im Falle des Erscheinens einer Adwords-Anzeige im Internet bei Eingabe eines mit einer Marke identischen Schlüsselworts kommt es entscheidend darauf an, ob aus der fraglichen Anzeige für den durchschnittlichen Internetnutzer erkennbar ist, dass die beworbenen Produkte von dem Markeninhaber (bzw. einem mit ihm wirtschaftlich verbundenen Unternehmen) oder vielmehr von einem Dritten stammen. Ist dies nicht oder nur schwer zu erkennen, ist eine Beeinträchtigung der
1803 BGH v. 22.1.2009 – I ZR 30/07, CR 2009, 328 (329) – Beta Layout. 1804 BGH v. 13.1.2011 – I ZR 125/07, CR 2011, 664 (666) – Bananabay II. 1805 BGH v. 13.1.2011 – I ZR 46/08, MMR 2011, 608 (609); v. 22.1.2009 – I ZR 30/07, CR 2009, 328 – Beta Layout; v. 22.1.2009 – I ZR 139/07, CR 2009, 323 – pcb. 1806 BGH v. 13.1.2011 – I ZR 125/07, CR 2011, 664 (Ls.) – Bananabay II. 1807 BGH v. 13.12.2012 – I ZR 217/10, CR 2013, 181 (Ls.) – MOST-Pralinen.
652
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 951
B
herkunftshinweisenden Funktion der Marke anzunehmen.1808 Die Investitionsfunktion der Marke wird in diesem Zshg. dann beeinträchtigt, wenn die Nutzung des Schlüsselworts in der Adwords-Anzeige durch einen Mitbewerber es dem Markeninhaber wesentlich erschwert, seine Marke zum Erwerb oder zur Wahrung eines Rufs einzusetzen, der geeignet ist, Verbraucher anzuziehen und zu binden.1809 Im Gegensatz dazu ist nach Ansicht des EuGH die Benutzung eines mit einer Marke eines anderen identischen Zeichens im Rahmen einer Adwords-Anzeige für sich allein grds. nicht geeignet, die Werbefunktion der Marke zu beeinträchtigen.1810 Bietet der Werbende, der eine bekannte Marke als Schlüsselwort einer Adwords-Anzeige ver- 949 wendet, eine Alternative zu den Waren oder Dienstleistungen des Inhabers der bekannten Marke, ohne Funktionen der Marke zu beeinträchtigen, ist anzunehmen, dass eine solche Benutzung grds. nicht „ohne rechtfertigenden Grund“ i.S.v. Art. 9 Abs. 1 lit. c GMV1811 erfolgt.1812 Im Gegensatz dazu ist von einer Markenverletzung gem. Art. 9 Abs. 1 lit. c GMV auszugehen, wenn der Werbende Nachahmungen von Waren des Inhabers dieser Marke anbietet oder die mit der bekannten Marke versehenen Waren in einem negativen Licht darstellt.1813 6.6 Doorwaypages Bei Doorwaypages (dt. Brückenseiten) handelt es sich um Internetseiten, die für Such- 950 maschinen optimiert sind und als Zwischenseiten fungieren, die den Nutzer auf die eigentliche Website (automatisch) weiterleiten.1814 Solche Internetseiten werden vor dem Hintergrund eingesetzt, dass Suchmaschinen die Anzahl und Qualität der Verlinkungen auf andere Seiten als Kriterium beim Ranking berücksichtigen.1815 Der Einsatz von Doorwaypages kann zu einem Verstoß gegen § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. führen, wenn die dazu verwendeten Techniken keine bloße Suchmaschinenoptimierung, sondern eine Suchmaschinenmanipulation darstellen.1816 6.7 Pop-up-Fenster Der Internetnutzer, der eine Website besucht oder ein Internetangebot (z.B. ein Internetspiel) in Anspruch nimmt, wird nicht selten durch eine Vorschalt- bzw. Unterbrecherwerbung angesprochen, die i.d.R. durch den Einsatz von Pop-up-Fenstern ermöglicht wird. Pop-up-Fenster sind eine Art Banner, das aber kontext- bzw. nutzungsabhängig aufgeht. Bei klarer Trennung und ohne Verschleierung des Werbecharakters ist die Methodik unproblematisch.
1808 EuGH v. 23.3.2010 – C-236/08, C-237/08, und C-238/08, CR 2010, 318 (322, Rz. 83 f.) – Google France und Google; v. 26.3.2010 – C-91/09, CR 2010, 457 (458) – Eis.de; v. 22.9.2011 – C-323/09, CR 2011, 745 (Ls. 1) – Interflora. 1809 EuGH v. 22.9.2011 – C-323/09, CR 2011, 745 (Ls. 1) – Interflora. 1810 EuGH v. 23.3.2010 – C-236/08, C-237/08 und C-238/08, CR 2010, 318 (323, Rz. 98) – Google France und Google; v. 26.3.2010 – C-91/09, CR 2010, 457 (458) – Eis.de; v. 22.9.2011 – C-323/09, CR 2011, 745 (Ls. 1) – Interflora. 1811 Verordnung (EG) Nr. 207/2009 des Rates v. 26.2.2009 über die Gemeinschaftsmarke (ABl. Nr. L 78 v. 24.3.2009, S. 1). 1812 Vgl. BGH v. 20.2.2013 – I ZR 172/11, CR 2013, 817 (Ls. 2) – Beate Uhse; s.a. EuGH v. 22.9.2011 – C-323/09, CR 2011, 745 (Ls. 2) – Interflora. 1813 Vgl. BGH v. 20.2.2013 – I ZR 172/11, CR 2013, 817 (Ls. 1 und 2) – Beate Uhse; s.a. EuGH v. 22.9.2011 – C-323/09, CR 2011, 745 (Ls. 2) – Interflora. 1814 S.a. Schirmbacher/Engelbrecht, CR 2015, 659 (662). 1815 Ebenso Härting, Internetrecht, Rz. 1701. 1816 OLG Hamm v. 18.6.2009 – 4 U 53/09, CR 2010, 196 (197); Härting, Internetrecht, Rz. 1702.
Kosmides
653
951
B Rz. 952
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
952 Eine Vorschalt- bzw. Unterbrecherwerbung kann allerdings unter bestimmten Bedingungen als unzumutbare Belästigung i.S.v. § 7 Abs. 1 Satz 1 UWG wettbewerbswidrig sein.1817 Dies ist v.a. etwa der Fall, wenn der Inhaber der Website Werbung mittels Pop-up-Fenster für sich oder Dritte betreibt, die durch den Nutzer nicht beseitigt werden können.1818 Demgegenüber ist eine solche Werbung wettbewerbsrechtlich unproblematisch, wenn der Nutzer das Fenster ohne Aufwand wegklicken kann.1819 Zum Beispiel wird in der Rspr. eine unzumutbare Belästigung verneint, wenn ein Interstitial nach fünf Sekunden weggeklickt werden kann.1820 953 Die Vergleichbarkeit mit unverlangter Werbung drängt sich v.a. dann auf, wenn der Befehl zum Schließen eine Serie neuer Pop-up-Werbung zur Folge hat.1821 Nach Auffassung des KG ist eine Pop-Up-Werbung, die nach wenigen Sekunden automatisch verschwindet, nicht als unzumutbare Belästigung i.S.v. § 7 Abs. 1 Satz 1 UWG einzustufen. Das gilt selbst dann, wenn diese Werbung auf einer Kinder-Website präsentiert wird.1822 954 Für Pop-unders, bei denen die Werbung in einem Fenster hinter der geöffneten Website angezeigt wird, gelten grds. dieselben wettbewerbsrechtlichen Zulässigkeitsbedingungen wie bei Pop-ups.1823 955 Werden Pop-up-Fenster auf fremden Internetseiten eingesetzt, ist eine unzulässige Behinderung des Inhabers der Website nach § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. anzunehmen.1824 6.8 Online-Spiele, In-Game-Advertising 956 In-Game-Advertising hat sich zum Milliardengeschäft entwickelt.1825 Bei In-Game-Advertising werden – vergleichbar der Bandenwerbung im Sportstadion1826 – Computer- und Videospiele als Werbeträger genutzt, insb. um deren Entwicklungskosten zu amortisieren. Werden Computerspiele speziell für Werbezwecke programmiert, spricht man von Adgames. Werden Spiele vom Werbepartner präsentiert, spricht man von Sponsoring. Product Placement liegt vor, wenn bekannte Markenartikel in Spielen präsentiert werden.1827 Neben der statischen Werbung besteht mittlerweile sogar die Möglichkeit, über einen AdServer über das Internet dynamische Werbung in das Spiel einzustreuen. Rechtliche Probleme ergeben sich insb. im Hinblick auf die Verschleierung des Werbecharakters einer Wettbewerbshand1817 Vgl. auch Härting, Internetrecht, Rz. 1780, wonach die Annahme einer generellen Wettbewerbswidrigkeit von Exit-Pop-Up-Fenstern zu weit gehe; Boemke, in: Hoeren/Sieber/Holznagel, Teil 11 Rz. 80. 1818 LG Berlin v. 14.9.2010 – 103 O 43/10, GRUR-RR 2011, 332 (334); LG Düsseldorf v. 26.3.2003 – 2a O 186/02, ITRB 2003, 146, zu sog. Exit-Pop-Up-Fenstern; Lüghausen, K&R 2011, 458 (461) schlägt vor, auch weitere Kriterien wie etwa die Intensität des Eingriffs, alternative Vorgehensmöglichkeiten des Werbetreibenden, Ausweichmöglichkeit des Adressaten und die Gefahr einer Summierung der Belästigung in die Prüfung der Unzumutbarkeit einzustellen. 1819 Ernst/Seichter, CR 2011, 62 (65). 1820 OLG Köln v. 12.4.2013 – I-6 U 132/12, ITRB 2013, 253; LG Berlin v. 14.9.2010 – 103 O 43/10, GRURRR 2011, 332 (334). 1821 Fraglich, weil IP-Adresse ständig wechselt, LG Berlin v. 13.5.2004 – 16 O 524/03, ITRB 2005, 225; keine belästigende Werbung bei Pop-up-Fenster auf der eigenen Seite: Bornkamm/Seichter, CR 2005, 747 (752 f.). 1822 KG v. 18.10.2013 – 5 U 138/12, MMR 2014, 44 (Ls.) m. Anm. Czernik. 1823 Härting, Internetrecht, Rz. 1782. 1824 LG Köln v. 12.3.2004 – 31 O 145/04, MMR 2004, 840 (Ls.); s.a. Boemke, in: Hoeren/Sieber/Holznagel, Teil 11 Rz. 81 (36. EL Stand 9/2013); Ernst/Seichter, CR 2011, 62 (65); Bornkamm/Seichter, CR 2005, 747 (752). 1825 http://www.heise.de/newsticker/meldung/In-Game-Advertising-entwickelt-sich-zum-Milliardenge schaeft-153872.html (abgerufen im Januar 2016). 1826 Ernst/Seichter, CR 2011, 62. 1827 Lober, MMR 2006, 643.
654
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 962
B
lung (§ 4 Nr. 3 UWG 2008)1828 bzw. das Nichtkenntlichmachen des kommerziellen Zwecks einer geschäftlichen Handlung (§ 5a Abs. 6 UWG n.F.) und das Verbot der Irreführung (§ 5 UWG 2008 sowie § 5 UWG n.F.).1829 Besonderheiten ergeben sich insb. im Hinblick auf dynamisches In-Game-Advertising aus 957 Aspekten des Datenschutzrechtes1830 und des Jugendschutzes.1831 Die Diskussion, ob ein mit Werbung behaftetes Spiel eine mangelhafte Leistung darstellt, ist eher theoretischer Natur. Das Anbieten und Verbreiten von sog. Cheatbots für Massen-Mehrspieler-Online-Rollenspiele kann einen Fall des § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. darstellen.1832
958
6.9 Metatags Metatags sind immer noch ein beliebtes Mittel, die Homepage für Suchmaschinen attraktiv 959 zu machen.1833 Unter Metatagging versteht man die Beeinflussung bzw. Manipulation von Suchmaschinen durch Verwendung von Begriffen im Dokumentenkopf, die mit dem eigenen Namen oder dem eigenen Unternehmen nichts zu tun haben.1834 Der Erfolg eines Internet-Angebots hängt stark von der Resonanz bei Suchmaschinen ab 960 (Ranking in der Trefferliste). Deshalb bemühen sich Anbieter, bei den Suchmaschinen als möglichst relevant im Hinblick auf bestimmte Suchbegriffe eingestuft und möglichst häufig nachgewiesen zu werden.1835 Berater und Provider bieten die Optimierung der Seiten und deren Ausgestaltung mit dem Ziel der besten Platzierung.1836 In diesem Bemühen verwenden die Anwender auch als aussichtsreich erscheinende Begriffe 961 im Zshg. mit den so genannten Metatags einer Webpage. Metatags sind Teil des html-Quellcodes, der einer Webpage zugrunde liegt.1837 Sie werden unter anderem dazu benutzt, Schlagwörter zu codieren, die den Inhalt der Webpage kennzeichnen (sollen).1838 Sie sind für den Besucher nicht auf den ersten Blick sichtbar, werden aber von vielen Suchmaschinen ausgelesen. Es liegt auf der Hand, dass manche Anbieter auch solche Begriffe als Metatags einsetzen, von denen sie erwarten, dass sie besonders häufig abgefragt werden, et-
1828 Vgl. Ernst/Seichter, CR 2011, 62 (66). 1829 Lober, MMR 2006, 643. 1830 Schaar, CR 2006, 619, mit der elektronischen Verarbeitung der IP-Adresse nebst Bewegungsdaten des Spielers ist der Anwendungsbereich der Datenschutzrichtlinie eröffnet. 1831 Lober, MMR 2006, 643. 1832 LG Hamburg v. 23.5.2013 – 312 O 390/11, CR 2013, 604 (Ls. 1). 1833 Stögmüller, CR 2007, 446. 1834 Bornkamm/Seichter, CR 2005, 747 (Überblick). 1835 S. Heim, Die Einflussnahme auf Trefferlisten von Internetsuchdiensten aus marken- und wettbewerbsrechtlicher Sicht; Rössel, CR 2003, 349. 1836 Zur Beurteilung diverser Methoden zur Beeinflussung der Platzierung s. Heim, Die Einflussnahme auf Trefferlisten von Internetsuchdiensten aus marken- und wettbewerbsrechtlicher Sicht; Heim, CR 2005, 200. 1837 Härting, Internetrecht, Rz. 1668; zur Funktionsweise s. z.B. Schirmbacher, ITRB 2007, 117. 1838 Zur Beschreibung s. Viefhues, MMR 1999, 336; Laga, jur-pc Web-Dok. 25/1998, Abs. 40; Kotthoff, K&R 1999, 157; zur Reichweite eines Unterlassungsanspruchs (nicht auf Entfernung auch aus Suchmaschinen) s. OLG Köln v. 13.6.2001 – 6 W 25/01, CR 2001, 863; a.M. z.B. LG Mannheim v. 1.8.1997 – 7 O 291/97, CR 1998, 306 im Zusammenhang mit der Verletzung durch die Suchmaschine; Ablehnung kennzeichenmäßigen Gebrauchs s. OLG Düsseldorf v. 17.2.2004 – I-20 U 104/03, CR 2004, 936 und – für Unternehmensbezeichnung – OLG Düsseldorf v. 15.7.2003 – 20 U 21/03, I-20 U 21/03, CR 2004, 462, Bejahung aber (Rev.) BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103; LG München v. 24.6.2004 – 17 HKO 10389/04, ITRB 2005, 10.
Kosmides
655
962
B Rz. 963
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
wa weil sie besonders bekannt sind, obwohl diese Begriffe mit dem Inhalt der jeweiligen Webpage nichts zu tun haben („search engine spamming“).1839 963 Schon die Verwendung sachfremder Begriffe als solche stellt ein wettbewerbsrechtlich relevantes Handeln dar. Dies betrifft schon die Titelleiste bzw. die Titel der Website.1840 Nach der Rspr. des EuGH wird die Nutzung von Metatags in den Metadaten einer Website vom Begriff der Werbung i.S.d. Geschäftspraktiken- (RL 2005/29/EG) sowie der Werbe-Richtlinie (RL 2006/114/EG) umfasst.1841 964 Unter dem Aspekt des Wettbewerbsrechts wird bei der Verwendung von Metatags das Abfangen von Kunden (§ 4 Nr. 10 UWG 2008 bzw. § 4 Nr. 4 UWG n.F.),1842 die unangemessene unsachliche Beeinflussung (§ 4 Nr. 1 UWG 2008 bzw. § 4a UWG n.F.), die irreführende Werbung (§ 5 UWG 2008 sowie § 5 UWG n.F.) und die belästigende Werbung (§ 7 UWG) diskutiert. 965 Zur Steigerung des Erfolgs werden v.a. sachfremde Begriffe als Metatag eingesetzt, die als Marke oder sonst durch das MarkenG oder als Name für Dritte geschützt sind.1843 Das Besondere bei Metatags ist, dass sie für den durchschnittlichen Internetnutzer nicht wahrnehmbar sind.1844 Es stellt sich insoweit die Frage, ob eine kennzeichen- oder markenmäßige Benutzung aus diesem Grund zu verneinen ist. Nach ständiger BGH-Rspr. ist eine markenmäßige Benutzung anzunehmen, wenn „ein als Suchwort verwendetes Zeichen dazu benutzt wird, das Ergebnis des Auswahlverfahrens in der Trefferliste einer Internetsuchmaschine zu beeinflussen und den Nutzer auf diese Weise zu einer Internetseite des Verwenders zu führen“.1845 966 In Bezug auf die Benutzung von Domainnamen ist eine kennzeichenmäßige Verwendung eines geschützten Werktitels gegeben, wenn darin der Hinweis auf das Unternehmen oder auf die betriebliche Herkunft von Waren oder Dienstleistungen zu sehen ist.1846 Ein Domainname, der zu einer aktiven Internetseite führen, besitzt regelmäßig eine kennzeichnende Funktion.1847 Eine markenmäßige Benutzung ist ferner zu bejahen, wenn der Nutzer bei Aufruf des Domainnamens zu einer unter einem anderen Domainnamen abrufbaren Internetseite automatisch weitergeleitet wird.1848 Dies steht in Einklang mit dem Impuls-Urteil des BGH,1849 wonach die unmittelbare visuelle Wahrnehmnbarkeit der angegriffenen Bezeichnung für den Nutzer nicht maßgeblich ist.1850 Im Anschluss an diese BGH-Rspr. entschied das KG, dass der Einsatz der Domain „de.de“ i.V.m.einer sog. Catch-All-Funktion, wodurch bei Eingabe dieser Domain in Verknüpfung mit einer beliebigen Third-Level-Domain der Aufruf von Internetseiten des Domaininhabers ermöglicht wird, eine täterschaftliche Markenrechts- oder Werktitelverletzung des Domaininhabers begründen kann.1851 Für
1849 1850 1851
Ernst, K&R 1998, 536 (540). Zum Titel als für Suchmaschinen hochrelevante Meta-Information Ott, MMR 2008, 222 (223). EuGH v. 11.7.2013 – C-657/11, CR 2013, 794 (Ls.) – Visys. S.a. Boemke, in: Hoeren/Sieber/Holznagel, Teil 11 Rz. 85 (36. EL Stand 9/2013). S. Heim, CR 2005, 200 zur Markenbenutzung durch Metatags. Vgl. nur BGH v. 8.2.2007 – I ZR 77/04, CR 2007, 589 (Rz. 18) – AIDOL. BGH v. 7.10.2009 – I ZR 109/06, CR 2009, 794 (795) – Partnerprogramm; vgl. auch BGH v. 13.1.2011 – I ZR 46/08, MMR 2011, 608 (609); v. 22.1.2009 – I ZR 30/07, CR 2009, 328 (329) – Beta Layout; v. 22.1.2009 – I ZR 125/07, CR 2009, 330 (332) – Bananabay; v. 8.2.2007 – I ZR 77/04, CR 2007, 589 (Rz. 18) – AIDOL; v. 18.5.2006 – I ZR 183/03, CR 2007, 103 (Ls. 1) – Impuls. OLG Köln v. 24.10.2014 – 6 U 211/13, CR 2015, 537 (Ls. 1 Satz 1). OLG Köln v. 24.10.2014 – 6 U 211/13, CR 2015, 537 (Ls. 1 Satz 2). BGH v. 14.5.2009 – I ZR 231/06, CR 2009, 801 (Ls.) m. Anm. Hackbarth – airdsl; vgl. OLG Köln v. 20.1.2006 – 6 U 146/05, CR 2006, 549 (550) – ecolab. BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103 – Impuls. Hackbarth, CR 2009, 805. KG v. 23.5.2012 – 5 U 119/11, IPRB 2012, 227.
656
Kosmides
1839 1840 1841 1842 1843 1844 1845
1846 1847 1848
E-Werbung und weitere geschftliche Handlungen
Rz. 970
B
die Haftungsbegründung kommt es auf die vom Internetnutzer eingegebene Third-Level-Domain, die Art des Seiteninhalts und die sonstigen Umstände des Einzelfalls an.1852 Bei Metatagging durch Verwendung allg. bekannter Begriffe bzw. Gattungsbegriffe hat das 967 OLG Düsseldorf1853 einen Wettbewerbsverstoß verneint. Gleiches gilt mangels kennzeichenmäßiger Benutzung bei der Verwendung fremder Kennzeichen als Metatags.1854 Ein Verstoß gegen das Irreführungsverbot liege nicht vor, weil der Verbraucher nicht davon ausgehen könne, dass nur Treffer erscheinen, die unmittelbar mit dem Unternehmen zusammenhängen, dessen Namen er in die Suchmaschine eingegeben hat.1855 Eine Ausnahme gelte allerdings bei kompendiumartiger Auflistung vieler hundert Metatags ohne jeglichen inhaltlichen Zshg. zur Internetseite, mit der sich der Inhaber einen als unlauter zu wertenden Wettbewerbsvorteil verschafft.1856 Der BGH hat diese Fragen höchstrichterlich geklärt und gegen die Auffassung des OLG Düs- 968 seldorf entschieden. Das Verwenden fremder Kennzeichen und Marken im eigenen Quelltext, insb. innerhalb der Metatags als verstecktes Suchwort, kann einen Markenrechtsverstoß darstellen.1857 Für eine markenmäßige Verwendung bedarf es hierbei keiner unmittelbaren visuellen Wahrnehmbarkeit. In diesem Zshg. genügt es vielmehr, wenn sich der Internetuser der technischen Einrichtung der Suchmaschine bedient und diese den im HTML-Code versteckten Bereich bei seiner Suche mit einbezieht.1858 Die erforderliche Verwechslungsgefahr kann sich in diesem Fall – je nach Branchennähe – bereits daraus ergeben, dass sich unter den Treffern ein Hinweis auf eine Internetseite des Verwenders findet, nachdem das fremde Zeichen als Suchwort in eine Suchmaschine eingegeben worden ist.1859 In einer weiteren E. hat der BGH sich nochmals zur Frage der kennzeichenmäßigen Verwendung geäußert: Der kennzeichenmäßigen Verwendung steht insb. nicht entgegen,
969
„dass ein Metatag für den durchschnittlichen Internetnutzer nicht wahrnehmbar und daher bei einer Suche im Internet auf den aufgerufenen Internetseiten nicht als Suchwort sichtbar ist. Maßgeblich ist vielmehr, dass das als Suchwort verwendete Zeichen dazu benutzt wird, das Ergebnis des Auswahlverfahrens zu beeinflussen und den Nutzer auf diese Weise zu einer entsprechenden Internetseite zu führen, wo er dann auf das dort zu werbende Unternehmen und dessen Angebot hingewiesen wird (BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103 = ITRB 2007, 156 = Rz. 17). Nicht anders verhält es sich auch bei einer entsprechenden Verwendung des Zeichens in ‚Weiß-auf-weißSchrift‘.“1860
Eine zeichenmäßige Markenbenutzung stellt also nicht nur die „unsichtbare“ Verwendung 970 einer fremden Marke als Metatag, sondern auch die Benutzungsform der „Weiß-auf-weiß1852 KG v. 23.5.2012 – 5 U 119/11, IPRB 2012, 227. 1853 OLG Düsseldorf v. 1.10.2002 – 20 U 93/02, CR 2003, 133 vgl. hierzu zustimmend Rössel, CR 2003, 349. 1854 OLG Düsseldorf v. 15.7.2003 – 20 U 21/03, CR 2004, 462; v. 14.2.2006 – I-20 U 195/05, CR 2006, 695; vgl. hierzu krit. Rössel, CR 2003, 349. S.a. zu Zufallstreffern OLG Frankfurt v. 10.1.2008 – 6 U 177/07, CR 2008, 741 (keine Verletzung, weil keine Verwechslungsgefahr). 1855 Bornkamm/Seichter, CR 2005, 747 (Überblick); OLG Düsseldorf v. 14.2.2006 – I-20 U 195/05, CR 2006, 695; v. 17.2.2004 – I-20 U 104/03, CR 2004, 936; v. 15.7.2003 – 20 U 21/03, CR 2004, 462; zum Umleiten s. schon LG Hamburg v. 13.9.1999 – 315 O 258/99, CR 2000, 121; Viefhues, MMR 1999, 336 (341): Erregen von Aufmerksamkeit; LG Düsseldorf v. 27.3.2002 – 12 O 48/02, CR 2002, 610: Sachfremde Metatags sind Belästigung, übertriebenes Anlocken und gezieltes Abfangen. 1856 LG Essen v. 26.5.2004 – 44 O 166/03, MMR 2004, 692; für den Fall extremer Häufungen wohl auch Rössel, CR 2003, 349. 1857 Vgl. BGH v. 30.7.2015 – I ZR 104/14, CR 2016, 116 (117 ff.). 1858 BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103 – Impuls; so schon früher LG Mannheim v. 1.8.1997 – 7 O 291/97, CR 1998, 306; OLG München v. 6.4.2000 – 6 U 4123/99, CR 2000, 461; ebenfalls für das Ausreichen mittelbarer Wahrnehmbarkeit schon LG Frankfurt/M. v. 3.12.1999 – 315 O 258/99, CR 2000, 462; OLG Hamburg v. 6.5.2004 – 3 U 34/02, CR 2005, 258. 1859 BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103 – Impuls. 1860 BGH v. 8.2.2007 – I ZR 77/04, CR 2007, 589 (Rz. 18) – AIDOL; s.a. Ott, MMR 2008, 222 (224 f.).
Kosmides
657
B Rz. 971
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Schrift“ dar. Die fehlende Wahrnehmbarkeit eines geschützten Kennzeichens ist nicht relevant. Diese Ansicht stellt inzwischen ständige Rspr. des BGH dar.1861 971 Insofern kann eine Markenrechtsverletzung vorliegen, wenn durch die Benutzung eines als Suchwort verwendeten verwechslungsfähigen Zeichens als Metatag das Ergebnis des Auswahlverfahrens in Gestalt der Trefferliste einer Suchmaschine beeinflusst wird und der Internetnutzer auf diese Weise zu der Internetseite des Verwenders geführt wird.1862 Denn mit einer solchen zeichenmäßigen Markenbenutzung geht die Gefahr einher, dass „der Internetnutzer das Angebot in der Trefferliste auf Grund der dort gegebenen Kurzhinweise mit dem Angebot des Markeninhabers verwechselt und sich näher mit ihm befasst“1863 (Verwechslungsgefahr)1864. 972 Bei fehlender Identität oder Ähnlichkeit von Branche oder Produkt sollte nach restriktiver Auffassung eine Markenrechtsverletzung ausscheiden.1865 973 Das LG München I hatte bereits zur alten Rspr. eine Gebrauchsverletzung i.S.d. §§ 14 Abs. 2 Nr. 2, 15 Abs. 2 MarkenG durch Metatags bejaht, soweit Suchmaschinen durch Eingabe des Wortzeichens durch den Internetnutzer veranlasst werden, die Homepage des Verletzers auf der Trefferliste anzuzeigen, obwohl dieses Zeichen einem anderen Inhaber zugeordnet ist.1866 Nach anderer Ansicht sollte allein die Erwartung des Nutzers maßgeblich sein, ob eine Markenrechtsverletzung vorliegt. Eine im Metatag verwendete Marke dient aus Sicht des Nutzers nicht zur unterscheidenden Kennzeichnung des Angebots, in deren Metatags die Marke genannt ist, wenn der Link zu diesen Internetseiten an fünfter oder achter Stelle der Trefferliste einer Suchmaschine auftaucht.1867 974 Beim Metatagging sind auch Rechtsverletzungen Dritter zurechenbar. So haftet der OnlineVersandhändler als Mitstörer für von seinen Werbepartnern auf Internetseiten innerhalb und außerhalb des Partnerprogramms gesetzte markenrechtsverletzende Metatags.1868 975 Das Einstellen eines natürlichen Namens als Metatag in den Quellcode einer Internetseite stellt einen Namensgebrauch i.S.v. § 12 BGB dar.1869 Insofern stellt sich die Frage, unter welchen Voraussetzungen ein solcher Namensgebrauch durch den Internetseitenbetreiber als 1861 BGH v. 13.1.2011 – I ZR 46/08, MMR 2011, 608 (609); v. 7.10.2009 – I ZR 109/06, CR 2009, 794 (795 f.) – Partnerprogramm; v. 8.2.2007 – I ZR 77/04, CR 2007, 589 (Rz. 18) – AIDOL; v. 18.5.2006 – I ZR 183/03, CR 2007, 103 – Impuls; s.a. OLG Braunschweig v. 2.4.2014 – 2 U 44/12, GRUR-RR 2014, 385 (386) – Posterlounge II; OLG Hamburg v. 6.5.2004 – 3 U 3 – 3 U 34/02, CR 2005, 258. 1862 BGH v. 13.1.2011 – I ZR 46/08, MMR 2011, 608 (609); v. 7.10.2009 – I ZR 109/06, CR 2009, 794 (795 f.) – Partnerprogramm; v. 18.5.2006 – I ZR 183/03, CR 2007, 103 – Impuls; vgl. auch OLG Braunschweig v. 2.4.2014 – 2 U 44/12, GRUR-RR 2014, 385 (386) – Posterlounge II; BGH v. 2.4.2014 – 2 U 8/12, CR 2015, 321, Rz. 48 f.; OLG Frankfurt v. 31.3.2014 – 6 W 12/14, MMR 2014, 769; OLG Hamm v. 13.9.2012 – I-4 U 71/12, CR 2012, 812 (Ls. 1); OLG München v. 6.4.2000 – 6 U 4123/99, CR 2000, 461; LG Frankfurt v. 2.10.2013 – 3-08 O 103/13, juris Rz. 60; LG Mannheim v. 1.8.1997 – 7 O 291/97, CR 1998, 306; LG Hamburg v. 13.9.1999 – 315 O 258/99, CR 2000, 121 m. Anm. Ernst; Ernst, K&R 1998, 536 (541); a.M. z.B. Kotthoff, K&R 1999, 157 (160). 1863 BGH v. 13.1.2011 – I ZR 46/08, MMR 2011, 608 (609); v. 22.1.2009 – I ZR 30/07, CR 2009, 328 (329) – Beta Layout; v. 18.5.2006 – I ZR 183/03, CR 2007, 103 (105) – Impuls. 1864 Zur Verwechslungsgefahr zwischen der Marke „IPS“ und der Kennzeichnung „ISP“ für ein IT-Unternehmen BGH v. 5.3.2015 – I ZR 161/13, Ls.: „Zeichen, die aus denselben, jedoch in unterschiedlicher Reihenfolge angeordneten Buchstaben oder Silben gebildet sind (hier „IPS“ und „ISP“), erwecken regelmäßig einen klanglich ähnlichen Gesamteindruck, wenn sie bei einer Aussprache der Buchstaben oder Silben (hier „i-pe-ess“ und „i-ess-pe“) dieselbe Vokalfolge (hier „i-e-e“) aufweisen“. 1865 S. Viefhues, MMR 1999, 336 (339). 1866 LG München I v. 24.6.2004 – 17 HK O 10389/04, MMR 2004, 689 m. Anm. Pankoke (mit Rspr.Übersicht). 1867 LG Hamburg v. 13.12.2005 – 312 O 632/05, ITRB 2007, 10. 1868 LG Köln v. 6.10.2005 – 31 O 8/05, CR 2006, 64 m. Anm. Ernst. 1869 OLG Celle v. 20.7.2006 – 13 U 65/06, ITRB 2006, 252.
658
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 982
B
Dritten erlaubt ist. Insb. ist ein solcher Namensgebrauch zulässig, wenn dem schutzwürdigen Interesse des Namensträgers das dagegen abzuwägende Interesse des Verwenders an der Ausübung seines Rechts auf Meinungsäußerungsfreiheit vorrangig gegenübersteht.1870 Bei unbefugtem Gebrauch steht dem Namensinhaber auch der Ersatz der Abmahnkosten nach § 823 Abs. 1 i.V.m. § 12 BGB zu.
976
6.10 Frames Beim Framing schneidet der Anbieter aus dem Web-Angebot anderer Anbieter einen Teil aus und blendet ihn in sein Angebot ein. Hierbei wird nicht – wie bei Links – nur ein Verweis auf einen fremden Inhalt zur Verfügung gestellt, sondern dieser fremde Inhalt unmittelbar verfügbar gemacht, „importiert“, was die Reichweite der importierten Seite mindert.1871
977
Das OLG Hamm hat eine Irreführung über die Herkunft von Druckerpatronen angenommen, wenn sich auf der als „Der Markenware-Discounter“ gekennzeichneten Startseite eines Onlinehändlers Frame-Verlinkungen finden, die den falschen Eindruck erwecken, es handele sich um Originalpatronen bestimmter Druckerhersteller.1872
978
In einer viel diskutierten E. wurde die Bezugnahme auf ein sonderrechtlich geschütztes 979 Werk (hier Fachdatenbank zu Baumarktprodukten) im Wege der Frame-Technologie vom LG Düsseldorf als nicht irreführend erachtet.1873 Das OLG Düsseldorf hat die E. bestätigt, wobei die Verweisung mangels wettbewerbsrechtlicher Eigenart als hinzunehmen angesehen wurde.1874 Wesentlich näher liegt die Qualifizierung als wettbewerbswidrige Leistungsübernahme.1875 Dem Ergebnis des OLG Düsseldorf zum Produktkatalog würden inzwischen die E. des BGH „Marktstudien“1876 und „HIT Bilanz“1877 entgegenstehen. Auch kann das Ergebnis inzwischen über § 19a UrhG erzielt werden, nämlich Framing als nicht abgedeckte Nutzungshandlung des öffentlich Zugänglichmachens.1878 Zu den urheberrechtlichen Problemen bei dem Einsatz von Framing s. J Rz. 60 ff.
980
V.a. urheberrechtlich relevant ist ferner die Verwendung von Thumbnails und eDonkey- 981 Links (s. Rz. 1298 ff., 1310 ff.). 6.11 Soziale Netzwerke Die Werbung hat eine starke Präsenz innerhalb sozialer Netzwerke wie Facebook erlangt. 982 Sie stellt ein weit verbreitetes Mittel dar, um die Dienste, die i.d.R. kostenlos angeboten werden, zu finanzieren. Soziale Netzwerke bieten Unternehmen verschiedene Möglichkei1870 1871 1872 1873 1874 1875 1876 1877 1878
OLG München v. 9.2.2012 – 6 U 2488/11, CR 2012, 404 (Ls. 1). Bornkamm/Seichter, CR 2005, 747 (750). OLG Hamm v. 21.7.2011 – 4 U 13/11, I-4 U 13/11, juris Rz. 57 ff. LG Düsseldorf v. 29.4.1998 – 12 O 347/97, CR 1998, 763 = K&R 1998, 553 m. Anm. Gabel – baumarkt.de. OLG Düsseldorf v. 29.6.1999 – 20 U 85/98, CR 2000, 184 – baumarkt.de – hat dies als bloße Verweisung gewürdigt (inline linking); anders LG München I v. 14.11.2002 – 7 O 4002/02, CR 2003, 526 m. Anm. Niemann. S. Bornkamm/Seichter, CR 2005, 747 (751); s.a. Leistner, CR 2000, 528. BGH v. 21.4.2005 – I ZR 1/02, CR 2006, 51 – Marktstudien; s. anders noch, zu unwesentlichem Teil als Entnahme: BGH v. 17.7.2003 – I ZR 259/00, CR 2003, 920 m. Anm. Nolte – Paperboy; zum Datenbankschutz s. I. BGH v. 21.7.2005 – I ZR 290/02, CR 2006, 14 – HIT BILANZ. So LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810: Das Darstellen externer Dateien im Browser eines Internetnutzers mittels der Technik des „Framing“ stellt ein öffentliches Zugänglichmachen i.S.d. § 19a UrhG dar [Ls. 1 bei jur-pc (Dok. 12/2007]).
Kosmides
659
B Rz. 983
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
ten, für ihre Produkte zu werben. Eine besonders verbreitete Werbeform sind die klassische Anzeigen- und Bannerwerbung (s. Rz. 928 f.) sowie Links (s. Rz. 923 ff.). Es kommen aber auch neue Werbeoptionen wie etwa das Bereithalten von Unternehmens- und Produktseiten in Betracht.1879 Auf klassiche ebenso wie neue Werbeformen sind grds. die Wettbewerbsregeln zu vergleichbaren Konstellationen übertragbar.1880 983 I.R.d. Registrierungsprozesses bei sozialen Netzwerken werden mitunter Einladungs- und Erinnerungsmails an Personen aus der Kontaktliste des sich registrierenden Nutzers versendet. Solche E-Mails werden in der Rspr. als Werbung eingestuft, weil sie „über den sozialen Zweck hinaus auf eine Förderung des Absatzes der Dienstleistungen des Betreibers und auf eine Vergrößerung seiner Nutzerschaft gerichtet sind“.1881 Fehlt es an einer Einwilligung des Empfängers, der nicht Mitglied des sozialen Netzwerks ist, ist eine unerbetene Werbung anzunehmen, die gemäß § 7 Abs. 2 Nr. 3 UWG unlauter ist.1882 Dies wurde vom BGH in Bezug auf eine derartige mithilfe der „Freunde-finden“-Funktion bei Facebook versandten Mail bestätigt.1883 984 Macht ein Unternehmen die Teilnahme an einem Gewinnspiel von der Betätigung des „Gefällt mir“-Buttons auf dessen Seite bei einem sozialen Netzwerk wie Facebook abhängig, so liegt nach Ansicht des LG Hamburg keine Irreführung des Gewinnspielteilnehmers ebensowenig wie seiner Kontakte vor.1884 Denn durch den Klick auf den „Gefällt mir“-Button komme nach dem Verkehrsverständnis eine rein unverbindliche Gefallensäußerung zum Ausdruck, die keine weiteren Erwartungen oder Gütevorstellungen mit sich bringe.1885 6.12 Virales Marketing 985 Beim sog. viralen Marketing handelt es sich um eine Marketingform, die auf die „Ausbreitung einer Werbebotschaft im Gewand oft unkonventioneller und hintergründiger Nachrichten über soziale Netzwerke und andere elektronische Kommunikationskanäle setzt“.1886 Die meist verbreitete Form sind Werbefilme, die „aufgrund ihrer unterhaltsamen Gestaltung die Aufmerksamkeit der Nutzer wecken sollen und bei denen der werbliche Charakter bewusst in den Hintergrund tritt“.1887 986 Bei der Überprüfung der Wettbewerbsmäßigkeit des viralen Marketing kommt grds. § 4 Nr. 3 UWG a.F. bzw. § 5a Abs. 6UWG n.F. zum Tragen. Hintergrund des insofern verbotenen viralen Marketing ist die damit regelmäßig einhergehende Beeinträchtigung der Entscheidungsfreiheit des Adressaten. Denn er wird i.d.R. einem nicht werblichen (etwa einem redaktionellen) Inhalt größere Beachtung und größeres Vertrauen als der kommerziellen Kommunikation des Werbenden schenken.1888 So hat das OLG Köln entschieden, dass eine blog-ähnliche Website eines Automobilherstellers, die sich in satirisch überspitzter Form mit dem Konsumverhalten der Käufer anderer Automarken befasst, ohne weitere Hinweise 1879 Dazu Lichtnecker, GRUR 2013, 135 (136 ff.). 1880 S.a. Lichtnecker, GRUR 2013, 135 (139); zu Problemen, die bei der Nutzung sozialer Netzwerke durch Unternehmen zu Werbezwecken auftreten Lichtnecker, GRUR 2013, 135 ff. 1881 So LG Berlin v. 6.3.2012 – 16 O 551/10, CR 2012, 270 (271); bestätigt durch KG v. 24.1.2014 – 5 U 42/12, CR 2014, 319; bestätigt durch BGH v. 14.1.2016 – I ZR 65/14, Rz. 29 – Freunde finden; zustimmend Solmecke, ZD 2012, 279. 1882 KG v. 24.1.2014 – 5 U 42/12, CR 2014, 319; LG Berlin v. 6.3.2012 – 16 O 551/10, CR 2012, 270 (271). 1883 KG v. 24.1.2014 – 5 U 42/12, CR 2014, 319; LG Berlin v. 6.3.2012 – 16 O 551/10, CR 2012, 270 (271). BGH v. 14.1.2016 – I ZR 65/14, Ls. 1 – Freunde finden. 1884 LG Hamburg v. 10.1.2013 – 327 O 438/11, CR 2013, 260 m. Anm. Piltz. 1885 LG Hamburg v. 10.1.2013 – 327 O 438/11, CR 2013, 260 m. Anm. Piltz. 1886 OLG Köln v. 9.8.2013 – 6 U 3/13, CR 2014, 205, NJW 2014, 795 (796) m.N. aus der Lit.; zur rechtlichen Beurteilung des viralen Marketing auf Internetportalen Leitgeb, ZUM 2009, 39. 1887 Vgl. auch Ernst/Seichter, CR 2011, 62. 1888 OLG Köln v. 9.8.2013 – 6 U 3/13, CR 2014, 205, NJW 2014, 795 (797).
660
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 992
B
ihren werblichen Charakter wettbewerbswidrig verschleiert.1889 Ein Wettbewerbsverstoß liegt im Gegenteil nicht vor, wenn die Internetseite mit einem deutlich erkennbaren Hinweis „Anzeige“ gekennzeichnet wird.1890 6.13 Tippfehlerdomains (Typosquatting) Nach der Rspr. des EuGH wird die Nutzung eines Domainnamens vom Begriff der Werbung 987 i.S.d. Geschäftspraktiken-Richtlinie (RL 2005/29/EG) sowie der Werbe-Richtlinie (RL 2006/114/EG) umfasst.1891 Die Eintragung eines Domainnamens als solche wird hingegen von diesem Begriff nicht erfasst.1892 Gleiches gilt i.R.d. UWG. Zur Steigerung der Zugriffe auf ihre Internetseite betreiben Unternehmen das sog. Typosquat- 988 ting, was auf deutsch Lehnübertragung oder Tippfehlerdomain heißt.1893 Typosquatting basiert darauf, dass Internetnutzer nicht selten die Adresse einer Website in einem Webbrowser versehentlich falsch eintippen (z.B. www.oto-schmidt.de anstatt www.otto-schmidt.de). Im Falle eines solchen Tippfehlers wird der Internetnutzer auf eine andere als die tatsächlich gewünschte Website weitergeleitet, die i.d.R. ein Konkurrenzangebot oder eine Werbung umfasst. Die Einrichtung von Tippfehlerdomains ist wettbewerbsrechtlich äußerst problematisch. 989 Nach Ansicht des OLG Köln ist das Betreiben von Typosquatting, das zur Internetseite eines Mitbewerbers weiterleitet, objektiv darauf angelegt, Nutzer von der ohne Tippfehler geschriebenen Domain umzuleiten. Dadurch werde der Inhaber der entsprechenden Domain i.S.d. § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. gezielt behindert.1894 Der Einsatz von Typosquatting kann auch zu Schutzrechts-, konkret Marken- und Kennzeichenrechtsverletzungen führen.1895
990
6.14 Arzneimittelwerbung Der Online-Vertrieb von Arzneimitteln nimmt in den letzten Jahren ständig zu. Dementsprechend ist ein verstärkter Einsatz von Werbemitteln im Arzneimittelbereich festzustellen. Den rechtlichen Rahmen für die Zulässigkeit der (Online-)Werbung für Arzneimittel bilden hauptsächlich das UWG sowie das HWG.
991
Der Umstand, dass die Pflichtangaben gemäß § 4 HWG nicht in einer Adwords-Anzeige für 992 Arzneimittel selbst enthalten sind,1896 führt an sich nicht zur Rechtswidrigkeit dieser Anzeige. Es genügt vielmehr den gesetzlichen Anforderungen, wenn eine solche Anzeige „einen eindeutig als solchen klar erkennbaren elektronischen Verweis enthält, der unzweideutig darauf hinweist, dass der Nutzer über ihn zu den Pflichtangaben gelangt, und der auch tatsächlich zu einer Internetseite führt, auf der die Pflichtangaben unmittelbar, das heißt ohne weitere Zwischenschritte leicht lesbar, wahrgenommen werden können.“1897
1889 1890 1891 1892 1893 1894 1895
OLG Köln v. 9.8.2013 – 6 U 3/13, CR 2014, 205, NJW 2014, 795 (Ls. 1). OLG Köln v. 9.8.2013 – 6 U 3/13, CR 2014, 205, NJW 2014, 795 (Ls. 2). EuGH v. 11.7.2013 – C-657/11, CR 2013, 794 (Ls.) – Visys. EuGH v. 11.7.2013 – C-657/11, CR 2013, 794 (Ls.) – Visys. Zu diesen Begriffen Auer-Reinsdorff, ITRB 2011, 188 (190). OLG Köln v. 18.10.2013 – 6 U 36/13, CR 2014, 331 (Ls. 1). Vgl. OLG München v. 13.8.2009 – 6 U 5869/07, CR 2010, 396 – Tatonka II; LG Frankfurt v. 26.2.2009 – 2-03 O 384/08, juris Rz. 22. 1896 Zu den Pflichtangaben in der Internetwerbung für Arzneimittel Dierks/Backmann, PharmR 2011, 257 ff. 1897 BGH v. 6.6.2013 – I ZR 2/12, NJW 2014, 1012 (1013) – Pflichtangaben im Internet.
Kosmides
661
B Rz. 993
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
993 In § 7 Abs. 1 HWG ist ein Verbot der Wertreklame vorgesehen. Der hauptsächliche Gesetzeszweck dieser Vorschrift besteht darin, der abstrakten Gefahr einer unsachlichen Beeinflussung zu begegnen, die sich aus einer Werbung mit Geschenken ergeben kann. Diese Gefahr ist i.S. einer individuellen Beeinflussbarkeit der Zuwendungsempfänger zu bewerten.1898 994 Nach dem BGH ist das in § 10 Abs. 1 HWG vorgesehene Verbot der Öffentlichkeitswerbung für verschreibungspflichtige Arzneimittel nicht auf diejenigen Informationen auf einer Internetseite anwendbar, die nur denjenigen zugänglich sind, die sich selbst um sie bemühen, sofern die Informationen entweder in der getreuen Wiedergabe des Texts des Verpackungstexts eines solchen Mittels und/oder in der wortgleichen Wiedergabe des Texts der Packungsbeilage und/oder in der von der zuständigen Behörde genehmigten Zusammenfassung der Merkmale des Mittels bestehen.1899 7. Lauterkeitsrechtliche Ansprüche, insb. Unterlassung 995 Die Ansprüche, welche durch eine unlautere Werbung ausgelöst werden, sind in den §§ 8–10 UWG geregelt (Beseitigung und Unterlassung, Schadensersatz, Gewinnherausgabe). 996 Ein Unterlassungsanspruch ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er sich an den Wortlaut der entsprechenden UWG-Norm anlehnt und gegenüber der Gesetzesformulierung dadurch konkretisiert ist, dass er auf die beanstandete Verletzungsform Bezug nimmt.1900 Der Unterlassungsantrag kann aber u.U. dahin verallgemeinert werden, dass er alle von dem in Anspruch genommenen Unternehmen angebotenen Waren und Dienstleistungen umfasst.1901 997 Im Falle einer Telefonwerbung betreffend Telekommunikationsdienstleistungen ohne vorherige Einwilligung genügt etwa ein Unterlassungsantrag, mit welchem dem Anbieter verboten werden soll: „ggü. Verbrauchern mittels Telefonanrufen … zu werben, solange der Angerufene vor dem Werbeanruf nicht sein ausdrückliches Einverständnis mit einer Telefonwerbung erklärt hat“,
dem Bestimmtheitsgebot, wenn dieser Antrag nur solche Fälle erfassen soll, in denen der Verbraucher keinerlei Erklärung abgegeben hat, in der möglicherweise eine Einwilligung in Telefonwerbung gesehen werden könnte.1902 998 Bei mehreren zur Begründung eines Unterlassungsantrags vorgetragenen gleichartigen Verletzungshandlungen handelt es sich um einen einheitlichen Klagegrund.1903 Ein zugesprochener Unterlassungsanspruch braucht insofern nicht auf eine konkrete E-Mail-Adresse oder die konkrete durch die Werbung angesprochene Person beschränkt zu sein, sondern kann im Kern gleichartige Handlungen umfassen.1904 Liegen wiederholte gleichartige Verletzungshandlungen vor, begründet jede Verletzungshandlung einen neuen Unterlassungsanspruch.1905
1898 BGH v. 25.4.2012 – I ZR 105/10, GRUR 2012, 1279 (1282) – Das grosse Rätselheft. 1899 BGH v. 19.10.2011 – I ZR 223/06, Rz. 12 – Arzneimittelpräsentation im Internet II; EuGH v. 5.5.2011 – C-316/09, Slg 2011, I-3249. 1900 Vgl. OLG Frankfurt v. 4.12.2012 – 6 U 133/11, MMR 2013, 170 – Cold Calling; OLG Köln v. 30.11.2012 – 6 U 20/12, juris Rz. 9. 1901 OLG Frankfurt v. 4.12.2012 – 6 U 133/11, MMR 2013, 170 (Ls. 2) – Cold Calling; a. A. OLG Düsseldorf v. 18.10.2011 – 20 U 96/10; OLG München v. 2.2.2012 – 6 U 3180/11, juris Rz. 32. 1902 OLG Frankfurt v. 4.12.2012 – 6 U 133/11, MMR 2013, 170 – Cold Calling. 1903 BGH v. 20.3.2013 – I ZR 209/11, CR 2013, 707 Rz. 9 – Telefonwerbung für DSL-Produkte; v. 23.2.2006 – I ZR 272/02, BGHZ 166, 253 (Rz. 26) – Markenparfümverkäufe; v. 18.4.1985 – I ZR 155/83, GRUR 1985, 980 (982) – Tennisschuhe. 1904 LG Berlin v. 9.12.2011 – 15 O 343/11, WRP 2012, 610 (612). 1905 BGH v. 15.8.2013 – I ZR 188/11, GRUR 2013, 1161 (Ls. 5) – Hard Rock Café.
662
Kosmides
E-Werbung und weitere geschftliche Handlungen
Rz. 1005
B
Wird ein Werbungtreibender zur Unterlassung unverlangter E-Mail-Werbung verurteilt, so 999 ist kein nennenswerter Aufwand zur Umsetzung des entsprechenden Unterlassungsgebots erforderlich. Denn die Daten des Adressaten können im System des Werbungtreibenden gelöscht und die E-Mail-Adresse des Adressaten in eine Liste der für den Versand von Werbung gesperrten E-Mail-Adressen ohne weiteres aufgenommen werden. Damit soll sichergestellt werden, dass der Betroffene in der Zukunft keine unerwünchte elektronische Werbung erhält.1906 Nach der BGH-Rspr. begründet die Werbung für Fremdprodukte auf der eigenen Internetseite des Werbetreibenden kein Wettbewerbsverhältnis des Werbetreibenden zu Wettbewerbern des Unternehmens, für dessen Produkte geworben wird.1907 Die Folge ist, dass der Werbetreibende keine lauterkeitsrechtlichen Ansprüche gegen Wettbewerber dieses Unternehmens geltend machen kann.1908
1000
In Bezug auf Listing bei Suchmaschinen hat das LG Krefeld entschieden, dass ein Treffer 1001 nicht unbedingt so zu verstehen ist, dass der dort aufgelistete Unternehmer einen unzulässigen werbenden Eintrag im Internet veranlasst oder veröffentlicht hat.1909 Der den Unterlassungsanspruch geltend machende Antragsteller hat daher in solchen Fällen hinreichend darzulegen und zu beweisen, dass ein Wettbewerbsverstoß vorliegt, der dem Antragsgegner zugerechnet werden kann.1910 Der Unterlassungsanspruch besteht gegen den Versender,1911 und zwar auch bei geringer Anzahl.1912 Schon eine erstmalige, einzelne E-Mail begründet die Wiederholungsgefahr.1913 Das Streichen aus der Verteilerliste bei Telefaxwerbung soll genügen.1914 Bei Verweigerung der Abgabe der Unterlassungserklärung besteht Wiederholungsgefahr bei unverlangter E-Mail-Werbung selbst bei Löschung aus der Datenbank.1915 Denkbar sind auch Konstellationen, in denen Spam strafbar ist.1916 Die üblichen Haftungs- und Freizeichnungsklauseln bieten kaum Schutz.1917
1002
Nach Ansicht des LG Cottbus reicht im Rahmen eines lauterkeitsrechtlichen Unterlassungsanspruchs das bloße Vorhalten von unwirksamen AGB als Wettbewerbsverstoß und zur Begründung der tatsächlichen Vermutung der Wiederholungsgefahr aus.1918
1003
Weitere Folgen können etwa sein: Einschreiten der RegTP gegen Faxabruf,1919 50 000 Euro Ordnungsgeld bei (jetzt 0900) 0190-Nummer für Werbefaxe;1920 Untersagungsverfügung an Allein-Geschäftsführer durch BNetzA bei Umgehung bisheriger Verbote.1921
1004
Bei unerwünschten Werbeanrufen, die gem. § 7 Abs. 1, Abs. 2 Nr. 2 UWG unzulässig sind, 1005 erstreckt sich der Schadensersatzanspruch (§ 9 UWG) nach der Schutzzwecklehre nur auf 1906 1907 1908 1909 1910 1911 1912 1913 1914 1915 1916 1917 1918 1919 1920 1921
BGH v. 16.8.2012 – I ZB 2/12, MMR 2013, 169. BGH v. 17.10.2013 – I ZR 173/12, GRUR 2014, 573. Vgl. auch S. Lorenz, in Heckmann (Hrsg.), jurisPR-ITR 8/2014 Anm. 2. LG Krefeld v. 15.11.2012 – 12 O 111/12, CR 2013, 406 (Ls.). LG Krefeld v. 15.11.2012 – 12 O 111/12, CR 2013, 406. Z.B. für premium rate-Dienst: OLG Hamburg v. 2.10.2003 – 5 U 25/03, CR 2004, 376. OLG Bamberg v. 12.5.2005 – 1 U 143/04, CR 2006, 274. OLG Düsseldorf v. 22.9.2004 – I-15 U 41/04, MMR 2004, 820. Anders evtl. bei deutlicher Kennzeichnung als einmalige Info-Werbung: AG Köln v. 7.9.2006 – 118 C 142/06, CR 2007, 202. LG Wuppertal v. 25.3.2003 – 1 O 539/02, MMR 2003, 488. LG Hamburg v. 23.2.2005 – 312 T 1/05, MMR 2005, 782. Zur Strafbarkeit der E-Mail-Werbung: Frank, CR 2004, 123; evtl. liegt Markenrechtsverletzung vor. Härting, ITRB 2005, 282. LG Cottbus v. 3.8.2011 – 11 O 73/11, WRP 2012, 91. VG Köln v. 29.6.2005 – 11 L 765/05, CR 2005, 801; hierzu Anm. Ernst, CR 2006, 110. LG Hamburg v. 14.1.2003 – 315 O 324/02, MMR 2003, 600. VG Köln v. 29.6.2005 – 11 L 765/05, CR 2005, 801; CR 2006, 110 m. Anm. Ernst.
Kosmides
663
B Rz. 1006
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Schäden, die vom Schutzbereich dieser Regelungen erfasst sind.1922 Bei solchen Werbeanrufen sind auch Mitbewerber und Verbände zur Geltendmachung eines Unterlassungsanspruchs nach § 8 Abs. 1, § 7 Abs. 2 Nr. 2 UWG und gemäß § 8 Abs. 3 Nr. 1 und 2 UWG berechtigt.1923 Gleiches gilt für Verstöße gegen § 7 Abs. 2 Nr. 3 und 4 sowie Abs. 3 UWG.1924 1006 Die systematische massenhafte Abmahnung wegen eines wettbewerbsverletzenden Verstoßes gegen die Impressumspflichten aus § 5 Abs. 1 TMG ist nach § 8 Abs. 4 UWG rechtsmissbräuchlich.1925 Nach Schröder führt die durch die Rspr. viel zu niedrig angesetzte Schwelle für die Spürbarkeit eines Wettbewerbsverstoßes i.S.d. § 3 Abs. 1 UWG a.F. zu einer hohen Zahl von Abmahnungen, was den Wirtschaftsverkehr essentiell belastet.1926 Diese Regelung genüge zur Eindämmung des Missbrauchs nicht.1927 Das explizite Spürbarkeitserfordernis in § 3 Abs. 1 UWG a.F. wurde im Zuge der UWG-Novelle 2015 entsprechend der RL 2005/29 gestrichen. § 3 Abs. 1 UWG n.F. weist keine Spürbarkeitsregel mehr auf (vgl. aber § 3a UWG n.F., in dem eine Spürbarkeitsregel enthalten ist). Ob i.R.v. § 3 Abs. 1 UWG n.F., eine unlautere geschäftliche Handlung in Präzisierung des Tatbestandsmerkmals der Unlauterkeit auch weiterhin spürbar sein muss, bleibt der Rspr. überlassen.1928 1007 Eine Haftung für den Verrichtungsgehilfen gemäß § 831 BGB ist im Anwendungsbereich des § 8 Abs. 2 UWG denkbar.1929 1008 Gegen Wettbewerber kann auch ein „Hausverbot“ gerichtet werden, wenn durch deren – intensive – Art der Nutzung (gehäuftes Aufsuchen des Internetshops zu Testzwecken) Betriebsstörungen entstehen.1930 Es wäre eine gezielte Behinderung des Wettbewerbers, Testmaßnahmen wie Testkäufe, Testgespräche oder Testfotos zu verhindern.1931 Dies überträgt die Rspr. auch auf Internetshops und deren virtuelles Hausrecht. Dessen Ausübung darf also nicht zu praktischem Ausschluss über eine Erschwerung des Zugangs führen.1932 Andererseits muss der Anbieter nicht Betriebsstörungen durch ungewöhnliche (intensive) Nutzung („Aufrufe“) hinnehmen.1933 Es soll für die Ausübung des Hausrechts genügen, dass eine Gefahr der Betriebsstörung besteht.1934
VI. Haftung und Privilegierung der Provider 1. Allgemeines – System der §§ 7 ff. TMG 1009 Maßgeblich für die Verantwortlichkeit der Diensteanbieter im Internet ist der Normenkomplex der §§ 7–10 TMG. Diese Regelungen gelten konkret für telemedienrechtliche Diensteanbieter i.S.d. § 2 Satz 1 Nr. 1 i.V.m. § 1 Abs. 1 TMG.
1922 BGH v. 21.4.2016 – I ZR 276/14, Ls. 1 und Rz. 15 – Lebens.Kost. 1923 BGH v. 20.3.2013 – I ZR 209/11, CR 2013, 707– Telefonwerbung für DSL-Produkte; OLG Köln v. 30.11.2012 – 6 U 20/12, juris Rz. 13; a.A. Köhler, GRUR 2012, 1073 (1078 ff.); zu den europarechtlichen Vorgaben für Verbandsklagen gegen unerbetene Telefon-, Fax- und E-Mail-Werbung Köhler, WRP 2013, 567 ff. 1924 BGH v. 20.3.2013 – I ZR 209/11, CR 2013, 707– Telefonwerbung für DSL-Produkte. 1925 OLG Nürnberg v. 3.12.2013 – 3 U 348/13, CR 2014, 202 (Ls. 1); OLG Nürnberg v. 3.12.2013 – 3 U 410/13, IPRB 2014, 203. 1926 Schröder, WRP 2013, 153 (154). 1927 Schröder, WRP 2013, 153 (155): Insb. habe sich § 8 Abs. 4 UWG als stumpfes Schwert erwiesen. 1928 Köhler/Bornkamm/Köhler, UWG, § 3 Rz. 2.20. 1929 BGH v. 25.4.2012 – I ZR 105/10, GRUR 2012, 1279 (Ls. 3) – Das grosse Rätselheft. 1930 OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597. 1931 Vgl. BGH v. 25.4.1991 – I ZR 283/89, GRUR 1991, 843 (844): OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597. 1932 OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597. 1933 OLG Hamm v. 23.10.2007 – 4 U 99/07, ITRB 2008, 198. 1934 OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597.
664
Kosmides
B Rz. 1006
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Schäden, die vom Schutzbereich dieser Regelungen erfasst sind.1922 Bei solchen Werbeanrufen sind auch Mitbewerber und Verbände zur Geltendmachung eines Unterlassungsanspruchs nach § 8 Abs. 1, § 7 Abs. 2 Nr. 2 UWG und gemäß § 8 Abs. 3 Nr. 1 und 2 UWG berechtigt.1923 Gleiches gilt für Verstöße gegen § 7 Abs. 2 Nr. 3 und 4 sowie Abs. 3 UWG.1924 1006 Die systematische massenhafte Abmahnung wegen eines wettbewerbsverletzenden Verstoßes gegen die Impressumspflichten aus § 5 Abs. 1 TMG ist nach § 8 Abs. 4 UWG rechtsmissbräuchlich.1925 Nach Schröder führt die durch die Rspr. viel zu niedrig angesetzte Schwelle für die Spürbarkeit eines Wettbewerbsverstoßes i.S.d. § 3 Abs. 1 UWG a.F. zu einer hohen Zahl von Abmahnungen, was den Wirtschaftsverkehr essentiell belastet.1926 Diese Regelung genüge zur Eindämmung des Missbrauchs nicht.1927 Das explizite Spürbarkeitserfordernis in § 3 Abs. 1 UWG a.F. wurde im Zuge der UWG-Novelle 2015 entsprechend der RL 2005/29 gestrichen. § 3 Abs. 1 UWG n.F. weist keine Spürbarkeitsregel mehr auf (vgl. aber § 3a UWG n.F., in dem eine Spürbarkeitsregel enthalten ist). Ob i.R.v. § 3 Abs. 1 UWG n.F., eine unlautere geschäftliche Handlung in Präzisierung des Tatbestandsmerkmals der Unlauterkeit auch weiterhin spürbar sein muss, bleibt der Rspr. überlassen.1928 1007 Eine Haftung für den Verrichtungsgehilfen gemäß § 831 BGB ist im Anwendungsbereich des § 8 Abs. 2 UWG denkbar.1929 1008 Gegen Wettbewerber kann auch ein „Hausverbot“ gerichtet werden, wenn durch deren – intensive – Art der Nutzung (gehäuftes Aufsuchen des Internetshops zu Testzwecken) Betriebsstörungen entstehen.1930 Es wäre eine gezielte Behinderung des Wettbewerbers, Testmaßnahmen wie Testkäufe, Testgespräche oder Testfotos zu verhindern.1931 Dies überträgt die Rspr. auch auf Internetshops und deren virtuelles Hausrecht. Dessen Ausübung darf also nicht zu praktischem Ausschluss über eine Erschwerung des Zugangs führen.1932 Andererseits muss der Anbieter nicht Betriebsstörungen durch ungewöhnliche (intensive) Nutzung („Aufrufe“) hinnehmen.1933 Es soll für die Ausübung des Hausrechts genügen, dass eine Gefahr der Betriebsstörung besteht.1934
VI. Haftung und Privilegierung der Provider 1. Allgemeines – System der §§ 7 ff. TMG 1009 Maßgeblich für die Verantwortlichkeit der Diensteanbieter im Internet ist der Normenkomplex der §§ 7–10 TMG. Diese Regelungen gelten konkret für telemedienrechtliche Diensteanbieter i.S.d. § 2 Satz 1 Nr. 1 i.V.m. § 1 Abs. 1 TMG.
1922 BGH v. 21.4.2016 – I ZR 276/14, Ls. 1 und Rz. 15 – Lebens.Kost. 1923 BGH v. 20.3.2013 – I ZR 209/11, CR 2013, 707– Telefonwerbung für DSL-Produkte; OLG Köln v. 30.11.2012 – 6 U 20/12, juris Rz. 13; a.A. Köhler, GRUR 2012, 1073 (1078 ff.); zu den europarechtlichen Vorgaben für Verbandsklagen gegen unerbetene Telefon-, Fax- und E-Mail-Werbung Köhler, WRP 2013, 567 ff. 1924 BGH v. 20.3.2013 – I ZR 209/11, CR 2013, 707– Telefonwerbung für DSL-Produkte. 1925 OLG Nürnberg v. 3.12.2013 – 3 U 348/13, CR 2014, 202 (Ls. 1); OLG Nürnberg v. 3.12.2013 – 3 U 410/13, IPRB 2014, 203. 1926 Schröder, WRP 2013, 153 (154). 1927 Schröder, WRP 2013, 153 (155): Insb. habe sich § 8 Abs. 4 UWG als stumpfes Schwert erwiesen. 1928 Köhler/Bornkamm/Köhler, UWG, § 3 Rz. 2.20. 1929 BGH v. 25.4.2012 – I ZR 105/10, GRUR 2012, 1279 (Ls. 3) – Das grosse Rätselheft. 1930 OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597. 1931 Vgl. BGH v. 25.4.1991 – I ZR 283/89, GRUR 1991, 843 (844): OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597. 1932 OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597. 1933 OLG Hamm v. 23.10.2007 – 4 U 99/07, ITRB 2008, 198. 1934 OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597.
664
Kosmides
Haftung und Privilegierung der Provider
Rz. 1018
B
Dabei ist unter „Diensteanbieter“ jede natürliche oder juristische Person oder nach § 2 Satz 2 TMG gleichgestellte Personengesellschaft zu verstehen, „die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“.1935 Bei audiovisuellen Mediendiensten auf Abruf ist Diensteanbieter jede natürliche oder juristische Person, die die Auswahl und Gestaltung der angebotenen Inhalte wirksam kontrolliert (§ 2 Satz 1 Nr. 1 TMG). Zum Begriff der Telemedien s. Rz. 399 ff.
1010
§ 7 Abs. 1 TMG betrifft die Haftung für eigene Informationen (s. Rz. 1020 ff.). Danach sind Diensteanbieter „für eigene Informationen, die sie zur Nutzung bereithalten, nach den allgemeinen Gesetzen verantwortlich“.
1011
In § 7 Abs. 2 TMG handelt es sich um die Verantwortlichkeit der Diensteanbieter (Access-, 1012 Cache- und Host-Provider) für fremde Informationen. Diese sind gem. Satz 1 „nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen“. Die Vorschrift besagt kurzum, dass die Provider keine allgemeine Überwachungs- und Kontrollpflicht trifft. Mit dieser Regel wird im Ergebnis eine Haftungsprivilegierung der Anbieter begründet. Diese Haftungsprivilegierung stellt den wichtigsten Grundsatz der §§ 7 ff. TMG dar.1936 Nach § 7 Abs. 2 Satz 2 TMG können allerdings Diensteanbieter auch bei Nichtverantwort- 1013 lichkeit gemäß §§ 8 ff. TMG verpflichtet sein, die Nutzung von Informationen nach den allgemeinen Gesetzen zu entfernen oder zu sperren. Aus dem eindeutigen Wortlaut der Vorschrift („nach den allgemeinen Gesetzen) ergibt sich, dass diese keine eigenständige Rechtsgrundlage für einen entsprechenden Anspruch enthält. Es bedarf vielmehr einer gesetzlichen Anspruchsgrundlage (z.B. § 97 Abs. 1 Satz 1 UrhG).1937 § 7 Abs. 2 Satz 2 TMG steht unter dem Gesichtspunkt der Störerhaftung der Provider in einem offensichtlichen Spannungsverhältnis zu § 7 Abs. 2 Satz 1 TMG.
1014
In § 7 Abs. 2 Satz 3 TMG ist eine Selbstverständlichkeit geregelt1938: Die Diensteaanbieter 1015 haben das Fernmeldegeheimnis nach §§ 88 ff. TKG zu wahren. Während § 7 Abs. 2 Satz 1 TMG eine allgemeine Entpflichtungsregelung vorschreibt, wer- 1016 den in den §§ 8 ff. TMG die Haftungsprivilegierungstatbestände für die einzelnen Provider vorgesehen. Die Haftungsprivilegierungen fungieren als Filter, der vor den allgemeinen Haftungstatbeständen zu prüfen ist.1939 Was der Filter nicht durchlässt, kann nicht zur Verantwortlichkeit führen. Die Haftungsprivilegierungstatbestände betreffen in erster Linie gesetzliche bzw. außervertragliche Rechtsverhältnisse.
1017
Eine (zivilrechtliche) Provider-Haftung im Netz wird insb. ausgelöst durch:
1018
– Persönlichkeitsrechtsverletzungen, – Schutzrechtsverletzungen und – Wettbewerbsverstöße (zur lauterkeitsrechtlichen Beurteilung der E-Werbung s. Rz. 717 ff.).
1935 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 1 Rz. 84; BeckRTD-Komm/Jandt, § 7 TMG Rz. 25. 1936 Vgl. auch Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 94. 1937 BeckRTD-Komm/Jandt, § 7 TMG Rz. 46. 1938 Wie hier Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 111. 1939 Vgl. auch Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 11.
Kosmides
665
B Rz. 1019
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1019 Die Privilegierungstatbestände in §§ 7 ff. TMG sind auch auf Vertragsverhältnisse anwendbar. Sie sind allerdings im vertraglichen Bereich in ihrer Bedeutung begrenzt. Insb. dienen sie, soweit vertragliche Regelungen nicht bestehen, als Auslegungsgrundsätze sowie als Maßstab für die AGB-Kontrolle.1940 1020 Im Zentrum der Vorschriften der §§ 7 ff. TMG steht der Begriff der „Information“. Er entspricht dem in § 5 TDG verwendeten Begriff der „Inhalte“.1941 In Übereinstimmung mit der E-Commerce-Richtlinie (RL 2000/31/EG) ist der Informationsbegriff weit zu verstehen.1942 Darunter fallen alle Angaben bzw. Daten, die i.R.d. jeweiligen Telemediendienstes übermittelt oder gespeichert werden.1943 Auf das Dateiformat kommt es nicht an. Vom Informationsbegriff werden etwa elektronisch verwendbare Text-, Bild-, Ton- und Videodateien umfasst. 1021 I.R.d. Haftungsregelungen spielen für die Privilegierung folgende Differenzierungen eine Rolle: – eigene/fremde Informationen, – Arten der Haftung bzw. der Ansprüche der Verletzten, v.a. Unterlassung, – Arten der Provider und System der §§ 7 ff. TMG, – Voraussetzungen für Prüfungspflichten. 2. Haftung für eigene Informationen 1022 In Bezug auf Anbieter von eigenen Informationen (Content-Provider), stellt § 7 Abs. 1 TMG klar, dass sie nach den allgemeinen Gesetzen haften, sofern sie diese zur Nutzung bereithalten. 2.1 Eigene Informationen 1023 Hier ist zu unterscheiden zwischen eigenen Informationen i.e.S., also echten eigenen Informationen, und eigenen Informationen i.w.S., d.h. fremden Informationen, die sich der Anbieter zu eigen gemacht hat.1944 2.1.1 Eigene Informationen im engeren Sinne 1024 Unter echten eigenen Informationen sind die selbst geschaffenen oder im Auftrag des Diensteanbieters erstellten Informationen zu verstehen. 2.1.2 Eigene Informationen im weiteren Sinne: zu eigen gemachte Informationen 1025 Die Frage, was unter „eigen“ bzw. „fremd“ zu verstehen ist, lässt sich zunächst danach beantworten, von wem die Information tatsächlich stammt. Stammt sie nicht vom Anbieter selbst (fremde Information), ist darauf abzustellen, ob sie unter dem Gesichtpunkt des Zueigenmachens wie eine eigene i.S.d. § 7 Abs. 1 TMG zu behandeln ist.
1940 1941 1942 1943
Hartmann, in: Wandtke (Hrsg.), Medienrecht Praxishandbuch, § 6 Rz. 250. BeckRTD-Komm/Jandt, § 7 TMG Rz. 32. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 33. Vgl. auch Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 34; BeckRTDKomm/Jandt, § 7 TMG Rz. 32 unter Bezugnahme auf BT-Drs. 14/6098, S. 23. 1944 Vgl. BGH v. 12.11.2009 – I ZR 166/07, CR 2010, 468 (469) m. Anm. Hoeren/Plattner – marions-kochbuch.de; v. 27.3.2012 – VI ZR 144/11, CR 2012, 464 (Rz. 11) – RSS-Feeds.
666
Kosmides
Haftung und Privilegierung der Provider
Rz. 1030
B
Die im Zshg. mit dem TDG entwickelte Figur des Zueigenmachens1945 wird auch noch un- 1026 ter Geltung des TMG weit verbreitet verwendet.1946 Über diese Figur wird die Privilegierung im Ergebnis eingeschränkt. Denn bei zu eigen gemachten Informationen greifen die Privilegierungstatbestände nicht.1947 Davon betroffen werden v.a. Plattform- und Forenbetreiber (Host-Provider i.S.d. § 10 TMG). Das Problem trifft hingegen nicht Anbieter, denen die Haftungsprivilegierung des § 8 TMG zukommt (Informationsübermittlung oder Zugangsvermittlung).1948 Nach dem BGH macht sich der Verbreiter eine fremde Äußerung zu eigen, wenn er sich mit 1027 ihr identifiziert und sie so in den eigenen Gedankengang einfügt, dass sie als seine eigene erscheint.1949 Dieser Grundsatz ist nicht nur auf Äußerungen anwendbar, sondern vielmehr auf jede Informationsart übertragbar. Das Gegenstück zum Zueigenmachen ist das Distanzieren hinsichtlich des Inhalts bzw. vom Inhalt,1950 mit dem Anbieter versucht haben, dieser Gefahr, dass ihnen die Inhalte zugerechnet werden, zu begegnen.1951 Eines der wichtigsten Mittel dazu war neben der Meinungsäußerungsfreiheit generell die Darstellung in Form von Satire.1952 Dabei wird eine eigene und ernsthafte Distanzierung aus der Perspektive des verständigen objektiven Nutzers vorausgesetzt.1953
1028
Was die Frage angeht, ob sich der Anbieter die fremden Informationen zu eigen gemacht hat, 1029 so kommt es auf die Absicht des Diensteanbieters, sich die fremden Informationen (in rechtlicher Hinsicht) zu eigen zu machen, nicht entscheidend an.1954 Maßgeblich ist vielmehr eine objektive Sicht auf der Grundlage einer Gesamtbetrachtung aller relevanten Umstände, wobei vornehmlich die inhaltliche Kontrolle der fremden Inhalte und die Art der Präsentation zu berücksichtigen sind.1955 Ein Zueigenmachen ist zu bejahen, wenn aus Sicht eines objektiven Nutzers der Eindruck entsteht, dass der Anbieter die Verantwortung für den gesamten Internetauftritt oder für bewusst ausgewählte Informationen übernimmt.1956 Der Betreiber einer Website, in der Nutzer Kochrezepte veröffentlichen können, macht sich nach dem BGH die veröffentlichten (fremden) Inhalte zu eigen, wenn er sie vor ihrer Frei1945 Sobola/Kohl, CR 2005, 443 (445) nennen als Beispiele dieser Rechtsprechung: OLG Köln v. 28.5.2002 – 15 U 221/01, CR 2002, 678 m. Anm. Eckhardt – Steffi Graf; OLG Düsseldorf v. 4.10.2001 – 2 U 48/01, ITRB 2002, 259; LG Trier v. 16.5.2001 – 4 O 106/00, MMR 2002, 694; LG Frankfurt v. 27.5.1998 – 3/12 O 173/97, 3-12 O 173/97, CR 1999, 45. S.a. zur Differenzierung Stopp, ITRB 2003, 89. Aus jüngerer Zeit liegt OLG München v. 26.6.2007 – 18 U 2067/07, CR 2007, 739, auf dieser Linie (Link im redaktionellen Text). 1946 Vgl. etwa aus der neueren Rechtsprechung BGH v. 27.3.2012 – VI ZR 144/11, CR 2012, 464 f. (Rz. 10 f.) – RSS-Feeds; v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (51) – Kinderhochstühle im Internet II; s.a. krit. Ott, MMR 2007, 263 (264) mit einem eigenen Vorschlag. 1947 BGH v. 12.11.2009 – I ZR 166/07, CR 2010, 468 (469) m. Anm. Hoeren/Plattner – marions-kochbuch.de; OLG Hamburg v. 26.9.2007 – 5 U 165/06, CR 2008, 453; Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 430 f. 1948 Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 433; Feldmann, K&R 2011, 225 (226). 1949 BGH v. 17.12.2013 – VI ZR 211/12, Rz. 19 = CR 2014, 312 = ITRB 2014, 102. 1950 Vgl. BGH v. 12.11.2009 – I ZR 166/07, CR 2010, 468 (470) m. Anm. Hoeren/Plattner – marions-kochbuch.de. 1951 S. zu strengen Voraussetzungen LG Hamburg v. 27.4.2007 – 324 O 600/06, MMR 2007, 450 m. Anm. Karl. 1952 S.a. (zunächst erfolglos) LG Stuttgart v. 15.6.2005 – 38 Ns 2 Js 21471/02, CR 2005, 675; OLG Stuttgart v. 24.4.2006 – 1 Ss 449/05, CR 2006, 542 m. Anm. Kaufmann. 1953 BGH v. 12.11.2009 – I ZR 166/07, CR 2010, 468 (470) m. Anm. Hoeren/Plattner – marions-kochbuch.de; OLG Hamburg v. 10.12.2008 – 5 U 224/06, CR 2009, 336, juris Rz. 38. 1954 OLG Hamburg v. 26.9.2007 – 5 U 165/06, CR 2008, 453 (454). 1955 BGH v. 12.11.2009 – I ZR 166/07, CR 2010, 468 (469) m. Anm. Hoeren/Plattner – marions-kochbuch.de; v. 27.3.2012 – VI ZR 144/11, CR 2012, 464 (Rz. 11) – RSS-Feeds. 1956 Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 86.
Kosmides
667
1030
B Rz. 1031
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
schaltung auf Vollständigkeit und Richtigkeit überprüft.1957 Werden auf einer zu gewerblichen Zwecken für den Austausch von Fotodateien eingerichteten Internet-Plattform Fotos veröffentlicht, ist nach Auffassung des KG davon auszugehen, dass sich der Plattformbetreiber die Veröffentlichung zu eigen gemacht hat, sofern er der Fotoveröffentlichung ein Auswahl- und Prüfungsverfahren vorgeschaltet hat.1958 Bei den entsprechenden Fotodateien handelt es sich demnach um eigene Informationen des Plattformbetreibers. Eine Privilegierung nach § 10 TMG scheidet aus. 1031 Diese Rspr. ist bedenklich. Es erscheint nämlich nicht sinnvoll, auf der einen Seite die Haftungsprivilegierungen denjenigen Anbietern zu Gute kommen zu lassen, die keine Schutzvorkehrungen treffen, und auf der anderen Seite diejenigen, die entsprechende Schutzmaßnahmen ergreifen, dadurch zu benachteiligen, dass sie die Haftungsprivilegien verlieren. Dies könnte es ratsam erscheinen lassen, gerade keine Beaufsichtigungen, keine Prüfungen vorzunehmen, weil dies erst recht zur Zurechnung führen könnte.1959 1032 Unter diesem Gesichtspunkt ist ein (nach der Marions-kochbuch.de-BGH-E.1960 ergangenes) Urteil des KG besonders interessant: Der Einsatz von Wortfiltern zum Auffinden von Beleidigungen, Schmähkritik etc., einschließlich der Überprüfung der angezeigten Suchergebnisse durch Mitarbeiter des Anbieters, kann nicht zu einem Verlust des Haftungsprivilegs führen.1961 Es ist insofern eine durchaus interessante Frage, wie sich die Rspr. zu dieser Problematik zukünftig entwickeln wird. 1033 Für ein Zueigenmachen kann nach dem BGH der Umstand sprechen, dass sich der Internetseitenbetreiber umfassende Nutzungsrechte an den Inhalten einräumen lässt und Dritten anbietet, diese Inhalte kommerziell zu nutzen.1962 Als weitere Kriterien bei einer Internetplattform können nach Ansicht des OLG Hamburg herangezogen werden1963: – die Darstellung des redaktionellen Kerngehalts des gesamten Auftritts durch den Anbieter und – die Kennzeichnung der fremden Inhalte mit dem Logo des Anbieters. 1034 Die kommerzielle Ausrichtung eines Internetportals stellt kein hinreichendes Indiz für ein Zueigenmachen dar.1964 Allein der Umstand, dass der Plattformbetreiber (etwa über eine kostenpflichtige Mitgliedschaft) finanziell von dem Einstellen der fremden Inhalte profitiert, reicht zur Begründung eines Zueigenmachens nicht aus.1965 Die gegenteilige Annahme würde dazu führen, dass jeder kommerziell tätige Anbieter für alle auf seiner Website von Nutzern hochgeladenen Inhalte verantwortlich wäre (§ 7 Abs. 1 TMG). Dies würde – entgegen der BGH-Rspr.1966 – das von der Rechtsordnung gebilligte Geschäftsmodell des HostProviders in Frage stellen. 1035 Der Betreiber einer Internet-Plattform wie Youtube macht sich die von Nutzern hochgeladenen Inhalte grds. nicht zu eigen. Gleiches gilt für den Betreiber eines Bewertungsportals (z.B. für Beherbergungsbetriebe). Der BGH hat etwa angenommen, dass sich der Betreiber eines 1957 BGH v. 12.11.2009 – I ZR 166/07, CR 2010, 468 (Ls.) m. Anm. Hoeren/Plattner – marions-kochbuch.de. 1958 KG v. 10.7.2009 – 9 W 119/08, MMR 2010, 203 (204). 1959 S. aber Spindler, MMR 2004, 440. 1960 BGH v. 12.11.2009 – I ZR 166/07, CR 2010, 468 m. Anm. Hoeren/Plattner – marions-kochbuch.de. 1961 KG v. 16.4.2013 – 5 U 63/12, CR 2014, 333 (336). 1962 BGH v. 12.11.2009 – I ZR 166/07, CR 2010, 468 (Ls.) m. Anm. Hoeren/Plattner – marions-kochbuch.de. 1963 OLG Hamburg v. 26.9.2007 – 5 U 165/06, CR 2008, 453 (Ls.). 1964 KG v. 16.4.2013 – 5 U 63/12, CR 2014, 333 (334). 1965 OLG Zweibrücken v. 14.5.2009 – 4 U 139/08, MMR 2009, 541. 1966 Vgl. nur BGH v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (53) – Kinderhochstühle im Internet II.
668
Kosmides
Haftung und Privilegierung der Provider
Rz. 1040
B
Hotelbewertungsportals erkennbar von Dritten eingestellte Äußerungen nicht i.S.v. § 4 Nr. 8 UWG a.F. (vgl. nunmehr § 4 Nr. 2 UWG n.F.) als Tatsachenbehauptungen zu eigen macht, sofern er diese Äußerungen nicht inhaltlich-redaktionell aufbereitet oder ihren Wahrheitsgehalt überprüft.1967 Für ein Zueigenmachen reicht nicht aus, dass der Anbieter ein Bewertungssystem installiert hat, das die Bewertungen der Nutzer zu einem Durchschnittswert und einer Weiterempfehlungsrate auswertet und dieses geschäftlich nutzt.1968 Vielmehr muss er sich mit der fremden Äußerung so identifizieren, dass sie als seine eigene Äußerung erscheint.1969 Für den Fall der Linksetzung, die der Ergänzung eines im Rahmen eines Webauftritts veröffentlichten redaktionellen Artikels dient, hat der BGH ein Zueigenmachen abgelehnt. Durch den Link werden einfach die fremden Inhalte leichter zugänglich gemacht.1970 Das Setzen eines Links auf der eigenen Internetseite, das zur Startseite einer fremden Website verweist, reicht grds. nicht aus, um anzunehmen, der Linksetzer habe sich rechtsverletzende Inhalte auf Unterseiten der verlinkten Internetseite zu eigen gemacht.1971
1036
Wird ein auf einer fremden Internetseite öffentlich zugänglich gemachtes fremdes Werk im Wege des Framing zum integralen Bestandteil der Internetseite des Anbieters, geht der BGH hingegen von einem Zueigenmachen aus.1972
1037
Der Betreiber eines Blogs, in dem der Nutzer ein fremdes Bild für einen eigenen Beitrag im 1038 Wege des Embedded Content unter Verstoß gegen das Recht des Fotografen auf öffentliche Zugänglichmachung nutzt, macht sich die fremden Inhalte nicht zu eigen, wenn er diese weder inhaltlich prüft noch in konkreter Weise präsentiert noch mit einem eigenen Emblem versieht, sondern er sie nur in der Weise übernimmt, dass er einfach Autoren die Veröffentlichung ihrer Beiträge auf seiner Website gestattet. Der Blogbetreiber haftet in diesem Falle nicht für eine Urheberrechtsverletzung durch Nutzung eines Bilds im Wege des Embedded Content, wenn er das Bild sofort nach Kenntnis löscht.1973 Der Betreiber eines Informationsportals, der fremde Nachrichten durch die Einbindung eines RSS-Dienstes ins Internet stellt, macht sich die entsprechenden Informationen nicht zu eigen, sofern der Feed automatisiert und ungeprüft übernommen wird.1974
1039
Auch wurde vom OLG Frankfurt ein Zueigenmachen bei der Verwendung der „Teilen“- 1039a Funktion bei Facebook verneint.1975 Durch das Teilen des Beitrags eines (anderen) FacebookNutzers werde einfach auf private Inhalte dieses Nutzers hingewiesen.1976 2.2 Bereithalten zur Nutzung Dieses Tatbestandsmerkmal liegt vor, wenn die Informationen für eine gewisse Dauer auf einem Server (des Diensteanbieters oder eines Dritten) dergestalt gespeichert werden, dass der Anbieter über die Informationen die Funktionsherrschaft innehat, und diese über ein Datennetz abrufbar sind.1977
1967 1968 1969 1970 1971 1972 1973 1974
BGH v. 19.3.2015 – I ZR 94/13, MMR 2015, 726 (Ls. 2). KG v. 16.4.2013 – 5 U 63/12, CR 2014, 333 (334). KG v. 16.4.2013 – 5 U 63/12, CR 2014, 333 (334). BGH v. 1.4.2004 – I ZR 317/01, CR 2004, 613 (616) – Schöner Wetten. OLG Köln v. 19.2.2014 – 6 U 49/13, CR 2014, 390 (Ls.). BGH v. 16.5.2013 – I ZR 46/12, CR 2013, 455 (458) – Die Realität. OLG Düsseldorf v. 8.11.2011 – I-20 U 42/11, CR 2012, 122 (123). BGH v. 27.3.2012 – VI ZR 144/11, CR 2012, 464 f. (Rz. 10 ff.) – RSS-Feeds; Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 450. 1975 OLG Ffrankfurt v. 26.11.2015 – 16 U 64/15, CR 2016, 326 (327). 1976 OLG Ffrankfurt v. 26.11.2015 – 16 U 64/15, CR 2016, 326 (327). 1977 BeckRTD-Komm/Jandt, § 7 TMG Rz. 41; Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 89.
Kosmides
669
1040
B Rz. 1041
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
2.3 Haftung „nach den allgemeinen Gesetzen“ 1041 § 7 Abs. 1 TMG stellt klar, dass der Diensteanbieter für zur Nutzung bereitgehaltene eigene Informationen nach den allgemeinen Gesetzen verantwortlich ist. Diensteanbieter i.S.v. § 7 Abs. 1 TMG können sich nicht auf die Privilegierungen in den §§ 7 Abs. 2, 8 TMG berufen.1978 Der Content-Provider haftet vielmehr ohne jegliche Privilegierung, also uneingeschränkt, für sein eigenes Verhalten nach den allgemeingesetzlichen Vorschriften. Diese Vorschriften können zivil-, straf- sowie öffentlich-rechtlichen Charakter haben.1979 1042 Die Haftung des Anbieters ist begründet, wenn sowohl die Tatbestandsvoraussetzungen des § 7 Abs. 1 TMG als auch die Tatbestandsvoraussetzungen einer eigenständigen Haftungsnorm, die in der Rechtsordnung geregelt ist, vorliegen (und freilich kein Haftungsausschlusstatbestand greift). 3. Haftungsprivilegierung 3.1 Arten der Privilegierten – Voraussetzungen der Privilegierung 1043 Das TMG sieht – entsprechend seiner unionalen Ursprungsregelung (RL 2000/31/EG) – ein zentrales gestuftes System zur Privilegierung der Provider vor.1980 Dabei ist in einem ersten Schritt festzustellen, ob ein telemedienrechtlicher Diensteanbieter i.S.d. § 2 Satz 1 Nr. 1 i.V.m. § 1 Abs. 1 TMG überhaupt in Betracht kommt. Anschließend ist in einem zweiten Schritt zu klären, ob dieser Diensteanbieter in eine der in den §§ 8-10 TMG vorgesehenen Anbieterkategorien eingestuft werden kann.1981 Je kleiner und mittelbarer der Beitrag zur Bereitstellung und Zugänglichmachung einer Information ist, desto stärker ist die Haftungsprivilegierung und somit desto schwächer die Verantwortlichkeit ausgestaltet.1982 1044 Einer der typischen Provider-Gegenstände gegenüber dem Nutzer ist Access, also die Verschaffung des Internetzugangs.1983 § 8 TMG privilegiert diese Provider-Leistung.1984 Voraussetzung ist gemäß § 8 Abs. 1 Satz 1 Nr. 1–3 TMG, dass sie 1. die Übermittlung nicht veranlasst, 2. den Adressaten der übermittelten Informationen nicht ausgewählt und 3. die übermittelten Informationen nicht ausgewählt oder verändert haben. Diese Voraussetzungen müssen kumulativ vorliegen. 1045 Es ist also sogar irrelevant, wenn der Provider Kenntnis von ggf. rechtsverletzenden Informationen, zu denen Zugang verschafft wird bzw. die übermittelt werden, hat. Allerdings gilt dies nicht mehr, wenn der Anbieter mit einem Nutzer zusammenarbeitet, um rechtswidrige Handlungen zu begehen (§ 8 Abs. 1 Satz 2 TMG). 1046 § 8 Abs. 2 TMG regelt die Verantwortlichkeitsprivilegierung bei einer automatischen kurzzeitigen Zwischenspeicherung von fremden Informationen. Nach dieser Vorschrift soll der Anbieter, der eine solche Zwischenspeicherung zur Durchführung der Übermittlung vornimmt, das Haftungsprivileg des § 8 Abs. 1 TMG nicht verlieren, sofern die Informationen 1978 1979 1980 1981 1982 1983
BGH v. 5.11.2015 – I ZR 88/13, CR 2016, 454 (455, Rz. 22) – Al Di Meola. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 92. Brinkel/Osthaus, in: Hoeren/Bensinger (Hrsg.), Haftung im Internet, Kap. 3 Rz. 57. Wohl auch Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 55. S.a. Brinkel/Osthaus, in: Hoeren/Bensinger (Hrsg.), Haftung im Internet, Kap. 3 Rz. 57. Zum Vertrag des Access-Providers seinerseits mit dem Teilnehmernetzbetreiber s. Schuster, CR 2007, 443 (447); s.a V Rz. 88 ff. 1984 Zur Beweislast nach TDG (also praktisch wie TMG) Pankoke, MMR 2004, 211. LG München I v. 19.4.2005 – 7 O 3950/07, CR 2007, 807 = ITRB 2007, 130 = ITRB Ls.: „Die Beweislast für die Möglichkeit einer geeigneten Filterung rechtsverletzender Dateien beim Zugänglichmachen fremder Inhalte über das Usenet trägt der Rechteinhaber.“
670
Kosmides
Haftung und Privilegierung der Provider
Rz. 1051
B
nicht länger gespeichert werden, als für die Übermittlung üblicherweise erforderlich ist. Ob die Vorschrift eine echte Erweiterung1985 gegenüber der in § 8 Abs. 1 TMG vorgesehenen Haftungsprivilegierung oder nur eine Klarstellung beinhaltet,1986 ist ohne praktische Relevanz. Die Zwischenspeicherung als Teil der Informationsübermittlung oder der Zugangsvermittlung i.S.v. § 8 Abs. 2 TMG ist von der Zwischenspeicherung zur beschleunigten Informationsübermittlung i.S.v. § 9 TMG zu unterscheiden.
1047
Neben Access-Providern werden von § 8 TMG insb. erfasst:
1048
– WLAN-Anschlussinhaber (§ 8 Abs. 3 TMG),1987 – Betreiber von Internetcafes und Computerpools,1988 – Anbieter von Webdialerdiensten1989 sowie – Network-Provider.1990 Grds. kann auch der Arbeitgeber in den Genuss der Haftungsprivilegierung nach § 8 Abs. 1 1049 TMG kommen. Eine (Mit-)Verantwortung für Rechtsverstöße des Arbeitnehmers vom Dienst-PC aus kommt damit nur bei mittäterschaftlicher Begehung oder dann in Betracht, wenn die übrigen in § 8 Abs. 1 Satz 1 Nr. 1–3 TMG initiativen Handlungen des Arbeitgebers zu verzeichnen sind.1991 § 9 TMG privilegiert die Dienste bzw. Betreiber für Zwischenspeicherung, wobei es noch andere Formen der Zwischenspeicherung gibt. Das Haftungsprivileg ist auf eine automatische, zeitlich begrenzte Zwischenspeicherung fremder Informationen beschränkt. Die Haftungsprivilegierung ist auf Proxy-Cache-Provider und Mirror-Server anwendbar.1992
1050
Diese Zwischenspeicherung muss zudem eindeutig zweckorientiert sein, nämlich ausschließlich dem Zweck dienen, die Übermittlung von Informationen an andere Nutzer auf deren Anfrage effizienter zu gestalten. Damit ist gemeint, dass die Zwischenspeicherung eine Optimierung der Leistungsfähigkeit der Datennetze bezwecken soll. Als (weitere) Kriterien der Haftungsprivilegierung kommen die in § 9 Satz 1 Nr. 1–5 TMG festgelegten Voraussetzungen in Betracht:
1051
– Keine Informationsveränderung; – Beachtung der Bedingungen für den Informationszugang; – Beachtung der in Industriestandards festgelegten Regeln für die Aktualisierung der Informationen; – keine Beeinträchtigung erlaubter Datensammlung und – unverzügliche Informationsentfernung oder Zugangssperrung. Diese Voraussetzungen müssen kumulativ erfüllt werden.1993 1985 So BeckRTD-Komm/Jandt, § 8 TMG Rz. 21. 1986 So Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 157. 1987 BGBl I 2016, 1766; kritisch zur Regelung des § 8 Abs. 3 TMG Franz/Sakowski, CR 2016, 524 (527 ff.); vgl. auch Spindler, NJW 2016, 2449 (2452 f.). S. auch Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 139; BeckRTD-Komm/Jandt, § 8 TMG Rz. 12. 1988 BeckRTD-Komm/Jandt, § 8 TMG Rz. 13. 1989 AG Mönchengladbach v. 29.4.2003 – 5 C 286/02, CR 2003, 907; Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 143. 1990 Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 149; BeckRTD-Komm/ Jandt, § 8 TMG Rz. 10. 1991 Barton, CR 2003, 592. 1992 Zu diesen Begriffen Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 194 ff. 1993 BeckRTD-Komm/Jandt, § 9 TMG Rz. 13.
Kosmides
671
B Rz. 1052
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1052 Von § 10 TMG werden Diensteanbieter erfasst, deren Tätigkeit darin besteht, fremde Informationen für einen Nutzer zu speichern (Host-Providing).1994 Unter den Begriff des Host werden verschiedene Online-Dienste subsumiert. Nach § 10 TMG wird als Privilegierung v.a. der Presence-Provider1995 gesehen. Der Presence-Provider bietet dem Kunden die Infrastruktur, die im Einzelnen jeweils genauer zu analysieren ist, für dessen Internetauftritt.1996 Die Erreichbarkeit der Website des Kunden ist Zweck und wesentliche Vertragspflicht.1997 1053 Nach § 10 TMG können gleichfalls Filehoster/Sharehoster, Domain-Parking-Diensteanbieter1998 sowie die Betreiber von User-Generated-Content-Plattformen privilegiert werden.1999 In die letztgenannte Gruppe gehören insb.: – Informationsportale,2000 – Blogs,2001 – Internetforen,2002 – Online-Marktplätze,2003 – soziale Netzwerke,2004 – Musik-, Foto- und Videoplattformen,2005 – Bewertungsportale2006 sowie – Online-Enzyklopädien.2007 1994 Frey/Rudolph/Oster, CR 2015, S1 (S5). 1995 Dazu V Rz. 286 ff. 1996 Dazu V Rz. 310 ff.; Vorschlag einer Einteilungsmatrix diverser Host-Provider unter Haftungsaspekten: Wilmer, NJW 2008, 1845. 1997 OLG Düsseldorf v. 26.2.2003 – 18 U 192/02, CR 2003, 581 mit exklusiver Zuweisung eines Servers. 1998 S. BGH v. 15.8.2013 – I ZR 85/12, juris Rz. 30; v. 12.7.2012 – I ZR 18/11, CR 2013, 190 (191) m. Anm. Tinnefeld – Alone in the Dark; OLG Köln v. 21.9.2007 – 6 U 86/07, ITRB 2008, 6 – Rapidshare (teilweise abändernd und neu gefasst zu LG Köln v. 21.3.2007 – 28 O 19/07, ZUM 2007, 568): Dem Sharehoster obliegen Prüfungspflichten gegenüber den Inhalten Dritter, die er im konkreten Fall „manuell“ durch Kontrolle einschlägiger Link-Sammlungen vollziehen hätte müssen; OLG Köln v. 21.9.2007 – 6 U 100/07, ZUM-RD 2007, 581 – zu LG Köln v. 21.3.2007 – 28 O 15/07, MMR 2007, 806. Vgl. BGH v. 18.11.2010 – I ZR 155/09, CR 2011, 534 (Rz. 2) – Sedo; v. 30.6.2009 – VI ZR 210/08, CR 2009, 730; OLG Stuttgart v. 19.4.2012 – 2 U 91/11, CR 2012, 474 (475); LG Saarbrücken v. 15.1.2014 – 7 O 82/13, MMR 2014, 407. 1999 Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 233. 2000 Vgl. BGH v. 27.3.2012 – VI ZR 144/11, CR 2012, 464 – RSS-Feeds. 2001 Vgl. BGH v. 25.10.2011 – VI ZR 93/10, CR 2012, 103. 2002 LG Düsseldorf v. 25.1.2006 – 12 O 546/05, CR 2006, 563. Vgl. BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593 – spickmich.de; v. 27.3.2007 – VI ZR 101/06, AfP 2007, 350; OLG Zweibrücken v. 14.5.2009 – 4 U 139/08, MMR 2009, 541; OLG Koblenz v. 12.7.2007 – 2 U 862/06, MMR 2008, 54; OLG Hamburg v. 22.8.2006 – 7 U 50/06, CR 2007, 44; OLG Düsseldorf v. 7.6.2006 – I-15 U 21/06, CR 2006, 682; LG Düsseldorf v. 27.6.2007 – 12 O 343/06, ZUM-RD 2007, 529; LG Düsseldorf v. 25.1.2006 – 12 O 546/05, CR 2006, 563. 2003 BGH v. 17.8.2011 – I ZR 57/09, CR 2011, 817 (819) – Stiftparfüm; vgl. EuGH v. 12.7.2011 – C-324/09, CR 2011, 597 – L‘Oréal/eBay; BGH v. 17.8.2011 – I ZR 57/09, CR 2011, 817 (819) – Stiftparfüm; v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay; v. 19.4.2007 – I ZR 35/04, CR 2007, 523 m. Anm. Rössel – Internet-Versteigerung II; v. 11.3.2004 – I ZR 304/01, CR 2004, 763 (767) m.w.N. m. Anm. Volkmann – Internet-Versteigerung I. 2004 Vgl. EuGH v. 16.2.2012 – C-360/10, CR 2012, 265 (266) – Netlog NV/Sabam; OLG Dresden v. 1.4.2015 – 4 U 1296/14, CR 2015, 531; OLG Stuttgart v. 22.10.2013 – 4 W 78/13, CR 2014, 328. 2005 Vgl. OLG Hamburg v. 29.9.2010 – 5 U 9/09, AfP 2011, 485; LG Hamburg v. 20.4.2012 – 310 O 461/10, MMR 2012, 404; v. 3.9.2010 – 308 O 27/09, CR 2010, 818 (Ls. 3) m. Anm. Klingebiel. 2006 Vgl. OLG Düsseldorf v. 18.12.2015 – I-16 U 2/15, CR 2016, 543; KG v. 16.4.2013 – 5 U 63/12, CR 2014, 333; OLG Zweibrücken v. 14.5.2009 – 4 U 139/08, ITRB 2009, 198; OLG Düsseldorf v. 7.6.2006 – I-15 U 21/06, CR 2006, 682; LG Düsseldorf v. 27.6.2007 – 12 O 343/06, MIR 2007, Dok. 270. 2007 Vgl. OLG Stuttgart v. 2.10.2013 – 4 U 78/13, CR 2014, 393.
672
Kosmides
Haftung und Privilegierung der Provider
Rz. 1057
B
Was die Privilegierung angeht, so werden in § 10 Satz 1 TMG zwei Voraussetzungen (Nr. 1 1054 und 2) alternativ aufgezählt: Der Anbieter darf gemäß § 10 Satz 1 Nr. 1 TMG keine Kenntnis von der rechtswidrigen Tätigkeit oder der Information haben. Im Falle von Schadensersatzansprüchen dürfen dem Anbieter auch keine Tatsachen oder Umstände bekannt sein, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird. Die grob fahrlässige Unkenntnis allein von dem Inhalt als solchem reicht nicht aus, um dem Provider das Haftungsprivileg nach § 10 Satz 1 Nr. 1 TMG zu versagen. Er ist vielmehr erst verantwortlich, wenn er Kenntnis von der Rechtsverletzung erlangt.2008 Nach § 10 Satz 1 Nr. 2 TMG tritt eine Haftungsfreistellung ein, wenn der Anbieter unverzüglich ab Kenntniserlangung tätig wurde, um die Information zu entfernen oder den Zugang zu ihr zu sperren. Auch E-Mail-Dienste-Provider sind grds. nach den §§ 7 ff. privilegiert.2009
1054a
Die Darlegungs- und Beweislast für das Vorliegen der in den §§ 7 ff. TMG vorgesehenen Haf- 1055 tungsprivilegierungsvoraussetzungen ist beim Diensteanbieter verortet.2010 3.2 Einzelne Anbieter 3.2.1 Suchmaschinen, Links Unklarheit hinsichtlich der Zuordnung und damit der Privilegierung besteht hinsichtlich 1056 Links und Suchmaschinen. Über Suchmaschinen werden die Angebote des Internet trotz der steigenden Fülle – zumindest subjektiv – überschaubar, erreichbar und sogar nach Treffergenauigkeit gerankt. Die bekannteste und beherrschende Suchmaschine ist google mit einem Marktanteil von etwa 94 %.2011 Für Anbieter heißt das, dass sie nur gefunden werden, wenn sie bei den Ergebnissen der Suchmaschinen nachgewiesen werden und dies bei gleichzeitig hoher Zahl von Treffern auf vorderen Plätzen der Liste. Dementsprechend bemühen sich die Anbieter mit diversen Methoden, ihre Platzierung zu verbessern, ggf. auch mittels technischer Mittel.2012 Die andere Seite ist die Macht der Suchmaschinenbetreiber, insb. Google, durch die Art der Gestaltung Einfluss auf den Erfolg der Anbieter nehmen zu können. Werden Anbieternachweise aus dem Katalog entfernt oder gar nicht erst in diesen aufgenommen, „gibt“ es den Anbieter praktisch nicht.2013 Solche Maßnahmen ergreift der Suchmaschinenbetreiber evtl. auch, weil der Anbieter Methoden zur Rankingverbesserung einsetzt, die unerwünscht sind.2014 Die Einordnung der Suchmaschinenbetreiber in die Tatbestände der §§ 8 ff. TMG könnte zu dem Ergebnis führen, dass die Privilegierungen nicht zugunsten der Suchmaschinen greifen und damit die allgemeinen Regelungen gelten.2015 Dies ist ein eigenartiges Ergebnis, da ohne Suchmaschinen praktisch die Auffindung im Internet unmöglich ist bzw. auf purem Zufall beruht. Angesichts dieser existentiellen Bedeutung wird auch von Gatekeeper-Funktion gesprochen.2016 2008 BGH v. 25.10.2011 – VI ZR 93/10, CR 2012, 103 (Ls. 2) – Blog-Eintrag; OLG Stuttgart v. 19.4.2012 – 2 U 91/11, CR 2012, 474 (475). 2009 Vgl. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 148; für E-Mail-Dienste als Telemediendienste Schuster, CR 2016, 173 (183); a.A. Kühling/Schall, CR 2016, 185 ff., die die Meinung vertreten, E-Mail-Dienste seien Telekommunikationsdienste i.S.d. § 3 Nr. 24 TKG; ebenso für Google-Mail VG Köln v. 11.11.2015 – 221 K 450/15, CR 2016, 131 (133 f.). 2010 S.a. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 155. 2011 Vgl. http://www.seo-united.de/suchmaschinen.html (abgerufen im Januar 2016). 2012 Zu den Arten der Beeinflussung s. z.B. Heim, Die Einflussnahme auf Trefferlisten von InternetSuchdiensten aus marken- und wettbewerbsrechtlicher Sicht. 2013 Vgl. Ott, K&R 2007, 375 (376 f.). 2014 Z.B. „Doorway Pages“, s.a. Ott, K&R 2007, 375 (376); Ott, MMR 2008, 222 (225). 2015 So auch Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 609 ff. 2016 Sieber/Liesching, MMR Beilage 8/2007, 1 (3, Fn. 1 und 2), mit Hinweisen u.a. auf Ott, MMR 2006, 195.
Kosmides
673
1057
B Rz. 1058
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1058 Nicht zuletzt vor diesem Hintergrund wird von manchen Stimmen in der Lit. eine analoge Anwendung der Haftungsprivilegierungstatbestände befürwortet.2017 1059 Auch in der Rspr. wird teilweise die Anwendbarkeit der Privilegierungs-Vorschriften auf das Betreiben von Suchmaschinen bejaht: – Eine entsprechende Anwendung der Privilegierungs-Tatbestände gilt für eine Suchmaschinenbetreiberin, sodass diese nur dann haftet, „wenn sie von der Rechtswidrigkeit der Verwendung bestimmter keywords Kenntnis erlangt habe und es ihr technisch möglich und zumutbar sei, deren Verwendung zu unterbinden“.2018 – Der Suchmaschinenbetreiber kann sich nach Ansicht des KG grds. auf die Haftungsprivilegierungen nach §§ 8–10 TMG stützen, da mit In-Kraft-Treten des TMG auch Internetsuchmaschinen als Telemedien und Betreiber von Suchmaschinen als Diensteanbieter zu qualifizieren seien.2019 Der Anbieter mache „allein durch das automatisiert erfolgende Einbinden fremder Informationen in den Suchindex sich diese noch nicht zu Eigen. (…). Für den Nutzer ist in jedem Fall transparent, dass es sich bei den im Suchindex abgebildeten Informationen nicht um solche des Suchmaschinenanbieters handelt, weil die Ergebnisse stets erst nach Durchführung einer entsprechenden Suchbegriffrecherche erscheinen“.2020 1060 Zu der oben genannten E. des KG2021 ist anzumerken, dass die Tatsache, dass Suchmaschinenbetreiber Diensteanbieter i.S.d. TMG sind, nicht zwingend bedeutet, dass die Haftungsprivilegierungen der §§ 8 ff. TMG auf Suchmaschinen Anwendung finden. 1061 In Bezug auf die als Ergebnisse der Autocomplete-Funktion angezeigten Suchwortergänzungsvorschläge hat der BGH klargestellt, dass der Suchmaschinenbetreiber als Diensteanbieter einzustufen ist, der eigene Informationen zur Nutzung bereit hält und damit gem. § 7 Abs. 1 TMG nach den allgemeinen Gesetzen verantwortlich ist (s. Rz. 1188 ff.).2022 Nach Ansicht des LG Frankfurt ist die Verwendung von nach § 1 FAO i.V.m. § 43c BRAO nicht existierenden Fachanwaltstiteln bei der Suchfunktion auf einem Anwaltsportal im Internet unzulässig und wettbewerbswidrig.2023 1062 Der Betrieb einer Suchmaschine wird im Allgemeinen von den Haftungsprivilegierungstatbeständen der §§ 8 ff. TMG nicht erfasst.2024 Was das Linksetzen angeht, so liegt gemeinhin kein vom TMG erfasster Anbieterdienst vor, mit der Folge, dass eine Anwendung der Haftungsprivilegien gleichfalls ausscheidet.2025 Auch eine analoge Anwendung kommt weder bei Suchmaschinen noch bei Links in Betracht. Der Befund, dass eine Einordnung der Suchmaschinen in die Privilegierungs-Tatbestände nicht möglich ist, galt schon für die §§ 8 ff. TDG. Er galt parallel bei Links.2026
2017 S. z.B. Sieber/Liesching, MMR Beilage 8/2007, 1 (5 ff.); BeckRTD-Komm/Jandt, § 10 TMG Rz. 51; Sieber/Höfinger, in: Hoeren/Sieber/Holznagel, Teil 18.1 Rz. 113 ff. (18. EL Stand 10/2007): unmittelbare Anwendung des § 8 TMG; a.A. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 365, 610. 2018 LG München I v. 2.12.2003 – 33 O 21461/03, CR 2004, 704 (aus Ls. 2, zu Ls. 1). 2019 KG v. 3.11.2009 – 9 W 196/09, ITRB 2010, 230. 2020 KG v. 3.11.2009 – 9 W 196/09, juris Rz. 13, ITRB 2010, 230. 2021 KG v. 3.11.2009 – 9 W 196/09, ITRB 2010, 230. 2022 BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 (460) – Autocomplete-Funktion; krit. hierzu Engels, MMR 2013, 538 (539); vgl. auch LG Hamburg v. 24.1.2014 – 324 O 264/11, K&R 2014, 288 (289). 2023 LG Frankfurt v. 8.3.2012 – 2-03 O 437/11, MMR 2012, 380. 2024 Ebenso Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 609. 2025 BGH v. 18.10.2007 – I ZR 102/05, CR 2008, 386 (Ls. 1) – ueber18.de; Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 362 f. 2026 Vgl. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 362 ff.
674
Kosmides
Haftung und Privilegierung der Provider
Rz. 1067
B
Mit der Novellierung und Zusammenführung zum TMG erfolgte bewusst keine Aufnahme 1063 der Suchmaschinen, auch keine Aufnahme der Links in die privilegierten Angebote, sodass das wenig befriedigende Ergebnis – keine Möglichkeit einer Analogie mangels planwidriger Lücke – weiterbesteht. Die Auffassung zur Unanwendbarkeit bzw. zur fehlenden Analogiefähigkeit auf der Auslegung beruht konkret auf der Gesetzgebungsgeschichte. In der Gegenäußerung der Bundesregierung heißt es, nachdem der Bundesrat die gesetzliche Regelung auch für Links und Suchmaschinen gefordert hatte, im Ergebnis: „Die Richtlinie hat diese Fragen mit Blick auf die europäische Entwicklung bewusst nicht geregelt (…).Daher hat auch die Bundesregierung davon abgesehen, im Rahmen der Vollharmonisierung der Vorschriften über die Verantwortlichkeitsbeschränkungen (Artikel 12 bis 15 der Richtlinie) Regelungen für Hyperlinks mit aufzunehmen. Im Hinblick auf die Komplexität der damit zusammenhängenden Fragen, die sich insbesondere aus den unterschiedlichen Verfahren und Handlungsformen (interne willentlich gesetzte oder externe programmgesteuerte Links wie Suchmaschinen) und den vielfältigen Fallgestaltungen ergeben, ist zunächst die weitere Entwicklung in Wissenschaft und Rechtsprechung zu verfolgen (…). Ohne spezielle Beschränkungen der zivil- oder strafrechtlichen Verantwortlichkeit bleibt es für Hyperlinks bei der Haftung nach allgemeinen Vorschriften“.2027
Der BGH hat sich dieser Ansicht (d.h. keine Anwendbarkeit bzw. Analogiefähigkeit der §§ 8 ff. TMG) in einem Urteil angeschlossen, das zur Haftung für das Setzen von Links zu pornografischen Inhalten Dritter ohne genügendes Altersverifikationssystem ergangen ist.2028
1064
Die Haftung für das Setzen von Hyperlinks sowie das Betreiben von Suchmaschinen richtet sich demzufolge grds. nach den allgemeinen Gesetzen.
1065
3.2.2 Usenet-Provider Die Einordnung des Usenet-Anbieters2029 in die Provider-Typologie ist umstritten. Das Usenet dient in erster Linie dem Meinungs- und Informationsaustausch und ist durch verschiedene in Untergruppen (sog. Newsgroups) unterteilte Newsserver in dezentraler Struktur organisiert. Durch das umfangmäßig kaum überblickbare Einstellen eigener Beiträge der Nutzer liegen Rechtsverletzungen nicht fern. Teilweise soll bereits die Bereitstellung der Zugangs-Infrastruktur zur Begründung einer Haftung des Anbieters auf Unterlassen genügen. So ließ das LG Hamburg allein die Bereitstellung und Bewerbung einer UseReader-Software mit dem Argument genügen, dass der Usenet-Anbieter damit das Auffinden und die Verwaltung urheberrechtswidrig erlangter Musikdateien im Internet erleichtert und fördert.2030
1066
Nach Ansicht des LG Düsseldorf ist ein Usenet-Anbieter als Host-Provider
1067
„und nicht nur als Access- oder Cache-Provider zu qualifizieren und kann nach den allgemeinen Grundsätzen als Störer für Rechtsverletzungen auf Unterlassung in Anspruch genommen werden.“2031 2027 2028 2029 2030
BT-Drs. 14/6098, S. 37. BGH v. 18.10.2007 – I ZR 102/05, Rz. 20 = CR 2008, 386 – ueber18.de. Dazu W Rz. 639. LG Hamburg v. 19.2.2007 – 308 O 32/07, CR 2007, 609; a.M. LG Düsseldorf v. 23.5.2007 – 12 O 151/07, CR 2007, 601 m. Anm. Kitz. 2031 LG Düsseldorf v. 23.5.2007 – 12 O 151/07, CR 2007, 601; s.a LG Hamburg v. 19.2.2007 – 308 O 32/07, CR 2007, 609: Ein Usenet-Provider kann als Störer für die Eingriffe Dritter in urheberrechtlich geschützte Verwertungsrechte und auf Unterlassung haften, wenn er diese offensichtlich bewirbt und die Zwangsvermittlung zum Usenet unter Vernachlässigung von Prüfungspflichten anbietet. (sinngemäß widergegeben); s. aber OLG Düsseldorf v. 15.1.2008 – I-20 95/07, CR 2008, 398: ständige Überprüfung wg. besonderer Konstellation auch bei Kenntnis nicht zumutbar; ebenso a.M. LG München v. 19.4.2007 – 7 O 3950/07, CR 2007, 807. Ein Unterlassungsanspruch bei Urheberrechtsverletzung gegen einen Usenet-Provider kommt grds. weder aufgrund Verschuldens noch aus
Kosmides
675
B Rz. 1068
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Die Spiegelung der Inhalte wird nach dieser Ansicht nicht als Zwischenspeicherung, sondern als Speicherung fremder Inhalte gesehen.2032 1068 Anders dagegen: „Ein Usenet-Provider, der den Zugang zu fremden Informationen vermittelt und diese für einen Zeitraum von 30 Tagen zum Zwecke der effizienteren Übermittlung an Dritte zwischenspeichert, ist als so genannter Cache am Haftungsmaßstab des § 9 TMG zu messen (…). Die Haftungsprivilegierung des Cache greift immer dann, wenn die Zwischenspeicherung dazu dient, die Übermittlung der fremden Informationen an andere Nutzer auf deren Anfrage hin effizienter zu gestalten (hier: Speicherung für 30 Tage)“.2033
1069 Auch Roggenkamp/Stadler vertreten die Ansicht, dass Usenet-Provider als Diensteanbieter von Zwischenspeicherungen i.S.d. § 9 TMG privilegiert sind.2034 1070 Nach Ansicht des OLG Hamburg ist wie folgt zu diefferenzieren: Für die (reine) Zugangsvermittlung in das Usenet gilt das Haftungsprivileg gem. § 8 TMG (Access-Provider). In diesem Zshg. stellt der Anbieter seine technische und organisatorische Infrastruktur bereit, die seinen Kunden den Zugang zum Usenet ermöglicht.2035 Werden vom Nutzer bereits abgerufene Inhalte zur Beschleunigung des Zugriffs auf den Servern des Providers zwischengespeichert, handelt der Anbieter nach dem Leitbild des § 9 TMG.2036 Hält der Anbieter von seinem Kunden eingestellte Daten auf seinen Servern vor, um Dritten die Nutzung dieser Daten zu ermöglichen, ist er als Host-Provider i.S.v. § 10 TMG anzusehen.2037 3.2.3 Domain 1071 Die Inhaberschaft einer Domain sagt für sich betrachtet nichts über die Einordnung in die Privilegierungstatbestände aus. Der Domaininhaber als solcher ist nicht unter die Privilegierungstatbestände der §§ 8 ff. TMG subsumierbar. Das OLG Frankfurt hat in diesem Zshg. klargestellt, dass Domaininhaber und Diensteanbieter i.S.v. § 2 Satz 1 Nr. 1 TMG im Einzelfall personenverschieden sein können2038: „Auf die alleinige Inhaberschaft der Beklagten zu 1) an der Domain www.….de lässt sich ihre telemedienrechtliche Verantwortlichkeit und eine Haftung für die Inhalte, die auf der Homepage zugänglich gemacht werden, und damit auch für die streitgegenständliche Werbeaktion, nicht stützen. (…) Wer lediglich eine Domain verpachtet, ist kein Anbieter von Telemediendiensten i.S. dieser Begriffsbestimmungen; er hält weder eigene oder fremde Telemedien zur Nutzung bereit noch vermittelt er den Zugang zur Nutzung von Telediensten.“
1072 Auch ein Admin-C ist nicht zwingend Diensteanbieter i.S.v. § 2 Satz 1 Nr. 1 TMG.2039 Der Admin-C besitzt laut BGH – anders als etwa die Anbieter i.S.v. §§ 8 ff. TMG – „keine gesetz-
2039
Störerhaftung in Betracht. Zu Usenet s. Rz. 1092. S. aber BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay. LG Düsseldorf v. 23.5.2007 – 12 O 151/07, CR 2007, 601; krit. dazu Kitz, CR 2007, 603 (604): Spiegelserver bei Usenet als klassischer Fall der Zwischenspeicherung; Eigenschaft wie „Cache“-Provider für Usenet bestätigt: OLG Düsseldorf v. 15.1.2008 – I-20 U 95/07, CR 2008, 398. LG München I v. 19.4.2007 – 7 O 3950/07, MIR 2007, Dok. 155; s.a. OLG Düsseldorf v. 15.1.2008 – I-20 U 95/07, CR 2008, 398: Usenet-Provider als Cache mit geringen Möglichkeiten, eine Störung abzustellen. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 644. OLG Hamburg v. 14.1.2009 – 5 U 113/07, MMR 2009, 631 (633) – Usenet I. OLG Hamburg v. 14.1.2009 – 5 U 113/07, MMR 2009, 631 (633) – Usenet I. OLG Hamburg v. 14.1.2009 – 5 U 113/07, MMR 2009, 631 (637) – Usenet I. OLG Frankfurt v. 4.9.2012 – 11 U 25/12, MMR 2013, 94 (95); ebenso LG Wiesbaden v. 18.10.2013 – 1 O 159/13, MMR 2014, 167 (Ls. 2). LG Wiesbaden v. 18.10.2013 – 1 O 159/13, MMR 2014, 167 (Ls. 2).
676
Kosmides
2032 2033 2034 2035 2036 2037 2038
Haftung und Privilegierung der Provider
Rz. 1077
B
lich geregelte Stellung“.2040 Insofern stellt sich die Frage nach einer Privilegierung gemäß §§ 8 ff. TMG hier gar nicht. Der Anbieter eines sog. Domainparking-Dienstes stellt hingegen einen Host-Provider dar.2041
1073
4. Haftung, insb. Störerhaftung 4.1 Allgemeines Die allgemeine zivilrechtliche Störerhaftung, gestützt auf eine Analogie zu § 1004 BGB, 1074 wurde von der Rspr. entwickelt, weil die §§ 823 ff. BGB nur die Voraussetzungen des verschuldensabhängigen Schadensersatzanspruchs, nicht aber auch die Voraussetzungen des verschuldensunabhängigen Unterlassungs- und Beseitigungsanspruchs regelten. Die Störerhaftung erfordert grds. die Verwirklichung des objektiven Tatbestands einer unerlaubten Handlung in der Person des Störers, ohne dass dies ein Verschulden verlangen würde. Im Laufe der Zeit verlor sich diese tatbestandliche Begrenzung mehr und mehr, sodass eine „allgemeine Störerhaftung“ etabliert wurde. Demnach war lediglich erforderlich, dass in irgendeiner Weise willentlich und adäquat kausal ein Beitrag zur Tatbestandsverwirklichung geleistet wurde.2042 Dies entspricht ständiger BGH-Rspr.2043 Dabei kann als Beitrag auch die Unterstützung oder Ausnutzung der Handlung eines eigenverantwortlich handelnden Dritten ausreichend sein, wenn der in Anspruch Genommene die rechtliche und tatsächliche Möglichkeit zur Verhinderung dieser Handlung hatte.2044 Ansprüche aus Störerhaftung stützen sich auf die §§ 1004, 823 BGB i.V.m. einer weiteren Rechtsnorm, die den Schutz des jeweiligen Anspruchstellers bezweckt.2045
1075
Bislang war, nicht zuletzt aus dogmatischen Gründen, unklar, in welchem Verhältnis die zi- 1076 vilrechtliche Störerhaftung zu den Vorschriften des TMG steht. Grund war, dass nach § 7 Abs. 2 Satz 2 TMG Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen auch im Fall der Nichtverantwortlichkeit nach §§ 8–10 TMG unberührt bleiben. Aus dieser Verweisung wurde der Schluss gezogen, die Privilegierungen der §§ 8–10 TMG regelten lediglich die Schadensersatzhaftung, nicht dagegen die Haftung für Unterlassen oder die verschuldensunabhängige Störerhaftung.2046 Daher könnten sich trotz Nichtverantwortlichkeit i.S. des TMG Sperrpflichten ergeben, deren Beurteilung sich ausschließlich nach den allgemeinen Vorschriften richtet. Dass mit dem Verweis auf die allgemeinen Gesetze die Störerhaftung gemeint sein könnte, 1077 wurde von jeher bezweifelt, – zum einen mit Blick auf die Sonderregelung für Schadensersatzansprüche in § 10 Satz 1 Nr. 1 TMG, sodann auch mit Blick auf die vom TMG be2040 Vgl. BGH v. 9.11.2011 – I ZR 150/09, CR 2012, 179 (182) – Basler Kosmetik. 2041 Vgl. BGH v. 18.11.2010 – I ZR 155/09, CR 2011, 534 (Rz. 2) – Sedo; v. 30.6.2009 – VI ZR 210/08, CR 2009, 730; OLG Stuttgart v. 19.4.2012 – 2 U 91/11, CR 2012, 474 (475); LG Saarbrücken v. 15.1.2014 – 7 O 82/13, MMR 2014, 407. 2042 S. zum Ganzen Köhler, GRUR 2008, 1 ff. 2043 BGH v. 3.3.2016 – I ZR 140/14, Rz. 16; v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (199, Rz. 21) m. Anm. Kremer/Telle; v. 5.2.2015 – I ZR 240/12, CR 2015, 386 (387, Rz. 49) – Kinderhochstühle im Internet III; v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (52) – Kinderhochstühle im Internet II; vgl. auch BGH v. 8.1.2014 – I ZR 169/12, CR 2014, 472 (474) m. Anm. Brüggemann; v. 22.7.2010 – I ZR 139/08, CR 2011, 259 (262) – Kinderhochstühle im Internet I; v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (526 Rz. 40) m. Anm. Rössel – Internetversteigerung II: mit Hinweis auf BGH v. 17.5.2001 – I ZR 251/99, CR 2001, 850 – ambiente.de; v. 18.10.2001 – I ZR 22/99, GRUR 2002, 618 – Meisner Dekor; v. 11.3.2004 – I ZR 304/01, CR 2004, 763 – m. Anm. Volkmann – Internet-Versteigerung I; OLG Köln v. 18.7.2014 – I-6 U 192/11, 6 U 192/11, CR 2014, 650, juris Rz. 914. 2044 BGH v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 (391, Rz. 22). 2045 Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 463. 2046 Vgl. etwa BGH v. 11.3.2004– I ZR 304/01, CR 2004, 763 m. Anm. Volkmann – Internet-Versteigerung I.
Kosmides
677
B Rz. 1078
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
absichtigte Rechtssicherheit für Provider. Nimmt man dieses Ziel ernst, kann nicht trotz Befolgens der Verhaltensvorschriften der §§ 8–10 TMG der Provider als Störer in Anspruch genommen werden.2047 1078 Wie bereits bei der E. Internetversteigerung I2048 besteht die Störerhaftung nicht genuin, sondern setzt die Haftung des Störers die Verletzung von Prüfungspflichten voraus. Die Steuerung der Haftung erfolgt praktisch über den Umfang dieser Prüfungspflichten. Drehund Angelpunkt aller Ansätze ist insofern die Frage, ob und in welchem Umfang verschiedenen Arten von Providern Verpflichtungen zur Prüfung von Inhalten angesonnen werden können und wenn ja, ob sich hieraus weitere Verhaltenspflichten (z.B. Verpflichtungen zur Sperrung von Informationen) ergeben. 1079 Eine allgemeine Prüfungs- bzw. Überwachungspflicht ist dem TMG fremd. Ausdrücklich besagt § 7 Abs. 2 Satz 1 TMG, dass keine Pflicht der Diensteanbieter besteht, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Dies wird vom BGH explizit anerkannt: „Einer allgemeinen Prüfungspflicht von Diensteanbietern i.S.d. §§ 8–10 TMG für die von Nutzern auf ihre Server eingestellten Dateien steht § 7 Abs. 2 Satz 1 TMG entgegen. (…) Nach dieser Vorschrift, die auf Art. 15 Abs. 1 der Richtlinie 2000/31 über den elektronischen Geschäftsverkehr beruht, sind Überwachungspflichten allgemeiner Art ausgeschlossen. Nicht ausgeschlossen sind dagegen Überwachungspflichten in spezifischen Fällen“.2049
1080 Um eine uferlose Ausdehnung der Störerhaftung zu verhindern, wird sie durch die Rspr. eingeschränkt. Voraussetzung der Störerhaftung ist die Verletzung einer zumutbaren Verhaltenspflicht: „Da die Störerhaftung nicht über Gebühr auf Dritte erstreckt werden darf, die weder als Täter noch als Teilnehmer für die begangene Urheberrechtsverletzung in Anspruch genommen werden können, setzt die Haftung des Störers nach der Rechtsprechung des Senats die Verletzung zumutbarer Verhaltenspflichten, insb. von Prüfungspflichten, voraus.“2050
1081 Die Störerhaftung setzt demnach einerseits einen willentlichen und adäquat kausalen Beitrag zur Beeinträchtigung eines Rechtsguts und andererseits die Verletzung zumutbarer Verhaltenspflichten voraus. Sie führt zur Begründung von Abwehransprüchen, konkret Beseitigungs- und Unterlassungsansprüchen (s. Rz. 1342 ff.) gegen den Störer. Dabei ist als Störer derjenige zu verstehen, der – ohne Täter oder Teilnehmer zu sein – in irgendeiner Weise willentlich und adäquat-kausal zur Verletzung des geschützten Rechtsguts beigetragen, d.h. diese (mit) veranlasst hat.2051 2047 Vgl. Härting, Internetrecht, Rz. 1061 m. umfangr. w. Nachw. 2048 BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 (767) m.w.N. m. Anm. Volkmann – Internet-Versteigerung I. 2049 BGH v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (52) – Kinderhochstühle im Internet II; im Ergebnis auch BGH v. 17.12.2010 – V ZR 44/10, CR 2011, 325 (327). 2050 BGH v. 5.2.2015 – I ZR 240/12, CR 2015, 386 (387, Rz. 49) – Kinderhochstühle im Internet III; v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (52) – Kinderhochstühle im Internet II; v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (526) m. Anm. Rössel – Internetversteigerung II: mit Hinweis auf BGH v. 10.10.1996 – I ZR 129/94 – Architektenwettbewerb; v. 15.10.1998 – I ZR 21/96, CR 1999, 326 – Möbelklassiker; v. 17.5.2001 – I ZR 251/99, CR 2001, 850 – ambiente.de; v. 11.3.2004 – I ZR 304/01, CR 2004, 763 m. Anm. Volkmann – Internetversteigerung I.; ebenso v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 (391, Rz. 22). 2051 BGH v. 3.3.2016 – I ZR 140/14, Rz. 16; v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (199, Rz. 21) m. Anm. Kremer/Telle; v. 5.2.2015 – I ZR 240/12, CR 2015, 386 (387, Rz. 49) – Kinderhochstühle im Internet III; v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (52) – Kinderhochstühle im Internet II; vgl. auch BGH v. 8.1.2014 – I ZR 169/12, CR 2014, 472 (474) m. Anm. Brüggemann; v. 22.7.2010 – I ZR 139/08, CR 2011, 259 (262) – Kinderhochstühle im Internet I; v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (526 Rz. 40) m. Anm. Rössel– Internetversteigerung II: mit Hinweis auf BGH v. 17.5.2001 – I ZR 251/99, CR 2001, 850 – ambiente.de; v. 18.10.2001 – I ZR 22/99, GRUR 2002, 618 – Meisner De-
678
Kosmides
Haftung und Privilegierung der Provider
Rz. 1085
B
Im Ergebnis der BGH-Rspr. kann man davon ausgehen, dass ein Anbieter fremder Informa- 1082 tionen Prüfungspflichten noch genauer zu bestimmenden Umfangs hat, bei Verletzung der Rechte Dritter auf Unterlassung haftet und nach Kenntnis2052 nicht nur darauf, sondern auch, je nach Art der Plattform, auf (zumutbare), aktive, präventive Prüfungen („vorbeugender Unterlassungsanspruch“).2053 Eine allgemeine präventive Prüfungspflicht scheidet hingegen im Lichte des unionalen Rechts aus sodass Der Anbieter ist also situationsabhängig „zumutbaren Prüfungspflichten“ ausgesetzt.2054
1083
„Ob und inwieweit dem als Störer Inanspruchgenommenen eine Prüfung zuzumuten ist, richtet sich nach den jeweiligen Umständen des Einzelfalls unter Berücksichtigung seiner Funktion und Aufgabenstellung sowie mit Blick auf die Eigenverantwortung desjenigen, der die rechtswidrige Beeinträchtigung selbst unmittelbar vorgenommen hat.“2055
Der nächste Schritt ist die proaktive Pflicht zur Prüfung auch anderer Angebote mit mögli- 1084 cherweise gleichartigen Rechtsverletzungen sowie der sonstigen, weiteren Angebote des konkret festgestellten Verletzers.2056 Der Provider wird seinen aus den Verkehrspflichten resultierenden Filterpflichten nur im Rahmen wirksamer technischer Verfahren nachkommen können.2057 Zugleich scheinen technische Filter bzw. der Einsatz avancierter Filtertechnik die Möglichkeit zu bieten, sich im Rahmen der Pflichten, die sich aus BGH – Jugendgefährdende Schriften2058 ergeben, zu bewegen und so in den Genuss einer „Privilegierung“ zu gelangen.2059 Nach der BGH-Rspr. können weitergehende Prüfungspflichten im Falle einer besonderen 1085 Gefahrengeneigtheit des angebotenen Dienstes angenommen werden.2060 Dies ist der Fall, „wenn das Geschäftsmodell von vornherein auf Rechtsverletzungen durch die Nutzer angelegt ist oder der Gewerbetreibende durch eigene Maßnahmen die Gefahr einer rechtsverletzenden Nutzung fördert“.2061
2052
2053
2054 2055 2056 2057 2058 2059 2060 2061
kor; v. 11.3.2004 – I ZR 304/01, CR 2004, 763 – m. Anm. Volkmann – Internet-Versteigerung I; OLG Köln v. 18.7.2014 – I-6 U 192/11, 6 U 192/11, CR 2014, 650, juris Rz. 914. A.M. LG Hamburg v. 24.8.2007 – 308 O 245/07, CR 2008, 328 m. Anm. Eichelberger: Störerhaftung bei Urheberrechtsverletzung (Photographien) auch ohne Kenntnis, wenn der Internet-Forenbetreiber rechtlich und tatsächlich in der Lage ist, wirksame Maßnahmen zur Verhinderung von Rechtsverletzungen durch Dritte zu treffen. Ls. aus MIR 2007, Dok. 335. BGH v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 (392, Rz. 23); v. 19.4.2007 – I ZR 35/04, CR 2007, 523 m. Anm. Rössel – Internet-Versteigerung II: ausdrücklich in „Fortführung“ von BGH v. 11.3.2004 – I ZR 304/01 – Internetversteigerung I – gegen OLG Düsseldorf v. 26.2.2004 – I-20 U 204/02, MMR 2004, 315; implizit auch gegen OLG Köln v. 18.3.2005 – 6 U 12/01, CR 2005, 669: Online-Auktion als Handeln im geschäftlichen Verkehr = 2. Berufg. zu Internetversteigerung I, s. BGH v. 30.4.2008 – I ZR 73/05, CR 2008, 579 – Internet-Versteigerung III und ähnlich LG Stuttgart v. 22.2.2006 – 41 O 237/05 KfH, so Rössel, CR 2007, 527 (528). BGH v. 5.2.2015 – I ZR 240/12, CR 2015, 386 (387, Rz. 49 f.) – Kinderhochstühle im Internet III. BGH v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (52) – Kinderhochstühle im Internet II; v. 15.5.2003 – I ZR 292/00, GRUR 2003, 969 (970); v. 17.5.2001 – I ZR 251/99, ITRB 2001, 280 (17 f.) – ambiente.de. BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay. S.a. Rössel/Kruse, CR 2008, 35. BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 728; s.a. Rössel/Rössel, CR 2005, 809 und Rössel/Kruse, CR 2008, 35. Rössel/Kruse, CR 2008, 35 (40). BGH v. 15.8.2013 – I ZR 79/12, Rz. 26 – Prüfpflichten. BGH v. 15.8.2013 – I ZR 79/12, Rz. 26 – Prüfpflichten: unter Bezugnahme auf BGH v. 15.1.2009 – I ZR 57/07, ITRB 2009, 267 – Cybersky; v. 15.8.2013 – I ZR 80/12, CR 2013, 728 (Ls. 1) – File-HostingDienst; v. 12.7.2012 – I ZR 18/11, CR 2013, 190 (191, Rz. 22) m. Anm. Tinnefeld– Alone in the Dark.
Kosmides
679
B Rz. 1086
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
4.2 Schutzgegenstände 1086 Die Störerhaftung knüpft insb. an die Verletzung von Immaterialgüterrechten an. Wegen der Verletzung von Schutzrechten kommen Abwehransprüche gegen den Störer in Betracht. Einen urheberrechtlichen Unterlassungsanspruch gegen den Störer hat das LG Hamburg bei editierten Links (eDonkeys) und Hash-Links gesehen, weil diese den Zugriff auf illegale Filesharing-Angebote erheblich vereinfachen würden.2062 Werden Bilder auf der eigenen Website unter Verletzung von Urheberrechten im Internet öffentlich zugänglich gemacht, kommt eine Störerhaftung auch dann in Betracht, wenn die geschützten Bilder bei der Google-Bildersuche gefunden werden können.2063 Evtl. reicht schon die bloße Zugangsmöglichkeit für die Haftung, so für WLAN-Betreiber bzw. den Anschlussinhaber.2064 1087 Im Bereich des Kennzeichenrechts reicht das bloße Geschehenlassen einer Verknüpfung von Internetdaten zu einer verwechslungsfähigen Geschäftsbezeichnung durch Suchmaschinen zur Begründung der Störerhaftung dagegen nicht aus.2065 1088 Bei Verletzungen des Namensrechts Dritter kommt eine Inanspruchnahme als Störer insb. in Betracht, wenn dadurch der Eindruck entsteht, der Namensträger habe ein Recht zur Benutzung erteilt. Ist die Verletzung unschwer zu erkennen, ist Störer auch der Betreiber eines privaten Auskunftsdienstes, der ein Verzeichnis von Telekommunikationsteilnehmern anbietet. 1089 Im Lauterkeitsrecht hat die Rechtsentwicklung zu einer völligen Aufgabe der Störerhaftung geführt. An ihre Stelle ist die Haftung des Täters und Teilnehmers getreten.2066 Eine Ausnahme bildet die Verletzung absoluter Rechte, bei der die Störerhaftung nach wie vor zum Tragen kommt.2067 4.3 Access-Providing 1090 Der Access-Provider hat als bloßer Zugangvermittler keinen Einfluss auf die Informationen und Angebote, zu denen sein User über den Internetzugang gelangt.2068 Die Maßstäbe und Zurechnungskriterien, die vom BGH für Handelsplattformen, v.a. bay, entwickelt wurden, lassen sich nicht auf den Access-Provider anwenden,2069 weil das eigene wirtschaftliche Interesse an den Angeboten und deren Nutzung fehlt. 1091 Ein Access-Provider ist laut EuGH nicht verpflichtet, sämtliche Daten, die seine Kunden betreffen, aktiv zu überwachen, um einer eventuellen Rechtsverletzung vorzubeugen. Eine all-
2062 LG Hamburg v. 15.7.2005 – 308 O 379/05, CR 2006, 68 m. Anm. Sommer/Brinkel. 2063 LG Hamburg v. 22.2.2006 – 308 O 743/05, CR 2007, 196. 2064 Zu WLAN: LG Hamburg v. 26.7.2006 – 308 O 407/06, CR 2007, 54 = ITRB 2006, 247; OLG Düsseldorf v. 27.12.2007 – I-20 W 157/07, CR 2008, 182: Mindestmaßnahmen für die Sicherheit; s.a. als Ansatz: Nutzung eines offenen, privaten WLAN strafbar als Abhören und Verstoß gegen BDSG: AG Wuppertal v. 3.4.2007 – 22 Ds 70 Js 6906/06, CR 2008, 468; anders dazu LG Wuppertal v. 29.6.2007 – 28 Ns 70 Js 6906/06 – 107/07, ITRB 2008, 100. 2065 OLG Hamburg v. 2.9.2004 – 5 W 106/04, MMR 2005, 53. 2066 Vgl. Köhler/Bornkamm/Köhler/Feddersen, UWG, § 8 Rz. 2.2 ff., insb. Rz. 2.2c unter Verweis auf BGH v. 22.7.2010 – I ZR 139/08, CR 2011, 259 (262) – Kinderhochstühle im Internet I; v. 12.7.2012 – I ZR 54/11, GRUR 2013, 301 (304) – Solarinitiative: „Die Störerhaftung ist in Fällen des Verhaltensunrechts, um die es bei Wettbewerbsverstößen geht, ausgeschlossen“. 2067 Köhler/Bornkamm/Köhler/Feddersen, UWG, § 8 Rz. 2.2d. 2068 S. OLG Frankfurt v. 22.1.2008 – 6 W 10/06, MIR 2008, Dok. 27; LG Düsseldorf v. 13.12.2007 – 12 O 550/07, CR 2008, 183. 2069 OLG Frankfurt v. 22.1.2008 – 6 W 10/06, MIR 2008, Dok. 27.
680
Kosmides
Haftung und Privilegierung der Provider
Rz. 1094
B
gemeine (präventive) Überwachungspflicht verstößt gegen Art. 15 Abs. 1 der RL 2000/31/ EG.2070 Sie würde „im Übrigen zu einer qualifizierten Beeinträchtigung der unternehmerischen Freiheit des Anbieters führen, da sie ihn verpflichten würde, ein kompliziertes, kostspieliges, auf Dauer angelegtes und allein auf seine Kosten betriebenes Informatiksystem einzurichten, was im Übrigen gegen die Voraussetzungen nach Art. 3 Abs. 1 der Richtlinie 2004/48 verstieße, wonach die Maßnahmen zur Durchsetzung der Rechte des geistigen Eigentums nicht unnötig kompliziert oder kostspielig sein dürfen.“2071
Mit dem europäischen Recht unvereinbar ist demnach die Anordnung an einen Access-Provider, „ein System der Filterung
1092
– aller seine Dienste durchlaufenden elektronischen Kommunikationen insb. durch die Verwendung von „Peer-to-Peer“-Programmen, – das unterschiedslos auf alle seine Kunden anwendbar ist, – präventiv, – auf ausschließlich seine eigenen Kosten und – zeitlich unbegrenzt einzurichten, das in der Lage ist, im Netz dieses Anbieters den Austausch von Dateien zu identifizieren, die ein Werk der Musik, ein Filmwerk oder audiovisuelles Werk enthalten, an denen der Antragsteller Rechte zu haben behauptet, um die Übertragung von Dateien, deren Austausch gegen das Urheberrecht verstößt, zu sperren“.2072 Einige zivilrechtliche E. zur Störerhaftung des Access-Providers sind besonders restriktiv:
1093
„Der Accessprovider haftet nicht als Störer für rechtswidrige Internetangebote Dritter, da er weder rechtlich noch tatsächlich die Möglichkeit hat, effektive Maßnahmen zu treffen, um solche Inhalte zu unterbinden.“2073
Dieses Ergebnis wird auch damit begründet, dass die Telekommunikations-Leistung des Ac- 1094 cess-Providers „inhaltsneutral“ ist.2074 Wichtig ist dabei, dass der Access-Provider nicht von der Nutzung bestimmter Seiten und/oder Dienste profitiert.2075 Daher wurde eine Haftung des Internet-Service-Providers bei Registrierung einer Domain im eigenen Namen für den Auftraggeber für die auf der Internetseite des Auftraggebers erfolgten Kennzeichenverletzungen2076 verneint.
2070 EuGH v. 24.11.2011 – C-70/10, CR 2012, 33 (35, Rz. 35 ff.) – Scarlet/SABAM; s.a. Nolte/Wimmers, GRUR 2014, 16 (18). 2071 EuGH v. 24.11.2011 – C-70/10, CR 2012, 33 (36) – Scarlet/SABAM. 2072 EuGH v. 24.11.2011 – C-70/10, CR 2012, 33 f. (Ls.) – Scarlet/SABAM. 2073 LG Kiel v. 23.11.2007 – 14 O 125/07, CR 2008, 126. 2074 LG Frankfurt/M. v. 5.12.2007 – 2-03 O 526/07, MIR 2007, Dok. 429: unter Verweis auf LG Kiel v. 23.11.2007 – 14 O 125/07, CR 2008, 126; OLG Frankfurt v. 22.1.2008 – 6 W 10/08, CR 2008, 242, bestätigt LG Frankfurt/M. v. 5.12.2007 – 2-03 O 526/07; dazu und Abgrenzung zu BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay: LG Frankfurt v. 8.2.2008 – 3-12 O 171/07, MMR 2008, 344 unter Bezugnahme auf OLG Frankfurt v. 22.1.2008 – 6 W 10/08, CR 2008, 242; s.a. LG Düsseldorf v. 13.12.2007 – 12 O 550/07, CR 2008, 183: wettbewerbsrechtlich neutrale Leistung, keine Konkurrenz zu den Inhaltsanbietern, die die Nutzer nachfragen. 2075 LG Frankfurt/M. v. 5.12.2007 – 2-03 O 526/07, MIR 2007, Dok. 429: unter Verweis auf LG Kiel v. 23.11.2007 – 14 O 125/07, CR 2008, 126; OLG Frankfurt v. 22.1.2008 – 6 W 10/06 bestätigt LG; zur „Arcor-Sperre“ s. Schnabel, K&R 2008, 26. 2076 Viefhues, MMR 2005, 76 unter Bezugnahme auf OLG Celle v. 8.4.2004 – 13 U 213/03, CR 2004, 772 – grundke.de.
Kosmides
681
B Rz. 1095
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1095 Anders wird beurteilt, wenn der Anbieter, etwa als TK-Unternehmen, die Werbung auf seiner Website mit jugendgefährdenden Schriften betreibt.2077 1096 Ein Access-Provider kann bei rechtsverletzenden Inhalten als Störer darauf in Anspruch genommen werden, den Zugang hierzu durch zumutbare Maßnahmen zu unterbinden.2078 Eine Störerhaftung des Access-Providers kommt nach Ansicht des BGH nur dann in Betracht, wenn mangels anderer Anspruchsgegner, gegen die der Rechteinhaber vorrangig vorzugehen hat, eine Rechtsschutzlücke entstehen würde. Insoweit setzt die Haftung des Access-Providers grds. voraus, dass der Rechteinhaber zunächst versucht, denjenigen in Anspruch zu nehmen, der die Rechtsverletzung selbst begangen hat (z.B. der Betreiber einer Internetseite), oder zur Rechtsverletzung durch die Erbringung seiner Dienste beigetragen hat (z.B. der Host-Provider).2079 Nur wenn die Inanspruchnahme dieser Beteiligten scheitert oder keine Aussicht auf Erfolg hat, ist eine Inanspruchnahme des Access-Providers möglich.2080 Zudem werden eine Kenntnis der Rechtsverletzung sowie die Verletzung von Prüfpflichten vorausgesetzt.2081 Für die Bestimmung dieser Prüfpflichten kommt es darauf an, welche Maßnahmen zur Vermeidung von Rechtsverletzungen technisch möglich, rechtlich zulässig und dem Access-Provider zumutbar sind.2082 Für eine Begrenzung der Prüf- und Überwachungspflichten, insb. gegen eine menschliche Überwachung sprechen schon die zu bewältigenden Datenmengen.2083 1097 Evtl. besteht Verantwortlichkeit von Internet-Café-Betreibern als Access-Provider für die Zugangsgewährung zu jugendgefährdenden Inhalten, wobei unklar ist, ob aus Aufsichtpflicht oder Schaffung einer Gefahrenquelle.2084 Das LG Hamburg hat eine Störerhaftung des Inhabers eines Internet-Cafés bei Nutzung seines Internet-Anschlusses durch einen Kunden für Urheberrechtsverletzungen bejaht. Ihm seien Maßnahmen möglich und zumutbar, solche Rechtsverletzungen zu verhindern.2085 1098 Ein Unterlassungsanspruch wegen Urheberrechtsverletzung gegen einen Usenet-Provider kommt grds. weder aufgrund Verschuldens noch aus Störerhaftung in Betracht,2086 da es Usenet-Anbietern nicht möglich ist, rechtsverletzende fremde Inhalte aus dem Usenet zu löschen.2087 Die Beweislast für die Filtermöglichkeit trägt grds. der Rechteinhaber.2088 Es kommen aber Prüfungs- und Überwachungspflichten in Betracht.2089 1099 Gegen Access-Provider wurde in der Vergangenheit eine Serie öffentlich-rechtlicher Sperrungsverfügungen erlassen, die nachfolgend von den Instanzgerichten bestätigt wurden.2090 Diese E. haben Kritik in der Lit. hervorgerufen.2091
2077 LG Frankfurt v. 2.1.2008 – 3-08 O 143/07, CR 2008, 324 m. Anm. Schirmbacher ITRB 2008, 98. 2078 BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (Ls. 1) m. Anm. Kremer/Telle; OLG Köln v. 18.7.2014 – I-6 U 192/11, 6 U 192/11, CR 2014, 650 (Ls. 1 und 3). 2079 BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (Ls. 2) m. Anm. Kremer/Telle. 2080 BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (Ls. 2) m. Anm. Kremer/Telle. 2081 OLG Hamburg v. 21.11.2013 – 5 U 68/10, CR 2014, 522 f. (Ls. 1); LG Düsseldorf v. 23.5.2007 – 12 O 151/07, CR 2007, 601 m. Anm. Kitz. 2082 OLG Hamburg v. 21.11.2013 – 5 U 68/10, CR 2014, 522 f. (Ls. 1). 2083 Zum Umfang der Prüfpflichten Hütten, K&R 2007, 554. 2084 Liesching/Knupfer, MMR 2003, 562. 2085 LG Hamburg v. 25.11.2010 – 310 O 433/10, CR 2011, 331. 2086 LG München I v. 19.4.2007 – 7 O 3950/07, CR 2007, 807. 2087 Ebenso Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 647. 2088 LG München v. 19.4.2007 – 7 O 3950/07, CR 2007, 807. S. aber andererseits (Hinweise Rössel, ITRB 2007, 130 [131]): LG München I v. 7.10.2004 – 7 O 18165/03, K&R 2005, 184, und ähnlich KG v. 4.9.2006 – 10 W 81/06, CR 2007, 263. 2089 LG München v. 19.4.2007 – 7 O 3950/07, ITRB 2007, 130. 2090 Vgl. Voraufl. (4. Aufl. 2009), Kap. B Rz. 1185 unter Verweis auf VG Düsseldorf v. 10.5.2005 – 27 K 5968/02, CR 2005, 885 m. Anm. Volkmann; VG Köln v. 3.3.2005 – 6 K 7151/02, CR 2006, 201. 2091 Vgl. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 174 ff.
682
Kosmides
Haftung und Privilegierung der Provider
Rz. 1105a
B
Bei der wettbewerbsrechtlichen Sperre ging es um den Zugang zu pornographischen Angebo- 1100 ten ohne Berücksichtigung der §§ 7 ff. TMG.2092 Bei vergleichbarem Kontext (Jugendschutz)2093 schließt zwar das LG Kiel den Access-Provider nicht grds. als Störer aus, lässt ihn aber mangels rechtlicher (er hat keinen Vertrag mit dem Betreiber der rechtswidrigen Angebote) und technischer Möglichkeiten nicht haften.2094 Der Access-Provider habe keine Möglichkeit, eine DNS-Sperre einzurichten.2095
1101
Fraglich ist im Allgemeinen, ob und in welchem Umfang die Sperrung einer rechtsverletzenden Internetseite durch den Access-Provider mittels einer DNS-Sperre oder einer ähnlichen Maßnahme zur Internetzugangserschwerung (z.B. URL-Sperre, IP-Adressen-Sperre) unter dem Aspekt der zivilrechtlichen Störerhaftung dem Provider zugemutet werden kann oder überhaupt zulässig ist.
1102
Nach einer Reihe von Urteilen ist der Einsatz von Filterungs- und Sperrmechanismen durch 1103 einen Access-Provider ohne ausdrückliche gesetzliche Grundlage mit dem verfassungsrechtlich geschützten Fernmeldegeheimnis (Art. 10 GG) unvereinbar.2096 Eine solche gesetzliche Grundlage sei in den §§ 97 UrhG und 1004 BGB nicht enthalten.2097 Anders sieht es allerdings der BGH, nach dem die ihm vorgelegten Zugangssperren den Schutzbereich des Art. 10 GG nicht tangierten.2098 Bei Urheberrechtsverletzungen im Internet hat das OLG Hamburg wiederum entschieden, dass eine Internetzugangssperre vom Provider wegen mangelnder Zumutbarkeit nicht verlangt werden kann.2099
1104
Nach Auffassung des EuGH kann hingegen eine gerichtliche Sperranordnung gegenüber einem Access-Provider mit den unionalen Grundrechten vereinbar sein.2100 Es wird dabei zum einen vorausgesetzt, dass die Sperrmaßnahmen hinreichend effektiv sind, um einen wirkungsvollen Schutz des Grundrechts auf Eigentum zu gewährleisten; sie müssen also
1105
„bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des Adressaten der Anordnung in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die ihnen unter Verletzung des Rechts des geistigen Eigentums zugänglich gemachten Schutzgegenstände zuzugreifen (…).“2101
Zum anderen müssen die ergriffenen Sperrmaßnahmen
1105a
„den Internetnutzern nicht unnötig die Möglichkeit vorenthalten, in rechtmäßiger Weise Zugang zu den verfügbaren Informationen zu erlangen“.2102
2092 Engels/Jürgens/Kleinschmidt, K&R 2008, 65 (70) zu LG Frankfurt v. 17.10.2007 – 2-06 O 477/06. 2093 Zu Jugendschutzprogramme und Kinderschutzsoftware vgl. Liesching, MMR 2013, 368 ff. 2094 LG Kiel v. 23.11.2007 – 14 O 125/07, CR 2008, 126; s.a. Engels/Jürgens/Kleinschmidt, K&R 2008, 65 (70) unter Hinweis auf entsprechende Urteile des LG Frankfurt v. 5.1.2007 – 2-03 O 526/07 und LG Düsseldorf v. 13.12.2007 – 12 O 550/07, CR 2008, 183; s.a. LG Düsseldorf v. 12.12.2007 – 12 O 530/07, CR 2008, 327: keine Verkehrssicherungs- bzw. Sperrungspflichten von Access-Providern, da sie keine Gefahrerhöhung bewirken. LG Düsseldorf v. 13.12.2007 – 550/07, jur-pc 72/2008. 2095 LG Kiel v. 23.11.2007 – 14 O 125/07, CR 2008, 126. 2096 OLG Köln v. 18.7.2014 – I-6 U 192/11, 6 U 192/11, CR 2014, 650 (Ls. 2); OLG Hamburg v. 21.11.2013 – 5 U 68/10, CR 2014, 522 (526, 528); Vorinstanz: LG Hamburg v. 12.3.2010 – 308 O 640/08, CR 2010, 534 (537); LG Köln v. 31.8.2011 – 28 O 362/10, CR 2011, 730 (731, Ls. 3). 2097 LG Köln v. 31.8.2011 – 28 O 362/10, CR 2011, 730 (731, Ls. 4). 2098 BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (203 f., Rz. 67 ff.) m. Anm. Kremer/Telle. 2099 OLG Hamburg v. 22.12.2010 – 5 U 36/09, juris Rz. 60, CR 2011, 735. 2100 EuGH v. 27.3.2014 – C-314/12, CR 2014, 469 (Ls. 2) – UPC Telekabel Wien. 2101 EuGH v. 27.3.2014 – C-314/12, CR 2014, 469 (472), Rz. 62 f.) – UPC Telekabel Wien. 2102 EuGH v. 27.3.2014 – C-314/12, CR 2014, 469 (472, Rz. 63) – UPC Telekabel Wien.
Kosmides
683
B Rz. 1105b
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1105b Dieser EuGH-Rspr. schließt sich der BGH an.2103 Danach sind für die Beurteilung der Effektivität einer Sperrmaßnahme die Auswirkungen der Sperre für den Zugriff auf die konkret beanstandete Internetseite maßgeblich.2104 Etwaige Umgehungsmöglichkeiten stehen der Zumutbarkeit einer Sperrung nicht entgegen, sofern die Sperre den Zugriff auf rechtsverletzende Inhalte verhindert oder zumindest erschwert.2105 Eine Sperrmaßnahme braucht nicht, um zumutbar zu sein, eine Internetseite betreffen, auf der ausschließlich rechtswidrige Inhalte enthalten sind.2106 Sie ist vielmehr bereits dann zumutbar, wenn „nach dem Gesamtverhältnis rechtmäßige gegenüber rechtswidrigen Inhalten nicht ins Gewicht fallen. Dass eine Sperre nicht nur für den klagenden Rechteinhaber, sondern auch für Dritte geschützte Schutzgegenstände erfasst, zu deren Geltendmachung der Rechteinhaber nicht ermächtigt ist, steht ihrer Zumutbarkeit nicht entgegen“.2107 4.4 Presence-Providing 1106 Für die Inanspruchname des Presence-Providers im Wege der Störerhaftung gelten die allgemeinen Grundsätze.2108 Insofern müssen ein willentlicher und adäquat kausaler Beitrag zur Beeinträchtigung eines Rechtsguts sowie die Verletzung zumutbarer Verhaltenspflichten vorliegen.2109 Grds. muss dem Provider der Prüfungsaufwand zumutbar sein, sodass dieser nicht das Geschäftsmodell hieraus insgesamt in Frage stellen darf.2110 Dabei ist der Umfang des vorausgesetzten Überprüfungsaufwands aufgrund einer Interessenabwägung zu bestimmen, bei der auf die betroffenen Grundrechte der Parteien Rücksicht zu nehmen ist. Die konkreten Überprüfungsmaßnahmen ergeben sich aus den Umständen des Einzelfalls, wobei einerseits das Gewicht der Rechtsverletzung und andererseits die Erkenntnismöglichkeiten des Anbieters eine wichtige Rolle spielen.2111 1107 Im Verhältnis zum Auftraggeber wird der Provider die Verantwortung für die Rechtskonformität der Inhalte der Website (Content, Werbung) allein diesem auferlegen und sich ausbedingen, dass der Auftraggeber auch dann seine Vergütung zu zahlen hat, wenn der Auftraggeber als Verletzer oder der Anbieter etwa als Störer auf Unterlassung in Anspruch genommen wird. Relevant werden kann v.a. auch eine Verletzung der Informationspflichten, die zwar den Auftraggeber genuin als Anbieter betreffen, deren Verletzung aber auch den Presence-Provider direkt oder indirekt trifft. Z.B. sollen nach Ansicht des AG Gelnhausen den Anbieter die Risiken des Mehraufwands für Datentransfer und Leistungen zu Analyse und Beendigung von Attacken („DDOS“-Angriffen) auf den für Webhosting zur Verfügung gestellten Server treffen.2112 Andererseits gehören nach dieser E. solche Attacken insoweit nicht zu der Risikosphäre des Anbieters, wenn es um die Frage der Kündigung bzw. Beendigung des Vertrages geht.2113 2103 2104 2105 2106 2107 2108
2113
BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (201 f., Rz. 47 ff.) m. Anm. Kremer/Telle. BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (Ls. 3) m. Anm. Kremer/Telle. BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (Ls. 3) m. Anm. Kremer/Telle. BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (Ls. 4) m. Anm. Kremer/Telle. BGH v. 26.11.2015 – I ZR 174/14, CR 2016, 198 (Ls. 4) m. Anm. Kremer/Telle. Zu Prüfungspflichten des Webhosters bei Rechtsverletzungen durch Kunden s. schon Roth, ITRB 2002, 248; zu Verkehrssicherungspflichten des Host-Providers Flechsig, MMR 2002, 347; s. zum Hosting einer rechtsverletzenden Information für ein abhängiges Konzernunternehmen Eck, MMR 2005, 7. BGH v. 25.10.2011 – VI ZR 93/10, CR 2012, 103 (Ls. 2) – Blog-Eintrag. BGH v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 (393, Rz. 40); v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (53) – Kinderhochstühle im Internet II; v. 11.3.2004 – I ZR 304/01, CR 2004, 763 – m. Anm. Volkmann – Internetversteigerung I; v. 19.4.2007 – I ZR 35/04, CR 2007, 523 m. Anm. Rössel – Internetversteigerung II. BGH v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 (393, Rz. 38). AG Gelnhausen v. 6.10.2005 – 51 C 202/05, CR 2006, 208 (104, Rz. 21 f.). S.a. ÖOGH v. 6.7.2004 – 4 Ob 66/04s, MMR 2004, 807 zur Haftung von Host-Providern nach österreichischem Recht, Haftung des Webhosters für DDos-Attacken Dritter. AG Gelnhausen v. 6.10.2005 – 51 C 202/05, CR 2006, 208.
684
Kosmides
2109 2110
2111 2112
Haftung und Privilegierung der Provider
Rz. 1110
B
Die Rspr. überträgt z.T. die Grundsätze des BGH für Plattformbetreiber und deren Prüfungspflichten auf Presence-Provider.2114 Z.B. dürfen es nach Ansicht des LG Berlin solche Provider nicht bei der Sperrung beanstandeter Seiten belassen, sondern müssen „auch identische Verletzungen auf anderen von ihnen gehosteten Seiten herausfiltern“.2115 Das LG Berlin2116 bezog sich zentral auf die E. des BGH vom 11.3.2004 zur Haftung des Plattformanbieters für Markenverletzungen im Rahmen einer Internetversteigerung. Die Gleichsetzung von Presence-Provider und Internetversteigerer verwundert zunächst. Tatsächlich streben manche Autoren die Gleichsetzung insofern an, als der Online-Versteigerer unter das Privileg des Host-Providers (nun § 10 TMG) fallen soll.2117 Damit würde der Host aber auch den proaktiven Prüfungspflichten genügen müssen, die der BGH den Internetanbietern auferlegt.2118 Eine Sperrpflicht besteht erst nach Kenntnis.2119
1108
Im Einklang mit seiner Rspr. in Bezug auf die Einrichtung von Filtersystemen zur Verhin- 1109 derung von Schutzrechtsverletzungen bei einem Access-Provider (Rz. 1084 ff.) hat der EuGH in der Pflicht zur Einrichtung eines Filtersystems bei einem Hosting-Provider einen Verstoß gegen das Verbot allgemeiner Überwachungspflichten erkannt.2120 Demnach ist unionsrechtlich unzulässig, gerichtlich anzuordnen „ein System der Filterung – der von den Nutzern seiner Dienste auf seinen Servern gespeicherten Informationen, – das unterschiedslos auf alle diese Nutzer anwendbar ist, – präventiv, – allein auf eigene Kosten und – zeitlich unbegrenzt einzurichten, mit dem sich Dateien ermitteln lassen, die musikalische, filmische oder audiovisuelle Werke enthalten, an denen der Antragsteller Rechte des geistigen Eigentums zu haben behauptet, um zu verhindern, dass die genannten Werke unter Verstoß gegen das Urheberrecht der Öffentlichkeit zur Verfügung gestellt werden“.2121
4.5 ASP ASP ist ein komplexer Internet-Provider-Vertrag. Wesentlich ist dabei die Gewährung der 1110 Online-basierten Nutzung von Software für bestimmte, durch die Nutzungsintensität gesteuerte Zeit und Inanspruchnahme der Ressourcen.2122 Dem ASP liegt typischerweise ein Outsourcing-Vertrag zugrunde, der das Nutzungsverhältnis auf den Auftraggeber (und dessen Mitarbeiter) begrenzt. Die Abschottung gegenüber Dritten ist eine wesentliche Maßgabe. Es gibt aber auch den Übergang zum Host-Providing, wenn der Auftraggeber Teile der Anwendung für das Publikum öffnet, um die Online-Nutzung zu ermöglichen. Dann würde etwa der
2114 S. für Österreich: Haftung analog Presseunternehmen ÖOGH v. 6.7.2004 – 4 Ob 66/04s, MMR 2004, 807. 2115 LG Berlin v. 10.11.2005 – 27 O 616/05, CR 2006, 418 (aus Ls. 1). 2116 LG Berlin v. 10.11.2005 – 27 O 616/05, CR 2006, 418. 2117 S. z.B. Berger/Janal, CR 2004, 917 (918) mit Bezugnahme auf BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 – Internetversteigerung I. 2118 BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay; s. zu solchen Prüfungspflichten des Webhosters LG Karlsruhe v. 10.12.2007 – 9 S 564/06, CR 2008, 251. 2119 BGH v. 17.8.2011 – I ZR 57/09, CR 2011, 817 (818 f.) – Stiftparfüm; OLG Wien v. 15.12.2003 – 4 R 186/03 g, MMR 2004, 780; s.a. LG Karlsruhe v. 10.12.2007 – 9 S 564/06, CR 2008, 251 erst nach Hinweis auf klare Rechtsverletzung. 2120 EuGH v. 16.2.2012 – C-360/10, CR 2012, 265 – Netlog NV/Sabam. 2121 EuGH v. 16.2.2012 – C-360/10, CR 2012, 265 (Ls.) – Netlog NV/Sabam. 2122 Zu ASP s. M Rz. 5, M Rz. 24 ff.
Kosmides
685
B Rz. 1111
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
ASP-Teil data mining, Verwaltung der Datenbank u.Ä. enthalten, der gehostete Front-Server den Online-Dienst. 1111 Haftungsrechtlich interessant ist die klare Differenzierung der Leistungen und System-Bereiche, um ein eventuelles Durchschlagen von Ansprüchen gegenüber dem Front-Bereich auf den ASP-Bereich zu verhindern, so z.B. hinsichtlich Auskünften, Unterlassung. 4.6 Internetanschlussinhaber – W-LAN-Betreiber 1112 Der Betreiber des W-LAN ist als Anschlussinhaber Zugangsvermittler und insofern Diensteanbieter nach § 8 TMG.2123 Dies folgt nunmehr (seit 27.7.2016) unmittelbar aus § 8 Abs. 3 TMG, der klarstellend besagt, dass § 8 Abs. 1 und 2 TMG auch für Diensteanbieter nach § 8 Abs. 1 TMG gelten, „die Nutzern einen Internetzugang über ein drahtloses lokales Netzwerk zur Verfügung stellen“.2124 Ein Vertrag mit einem solchen WLAN-Anbieter ist, wenn entgeltlich, als Dienstvertrag einzuordnen.2125 Der BGH sieht den Access- (Zugangsverschaffungs-)Vertrag parallel zu Telefonfestnetz- und Mobilfunkverträgen.2126 Deshalb schuldet der Anbieter „nur die Bereithaltung des Anschlusses und das sachgerechte Bemühen um die Herstellung der Verbindung ins Internet“.2127 Aus technischen Gründen gestaltete sich die Abschaltung der Nutzer des bisherigen Kunden nach Vertragsbeendigung sehr aufwendig. Dies ist nach dem BGH – unabhängig von der Vertragstypik – allein der Sphäre des Betreibers zuzurechnen (auch hinsichtlich der Kosten).2128 1113 Die Verwendung einer ungeschützten W-LAN-Verbindung für den Zugang ins Internet birgt die keinesfalls unwahrscheinliche Möglichkeit, dass von Dritten, die die ungeschützte Verbindung nutzen, Rechtsverletzungen begangen werden. Dies löst Handlungs- und Prüfungspflichten aus, um der Möglichkeit der Rechtsverletzung vorzubeugen. 1114 Auf der Website des BSI (Bundesamt für Sicherheit in der Informationstechnik) sind Sicherheitstipps zum privaten W-LAN-Einsatz enthalten. Die Einhaltung der empfohlenen Sicherungsmaßnahmen könnte nicht nur eine Rechtsverletzung in tatsächlicher Hinsicht abwenden, sondern auch den Betreiber im Falle einer Rechtsverletzung durch einen Dritten dabei zu verhelfen, von der Haftung in rechtlicher Hinsicht befreit zu werden. Insofern empfiehlt es sich, diese Maßnahmen umzusetzen. In der Folge sind die einzelnen Sicherheitstipps stichpunktartig formuliert2129: – Berücksichtigung der BSI-Empfehlungen für Router; – Konfiguration des Access-Points über sichere Wege; – Änderung des Netzwerknamens; – Ausreichende Verschlüsselung;
2123 Hornung, CR 2007, 88 (93); Eichelberger, in: Hoeren/Bensinger (Hrsg.), Haftung im Internet, Kap. 4 Rz. 92 ff.; AG Berlin-Charlottenburg v. 17.12.2014 – 217 C 121/14, CR 2015, 192 (193) m. Anm. Bergt/v. Boetticher; AG Hamburg v. 24.6.2014 – 25b C 924/13, ITRB 2014, 205; AG Hamburg-Mitte v. 10.6.2014 – 25b C 431/13, CR 2014, 536. 2124 S.a. Franz/Sakowski, CR 2016, 524 (527). 2125 BGH v. 23.3.2005 – III ZR 338/04, CR 2005, 816 m. Anm. Schuppert. Zu Vertragsmodellen s. Hoenike/Boes, MMR 2003, 457. 2126 BGH v. 23.3.2005 – III ZR 338/04, CR 2005, 816 m. Anm. Schuppert unter Hinweis auf BGH v. 4.3.2004 – III ZR 96/03, CR 2004, 355; v. 22.11.2001 – III ZR 5/01, CR 2002, 107; v. 2.7.1998 – III ZR 287/97, CR 1998, 664. 2127 BGH v. 23.3.2005 – III ZR 338/04, CR 2005, 816 (Ls. S. 3) m. Anm. Schuppert. 2128 BGH v. 23.3.2005 – III ZR 338/04, CR 2005, 816 (817) m. Anm. Schuppert. 2129 S. https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungWLAN-LAN/WLAN/Sicher heitstipps/wlan_tipps.html (abgerufen im Januar 2016).
686
Kosmides
Haftung und Privilegierung der Provider
Rz. 1116a
B
– Deaktivierung des WPS-PIN-Verfahrens; – Einschalten des W-LANs nur bei Gebrauch. Hat der Betreiber eines privaten W-LAN-Netzes keine ausreichenden Sicherungmaßnahmen 1115 getroffen, haftet er nach der BGH-Rspr. als Störer für Rechtsverletzungen, die von Dritten unter unerlaubter Nutzung dieses Netzes begangen wurden.2130 Ihn trifft konkret die Pflicht, die im Kaufzeitpunkt des WLAN-Routers marktüblichen Sicherungen ihrem Zweck entsprechend anzuwenden.2131 Der WLAN-Betreiber ist dabei u.a. verpflichtet, das werkseitig vergebene Kennwort zu ändern. Etwas anderes gilt aber nach Ansicht des AG Hamburg, wenn dieses Kennwort nicht für eine Vielzahl von Geräten gilt, sondern individuell und damit nur dem Betreiber bekannt ist.2132 Der Betreiber eines offenen W-LAN haftet insofern für die Rechtsverletzungen Dritter.2133 Im Gegensatz dazu ist eine Haftung des W-LAN-Betreibers für eine unter Nutzung eines verschlüsselten Netzwerks begangene Rechtsverletzung durch Dritte zu verneinen.2134 Eine anlasslose Pflicht des Betreibers zur ständiger Überwachung besteht grds. nicht.2135 Nicht einheitlich beantwortet wird in der Rspr. die Frage, ob Prüfungs- bzw. Überwachungs- 1116 pflichten des Anschlussinhabers hinsichtlich der Internetbenutzung durch eigene Kinder bzw. in der Familie bestehen mit der Folge, dass der Anschlussinhaber bei einer Verletzung solcher Prüfungs- und Überwachungspflichten für im Internet begangene Rechtsverletzungen haftet.2136 Die jüngere höchstrichterlliche Rspr. soll weitgehend Klarheit darüber verschaffen: So wurde eine Haftung des Anschlussinhabers (sowohl als Täter oder Teilnehmer als auch als Störer) grds. verneint, wenn volljährige Familienangehörige den ihnen zur Nutzung überlassenen Anschluss für Rechtsverletzungen missbrauchen.2137 Der Anschlussinhaber sei grds. nicht verpflichtet, „volljährige Familienangehörige über die Rechtswidrigkeit einer Teilnahme an Internettauschbörsen oder von sonstigen Rechtsverletzungen im Internet zu belehren und ihnen die Nutzung des Internetanschlusses zur rechtswidrigen Teilnahme an Internettauschbörsen oder zu sonstigen Rechtsverletzungen im Internet zu verbieten, wenn keine konkreten Anhaltspunkte für eine solche Nutzung bestehen“.2138 Der BGH hat in einem weiteren Urteil eine allgemeine präventive Überwachungspflicht der 1116a Eltern in Bezug auf die Nutzung des Internet durch ein normal entwickeltes 13-jähriges Kind sowie eine Verpflichtung, den Computer des Kindes zu überprüfen oder dem Kind den Zugang zum Internet zu versperren, verneint und damit eine Haftung der Eltern (sowohl als
2130 BGH v. 12.5.2010 – I ZR 121/08, CR 2010, 458 (460) m. Anm. Hornung – Sommer unseres Lebens. 2131 BGH v. 12.5.2010 – I ZR 121/08, CR 2010, 458 (Ls. 2) m. Anm. Hornung – Sommer unseres Lebens. 2132 AG Hamburg v. 9.1.2015 – 36a C 40/14, CR 2015, 335. 2133 LG Hamburg v. 11.1.2013 – 308 O 442/12, CR 2013, 678 (679); BGH v. 26.7.2006 – 308 O 407/06, CR 2007, 54 m. Anm. Gercke; a.M. OLG Frankfurt v. 1.7.2008 – 11 U 52/07, IPRB 2011, 102. 2134 AG Frankfurt v. 16.12.2014 – 30 C 2801/14 (32), CR 2015, 337. 2135 AG Frankfurt v. 16.12.2014 – 30 C 2801/14 (32), CR 2015, 337; AG Berlin-Charlottenburg v. 17.12.2014 – 217 C 121/14, CR 2015, 192 (Ls. 2) m. Anm. Bergt/v. Boetticher. 2136 Vgl. BVerfG v. 21.3.2012 – 1 BvR 2365/11, CR 2012, 324 (Ls.). Eine Störerhaftung bejahend: LG Köln v. 18.10.2006 – 28 O 364/06, K&R 2007, 51; LG Hamburg v. 21.4.2006 – 308 O 139/06, CR 2007, 121 m. krit. Anm. Großkopf (für den Fall der Teilnahme eines Jugendlichen an File-Sharing-Systemen); abhängig von Alter, aber keine Dauerüberwachung, jedoch nicht ohne Prüfung der Zuverlässigkeit: Anmerkung Schöttler zu LG Mannheim v. 29.9.2006 – 7 O 62/06, in: Heckmann (Hrsg.), jurisPR-ITR 2/2007; verneint wurde Prüfungspflicht gegenüber Familienangehörigen bei Filesharing von LG Mannheim v. 30.1.2007 – 2 O 71/06, CR 2007, 394 und OLG Frankfurt v. 20.12.2007 – 11 W 58/07, CR 2008, 243 m. Anm. Stang/Hühner. 2137 BGH v. 8.1.2014 – I ZR 169/12, CR 2014, 472 (473, Rz. 13, 474, Rz. 21) m. Anm. Brüggemann – BearShare. 2138 BGH v. 8.1.2014 – I ZR 169/12, CR 2014, 472 (474, Rz. 24) m. Anm. Brüggemann = ITRB 2014, 176 – BearShare.
Kosmides
687
B Rz. 1116b
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Täter oder Teilnehmer als auch als Störer) für solche filesharende Kinder grds. abgelehnt.2139 Es reiche vielmehr aus, wenn das Kind auf die mögliche Rechtswidrigkeit einer Teilnahme an Internettauschbörsen hingewiesen und ihm eine Teilnahme daran verboten werde.2140 Dazu genügt es allerdings nicht, dem Kind nur die Einhaltung allgemeiner Regeln zu einem ordentlichen Verhalten aufzugeben.2141 In einem solchen Fall wurde eine Haftung der Eltern gem. § 832 Abs. 1 BGB wegen Verletzung ihrer Pflicht zur Beaufsichtigung ihres 14-jährigen Kinds vom BGH bejaht.2142 1116b Strengere Maßstäbe sollen für jüngere Kinder angelegt werden. Ein Aufsichtspflichtiger hat nach höchstrichterlicher Rspr. dafür zu sorgen, dass ein Kind im Alter von 5 1/2 Jahren auf einem Spielplatz in regelmäßigen Abständen von höchstens 30 Minuten kontrolliert wird.2143 1117 Auch der Bekanntschaftsgrad ist relevant. Unbekannten Dritten darf der Anschluss generell nicht ohne Prüfung der Zuverlässigkeit überlassen werden. Das LG Frankfurt/M.2144 hat insoweit wie folgt entschieden: „Allein das Ausschalten des PC stellt keine wirksame – eine Störerhaftung ausschließende – Schutzmaßnahme des Internet-Anschlussinhabers gegen Rechtsverletzungen dar, die Dritte über dessen W-LAN-Internet-Verbindung begehen.“
1118 Der Arbeitgeber haftet nicht schon deswegen als Störer, weil er seinem Arbeitnehmer einen Computer mit Internetanschluss überlässt.2145 Eine Filterung oder manuelle Kontrolle des/ der Mitarbeiter-Zugriffe im Internet ist ohne konkrete Anhaltspunkte nicht zumutbar.2146 Eine anlasslose Prüfungs- und Kontrollpflicht besteht grds. nicht. 1119 Die vom BGH gestellten Anforderungen an die Absicherung eines privaten W-LAN-Netzes2147 sind erst recht auf ein gewerbliches oder nicht ausschließlich privates W-LAN-Netz übertragbar.2148 Hier sollten zwar in Anbetracht der i.d.R. höheren Gefahren sowie der Gewinnerzielungsabsicht des Betreibers grds. stärkere Sicherungsmaßnahmen gefordert werden.2149 Als Störer kann u.U. auch der Hotelier wegen Urheberrechtsverletzungen über den seinen Gästen zur Verfügung gestellten Internetanschluss in Anspruch genommen werden. Nach Ansicht des LG Frankfurt reicht für den Ausschluss einer Haftung aus, dass die Internetnutzung „von vornherein nur zum Versand von E-Mails und allenfalls noch zu beruflichen Zwecken“ bereitgestellt wurde.2150 1120 In Bezug auf die Haftung eines Vermieters von Ferienwohnungen mit Hotspot hat das AG Hamburg entschieden, dass er ausschließlich zu dessen Passwortschutz sowie Belehrung der Mieter zur urheberrechtskonformen Nutzung verpflichtet ist.2151 Er ist selbst nach Bekanntwerden eines ersten Verletzungsfalls nicht zur Überwachung der Internetnutzung verpflichtet.2152 Das LG Köln hat entschieden, dass der Internetanschlussinhaber gegenüber dem
2139 BGH v. 15.11.2012 – I ZR 74/12, CR 2013, 324 (Ls.) m. Anm. Brüggemann – Morpheus. 2140 BGH v. 15.11.2012 – I ZR 74/12, CR 2013, 324 (Ls.) m. Anm. Brüggemann – Morpheus; ebenso BGH v. 11.6.2015 – I ZR 7/14, CR 2016, 399 (Ls. 1) – Tauschbörse II. 2141 BGH v. 11.6.2015 – I ZR 7/14, CR 2016, 399 (Ls. 1) – Tauschbörse II. 2142 BGH v. 11.6.2015 – I ZR 7/14, CR 2016, 399 (Ls. 2) – Tauschbörse II. 2143 BGH v. 24.3.2009 – VI ZR 51/08, NJW 2009, 1952. 2144 LG Frankfurt/M. v. 22.2.2007 – 2/3 O 771/06, CR 2007, 670. 2145 LG München v. 4.10.2007 – 7 O 2827/07, CR 2008, 49. 2146 LG München v. 4.10.2007 – 7 O 2827/07, CR 2008, 49 (Ls. 3) sinngemäß. 2147 BGH v. 12.5.2010 – I ZR 121/08, CR 2010, 458 m. Anm. Hornung – Sommer unseres Lebens. 2148 Ebenso Eichelberger, in: Hoeren/Bensinger (Hrsg.), Haftung im Internet, Kap. 4 Rz. 111. 2149 Ähnlich Eichelberger, in: Hoeren/Bensinger (Hrsg.), Haftung im Internet, Kap. 4 Rz. 111. 2150 LG Frankfurt v. 28.6.2013 – 2-6 O 304/12, juris Rz. 68 ff. 2151 AG Hamburg v. 24.6.2014 – 25b C 924/13, ITRB 2014, 205. 2152 AG Hamburg v. 24.6.2014 – 25b C 924/13, ITRB 2014, 205.
688
Kosmides
Haftung und Privilegierung der Provider
Rz. 1124
B
Verwertungsrechtsinhaber keine Pflicht zur Führung der Aufsicht über seine Untermieter hat.2153 Das LG München I hat dem EuGH die Grundsatzfrage der Haftungsbefreiung bei Betrieb eines offenen WLAN (durch einen Gewerbetreibenden) vorgelegt:2154
1121
„Ist Art. 12 Abs. 1 Halbs. 1 der Richtlinie 2000/31/EG (…) so auszulegen, dass „Zugang zu einem Kommunikationsnetzwerk zu vermitteln“ bedeutet, dass es für eine richtlinienkonforme Vermittlung lediglich darauf ankommt, dass der Erfolg eintritt, indem der Zugang zu einem Kommunikationsnetzwerk (z.B. dem Internet) vermittelt wird? Ist Art. 12 Abs. 1 Halbs. 1 der Richtlinie 2000/31 EG i.V.m. Art. 2 lit. b der Richtlinie 2000/31/EG so auszulegen, dass es für „anbieten“ i.S.v. Art. 2 lit. b der Richtlinie 2000/31 EG ausreicht, wenn der Dienst der Informationsgesellschaft rein tatsächlich zur Verfügung gestellt wird, im konkreten Fall also ein offenes WLAN bereitgestellt wird, oder ist z.B. darüber hinaus auch ein „Anpreisen“ erforderlich?“
Der Internetanschlussinhaber haftet als Mittäter oder Gehilfe durch Unterlassen, wenn er „von den über seinen Internetanschluss vorgenommenen Rechtsverletzungen wusste und den von ihm als rechtsverletzend erkannten Handlungserfolg trotz Abwendungsmöglichkeit nicht verhindert, sondern billigend in Kauf genommen hat“.2155
1122
4.7 Account-Inhaber Der Überlasser des eBay-Accounts, der es dem anderen erlaubt, unter seinem Namen als 1123 Verkäufer aufzutreten, kann nach Ansicht des OLG Stuttgart „nach den Grundsätzen der wettbewerbsrechtlichen Störerhaftung wegen Verstößen auf Unterlassung in Anspruch genommen werden“, etwa wegen der Verletzung der Informations- und Belehrungspflichten.2156 Dem Überlasser des Accounts obliegen besondere Prüfungspflichten, um Rechtsverstöße des Dritten zu unterbinden.2157 Es gibt aber keine generellen Prüfungspflichten eines Portalbetreibers.2158 Ab Kenntnis von Verstößen bzw. Rechtsverletzungen gilt dies nicht, muss evtl. sogar vorbeugend geprüft werden.2159 Die „wettbewerbsrechtliche Verkehrspflicht“ kann es erforderlich machen, auch die anderen Angebote des Versteigerers zu prüfen.2160 In dieser (vorbeugenden) Prüfungspflicht liegt ein „Systematischer Widerspruch“2161 zur RL 2000/31/EG, wonach ausdrücklich keine allgemeine Verpflichtung aufzuerlegen ist, entsprechend § 7 Abs. 2 Satz 1 TMG. Der BGH hat entschieden, dass der Inhaber eines Mitgliedskontos bei eBay, der seine Zugangsdaten nicht hinreichend vor fremdem Zugriff gesichert hat, mit der Folge, dass ein unberechtigter Dritter sein Mitgliedskonto zu Schutzrechtsverletzungen und Wettbewerbsverstößen nutzt, wegen der von ihm geschaffenen Gefahr einer Unklarheit darüber, wer unter 2153 2154 2155 2156 2157 2158 2159
2160 2161
LG Köln v. 14.3.2013 – 14 O 320/12, ITRB 2013, 158. LG München I v. 18.9.2014 – 7 O 14719/12, GRUR Int. 2014, 1166 (Ls. 2). OLG Köln v. 14.3.2014 – 6 U 109/13, CR 2014, 608 (Ls. 3) – Walk This Way. OLG Stuttgart v. 16.4.2007 – 2 W 71/06, jur-pc 117/2007; s.a schon LG Bonn v. 7.12.2004 – 11 O 48/04, CR 2005, 602: die Werbung erfolgt aus Sicht der Adressaten für den Konto-Inhaber als dessen eigene Erklärung (Verkaufsagent). OLG Stuttgart v. 16.4.2007 – 2 W 71/06 im Anschluss an OLG Frankfurt v. 13.6.2005 – 6 W 20/05, CR 2005, 655. LG Berlin v. 31.5.2007 – 27 S 2/07, CR 2007, 744 mit Verweis auf KG v. 17.12.2006 – 10 W 106/06 und BGH v. 11.3.2004 – I ZR 304/01, NJW 2004, 3102 – Rolex. BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 m. Anm. Rössel = K&R 2007, 387 = ITRB 2007, 246 – Internetversteigerung II in „Fortführung“ von BGH v. 11.3.2004 – I ZR 304/01, NJW 2004, 3102 – Rolex und v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – jugendgefährdende Medien bei eBay (zumutbare Vorsorgemaßnahmen). BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – jugendgefährdende Medien bei eBay. Berger/Janal, CR 2004, 917 (919).
Kosmides
689
1124
B Rz. 1125
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
dem Mitgliedskonto gehandelt hat und im Falle einer Vertrags- oder Schutzrechtsverletzung in Anspruch genommen werden kann, so zu behandeln ist, als ob er selbst gehandelt hätte.2162 1125 „Das von eBay verwendete technische System der Anmeldung mit Benutzernamen und Passwort ist nicht ausreichend, um aus der Verwendung eines Passworts auf denjenigen als Verwender zu schließen, dem dieses Passwort ursprünglich zugeteilt worden ist.“2163
Demnach müssten an eine Schadensersatzhaftung desjenigen, der sein Passwort fahrlässig einem Dritten überlässt, besondere Voraussetzungen geknüpft werden.2164 4.8 Filesharing 1126 Bei Filesharing sind die Haftungsvoraussetzungen im Lichte der technischen Besonderheiten dieser Systeme zu sehen. Weil Peer-to-Peer (P2P) File-Sharing-Systeme keine zentralisierte Netzwerk-Architektur besitzen2165 und damit kein Verantwortlicher im klassischen Sinne bereitsteht, können hier die Grundsätze der Störerhaftung greifen2166: „1. In Bezug auf bekannt gewordene Rechtsverletzungen darf sich der Betreiber eines SharehosterDienstes nicht darauf beschränken, reaktiv tätig zu werden, sondern er muss zur Vermeidung von Rechtsverstößen „pro-aktiv“ eingreifen. 2. Dem Betreiber eines Sharehoster-Dienstes obliegt es nicht ohne weiteres, vorsorglich sein gesamtes Angebot nach möglichen Urheberrechtsverletzungen bzw. einer bestimmten Person zu durchsuchen. Er ist jedoch verpflichtet, diejenigen Nutzer, die in der Vergangenheit bereits Inhalte unter Verletzung von Urheberrechten hochgeladen haben, auch zukünftig intensiv und wirkungsvoll zu überprüfen. Hierbei ist ihm eine konkrete inhaltliche Überprüfung des Inhalts von Dateien bereits vor dem oder jedenfalls während des Hochladens abzuverlangen. Eine solche Überprüfung ist auch zumutbar.“2167
1127 Der Betreiber eines Download-Portals haftet nicht für ein rechtswidriges öffentliches Zugänglichmachen i.S.d. § 19a UrhG, weil er nicht über die Freigabe der Dateien an den Suchenden entscheidet.2168 Hierfür haftet vielmehr der Content-Anbieter, d.h. der öffentlich zugänglich Machende (Uploader). 1128 Wer P2P-Software (P2P) oder technische Einrichtungen zum Betrieb eines solchen Netzwerkes zur Verfügung stellt, haftet nur dann als Störer für vom Nutzer begangene Urheberrechtsverletzungen, wenn er nicht nur die Eigenschaft der Software zum Missbrauch kennt, sondern hiermit wirbt und diese Möglichkeit ausdrücklich zum Anwendungsbereich des Produkts erklärt.2169 In diesem Fall kann die Haftung nicht alleine durch einen Disclaimer ausgeschlossen werden, vielmehr müssen wirksame Schutzmechanismen so ausgestaltet sein, dass ein Einspeisen bzw. Transport der rechtsverletzenden Programme ausgeschlossen ist.2170 2162 BGH v. 11.3.2009 – I ZR 114/06, CR 2009, 450 (Ls.) m. Anm. Rössel – Halzband. 2163 OLG Hamm v. 16.11.2006 – 28 U 84/06, MMR 2007, 449 (Ls. 1). Das Gericht verweist dazu auch auf OLG Köln v. 6.9.2002 – 19 U 16/02, CR 2003, 55; LG Bonn v. 7.8.2001 – 2 O 450/00, CR 2002, 293 m. Anm. Hoeren; OLG Naumburg v. 2.3.2004 – 9 U 145/04. S.a. Mankowski, CR 2003, 44 ff., v.a. zu OLG Köln v. 6.9.2002 – 19 U 16/02, CR 2003, 55. 2164 OLG Hamm v. 16.11.2006 – 28 U 84/06, MMR 2007, 449, 450 ausdrücklich gegen AG Bremen v. 20.10.2005 – 16 C 168/05, CR 2006, 136 m. Anm. Wenn. 2165 Zur Funktionsweise Kreutzer, GRUR 2001, 195. 2166 Spindler, CR 2005, 741 (mit Überblick zur Haftung und Verantwortlichkeit allg.); OLG Hamburg v. 30.9.2009 – 5 U 111/08, MMR 2010, 51 (Ls. 1 und 2); Störerhaftung bei Filesharing analog § 1004 BGB: LG Köln v. 22.11.2006 – 28 O 150/06, CR 2008, 184. 2167 OLG Hamburg v. 30.9.2009 – 5 U 111/08, MMR 2010, 51 (Ls. 1 und 2). 2168 Gercke, CR 2006, 210 (213). 2169 OLG Hamburg v. 8.2.2006 – 5 U 78/05, CR 2006, 299 m. Anm. Brinkel – Cybersky I; OLG Hamburg v. 14.2.2007 – 5 U 134/06, CR 2007, 491 – Cybersky II. 2170 OLG Hamburg v. 8.2.2006 – 5 U 78/05, CR 2006, 299 m. Anm. Brinkel – Cybersky I; OLG Hamburg v. 14.2.2007 – 5 U 134/06, CR 2007, 491 – Cybersky II.
690
Kosmides
Haftung und Privilegierung der Provider
Rz. 1133
B
Bei Filehosting-Services kommt in Betracht, dass der Dienst (weit) überwiegend für illegale 1129 Aktivitäten genutzt werden kann. Wie der BGH allerdings klargestellt hat, ist ein solcher Dienst nicht unbedingt und von vornherein auf Rechtsverletzungen angelegt.2171 Ist das Geschäftsmodell nicht von vornherein auf Rechtsverletzungen durch die Nutzer angelegt, da es weitgehend auch legal genutzt werden kann, hat der Anbieter nicht jede von Nutzern auf seinen Servern hochgeladene Datei auf rechtsverletzende Inhalte zu überprüfen.2172 Der Hinweis auf eine klare Rechtsverletzung reicht aus, um eine entsprechende Prüfpflicht 1130 des Anbieters auszulösen.2173 Ein Sharehoster muss nur auf einen solchen Hinweis hin eine manuell zu handhabende Linksammlung überprüfen.2174 Umstritten ist, ob dies notfalls unter Personalaufstockung zu erfolgen hat.2175 Die Grenze ist die Zumutbarkeit der Prüfpflicht.2176 Dem Betreiber können anspruchsvolle Maßnahmen zur Verhinderung zumutbar sein, etwa eine Registrierungspflicht für alle Nutzer.2177 Wenn der Betreiber von den illegalen Inhalten bzw. deren Nutzung profitiert,2178 ist die Grenze der Zumutbarkeit nicht (schon) dort erreicht, wo das Geschäftsmodell in Frage gestellt wird.2179 Notfalls heißt das auch Einstellung des Services. Für Art und Umfang der Prüfpflichten ist im Allgemeinen auf den Grundsatz von Treu und Glauben abzustellen.2180 Solche Verhaltenspflichten müssen gemäß einer die Einzelfallumstände berücksichtigenden und die betroffenen Interessen abwägenden Verhältnismäßigkeitsprüfung als angemessen erachtet werden können.2181
1131
Bei Urheberrechtsverletzungen genügt der File-Hosting-Provider seinen Verhaltenspflichten 1132 grds. nicht, wenn er nur ein Lösch-Interface für Rechteinhaber anbietet. Er hat vielmehr eine umfassende regelmäßige Kontrolle der Linksammlungen, die auf seinen Dienst verweisen, in Bezug auf die fragliche Rechtsverletzung durchzuführen.2182 Bei einer besonderen Gefahrengeneigtheit des Dienstes ist nicht unbedingt ein rechtlich missbilligtes Geschäftsmodell anzunehmen. Auch in diesem Fall können die von der Rspr. zum Schutze des Anbieters entwickelten Begrenzungen der Prüfungspflichten Platz greifen.2183 Die besondere Gefahrengeneigtheit kann aber dazu führen, dass dem Anbieter weitergehende Prüfungspflichten auferlegt werden.2184
2171 BGH v. 15.8.2013 – I ZR 85/12, Rz. 31. 2172 BGH v. 15.8.2013 – I ZR 79/12, Rz. 39 – Prüfpflichten; LG München I v. 29.1.2009 – 7 O 3836/07, juris Rz. 163. 2173 BGH v. 15.8.2013 – I ZR 79/12, Rz. 39 – Prüfpflichten; OLG Düsseldorf v. 24.2.2009 – I-20 U 204/02, CR 2009, 391 (Ls. 1). 2174 OLG Köln v. 21.9.2007 – 6 U 86/07, CR 2008, 41 – Rapidshare; ebenso im Parallelverfahren OLG Köln v. 21.9.2007 – 6 U 100/07; beide insofern Beschränkung gegenüber LG Köln v. 21.3.2007 – 28 O 15/07 auf diese Liste. 2175 Bejahend: OLG Köln v. 21.9.2007 – 6 U 86/07, CR 2008, 41 – Rapidshare; verneinend: BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay. 2176 Insofern setzt OLG Köln v. 21.9.2007 – 6 U 86/07, CR 2008, 41 – Rapidshare – die eingeschränkte Tenorierung, die BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 – Internetversteigerung II fordert, um. 2177 LG Düsseldorf v. 23.1.2008 – 12 O 246/07, CR 2008, 742 zu „rapidshare“. 2178 Zum Aspekt der Vorteile s.a. OLG Düsseldorf v. 7.6.2006 – I-15 U 21/06, CR 2006, 682. 2179 LG Düsseldorf v. 23.1.2008 – 12 O 246/07, CR 2008, 742. 2180 OLG Hamburg v. 30.9.2009 – 5 U 111/08, juris (Ls. 3). 2181 S. LG Hamburg v. 20.4.2012 – 310 O 461/10, CR 2012, 391 (Ls. 2) m. Anm. Schulz. 2182 BGH v. 15.8.2013 – I ZR 79/12, Rz. 49 ff. – Prüfpflichten. 2183 BGH v. 15.8.2013 – I ZR 79/12, Rz. 26 – Prüfpflichten; a.M. OLG Hamburg v. 30.9.2009 – 5 U 111/08, MMR 2010, 51 (Ls. 3). 2184 BGH v. 15.8.2013 – I ZR 85/12, Rz. 28; v. 15.8.2013 – I ZR 79/12, juris Rz. 26 – Prüfpflichten; im konkreten Fall von LG München I v. 11.7.2014 – 21 O 854/13, juris Os. 2 eine besondere Gefahrengeneigtheit des File-Hosting-Dienstes abgelehnt.
Kosmides
691
1133
B Rz. 1134
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1134 Von einer ausgedehnten Prüfungspflicht ist etwa in Zshg. mit einem Filehosting-Diensteanbieter auszugehen, wenn aufgrund der besonderen Merkmale des Dienstes (z.B. Geschwindigkeit der Ladevorgänge, Dauer der Datenspeicherung, Größe der hochladbaren Dateien, Anonymität der Nutzer) die Gefahr einer urheberrechtsverletzenden Nutzung erhöht wird.2185 1135 Unterlässt es ein File-Hosting-Anbieter nach konkreter Kenntnis von einer Urheberrechtsverletzung hartnäckig, die rechtsverletzenden Inhalte zu sperren bzw. zu löschen, kann eine Haftung des Anbieters als Gehilfe (Beihilfe durch Unterlassen) für die durch den Nutzer begangene Rechtsverletzung begründet werden.2186 Eine bloß verzögerte Sperrung bzw. Löschung reicht dafür i.d.R. nicht aus. Diese begründet nur eine Störerhaftung.2187 4.9 Foren – Bewertungsplattformen 4.9.1 Meinungsäußerungsfreiheit und persönlichkeitsrechtsverletzende Inhalte 1136 Die Meinungsäußerungsfreiheit wird den Autoren und Betreibern durch Art. 5 Abs. 1 GG grds. konzediert.2188 Grds. sind daher kritische Stellungnahmen erlaubt. Für die Wiedergabe unwahrer Tatsachen entfällt der Schutz des Art. 5 GG;2189 bei Schmähkritik tritt dieses Recht hinter den Persönlichkeitsrechtsschutz des von der Schmähkritik Betroffenen zurück.2190 Die Frage lautet insofern, wann genau Schmähkritik bzw. eine solch drastische Ehrverletzung, die von der Meinungsäußerungsfreiheit nicht mehr geschützt wird, vorliegt. 1137 Bei der Deutung einer Äußerung kommt es auf die Ermittlung ihres objektiven Sinns aus Sicht eines unvoreingenommenen und verständigen Publikums an. Für die Abgrenzung zwischen zulässiger Meinungsäußerung und rechtswidriger Schmähkritik ist der Gesamtkontext der fraglichen Äußerung maßgeblich.2191 Insofern reicht die isolierte Betrachtung eines Äußerungsteils grds. nicht aus. Wie das BVerfG klargestellt hat, sind dabei vielmehr auch der sprachliche Kontext sowie die Begleitumstände der Äußerung zu berücksichtigen.2192 1138 Bei der Abgrenzung der Meinungsäußerung von der Schmähkritik stellt die Äußerung „Die XY GmbH gibt es gar nicht“ keine unwahre Tatsachenbehauptung dar. Bei „Achtung Betrüger unterwegs! XY GmbH“ sowie die „Betrüger vom XY“ handelt es sich nicht um Tatsachenbehauptungen, sondern um subjektive Meinungsäußerungen, die Werturteile darstellen.2193 Der Verfasser wollte erkennbar nicht zum Ausdruck bringen, dass die Verantwortlichen der XY GmbH bereits strafrechtlich verurteilt worden sind, sondern er wollte vielmehr Warnun2185 BGH v. 15.8.2013 – I ZR 79/12, Rz. 31 ff. – Prüfpflichten; v. 15.8.2013 – I ZR 80/12, CR 2013, 728 (Ls. 2) – File-Hosting-Dienst. 2186 OLG Hamburg v. 13.5.2013 – 5 W 41/13, CR 2013, 803 f. (Ls.); LG Frankfurt v. 5.2.2014 – 2-06 O 319/13, ZUM 2015, 160 (Ls. 1.). 2187 OLG Hamburg v. 13.5.2013 – 5 W 41/13, CR 2013, 803 (806). 2188 Ausführlich zum zivilrechtlichen Persönlichkeitsschutz gegenüber Äußerungen im Internet Seitz, in: Hoeren/Sieber/Holznagel, Teil 8 (31. EL Stand 3/2012). 2189 BGH v. 20.11.2007 – VI ZR 144/07, MIR 2008, Dok. 047. 2190 BVerfG v. 11.12.2013 – 1 BvR 194/13, NJW 2014, 764; BGH v. 27.3.2007 – VI ZR 101/06, CR 2007, 586 (587) m.w.N. m. Anm. Schuppert. S.a. schon LG Köln v. 26.11.2003 – 28 O 706/02, (Pflicht zu Vorkehrungen gegen das Persönlichkeitsrecht verletzende Inhalte in kostenlosen privaten Kleinanzeigen). Zur Haftung für Meta-Suchmaschine s. LG Berlin v. 22.2.2005 – 27 O 45/05, CR 2005, 530 (nach Abmahnung Prüfpflicht, ob angemahnter Eintrag der Trefferliste rechtswidrig ist). 2191 BVerfG v. 24.7.2013 – 1 BvR 444/13, 1 BvR 527/13, ZUM 2013, 793 (795). 2192 BVerfG v. 11.12.2013 – 1 BvR 194/13, NJW 2014, 764 (765). 2193 OLG Koblenz (Hinweisverfügung v. 22.6.2007) v. 12.7.2007 – 2 U 862/06, MIR 2007, Dok. 320 = MMR 2008, 54: „Achtung Betrüger unterwegs! Firma GmbH“ sowie die „Betrüger v. Firma“ im Kontext eines Gesamtbeitrags, „wenn die Warnfunktion (hier vor den Methoden der in Bezug genommenen Firma) deutlich im Vordergrund steht und es dem Verfasser in erster Linie um die Auseinandersetzung in der Sache und nicht um die persönliche Herabsetzung des/der Betroffenen geht“ (aus Ls. 3).
692
Kosmides
Haftung und Privilegierung der Provider
Rz. 1143
B
gen und Ratschläge für den Fall einer Kontaktaufnahme durch Werber der XY GmbH erteilen.2194 Die Bezeichnung eines Hotels im Rahmen einer Internet-Bewertung als „Hühnerstall“, die im Zshg. mit dem tatsächlichen Namen des Hotels „Landhotel Hühnerhof“ als ironisches und satirisches Wortspiel anzusehen ist, stellt keine Schmähkritik, sondern vielmehr eine zulässige Meinungsäußerung dar.2195
1139
Nach Ansicht des OLG Koblenz stellt die Äußerung, jemand sei korrupt, keine Tatsachen- 1140 behauptung, sondern eine subjektive Meinungsäußerung dar. Damit soll nicht zum Ausdruck gebracht werden, die betreffende Person sei wegen der betreffenden Straftatbestände bereits verurteilt worden.2196 Es stellt eine unzulässige Beleidigung des Prozessgegners durch einen Anwalt auf dessen Homepage dar, den Gegner als „Flunkerfürst“ zu bezeichnen.2197
1141
Der Begriff der Schmähkritik muss nach dem BVerfG wegen seiner die Meinungsfreiheit ver- 1142 drängenden Wirkung eng ausgelegt werden.2198 Auch eine überzogene oder gar ausfällige Kritik mache eine Äußerung für sich genommen noch nicht zur Schmähung. Eine Äußerung nehme diesen Charakter erst dann an, wenn nicht mehr die Auseinandersetzung in der Sache, sondern – jenseits auch polemischer und überspitzter Kritik – die Diffamierung der Person im Vordergrund stehe.2199 Wird eine Staatsanwältin durch einen Rechtsanwalt nach einen Streit um die Unschuld seines Mandanten in der Presse als „dahergelaufene Staatsanwältin“, „durchgeknallte Staatsanwältin“, „widerwärtige, boshafte, dümmliche Staatsanwältin“, „geisteskranke Staatsanwältin“
bezeichnet, ist nicht unbedingt und automatisch eine Schmähung bzw. Beleidigung anzunehmen.2200 Für die Annahme einer Schmähung muss vielmehr dargelegt werden, dass ihr ehrbeeinträchtigender Gehalt von vornherein außerhalb jedes in einer Sachauseinandersetzung wurzelnden Verwendungskontextes steht“2201 Das BVerfG stellt insoweit an die Einstufung einer Äußerung in einem gerichtlichen Verfah- 1142a ren als Schmähkritik besonders hohe Anforderungen: „Rechtsschutz gegenüber Prozessbehauptungen ist nur gegeben, wenn die Unhaltbarkeit der Äußerung auf der Hand liegt oder sich ihre Mitteilung als missbräuchlich darstellt.“2202
Das VG Hannover hatte eine Haftung der Schüler auf Unterlassung und Schadensersatz wegen Missbrauchs von Lehrernamen im Chatroom angenommen.2203 Demgegenüber entschied das LG Köln: Die Bewertung von Lehrern auf einer Internetbewertungsplattform (mit Name, Vorname, Schule und Fächern) kann zulässige Meinungsäußerung sein.2204 Bei den Daten, die die Schule auf ihrer Internetseite über die Lehrer veröffentlicht, handelt es sich
2194 2195 2196 2197 2198 2199 2200 2201 2202 2203
OLG Koblenz v. 12.7.2007 – 2 U 862/06, MIR 2007, Dok. 320. OLG Stuttgart v. 11.9.2013 – 4 U 88/13, CR 2014, 204 f. (Ls. 1 und 2). OLG Koblenz v. 6.2.2014 – 3 U 1049/13, MMR 2014, 633 (Ls. 3.). Schmähkritik: LG Hamburg v. 30.7.2004 – 324 O 819/03, CR 2005, 131 – flunkerfuerst.de. BVerfG v. 29.6.2016 – 1 BvR 2646/15, Rz. 17. BVerfG v. 29.6.2016 – 1 BvR 2646/15, Rz. 17. BVerfG v. 29.6.2016 – 1 BvR 2646/15, Rz. 18 ff. BVerfG v. 29.6.2016 – 1 BvR 2646/15, Rz. 18. BVerfG v. 2.7.2013 – 1 BvR 1751/12, NJW 2013, 3021 (3022). VG Hannover v. 7.6.2006 – 6 B 3325/06, ITRB 2007, 38; s. ähnlich früher für ehrverletzende Einträge in Internet-Gästebuch LG Düsseldorf v. 14.8.2002 – 2a O 312/01, MMR 2003, 61 (Ls.). 2204 LG Köln v. 11.7.2007 – 28 O 263/07, CR 2007, 666 m. Anm. Plog – spickmich.de; s. dazu a. bestätigend Plog/Bandehzadeh, K&R 2008, 45; LG Köln v. 30.1.2008 – 28 O 319/07, ITRB 2008, 122 und LG Duisburg v. 18.4.2008 – 10 O 350/07, CR 2008, 540: keine Verletzung des allgemeinen Persönlichkeitsrechts der Lehrerin.
Kosmides
693
1143
B Rz. 1144
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
für die Schüler um Daten aus öffentlich zugänglichen Quellen. Die Übernahme auf die Lehrer-Bewertungsplattform der Schüler ist insofern ohne Weiteres zulässig, zumindest, wenn es sich nicht um sensible Daten handelt und nicht ein sonstiges schutzwürdiges Interesse besteht.2205 1144 Diese Beurteilung des LG Köln ist inzwischen durch das OLG Köln2206 sowie den BGH2207 bestätigt worden: Das Recht der Meinungsfreiheit umfasst – so der BGH – „auch das Recht, mit seiner Meinung gehört zu werden und diese zu verbreiten. Es besteht der Grundsatz des freien Meinungsaustauschs nicht nur für Themen, die von besonderem Belang für die Öffentlichkeit sind (vgl. BVerfGE 20, 56 [97]; BVerfGE 20, 162 [177]; v. 26.2.2008 – 1 BvR 1602/07, NJW 2008, 1793 [1797]). Wäre die verfassungsmäßig geschützte Verbreitung von Beiträgen zur Meinungsbildung in Form der Teilnahme an einem Meinungsforum im Internet nur zulässig, sofern dabei nicht persönliche Daten übermittelt werden, würden Meinungs- und Informationsfreiheit auf Äußerungen ohne datenmäßig geschützten Inhalt beschränkt, außer es läge die Einwilligung des Betroffenen vor. Bewertungen würden dadurch weitgehend unmöglich gemacht, weil alle negativen Äußerungen aus dem System genommen werden müssten, für deren Weitergabe die Einwilligung des Betroffenen im Allgemeinen fehlt“.2208
1145 Die Ärztebewertung auf einem Bewertungsportal im Internet ist grds. von der Meinungsund Informationsfreiheit gem. Art. 5 Abs. 1 GG geschützt.2209 In diesem Zshg. ist eine Abwägung zwischen dem Recht des Arztes auf informationelle Selbstbestimmung nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG einerseits und dem Recht des Portalbetreibers auf Kommunikationsfreriheit nach Art. 5 Abs. 1 GG andererseits vorzunehmen, wobei auch auf die mittelbare Drittwirkung des beiden Parteien zustehenden Grundrechts aus Art. 12 Abs. 1 GG Rücksicht zu nehmen ist.2210 Die Erhebung, Speicherung und Nutzung personenbezogener Daten des Arztes ist durch den Erlaubnistatbestand des § 29 Abs. 1 Satz 1 Nr. 1 BDSG gedeckt.2211 Für die Übermittlung der Daten an die Nutzer des Bewertungsportals kommt § 29 Abs. 2 Satz 1 BDSG zum Tragen.2212 Es besteht insoweit kein Anpruch auf Löschung schlechter Bewertungen gegen den Portalbetreiber.2213 Etwas anderes gilt aber dann, wenn ein Werturteil eine zugrunde liegende unwahre Tatsachenbehauptung von eigenständiger Relevanz derart widerspiegelt, dass beide zusammen „stehen und fallen“.2214 Im Falle einer substantiieerten Beanstandung des Arztes, dass in der Bewertung unwahre Tatsachenbehauptungen enthalten sind, ist der Portalbetreiber verpflichtet, von dem Autor der beanstandeten Bewertung einen geeigneten Nachweis für die Durchführung der von ihm behaupteten Behandlung zu fordern.2215 Kommt der Portalbetreiber seiner Pflicht nicht nach, z.B. weil er sich mit einer schlichten Bestätigung des Kunden begnügt, dass der Sachverhalt sich so wie geschildert zugetragen habe, kann er im Wege
2205 LG Köln v. 11.7.2007 – 28 O 263/07, CR 2007, 666 m. Anm. Plog; LG Köln v. 30.1.2008 – 28 O 319/07, ITRB 2008, 122; s.a. LG Berlin v. 31.5.2007 – 27 S 2/07, CR 2007, 742 (743) – MeinProf.de: „… Unabhängig davon liegt insoweit ein Verstoß gegen § 41 BDSG … nicht vor, wenn personenbezogene Angaben aus allgemein zugänglichen Quellen entnommen und gemäß § 28 Abs. 1 Satz 1 Nr. 2 BDSG privilegiert sind.“ 2206 OLG Köln v. 27.11.2007 – 15 U 142/07, CR 2008, 112 – spickmich.de. 2207 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593 – spickmich.de. 2208 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593 (598) – spickmich.de. 2209 BGH v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 (392 f., Rz. 32 ff.); v. 23.9.2014 – VI ZR 358/13, CR 2015, 116 (117, Rz. 25); LG Kiel v. 6.12.2013 – 5 O 372/13, ITRB 2014, 156 m. Anm. Rössel. 2210 BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116 (117, Rz. 25). 2211 BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116 (Ls. 1). 2212 BGH v. 23.9.2014 – VI ZR 358/13, CR 2015, 116 (Ls. 2). 2213 OLG Frankfurt v. 8.3.2012 – 16 U 125/11, CR 2012, 399. 2214 OLG München v. 17.10.2014 – 18 W 1933/14, MMR 2015, 620 (Ls. 1): Unterlassungsanspruch auch bezüglich des auf der unwahren Tatsachenbehauptung basierenden Werturteils. 2215 LG Nürnberg-Fürth v. 8.5.2012 – 11 O 2608/12, CR 2012, 541 (Ls.).
694
Kosmides
Haftung und Privilegierung der Provider
Rz. 1150
B
der Störerhaftung in Anspruch genommen werden.2216 Patientenbewertungen von Ärzten im Internet sind nur dann unzulässig, wenn sie schwerwiegende Auswirkungen auf das allgemeine Persönlichkeitsrecht haben.2217 Auch die Bewertung von Serviceleistungen eines Unternehmens auf einer Internetbewer- 1146 tungsplattform genießt Grundrechtsschutz. Ein Begründungszwang besteht dabei nicht. So gesehen braucht der Kontext der Bewertungen dem Leser keinen Aufschluss über die Gründe der Bewertung zu geben.2218 Der Käufer, der eine negative Bewertung auf einer Internetauktionsplattform wie eBay abgeben will, ist nicht verpflichtet, vor Abgabe einer solchen Bewertung sich mit dem Verkäufer in Verbindung zu setzen.2219 Nach Ansicht des LG Berlin stellt die Bewertung einer Internetseite in Bezug auf „Daten- 1147 schutz“ und „Jugendschutz“ als „sehr schlecht“ ein Werturteil dar, das das allgemeine Persönlichkeitsrecht des Anbieters verletzt, sofern die Bewertung mangels tatsächlicher Grundlagen, auf denen die entsprechende Kritik beruhen könnte, als willkürlich erscheint.2220 Enthält die Bewertung hingegen im Kern eine richtige Tatsachenbehauptung, ist sie zulässig.2221 Nach Ansicht des LG Bonn wird die Einordnung als Tatsachenbehauptung nicht dadurch in Frage gestellt wird, dass ihr der Zusatz: „Vorsicht! … Lieber woanders kaufen“ vorangestellt wird.2222 Eine Bewertungsmöglichkeit steht i.d.R. Nutzern von Online-Marktplätzen zur Verfügung. EBay bietet etwa den Beteiligten ein Bewertungssystem, in das diese nach Abwicklung des Vertrags ihre Bewertung eingeben können. Der Bewertete kann seinerseits die ihm geltende Bewertung kommentieren. Laut § 7 Nr. 1 Satz 1 der eBay-AGB2223 können sich Nutzer
1148
„nach der Durchführung einer Transaktion gegenseitig und öffentlich zugänglich bewerten. Käufer können einzelne Aspekte der Leistung eines Verkäufers zudem über die detaillierten Verkäuferbewertungen bewerten“.
Die Bewertungen sind öfters Gegenstand von Rechtsstreitigkeiten.2224 Im Hinblick darauf, 1149 dass die typische Schutzposition des Bewerteten dessen allgemeines Persönlichkeitsrecht ist, liegt es nahe, mit der sonstigen Rspr. zwischen Tatsachenbehauptungen und Werturteilen zu unterscheiden. Dies ist insofern nicht einfach, als eBay ein Zwei-Schrittverfahren anbietet. Der erste Schritt ist schematisiert. Die Bewertung erfolgt in einer Auswahl von negativ, neutral oder positiv. Diese Einordnung kann sodann im zweiten Schritt bewertet bzw. kommentiert, also begründet werden.2225 Für Verkäufer gibt es noch das Schema „Detaillierte Verkäuferbewertungen“: Zusätzlich zur allgemeinen Beurteilung und zum Bewertungskommentar können Käufer eine detaillierte Verkäuferbewertung in vier Kriterien mit 1 bis 5 Sternen analog Hotelkategorien abgeben: Artikel wie beschrieben, Kommunikation, Versandzeit, Versand- und Verpackungsgebühren. Den Nutzern werden bei der Bewertung bestimmte Grenzen gesetzt, um eine rechtswidrige 1150 Verwendung des Systems zu vermeiden und damit eine Haftung des Betreibers möglichst auszuschließen.
2216 LG Nürnberg-Fürth v. 8.5.2012 – 11 O 2608/12, CR 2012, 541 (Ls.); vgl. auch OLG München v. 17.10.2014 – 18 W 1933/14, MMR 2015, 620 (Ls. 2). 2217 LG Düsseldorf v. 9.4.2013 – 5 O 141/12, juris Rz. 29. 2218 LG Köln v. 8.5.2013 – 28 O 452/12, juris Rz. 40 ff., IPRB 2013, 178. 2219 LG Bonn v. 24.6.2014 – 8 S 23/13, juris Rz. 25, 28. 2220 LG Berlin v. 24.5.2012 – 27 O 864/11, CR 2012, 752 (753). 2221 LG Bonn v. 24.6.2014 – 8 S 23/13, juris Ls. 1. 2222 LG Bonn v. 24.6.2014 – 8 S 23/13, juris Ls. 2. 2223 S. http://pages.ebay.de/help/policies/user-agreement.htmlhttp://pages.ebay.de/help/policies/useragreement.html (Stand (Abruf) 1/2016). 2224 S. z.B. zur Übersicht Hoeren, CR 2005, 498 ff.; Ballhausen/Roggenkamp, K&R 2008, 403 ff. 2225 S. Hoeren, CR 2005, 498 (499).
Kosmides
695
B Rz. 1151
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1151 § 7 Nr. 2 der eBay-AGB2226: „Nutzer sind verpflichtet, in den abgegebenen Bewertungen ausschließlich wahrheitsgemäße Angaben zu machen. Die von Nutzern abgegebenen Bewertungen müssen sachlich gehalten sein und dürfen keine Schmähkritik enthalten“.
1152 § 7 Nr. 3 der eBay-AGB2227: „Jede zweckwidrige Nutzung des Bewertungssystems ist verboten. Insbesondere ist es untersagt: – Bewertungen über sich selbst abzugeben oder durch Dritte abgeben zu lassen. – in Bewertungen Umstände einfließen zu lassen, die nicht mit der Abwicklung der betreffenden Transaktion in Zusammenhang stehen. – Bewertungen zu einem anderen Zweck zu verwenden als zum Handel mittels der eBay-Dienste. – andere Nutzer durch Drohung mit der Abgabe oder Nichtabgabe einer Bewertung zu einer Handlung, Duldung oder Unterlassung zu nötigen“.
1153 Die grundlose Bewertung „Vorsicht: Spaßbieter“ soll eine Beleidigung und Verunglimpfung darstellen.2228 Der Schutz des Anbieters besteht gegenüber unrichtigen Bewertungen nach einer Online-Auktion in einem Anspruch auf Löschung der unwahren Tatsachenbehauptung nach § 1004 Abs. 1 BGB analog,2229 etwa auch bei persönlichkeitsverletzender unwahrer Tatsachenbehauptung „nimmt nicht ab“2230 und bei unsachlicher Bewertung,2231 nicht bei berechtigter Meinungsäußerung.2232 Die Bewertung „Bietet erst und zahlt dann nicht“ ist eine unwahre Tatsachenbehauptung, wenn der Kläger die Ware gezahlt hatte und die Versandkosten nicht zahlen musste.2233 „Ein eBay-Verkäufer kann die Löschung einer negativen Bewertung verlangen, sofern es sich bei der Aussage um eine unzutreffende oder auf Grund der verkürzten Form irreführende Tatsachenbehauptung handelt.“2234
1154 Wenn die Äußerung zu allgemein ist wie die Bewertung: „Ein Freund und ich würden hier nicht mehr kaufen.“
soll dies nach Auffassung des AG Erlangen zu einem Löschungsanspruch führen.2235 1155 „Beschwerde: Nie wieder! So etwas habe ich bei über 500 Punkten nicht erwartet!! Rate ab!!“ soll hingegen keinen Verstoß gegen die AGB des Internetversteigerers, keine unsachgemäße Schmähkritik darstellen.2236 1156 Eine wertende Kritik an der gewerblichen Leistung eines Unternehmens ist nach dem BGH i.d.R. auch dann gem. Art. 5 Abs. 1 GG grundrechtlich geschützt, wenn sie scharf und über2226 2227 2228 2229
2233 2234 2235 2236
S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). S. http://pages.ebay.de/help/policies/user-agreement.html (Stand (Abruf) 1/2016). AG Koblenz v. 21.6.2006 – 151 C 624/06, CR 2007, 540. AG Eggenfelden v. 16.8.2004 – 1 C 196/04, CR 2004, 858: Schutz des Anbieters gegen unrichtige Bewertungen nach Online-Auktion; Löschungsanspruch der unwahren Tatsachenbehauptung nach 1004 Abs. 1 BGB analog. AG Dannenberg v. 13.12.2005 – 31 C 452/05 (I), 31 C 452/05, ITRB 2006, 277: Anspruch auf Zustimmung zur Rücknahme der Bewertung bei eBay. S.a. AG Peine v. 15.9.2004 – 18 C 234/04, NJW-RR 2005, 275 zur Rücknahmepflicht bei eBay-Bewertung zu wahrheitswidrigen Tatsachenbehauptungen unter Verweis auf LG Düsseldorf v. 18.2.2004 – 12 O 6/04, CR 2004, 623. OLG Oldenburg v. 3.4.2006 – 13 U 71/05, CR 2006, 694. AG Hamburg-Wandsbek v. 22.12.2005 – 712 C 465/05, CR 2006, 424: Eskalation von Wertung und Gegenbewertung. S.a. AG Detmold v. 10.11.2006 – 8 C 338/06, MMR 2007, 472. AG Danneberg v. 13.12.2005 – 31 C 452/05 (I), 31 C 452/05, MMR 2006, 567, anders bei in pauschalierter Form falschen Äußerungen. AG Koblenz v. 21.6.2006 – 151 C 624/06, CR 2007, 540. LG Bad Kreuznach v. 13.7.2006 – 2 O 290/06, CR 2007, 335. AG Erlangen v. 26.5.2004 – 1 C 457/04, CR 2004, 780. AG Koblenz v. 2.4.2004 – 142 C 330/04, CR 2005, 72.
696
Kosmides
2230 2231 2232
Haftung und Privilegierung der Provider
Rz. 1160
B
zogen formuliert ist. Eine solche Kritik kann nur unter engen Voraussetzungen als Schmähkritik angesehen werden.2237 Infolgedessen genießen Unternehmen grds. keinen Deliktschutz vor lediglich abwertenden Meinungsäußerungen. Dies gilt auch für Äußerungen, in denen Tatsachen und Meinungen vermengt sind, sofern sie durch die Elemente der Stellungnahme, des Dafürhaltens oder Meinens geprägt sind.2238 In dieser Linie bewegt sich auch das OLG München, das entschieden hat, dass die Tatsachen und Wertungselemente enthaltende Äußerung
1157
„Ich habe beim Verkäufer angerufen, Fazit: Er will sich dazu lieber nicht äußern, allein das ist eine Frechheit“
auf einer Internetplattform als Werturteil anzusehen ist, das vom Grundrecht der Meinungsäußerungsfreiheit nach Art. 5 Abs. 1 GG gedeckt ist.2239 Auch beim Kommentar
1158
„in der Anleitung steht ganz klar, man muss den Innenraum messen, das ist falsch! Damit wird das Ganze zu kurz!“
steht nicht die Tatsachenbehauptung, sondern das Werturteil im Vordergrund. Dadurch soll zum Ausdruck gebracht werden, dass der Äußernde die Montageanleitung für falsch hält und ihre Befolgung zu einem nicht gewünschten Ergebnis führt.2240 Die Äußerung
1159
„Die Gewinde mussten wegen Schwergängigkeit nachgeschnitten werden“,
die zusammen mit einer negativen Bewertung von einem eBay-Käufer abgegeben wurde, wurde hingegen vom OLG München als Tatsachenbehauptung eingestuft.2241 Ist eine (solche) Tatsachenbehauptung unzutreffend, wird der Verkäufer in seinem Persönlichkeitsrecht verletzt.2242 Zwar stellt die negative Bewertung des Verkäufers an sich ein Werturteil und damit eine reine Meinungsäußerung dar, die den Schutz des Art. 5 Abs. 1 GG genießt. Spiegelt allerdings ein solches Werturteil eine zugrunde liegende tatsächliche Feststellung von eigenständiger Bedeutung derart wider, dass es mit dieser zusammen „steht und fällt“, so muss der eBay-Käufer nicht nur die unwahre Tatsachenbehauptung, sondern auch das auf dieser beruhende Werturteil zurücknehmen.2243 Wie das OLG München in einem jüngeren Urteil klargestellt hat, steht seine E. v. 28.10.2014 – 18 U 1022/14 der höchstrichterlichen Rspr. nicht entgegen. „Denn während in der streitgegenständlichen Entscheidung davon auszugehen ist, dass die Äußerungen des Beklagten als Werturteil und Meinung einzustufen sind, lag der Entscheidung des 18. Senats vom 28.10.2014 eine Tatsachenbehauptung zugrunde. Eine Vergleichbarkeit mit dem streitgegenständlichen Sachverhalt scheidet bereits aus diesem Grunde aus.“2244
Die Meinungsäußerungsfreiheit einer Verbraucherorganisation, die Waren und Dienstleis- 1160 tungen verschiedener Anbieter untersucht und miteinander vergleicht, findet ihre Grenze in den grundrechtlich geschützten Interessen des bewerteten Produktherstellers.2245 Ein unzulässiges Werturteil ist etwa anzunehmen, wenn die Berichterstattung der Stiftung Waren-
2237 2238 2239 2240 2241 2242 2243 2244 2245
BGH v. 16.12.2014 – VI ZR 39/14, CR 2015, 251 (252, Ls. 3). BGH v. 16.12.2014 – VI ZR 39/14, CR 2015, 251 (Ls. 1). OLG München v. 12.2.2015 – 27 U 3365/14, juris Rz. 28. OLG München v. 12.2.2015 – 27 U 3365/14, juris Rz. 24. OLG München v. 28.10.2014 – 18 U 1022/14, MMR 2015, 410. OLG München v. 28.10.2014 – 18 U 1022/14, MMR 2015, 410. OLG München v. 28.10.2014 – 18 U 1022/14, 22, MMR 2015, 410 (411). OLG München v. 12.2.2015 – 27 U 3365/14, juris Rz. 35. LG München I v. 13.1.2014 – 9 O 25477/13, juris Os. 2.
Kosmides
697
B Rz. 1160a
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
test unzutreffende und damit irreführende Angaben über die Produktherstellung bzw. -zutaten enthält.2246 1160a Der BGH hat in Zshg. mit einem Aufruf zu einer Boykottmaßnahme, der im Internet erfolgte, entschieden, dass er vom Recht auf Meinungsfreiheit i.S.v. Art. 5 Abs. 1 Satz 1 GG erfasst werden und damit zulässig sein kann.2247 4.9.2 Haftung des Forenbetreibers 1161 I.R.v. Meinungsforen wird der Inhalt i.d.R. nicht vom Anbieter, sondern von den Nutzern selbst erzeugt, der sog. User generated Content2248: Es stellt sich daher die Frage, ob dem Provider die Haftungsprivilegien des TMG zukommen können. Ursprünglich wurde angenommen, dass ein Forenbetreiber allein wegen der groben Strukturierung der Communities als Störer hafte, weil er sich damit die eingestellten Inhalte zu Eigen mache.2249 Auf eine Privilegierung kam es danach nicht an. Dies wurde im Ricardo/Rolex-Urteil2250 aufgegeben. Zugleich hat der BGH aber die Anwendung der Haftungsprivilegien für Unterlassungs- und Beseitigungsansprüche verneint und damit Prüfpflichten errichtet.2251 1162 Forenbetreiber, die Internetplattformen zum Austausch von Informationen und Meinungen bereithalten, sind grds. § 10 TMG (Host-Providing) zuzuordnen.2252 Ein anderes gilt, wenn sie auch eigene Informationen zur Verfügung stellen. In diesem Fall ist ein gemischter Anbietertyp anzunehmen.2253 Für die eigenen Inhalte haftet der Forenbetreiber als ContentProvider, wohingegen er für die fremden Inhalte als Host-Provider zu behandeln ist. 1163 Zu den Host-Providern, denen die Haftungsprivilegierungen des § 10 TMG zukommen, werden auch die Betreiber von Community-Plattformen wie YouTube oder MySpace gezählt.2254 Dennoch werden besonders gut besuchten und i.d.R. auch wirtschaftlich erfolgreichen Portalen wie MySpace oder YouTube immer häufiger Prüf- und Kontrollpflichten angesonnen. Die Vorabkontrolle, wie sie der BGH aber für Plattformen wie eBay gegenüber Markenverletzungen und jugendgefährdenden Schriften ab Entstehen durch Bekanntwerden konkreter Verstöße fordert, wäre für Forenbetreiber nicht zuletzt im Hinblick auf die Meinungsäußerungsfreiheit und das Zensurverbot schwer zu akzeptieren. Eine Begrenzung der (Störer-)Haftung auf grobe, unschwer zu erkennende Verstöße läge auf der Ebene der konventionellen Verfahren und wird deshalb von einigen Gerichten als ausreichend angesehen.2255 Dies läge dann auf dem Anforderungsniveau, wie dies der BGH für DENIC gelten ließ.2256
2246 2247 2248 2249 2250 2251 2252
2253 2254 2255
2256
698
LG München I v. 13.1.2014 – 9 O 25477/13, juris Os. 3 f. BGH v. 19.1.2016 – VI ZR 302/15, Rz. 21 ff. = CR 2016, 407 (Ls. 1). Grundlegend dazu Bauer, User Generated Content. OLG Köln v. 28.5.2002 – 15 U 221/01, CR 2002, 678 m. Anm. Eckhardt – Steffi Graf. BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 m. Anm. Volkmann – Internetversteigerung I. BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 m. Anm. Volkmann – Internetversteigerung I. OLG Zweibrücken v. 14.5.2009 – 4 U 139/08, ITRB 2009, 198; OLG Düsseldorf v. 7.6.2006 – I-15 U 21/06, CR 2006, 682; LG Düsseldorf v. 27.6.2007 – 12 O 343/06, MIR 2007, Dok. 270; wohl auch BGH v. 27.3.2007 – VI ZR 101/06, CR 2007, 586 (587, Rz. 7) m. Anm. Schuppert; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 1 Rz. 94. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 505. Fülbier, CR 2007, 515, Sobola/Kohl, CR 2005, 443. Z.B. OLG München v. 9.11.2006 – 6 U 675/06 zu LG München v. 8.12.2005 – 7 O 16341/05, CR 2006, 496: keine Pflicht einer Plattform (auch) mit Termineinträgen Dritter für Veranstaltungen, jeden Eintrag auf mögliche Urheberrechtsverletzungen zu untersuchen; keine Prüfpflichten für Betreiber eines Online-Archivs: ÖOGH v. 11.12.2003– 6 Ob 218/03g, MMR 2004, 525. S. z.B. LG Düsseldorf v. 27.6.2007 – 12 O 343/06, MIR 2007, Dok. 270 (Ls. 3). Gemäß § 7 Abs. 2 Satz 1 TMG obliegen dem Diensteanbieter keine allgemeinen Überwachungs- oder Forschungspflichten dahingehend, ob rechtswidrige Inhalte überhaupt vorhanden sind, dazu BGH v. 17.5.2001 – I ZR 251/99, CR 2001, 850 m. Anm. Freytag.
Kosmides
Haftung und Privilegierung der Provider
Rz. 1169
B
Die Anbieterhaftung bei Kommunikationsforen steht in Widerstreit mit dem Grundrecht 1164 der Meinungsfreiheit. Dies legt für die Beurteilung der Haftung die Anwendung der Grundsätze zur presserechtlichen Beurteilung nahe.2257 Grundsätze, wie sie etwa für Fernseh-liveDiskussionen entwickelt wurden, sind aber auf Internetmeinungsforen nicht anwendbar. Insofern war es eher die Ausnahme, gegenüber dem Forenbetreiber nur einen Distanzierungsanspruch anzunehmen, zumindest wenn der Betreiber die Identität des (ehr-)verletzenden Teilnehmers bekannt gibt.2258 Dies hat der BGH nicht gelten lassen und die Verantwortlichkeit auch für den Fall bejaht, dass die Identität des Verletzers dem Verletzten bekannt ist.2259 Zu den Pflichten bzw. der Haftung des Forenbetreibers ist eine Vielzahl an Urteilen ergangen, die v.a. Persönlichkeitsrechtsverletzungen betreffen.
1165
Während teilweise das Rolex-Urteil des BGH zur Haftung des Betreibers einer Versteige- 1166 rungsplattform mit der Verpflichtung zu präventiver Überwachung auf die Betreiber internetspezifischer Kommunikationsplattformen (Web-Foren) übertragen wurde,2260 wird dies von anderen Gerichten unter Hinweis auf die zur Haftung erforderliche Kenntnis der Rechtsverletzung abgelehnt.2261 Das OLG Hamburg hat im Fall des Heise-online-Forums eine generelle Überwachung i.S. einer „Eingangskontrolle“ abgelehnt, jedoch eine spezielle Pflicht zur Überprüfung eines Einzelforums (sog. Thread) angenommen, wenn der Betreiber entweder durch sein eigenes Verhalten vorhersehbar rechtswidrige Beiträge Dritter provoziert hat oder ihm zumindest eine Rechtsverletzung von einigem Gewicht bekannt geworden ist.2262 Das OLG Koblenz hat die Überwachungspflicht aufgegriffen und präzisiert:
1167
„Der Betreiber eines Internet-Forums ist zwar danach nicht verpflichtet, den Kommunikationsvorgang zu überwachen, erhält er aber Kenntnis rechtswidriger Inhalte, so muss er die Sperrung oder Löschung des Vorgangs veranlassen (BGH Urteil v. 27.3.2007 – VI ZR 101/06, CR 2007, 586 m. Anm. Schuppert = ITRB 2007, 174; OLG Düsseldorf, OLGR 2006, 581).“2263
Die Selbstentäußerung i.R.d. Fernsehens hat eine Entsprechung i.R.d. Internet erhalten, so insb. durch Blogs. Unter Blogs werden Informationen verstanden,
1168
„die jeder Nutzer mittels einer bestimmten Software (ähnlich leicht wie eine E-Mail über das E-Mail-Programm) uploaden und ins Netz einstellen kann.“2264
Ähnlich wie in Wikipedia u.ä. offenen Plattformen kann nicht nur der Autor des Blogs 1169 selbst, sondern auch jeder andere noch den Inhalt kommentieren oder ergänzen. Zudem lassen sich die Blogs verschiedener Autoren über Links miteinander verknüpfen bzw. ergänzen und anreichern. Für solche Blogs hat sich eine Art Markt auch im Bereich der Suchmaschinen entwickelt, etwa über Yahoo „Flickr“ oder Sammlungen zu Videos, privaten Bildern u.Ä. Diese Blogs bleiben aber nicht privat, sondern gehen zum Teil auch Wege, sich zu finanzieren, v.a. in der Werbung.
2257 S. z.B. Libertus/Schneider, CR 2006, 626 (629 f.); LG Münster v. 17.1.2008 – 8 O 407/07, JurPC 138/2008. 2258 OLG Düsseldorf v. 26.4.2006 – I-15 U 180/05, CR 2006, 482. Zur Haftung des Forenbetreibers und Kontrollpflicht nur bei selbst provoziertem vorhersehbarem Beitrag in Einzelforum oder bei bereits bekannter, konkretisierter Gefahr weiterer Rechtsverletzungen: OLG Hamburg v. 22.8.2006 – 7 U 50/06, CR 2007, 44. 2259 BGH v. 27.3.2007 – VI ZR 101/06, CR 2007, 586 m. Anm. Schuppert. 2260 LG Hamburg v. 2.12.2005 – 324 O 721/05, CR 2006, 638 m. Anm. Wimmers. 2261 OLG Düsseldorf v. 7.6.2006 – I-15 U 21/06, CR 2006, 682. 2262 OLG Hamburg v. 22.8.2006 – 7 U 50/06, CR 2007, 44. 2263 OLG Koblenz v. 12.7.2007 – 2 U 862/06, MIR 2007, Dok. 320 (Ls. 1). 2264 S. Koch, ITRB 2006, 260.
Kosmides
699
B Rz. 1170
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1170 Der Betreiber eines Bloggingdienstes stellt grds. einen Hostprovider dar (§ 10 TMG), der für rechtswidrige Äußerungen Dritter, die auf Ihrer Plattform veröffentlicht werden, als Störer haftet.2265 Bei solchen Äußerungen setzt die Störerhaftung des Blogbetreibers voraus, dass dieser zumutbare Prüfungspflichten verletzt hat.2266 Der Anbieter ist dabei nicht verpflichtet, die fremden Inhalte vor der Veröffentlichung auf eventuelle Rechtsverletzungen hin zu überprüfen.2267 Sobald er aber Kenntnis von der Rechtsverletzung erlangt, ist der Anbieter für solche Inhalte verantwortlich und kann damit auf Unterlassung der Verbreitung der rechtsverletzenden Inhalte in Anspruch genommen werden.2268 Dabei wird vorausgesetzt, dass der Hinweis so konkret gefasst ist, dass der Adressat des Hinweises den Rechtsverstoß unschwer – d.h. ohne eingehende rechtliche und tatsächliche Überprüfung – feststellen kann.2269 1171 Der Umfang der Prüf- und Kontrollpflichten für Forenbetreiber dürfte nach den Grundsätzen technischer und wirtschaftlicher Mach- und Zumutbarkeit abzustufen sein.2270 Im Rahmen der Abwägung, inwieweit eine Prüfungspflicht zumutbar ist, ist auch die Schwere des Eingriffs in das geschützte Rechtsgut zu berücksichtigen.2271 Schwerwiegende Verletzungen können auch aufwendigere Überprüfung rechtfertigen.2272 Eine Kontrolle der Inhalte eines Internetforums darf dem Anbieter nach Ansicht des OLG Hamburg u.U. selbst bei einem sehr umfangreichen Internetforum (mehr als 150.000 Einträge) zugemutet werden.2273 Dies ist insb. der Fall, wenn die rechtsverletzende Äußerung „aus nur wenigen und kurzen Wörtern [besteht], die mittels Suchmaschinen, aber auch durch eine manuelle Kontrolle – bei der nur auf die betreffenden Wörter und nicht auf den weiteren Inhalt der Eintragungen geachtet zu werden braucht – leicht zu erfassen sind“.2274 1172 Das LG Düsseldorf hat ein Meinungsforum, in dem „fremde Nutzer ihre Äußerungen, sog. Postings, veröffentlichen können“, als Host qualifiziert.2275 Den Anbieter trifft eine Pflicht zu unverzüglicher Löschung rechtsverletzender, hier beleidigender, Inhalte. Die Prüfungspflicht dazu soll aus dem Umstand resultieren, dass das Erscheinen beleidigender Postings „nicht durch technische Vorrichtungen bzw. Sperrung der betreffenden Nutzer“ verhindert wurde.2276 1173 Bei der Verbreitung von ehrverletzenden Äußerungen hat das OLG Hamburg als Voraussetzung der Haftung des Host-Providers erhöhte Anforderungen an die Informationspflicht des Betroffenen gestellt, sofern die Veröffentlichung Vorgänge betrifft, die im Kenntnisbereich des Betroffenen stehen. Eine Prüfungspflicht wird in einem solchen Fall nur dann ausgelöst, wenn 2265 Vgl. für einen Mikrobloggingdienst OLG Dresden v. 1.4.2015 – 4 U 1296/14, CR 2015, 531. 2266 BGH v. 25.10.2011 – VI ZR 93/10, CR 2012, 103 (Ls. 1) – Blog-Eintrag; OLG Hamburg v. 27.4.2010 – 7 U 117/09, juris Rz. 9. 2267 LG München I v. 8.12.2005 – 7 O 16341/05, CR 2006, 496; AG Berlin-Mitte v. 20.10.2004 – 15 C 1011/04, MMR 2005, 639; ebenso für Betreiber Onlinearchiv ÖOGH v. 11.12.2003 – 6 Ob 218/03g, MMR 2004, 525; anders LG Hamburg v. 2.12.2005 – 324 O 721/05, CR 2006, 638 m. krit. Anm. Wimmers/Schulz. 2268 BGH v. 1.7.2014 – VI ZR 345/13, CR 2014, 597 (Ls. 1); v. 25.10.2011 – VI ZR 93/10, CR 2012, 103 (104) – Blog-Eintrag. 2269 BGH v. 17.8.2011 – I ZR 57/09, CR 2011, 817 (Ls. 2) – Stiftparfüm; v. 25.10.2011 – VI ZR 93/10, CR 2012, 103 (Ls. 2) – Blog-Eintrag. 2270 Fülbier, CR 2007, 515 schlägt insoweit sowohl eine zeitliche als auch eine proaktive Dimension vor. 2271 OLG Hamburg v. 27.4.2010 – 7 U 117/09, juris Rz. 9. 2272 So LG Hamburg v. 4.12.2007 – 324 O 794/07, CR 2008, 738. 2273 OLG Hamburg v. 27.4.2010 – 7 U 117/09, juris Rz. 9. 2274 OLG Hamburg v. 27.4.2010 – 7 U 117/09, juris Rz. 9. 2275 LG Düsseldorf v. 25.1.2006 – 12 O 546/05, CR 2006, 563; zu Löschungspflicht und Art der Ausführung s.a. OLG Hamburg v. 9.9.2002 – 3 W 60/02, CR 2003, 66 m. Anm. Dieselhorst. 2276 LG Düsseldorf v. 25.1.2006 – 12 O 546/05, CR 2006, 563.
700
Kosmides
Haftung und Privilegierung der Provider
Rz. 1179
B
„er den Hostprovider so umfassend wie möglich mit tatsächlichen Informationen versieht, die diesen in die Lage versetzen, den Wahrheitsgehalt der beanstandeten Äußerung zu überprüfen“.2277
Sehr moderat sieht das LG München I die Pflichten eines Forenbetreibers: Wer Dritten die Möglichkeit bietet, Angaben zu Terminen (Veranstaltungen) einzustellen, ist mangels Zumutbarkeit nicht verpflichtet, jeden Terminseintrag auf eventuelle Urheberrechtsverletzungen zu prüfen. Aber auch wenn der Betreiber etwa auf offensichtliche Verstöße hin prüft, erweitert er damit nicht seine Prüfungspflichten.2278
1174
Nach Auffassung des OLG Saarbrücken bedarf es für die Störerhaftung des Webhosters kon- 1175 kreter Aufforderung bzw. Kenntnis, wobei in Fällen nicht hochrangiger Rechtsgüter der Webhoster zunächst den Nutzer zur Stellungnahme und Entfernung auffordern kann, wobei noch „unverzüglich“ wäre, wenn das Löschen dann nach mehreren Wochen erfolgt.2279 Eine Haftung des Betreibers eines Meinungsforums auf Unterlassen wurde seitens des BGH 1176 sogar für den Fall bejaht, dass dem Verletzten die Identität des Autors bekannt ist.2280 Der BGH hat damit die Rspr. des OLG Düsseldorf aufgehoben, die dem Verletzten lediglich einen Anspruch auf Distanzierung vom Beitrag zubilligte, nicht dagegen einen Unterlassungsanspruch. Diesen sah das OLG Düsseldorf nur als gegeben an, wenn der Betreiber dem Verletzten die Identität des Teilnehmers nicht preisgibt.2281 Die Haftung eines nichtprofessionellen Betreibers für fremde rechtswidrige Foreneinträge kommt in Ermangelung vorbeugender Überwachungspflichten erst ab Kenntnis in Betracht.2282 Die obigen Ausführungen gelten auch für Kundenbewertungen auf Online-Marktplätze wie 1177 eBay. Zwecks Haftungsvermeidung verfolgt eBay laut dessen AGB (§ 7) folgende Strategie: Zum einen wird den Nutzern gegenüber ausdrücklich klargestellt, dass die Bewertungen nicht von eBay überprüft werden und sie damit unzutreffend oder irreführend sein können. Zum anderen werden bestimmte Anforderungen an die Nutzung des Bewertungssystems (vorgestellt und ein Verstoß gegen diese Anforderungen explizit untersagt. Darüber hinaus sehen die eBay-AGB (§ 4)2283 vor, dass Nutzer ausgesperrt werden können, wenn (konkrete) Anhaltspunkte für Rechtsverstöße bzw. Rechtsverletzungen bekannt werden. Bei einer wiederholten Verletzung der eBay-AGB oder der eBay-Grundsätze kann sogar eine endgültige Sperrung angeordnet werden. Zusätzlich ist die ordentliche Kündigung vorgesehen. Schließlich wird ein System zum Entfernen von (rechtswidrigen) Bewertungen betrieben. Das KG hat entschieden, dass sich der Betreiber eines Internet-Bewertungsportals, der als Verbreiter von Tatsachenbehauptungen i.S.v. § 4 Nr. 8 UWG a.F. (vgl. nunmehr § 4 Nr. 2 UWG n.F.) gilt, auf die Privilegierung in § 10 Satz 1 TMG berufen kann.2284 Dieses Gericht hat außerdem unter Bezugnahme auf höchstrichterliche Rspr. geurteilt, dass ein Anbieter, der ausschließlich den Meinungsstand zu einem Thema dokumentiert, von der Haftung als Verbreiter grds. auszunehmen sei.2285
1178
Der Betreiber eines Bewertungsportals haftet mangels allgemeiner Prüfpflichten bei Kenntnis der Identität des Bewertenden nur bei groben Rechtsverstößen.2286 I.Ü.kommt eine Störerhaf-
1179
2277 2278 2279 2280 2281 2282 2283 2284 2285 2286
OLG Hamburg v. 2.3.2010 – 7 U 70/09, MMR 2010, 490 (492). LG München I v. 8.12.2005 – 7 O 16341/05, CR 2006, 496. OLG Saarbrücken v. 29.10.2007 – 1 W 232/07-49, CR 2008, 539. BGH v. 27.3.2007 – VI ZR 101/06, CR 2007, 586. OLG Düsseldorf v. 26.4.2006 – I-15 U 180/05, CR 2006, 482. OLG Düsseldorf v. 7.6.2006 – I-15 U 21/06, CR 2006, 682. S. http://pages.ebay.de/help/policies/user-agreement.html (Stand [Abruf] 1/2016). KG v. 16.4.2013 – 5 U 63/12, CR 2014, 333 (335). KG v. 16.4.2013 – 5 U 63/12, CR 2014, 333 (335). Vgl. Janal, CR 2005, 873 unter Verweis auf BGH v. 26.4.1990 – I ZR 127/88, GRUR 1990, 1012; s.a. v. 1.4.2004 – I ZR 317/01, CR 2004, 613 – Schöner Wetten.
Kosmides
701
B Rz. 1180
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
tung des Meinungsportalbetreibers erst ab Kenntnis der Rechtsverletzung in Betracht.2287 Bei verdeckter Identität des Bewertenden ist dem Portalbetreiber dagegen eine umfassende Prüfung des beanstandeten Inhalts zuzumuten bzw. dem anonymen Bewerter Gelegenheit zu geben, sich erkennen zu geben und zu verteidigen.2288 1180 Eine die Störerhaftung auslösende Prüfungspflicht kann u.a. auch durch eine Abmahnung des Betroffenen und den Erlass einer entsprechenden einstweiligen Verfügung begründet werden.2289 1181 Das EGMR hat geurteilt, dass eine staatliche bzw. gerichtliche Maßnahme gegenüber einem Forenbetreiber, die eine Schadensersatzpflicht für die Veröffentlichung anonym verfasster beleidigender Kommentare vorsieht, mit dem Recht auf Meinungsfreiheit nach Art. 10 EMRK vereinbar ist.2290 4.9.3 Virtuelles Hausrecht – Sperre 1182 Forenbetreiber können durch die Ausübung eines sog. „virtuellen Hausrechts“ Nutzer von der (weiteren) Nutzung der Internetplattform ausschließen.2291 Das virtuelle Hausrecht ergibt sich in erster Linie aus dem Eigentums- (§ 903 BGB) bzw. Besitzrecht (§§ 858, 862 BGB) des Anbieters und dem mit dem Dienst verbundenen Haftungsrisiko.2292 Insofern gilt das auch ohne zugrunde liegende Nutzungsbedingungen, allerdings im Rahmen sachlicher Gründe wie etwa Störung des Betriebsablaufs oder „nicht übliche Nutzung“.2293 Allerdings kann die Aussperrung bzw. der Ausschluss bei einem betrieblichen Internetforum mit arbeitsvertraglichen Ansprüchen kollidieren, insb. Mitbestimmungsrechten.2294 1183 Der Betreiber kann sein „Hausrecht“ auch über die Nutzungsbedingungen ausgestalten.2295 Die Frage nach der Ausübung eines „Hausrechts“ durch den Betreiber berührt insoweit die Grundfrage nach der Art des Verhältnisses zum Nutzer. Durch die Nutzerregistrierung (unter richtigem Namen und mit dem Nutzer gehörender E-Mail-Adresse) und Bestätigung der Anmeldung kommt ein Vertrag, hier zur Abgabe von Forum-Beiträgen, zustande.2296 Erfolgt keine separate Freischaltung der Nutzer und deren Beiträge, soll v.a. dann kein Vertrag vorliegen, wenn ausdrücklich die Nutzung anonym gestattet wird.2297 Dazu ist anzumerken, dass der Gesetzgeber diese Art der Nutzungsmöglichkeit gerade gebietet, § 13 Abs. 6 TMG. Es geht um den Vertragsbindungswillen, abzugrenzen von Gefälligkeit, ggf. auch zu anonymem Nut2287 BGH v. 1.3.2016 – VI ZR 34/15, CR 2016, 390 (Ls. 1); OLG Düsseldorf v. 18.12.2015 – I-16 U 2/15, CR 2016, 543 (Ls. 2); vgl. auch Schmitz/Laun, MMR 2005, 208 unter Übertragung der Entscheidung BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 – Internetversteigerung I. 2288 Vgl. Janal, CR 2005, 873. 2289 OLG Hamburg v. 27.4.2010 – 7 U 117/09, juris Rz. 9. 2290 EGMR v. 10.10.2013 – 64569/09, MMR 2014, 35 – Delfi; dazu Volkmann, K&R 2013, 762 ff. 2291 Vgl. LG Bonn v. 16.11.1999 – 10 O 457/99, CR 2000, 245; OLG Köln v. 25.8.2000 – 19 U 2/00, CR 2000, 843; LG München I v. 25.10.2006 – 30 O 11973/05, CR 2007, 264 m. Anm. Redeker; OLG München v. 26.6.2007 – 18 U 2067/07: Hausrecht ja, aber Link auf Website mit Foto verletzt das Persönlichkeitsrecht des Abgebildeten; s.a. Feldmann/Heidrich, CR 2006, 406. 2292 LG München I v. 25.10.2006 – 30 O 11973/05, CR 2007, 264 (Ls. 1) m. Anm. Redeker; Roggenkamp/ Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 533 f. 2293 LG Bonn v. 16.11.1999 – 10 O 457/99, CR 2000, 245; OLG Köln v. 25.8.2000 – 19 U 2/00, CR 2000, 843. 2294 Zum Entzug der Schreibberechtigung s. etwa Hess. LAG v. 5.11.2007 – 17 SaGA 1331/07, jur-pc 96/2008. i.V.m. „Netiquette“. 2295 LG München I v. 25.10.2006 – 30 O 11973/05, CR 2007, 264 m. Anm. Redeker; vgl. auch AG Karlsruhe v. 19.5.2015 – 8 C 377/14, CR 2015, 569 (570): Kündigung durch Sperrung des Accounts nicht treuwidrig gem. § 242 BGB, wenn der Accountinhaber gegen die Nutzungsbedingungen (hier u.a.: Beleidigung von Mitspielern im Rahmen eines Online-Spiels) verstößt. 2296 LG München I v. 25.10.2006 – 30 O 11973/05, CR 2007, 264 m. Anm. Redeker; insoweit bestätigend OLG München v. 26.6.2007 – 18 U 2067/07, CR 2007, 739. 2297 S. Maume, MMR 2007, 620 (621).
702
Kosmides
Haftung und Privilegierung der Provider
Rz. 1187
B
zer,2298 oder um das Konstrukt eines Geschäfts für den, den es angeht.2299 Wenn ein Nutzer Beiträge einstellt, wird ein entsprechender Beitragsbindungswille eigen sein. Ob dies der Betreiber entsprechend akzeptieren muss, ist unklar.2300 Nach einem Urteil des LG Hamburg gibt das virtuelle Hausrecht seinem Inhaber die Befug- 1184 nis, die Nutzung seiner Internetpräsenz in demselben Maße zu beschränken, wie dies der Inhaber des Hausrechts an einer körperlichen Sache darf.2301 Das OLG Hamburg hat ferner entschieden, dass die Rspr. zur Zulässigkeit von Zutrittsbeschränkungen auf die Bedingungen des elektronischen Geschäftsverkehrs übertragen werden kann, wobei jedoch die Besonderheiten des Internet zu beachten sind.2302 Der Ausschluss von der Plattform kann auch als Sanktion für die Verletzung von Nutzungsbedingungen (z.B. Beitragsveröffentlichung unter falschem Namen) vorgesehen werden.2303 Bei Ausübung des virtuellen Hausrechts stellt sich eine Reihe von Grenzen, deren Missach- 1185 tung evtl. für den Betreiber unliebsam sein kann. Insb. kommen dabei das Diskriminierungsverbot (§ 19 AGG), das Verbot widersprüchlichen Verhaltens und das Willkürverbot zum Tragen.2304 Ein Dilemma für den Plattformbetreiber stellt der Wunsch nach einem „virtuellen Haus- 1186 recht“ einerseits und sein Anliegen andererseits dar, Prüfungspflichten bzw. Störerhaftung aufgrund Verletzung von Prüfungspflichten zu vermeiden.2305 V.a., wenn der Anbieter einen Vertrag mit dem User schließt, kann er auch die Beendigungsmöglichkeiten autonom (innerhalb AGB-rechtlicher Wirksamkeit) regeln und steuern.2306 4.10 Virtuelle Welten Eine neue Entwicklung stellen die sog. virtuellen Welten dar.2307 Deren Klassifikation ist in mancher Hinsicht noch offen, ebenso der Realitätsbezug von Verletzungen der Rechte der virtuellen Welt.2308 Besonders kritisch sind die Parallelwährungen, die selbst bei fehlender Konvertierung zu regem „Umtausch“ führen.2309 Über den Umweg dieser Währungen haben die Gegenstände der virtuellen Welt auch einen realen Bezug bzw. Wert. Der Verlust oder die Beschädigung kann eine relevante Pflichtverletzung sein, zumindest im Nutzungsverhältnis. Dem Verletzer droht wegen der Verletzung der „Spiel“-Regeln evtl. Sperrung bzw.
2298 So Maume, MMR 2007, 620 (621). 2299 Feldmann/Heidrich, CR 2006, 406 (410). 2300 LG München I v. 25.10.2006 – 30 O 11973/05, CR 2007, 264 m. Anm. Redeker stellte auf Schutzbedarf des Nutzers ab; s.a. OLG München v. 26.6.2007 – 18 U 2067/07; Maume, MMR 2007, 620 (621). 2301 LG Hamburg v. 28.8.2008 – 315 O 326/08, juris Rz. 40. 2302 OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597 (Ls. 1); a.A. OLG Frankfurt v. 5.3.2009 – 6 U 221/08, CR 2009, 390: „Die Befugnis zur Ausübung des Hausrechts in Räumen oder auf Grundstücken lässt sich mangels vergleichbarer Interessenlage auf eine Internetseite nicht übertragen“. 2303 LG München I v. 25.10.2006 – 30 O 11973/05, CR 2007, 264 (Ls. 3: Kündigung des Vertrags aus wichtigem Grund) m. Anm. Redeker. 2304 LG Bonn v. 16.11.1999 – 10 O 457/99, CR 2000, 245 (Ls.); s.a. Maume, MMR 2007, 620 (624 f.). 2305 S. zur Haftung bei Jugendgefährdenden Medien bei eBay i.V.m. UWG: BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 728 mit Prüfungspflicht, a) gegenüber weiteren gleichartigen Fällen, b) gegenüber anderen Angeboten des Versteigerers. 2306 S. z.B. KG v. 5.8.2005 – 13 U 4/05, CR 2005, 818 m. Anm. Spindler; s.a. Feldmann/Heidrich, CR 2006, 406 (408). 2307 Zur rechtlichen Einordnung virtueller Gegenstände Lober/Weber, MMR 2005, 653 (656). 2308 Haften Betreiber virtueller Welten ihren Nutzern für virtuelle Gegenstände?; dazu Lober/Weber, CR 2006, 837 ff. 2309 Lober/Weber, CR 2006, 837 (838, Fn. 12), verweisen auf die Wechselkurse unter gameused. com als Beispiel.
Kosmides
703
1187
B Rz. 1188
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Kündigung.2310 Über die Verunglimpfung oder Missachtung des Avatars kann die eigene Persönlichkeit, evtl. das Namensrecht u.Ä. an immateriellen Rechten verletzt werden.2311 Es besteht die Gefahr besseren Schutzes in der virtuellen Welt als in der realen.2312 1188 Betreiber virtueller Welten (z.B. Second Life, Xing oder Massively Multiplayer Online Games, sog. MMOGs) sind für fremde Inhalte (user generated content) wie Host-Provider verantwortlich.2313 Dabei wird zwischen simultanen Aktionen wie Chat oder Kommunikation zwischen Avataren mittels Gesten und statischen Inhalten wie Diskussionsforen zu unterscheiden sein.2314 Auf Erstere soll nach Meinung von Lober/Karg die BGH-Rspr. zu LiveFernsehsendungen2315 besser passen, auf Letztere die Rspr. zu Internetauktionen.2316 Eine Haftung kommt erst nach Kenntnis der Rechtswidrigkeit in Betracht.2317 Das LG Hamburg wendet nicht das TMG, etwa § 10 TMG, an, sondern Presserecht bzw. die Haftungsregeln wie im Presserecht.2318 Etwas anders ordnet das OLG Hamburg die äußerungsrechtlichen Fälle und Probleme ein, was für Angebote wie Flickr, Tumble, Bloomstreet, MyPaparazzi von Interesse ist.2319 Das Hauptproblem könnte das Wiederaufleben der Figur des Zueigenmachens werden.2320 1189 Bei der Beurteilung der Zumutbarkeit von Filterlösungen wird bei virtuellen Welten jedoch in besonderem Maße zu berücksichtigen sein, dass nicht nur textbasiert kommuniziert wird, sondern auch Bilder, Musikstücke und dreidimensionale Objekte hochgeladen und bei Second Life gar Computerprogramme in der eigenen Script-Sprache erstellt werden können.2321 Insoweit kann urheberrechtlicher Schutz für Werke, die in „Second Life“ o.Ä. entstehen, bestehen.2322 1190 I.R.v. Online-Spielen können Softwareprogramme verwendet werden, die nicht auf eine Interaktion mit einem menschlichen Benutzer angewiesen sind, sondern sich selbständig wiederholende Aufgaben abarbeiten und der Manipulation von Online-Spielen dienen (sog. Cheatbots). Die Anbieter solcher Computerprogramme für ein Massen-MehrspielerOnline-Rollenspiel behindern die Spielentwickler i.S.v. § 4 Nr. 10 UWG a.F. bzw. § 4 Nr. 4 UWG n.F. unter dem Aspekt der unlauteren vertriebsbezogenen Behinderung durch einen empfindlichen Eingriff in das Spielsystem.2323 1191 Wird den Mitspielern die Nutzung einer Cheatbot-Software untersagt, kann eine Verletzung dieser Vertragspflicht eine fristlose Kündigung des Spielnutzungsvertrags rechtfertigen.2324 2310 S. Geis/Geis, CR 2007, 721 (723) zu „Bragg v. Linden Lab“; zu Linden Lab s. Habel, MMR 2008, 71. 2311 Zu Angriffen auf Avatare s. Geis/Geis, CR 2007, 721 (724) unter Hinweis auf den Fall „Anshe Chung“, auch zur Frage anwendbaren Rechts. 2312 S. etwa OLG Köln v. 27.11.2007 – 15 U 142/07, CR 2008, 112 zu „spickmich.de“, Lehrerbewertung; LG Berlin v. 31.5.2007 – 27 S 2/07, CR 2007, 742 – meinprof.de. 2313 Zu den Rechtsfragen, v.a. der Währung, Abgrenzung zu „Spiel“, Vertragsgrundlagen s. Habel, MMR 2008, 71. 2314 Lober/Karg, CR 2007, 647. 2315 Vgl. so BGH v. 27.3.2007 – VI ZR 101/06, CR 2007, 586 – Meinungsäußerung im Internetforum. 2316 Vgl. etwa BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 m. Anm. Rössel – Internetversteigerung II. 2317 BGH v. 27.3.2007 – VI ZR 101/06, CR 2007, 586. 2318 LG Hamburg v. 3.12.2007 – 324 O 794/07, CR 2008, 738; s. dazu a. Engels/Jürgens/Kleinschmidt, K&R 2008, 65 (72). 2319 S. zu heise.de OLG Hamburg v. 22.8.2006 – 7 U 50/06, CR 2007, 44; s. dazu a. Engels/Jürgens/Kleinschmidt, K&R 2008, 65 (73). 2320 S. LG Hamburg v. 27.4.2007 – 324 O 600/06, MMR 2007, 450. 2321 Lober/Karg, CR 2007, 647 (652). 2322 S. zu virtuellem Modell des Kölner Doms (Texturen) LG Köln v. 21.4.2008 – 28 O 124/08, CR 2008, 463, konkret verneint. 2323 LG Hamburg v. 23.5.2013 – 312 O 390/11, CR 2013, 604 (Ls. 1). 2324 AG Charlottenburg v. 4.5.2012 – 208 C 42/11, MMR 2012, 598 (Ls.).
704
Kosmides
Haftung und Privilegierung der Provider
Rz. 1195
B
4.11 Suchmaschinen Suchmaschinen leisten einerseits einen Beitrag zur Erfüllung des allgemeinen Rechts auf In- 1192 formation (Art. 5 Abs. 1 Satz 1 GG), da sie andererseits aber eigene wirtschaftliche Interessen verfolgen (Art. 14 Abs. 1 GG), kollidieren bei Rechtsverletzungen Grundrechte, deren Konflikt nach Ansicht von Spieker dahingehend aufzulösen ist, dass Betreiber nach Kenntnis vom Persönlichkeitsrechtsverstoß zur Beseitigung des konkreten Beitrags verpflichtet sind und dafür zu sorgen haben, dass er nicht nochmals verbreitet oder sinngemäß wiedergegeben wird.2325 Für rechtswidrige Links aus der Ergebnisliste einer Suchmaschine ist der eigentliche Betreiber der Suchmaschine verantwortlich. Das LG Hamburg hat in diesem Zshg. entschieden, dass der Anspruch auf Beseitigung (insb. Löschung) oder Unterlassung nicht gegen den inländischen Anbieter, der Werbeanzeigen für die Website eines ausländischen Suchmaschinenbetreibers vermittelt, sondern gegen den ausländischen Suchmaschinenbetreiber selbst zu richten ist.2326 Dem stehe die E. des EuGH v. 13.5.2014 – C-131/122327 nicht entgegen.
1193
Für die Inanspruchnahme eines Suchmaschinenbetreibers auf Unterlassung wird – wie bei der Haftung eines Forenbetreibers für rechtsverletzende Äußerungen – die Verletzung möglicher und zumutbarer Prüfpflichten vorausgesetzt.2328
1193a
Dem BGH ist dabei gleichgültig, ob eigene oder fremde Inhalte in Betracht kommen und ei- 1194 ne Subsumtion des Anbieters unter die §§ 8 ff. TMG möglich ist. Nach ihm soll (auch) ein Suchmaschinenbetreiber der eigene Inhalte zur Nutzung bereithält und damit gem. § 7 Abs. 1 TMG für die entsprechenden Inhalte und deren Rechtmäßigkeit als Content-Anbieter verantwortlich ist, nicht als Täter, sondern als Störer haften.2329 An einen solchen Anbieter dürfen – so der BGH – keine überspannten Anforderungen gestellt werden, da der Dienst eine erlaubte Teilnahme am geschäftlichen Verkehr darstelle. Solche Anforderungen würden den Betrieb einer Suchmaschine jedenfalls unzumutbar erschweren.2330 Unter diesem Gesichtspunkt macht der BGH die Haftung des Anbieters von Zumutbarkeitsgesichtspunkten abhängig.2331 Im Ergebnis wird demnach eine „eingeschränkte Störerhaftung“ auch für Täter konstruiert.2332 Ein Suchmaschinenbetreiber ist im Allgemeinen grds. nicht verpflichtet, generell vorab die angezeigten Suchergebnisse sowie die von ihm verlinkten Seiten auf eine etwaige Rechtsverletzung zu überprüfen.2333 Gleiches gilt für die durch eine Software generierten Suchergänzungsvorschläge (sog. Autovervollständigungsfunktion).2334 Für die im Rahmen einer Autovervollständigungsfunktion vorgeschlagenen Kombinationsbegriffe, die eine unwahre Tatsachenbehauptung oder unzulässige Meinungsäußerung darstellen, haftet der Suchmaschinenbetreiber erst bei Verletzung zumutbarer Prüfpflichten.2335 2325 2326 2327 2328 2329
2330 2331 2332 2333 2334 2335
Spieker, MMR 2005, 727. LG Hamburg v. 10.7.2015 – 324 O 17/15, CR 2016, 121. EuGH v. 13.5.2014 – C-131/12, CR 2014, 460. BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 (Ls. 1) – Autocomplete-Funktion; LG Hamburg v. 24.1.2014 – 324 O 264/11, K&R 2014, 288 (Ls.). BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 (461) – Autocomplete-Funktion; krit. hierzu Hoeren, ZD 2013, 407 sowie Engels, MMR 2013, 538 (539), die zutreffend hervorheben, dass ein Suchmaschinenbetreiber, der Content-Provider i.S.v. § 7 Abs. 1 TMG ist, für die eigenen Inhalte als Täter voll verantwortlich ist; i.E. auch Gounalakis, NJW 2013, 2321 (2323).); s.a. LG Heidelberg v. 9.12.2014 – 2 O 162/13, K&R 2015, 277 (Ls. 1). BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 (461, Rz. 29 f.) – Autocomplete-Funktion; zustimmend Gounalakis, NJW 2013, 2321 (2323 f.). BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 (461) – Autocomplete-Funktion. Gounalakis, NJW 2013, 2321 (2323). OLG Nürnberg v. 22.6.2008 – 3 W 1128/08, CR 2008, 654 (Ls. 1). BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 (461) – Autocomplete-Funktion. BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 (Ls. 1) – Autocomplete-Funktion.
Kosmides
705
1195
B Rz. 1196
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1196 Nach höchsrichterlicher Rspr. trifft den Suchmaschinenbetreiber erst dann eine Prüfpflicht, wenn er Kenntnis von der Rechtsverletzung erlangt.2336 Jedenfalls nach einer Abmahnung dürfte eine Prüfpflicht bestehen.2337 1197 Wird der Suchmaschinenbetreiber wegen eines rechtswidrigen Inhalts in einem entgeltlichen Link abgemahnt, trifft ihn einerseits die Verpflichtung, den Inhalt gezielt zu überprüfen, andererseits ist er bei gerechtfertigter Abmahnung zur Tragung der hierdurch verursachten Kosten verpflichtet. Eine Inanspruchnahme des Suchmaschinenbetreibers scheidet dagegen aus, wenn nicht ausgeschlossen werden kann, dass ein Partner-Webmaster persönlichkeitsverletzende Inhalte eines Dritten unter seiner Domain eingebunden hat.2338 1198 Auf die berechtigte Abmahnung hin muss der Betreiber die Programmierung des Crawlers so verändern, dass die Übernahme des angegriffenen Inhalts in die Datenbank der Suchmaschine ausgeschlossen ist.2339 1199 Eine Störerhaftung des Betreibers einer Suchmaschine für Inhalte Dritter wurde verneint, wenn er den Datenbestand, auf den er mit seinem Internet-Suchdienst den Zugriff ermöglicht, nicht selbst pflegt.2340 1200 Lediglich eingeschränkte Prüfpflichten treffen auch den Betreiber eines entgeltlichen Presseartikel-Suchdienstes, der ohne Kenntnis vom Urheberverstoß nicht als Störer haftet.2341 Online-Nachrichten-Portale (Google, msn), die Pressemeldungen auswerten und den Nutzern im Wege eines Schlagzeilensystems (vor)generierte Nachrichtenübersichten zur Verfügung stellen, verstoßen nach Ansicht von Kazemi gegen das Urheberpersönlichkeitsrecht sowie die Verwertungsrechte der Anbieter von Online-Nachrichten.2342 Eine unerlaubte Vervielfältigungshandlung nach § 16 UrhG stellt nach dieser Ansicht auch das Beifügen von Thumbnails dar.2343 1201 Die Haftung des Suchmaschinenbetreibers wird insb. in Zshg. mit Werbung in der Suchmaschine diskutiert. Bei „Sponsored-Links“ als Werbung für unerlaubte oder rechtswidrige Geschäfte, hier Glücksspiele, haftet der Suchmaschinenbetreiber.2344 Ähnliches gilt für sog. Pseudo-Suchmaschinen, also Plattformen, die zu bestimmten Themen Informationen sammeln, aufbereiten und anbieten (z.B. als Vergleich von Versicherungen, Tarifen). Einer der bekanntesten Fälle betraf einen Betreiber, der „impuls“ als Kennzeichen nutzte. Der Betreiber haftet für sog. AdSense-Anzeigen.2345 1202 Hinsichtlich der Verantwortlichkeit des Suchmaschinenbetreibers bei Google-Adwords ist auf die Besonderheiten der Konzernstruktur zu achten. „Dem Betreiber einer Suchmaschine kann es – schon wegen der sehr hohen Zahl zu überwachender Eingaben und der ständigen Änderbarkeit der durch den Werbenden gewählten Begriffe – nicht zuge2336 BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 (461) – Autocomplete-Funktion; OLG Braunschweig v. 2.4.2014 – 2 U 8/12, CR 2015, 321 (Ls. 3) – Posterlounge I; v. 2.4.2014 – 2 U 44/12, GRUR-RR 2014, 385 (Ls. 3) – Posterlounge II; LG Hamburg v. 24.1.2014 – 324 O 264/11, K&R 2014, 288 (290); LG Heidelberg v. 9.12.2014 – 2 O 162/13, K&R 2015, 277 (Ls. 1 und 2); vgl. auch Spieker, MMR 2005, 727. 2337 LG Berlin v. 22.2.2005 – 27 O 45/05, CR 2005, 530; v. 9.9.2004 – 27 O 585/04, MMR 2005, 786; s.a. OLG Nürnberg v. 22.6.2008 – 3 W 1128/08, CR 2008, 654 (Ls. 1). 2338 KG v. 10.2.2006 – 9 U 105/05, CR 2006, 413. 2339 LG Berlin v. 9.9.2004 – 27 O 585/04, MMR 2005, 786. 2340 LG Frankenthal (Pfalz) v. 16.5.2006 – 6 O 541/05, CR 2006, 698. 2341 LG Frankenthal (Pfalz) v. 16.5.2006 – 6 O 541/05, CR 2006, 698. 2342 Kazemi, CR 2007, 94. 2343 Kazemi, CR 2007, 94. 2344 LG Hamburg v. 16.9.2004 – 315 O 755/03, CR 2005, 534. 2345 LG Düsseldorf v. 30.3.2005 – 2a O 10/05, CR 2006, 205; zu „impuls“ s.a. – i.V.m. Metatags – BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103.
706
Kosmides
Haftung und Privilegierung der Provider
Rz. 1207
B
mutet werden, aus eigenen Mitteln heraus wettbewerbsmäßige oder markenrechtliche Unterlassungsansprüche im Verhältnis von Dritten untereinander zu prüfen (…), um dann ggf. dafür zu sorgen, dass entsprechende Eintragungen nicht vorgenommen werden.“2346
Üblich sind auch Markenverletzungen durch Treffer auf der Trefferliste einer Suchmaschine. Das OLG Braunschweig hat geurteilt, dass der Betreiber einer Preissuchmaschine (interne Suchmaschine), der nach Abschluss einer Preissuche die entsprechenden Inhalte bereithält, sodass Google (als externe Suchmaschine) auch nach Abschluss der Suche des Nutzers mit der Preissuchmaschine auf diese Inhalte zugreifen kann, für Markenverletzungen durch auf diese Weise verursachte Treffer in der Trefferliste von Google als Störer haften kann.2347 Dabei wird die Verletzung einer Prüfpflicht vorausgesetzt.2348
1203
In den Ergebnissen der Suchmaschine wird ein Auszug der aufgefundenen bzw. nachgewie- 1204 senen Website mit Ausschnitten aus Stichworten („Snippets“, d.h. Textfragmente; Schnipsel,“), aber nicht in ganzen Sätzen, wiedergegeben. Es finden sich keine „ganzen“ bzw. zusammenhängenden Sätze. Soweit diese Funde rechtswidrige bzw. -verletzende Informationen aufweisen, spiegeln sich diese in den Suchergebnissen. Insoweit kann eine Haftung der Suchmaschinenbetreiber als Störer (konkret: Google) hin- 1205 sichtlich dieser „Snippets“ in Betracht kommen.2349 Dabei wird aber vorausgesetzt, dass der Suchmaschinenbetreiber zum einen die ihm obliegenden Prüfpflichten verletzt hat und zum anderen trotz Hinweis keine Sperrung der beanstandeten Inhalte vorgenommen hat.2350 Eine allgemeine Prüfungspflicht in Bezug auf den Inhalt des Snippets obliegt ihm als Grundrechtsträger der Pressefreiheit nicht.2351 Der Betreiber einer Suchmaschine haftet hingegen nach Auffassung des OLG Hamburg grds. nicht für die Verkürzung bzw. Unvollständigkeit des im Suchergebnis gefundenen Textes. Dem Nutzer sei bekannt, dass der Text der Suchmaschinenergebnisse in der Überschrift und in einzelnen Snippets unvollständig sein könne und damit jeweils im Zshg. mit der Originalseite zu lesen sei, der er entstammt.2352 Eine Haftung des Suchmaschinenbetreibers scheidet insoweit für Ehrverletzungen, die in Snippets enthalten sind, i.d.R. aus.2353 So gesehen haftet ein Suchmaschinenbetreiber (Google) nicht für das Ergebnis einer Suchanfrage, bei dem die zur Suche eingegebenen persönlichen Angaben im Suchergebnis zusammen mit einzelnen Worten angezeigt werden, die einen Straftatbestand nahe legen.2354
1206
Die vier beanstandeten Suchergebnisse, die bei Eingabe des Vor- und Nachnamens des Antragstellers in die Suchmaschine angezeigt wurden, enthielten jeweils in der Überschrift die Begriffe „Immobilienbetrug“, „Betrug“, „Machenschaften“ oder „Nigeria Betrug“, ohne dass diese Begriffe in einen konkreten Zshg. mit dem Namen des Antragstellers gebracht worden
1207
2346 LG München I v. 2.12.2003 – 33 O 21461/03, CR 2004, 704. 2347 OLG Braunschweig v. 2.4.2014 – 2 U 8/12, CR 2015, 321 (Ls. 1) – Posterlounge I; v. 2.4.2014 – 2 U 44/12, GRUR-RR 2014, 385 (Ls. 1) – Posterlounge II. 2348 OLG Braunschweig v. 2.4.2014 – 2 U 8/12, CR 2015, 321 (Ls. 3) – Posterlounge I; v. 2.4.2014 – 2 U 44/12, GRUR-RR 2014, 385 (Ls. 3) – Posterlounge II. 2349 OLG Braunschweig v. 2.4.2014 – 2 U 44/12, GRUR-RR 2014, 385 (Ls. 3: Störerhaftung) – Posterlounge II; OLG Köln v. 8.4.2014 – 15 U 199/11, CR 2014, 385 (Ls. 2): Täterhaftung; Unterlassungsanspruch verneinend: OLG München v. 29.9.2011 – 29 U 1747/11, CR 2012, 126 (Ls. 1); OLG Hamburg v. 20.2.2007 – 7 U 126/06, CR 2007, 330, dazu Schuster, CR 2007, 443 (mit Darstellung Vorinstanz LG Hamburg v. 28.4.2006 – 324 O 993/05). S.a. Sieber/Liesching, MMR Beil. 8/2007, 1 ff. 2350 OLG München v. 27.4.2015 – 18 W 591/15, CR 2015, 602. 2351 OLG Hamburg v. 26.5.2011 – 3 U 67/11, CR 2011, 667 (Ls. 3). 2352 OLG Hamburg v. 2.3.2010 – 7 U 70/09, ITRB 2010, 203; ebenso OLG Stuttgart v. 26.11.2008 – 4 U 109/08, CR 2009, 187 (188) m. Anm. Dietrich. 2353 OLG Hamburg v. 26.5.2011 – 3 U 67/11, CR 2011, 667 (Ls. 1). 2354 OLG Hamburg v. 20.2.2007 – 7 U 126/06, CR 2007, 330; anders als Vorinstanz LG Hamburg v. 28.4.2006 – 324 O 993/05.
Kosmides
707
B Rz. 1208
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
wären. Die Antragsgegner hatten nach Aufforderung des Antragstellers diese Eintragungen gelöscht, sich aber geweigert, eine strafbewehrte Unterlassungsverpflichtungs-Erklärung abzugeben. Das Gericht stellte klar, dass die Eintragungen einer Suchmaschine – für den Nutzer offenkundig – das Ergebnis eines automatisierten Vorgangs seien und nicht auf der intellektuellen Leistung von Menschen beruhten. Eine inhaltliche Aussage sei zudem durch das Suchergebnis dann nicht gegeben, wenn wie im vorliegenden Fall lediglich einzelne Worte (Snippets), aufgeführt würden.2355 „Jedenfalls dann, wenn die im konkreten Fall maßgeblichen Suchergebnisse keinen eindeutig rechtsverletzenden Inhalt haben (hier: Persönlichkeitsrecht), kommt es auf die Frage nicht mehr an, ob im Falle einer eindeutig herabsetzenden Äußerung im Text der Suchmaschinenfundstelle deren Beseitigung zumutbar wäre und ob dann eine weiter gehende Überwachungspflicht für die Zukunft besteht (Mitstörerhaftung). Ein Unterlassungsanspruch besteht dann bereits aus diesem Grunde nicht.“2356
1208 Eine andere Ansicht hat das KG vertreten: Danach ist eine Persönlichkeitsverletzung und damit eine Verantwortlichkeit des Suchmaschinenbetreibers anzunehmen, wenn „die verkürzte, zusammenfassende Darstellung im ‚Snippet‘ derartig sinnentstellend ist, dass ihr ein eigener Unrechtsgehalt zukommt“.2357 Inzwischen scheint aber das KG diese These aufgegeben zu haben. Es hat mit zwei neueren Urteilen eine entsprechende Haftung des Suchmaschinenbetreibers verneint.2358 4.12 Foto-, Musik- und Videoplattformen 1209 Die auf Internetplattformen hochgeladenen und zum Abruf bereitgehaltenen Inhalte (Foto-, Musik- und Videodateien) sind öfter urheberrechtlich geschützt, sodass hier in erster Linie eine Haftung für urheberrechtsverletzende Inhalte zur Debatte steht. Nach Ansicht des OLG Köln ist die AGB-Klausel eines Plattformbetreibers, nach der Teilnehmer an der Plattform ihm ein einfaches, unbefristetes und unentgeltliches Nutzungsrecht an von ihnen bei der Plattform eingestellten Inhalte gewähren, gem. §§ 310 Abs. 1 Satz 2, 307 Abs. 2 Nr. 1 BGB wirksam.2359 Vor diesem Hintergrund können sich grds. auch andere Teilnehmer auf dieses dem Plattformbetreiber gewährte Nutzungsrecht berufen.2360 1210 Der Plattformbetreiber ist grds. gem. § 10 TMG privilegiert. 1211 In Bezug auf die Haftung des Betreibers einer Plattform für Musikvideos hat das OLG Hamburg entschieden, dass Video-Filme, die im Nutzerbereich der Website von Dritten hochgeladen werden, keine eigenen Inhalte des Plattformbetreibers i.S.v. § 7 Abs. 1 TMG darstellen.2361 Der Plattformbetreiber haftet für solche urheberrechtsverletzende Inhalte weder als Täter noch als Teilnehmer. Ihn treffen nur zumutbare Prüfpflichten. Er kann damit im Wege der Störerhaftung auf Unterlassung in Anspruch genommen werden.2362 1212 Ein effizientes Instrument für den Ausschluss der Provider-Haftung ist der Einsatz von Kontroll- und Prüfungsverfahren. Nach herrschender Meinung in der Rspr. spricht allerdings das Ergreifen solcher Maßnahmen für ein Zueigenmachen der Inhalte. 2355 OLG Hamburg v. 20.2.2007 – 7 U 126/06, CR 2007, 330. 2356 OLG Hamburg v. 20.2.2007 – 7 U 126/06, CR 2007, 330; dazu Schuster, CR 2007, 443 mit Darstellung Vorinstanz LG Hamburg v. 28.4.2006 – 324 O 993/05. 2357 KG v. 3.11.2009 – 9 W 196/09, ITRB 2010, 230.; s.a. LG Hamburg v. 7.11.2014 – 324 O 660/12, CR 2015, 329 (Ls. 1): Störerhaftung des Suchmaschinenbetreibers bejaht, „wenn der Snippet eine in sich geschlossene und verständliche Aussage enthält“. 2358 KG v. 25.7.2011 – 10 U 59/11, MMR 2012, 129; v. 14.6.2011 – 10 U 59/11, juris Rz. 3. 2359 OLG Köln v. 19.12.2014 – 6 U 51/14, CR 2015, 391 (Ls. 1 Satz 1) – Amazon Marketplace. 2360 OLG Köln v. 19.12.2014 – 6 U 51/14, CR 2015, 391 (Ls. 1 Satz 2) – Amazon Marketplace. 2361 OLG Hamburg v. 29.9.2010 – 5 U 9/09, ITRB 2011, 103. 2362 Vgl. OLG Hamburg v. 29.9.2010 – 5 U 9/09, = ITRB 2011, 103.
708
Kosmides
Haftung und Privilegierung der Provider
Rz. 1216
B
Das LG Hamburg hat in einem Urteil aus dem Jahr 2010 eine täterschaftliche Haftung von 1213 Youtube für von Nutzern widerrechtlich auf die Plattform eingestellte Musikinhalte angenommen, die mittels Streaming zum Abruf bereitgehalten wurden.2363 Nach Auffassung des Gerichts habe sich Youtube die rechtsverletzenden Inhalte zu eigen gemacht, weil sich die Videos aus Sicht des objektiven Nutzers nach den Gesamtumständen (jedenfalls auch) als eigene Inhalte der Betreiberin darstellen. Dafür sprechen u.a. folgende Aspekte: das deutliche hervorgehobene Logo von Youtube gegenüber dem Namen des einstellenden Nutzers, der Verweis auf weitere relevante Videos, der Aufbau der Startseite mit einer Vorsortierung in Kategorien, die erkennbare kommerzielle Nutzung der Inhalte, die Präsentation auf fremden Internetseiten sowie die Nutzungsbedingungen.2364 Diese Beurteilung des LG Hamburg vermag nicht zu überzeugen. Dem durchschnittlichen, 1214 verständigen und informierten Internetnutzer ist bekannt, dass Youtube eine User-Generated-Content-Plattform ist, die keine eigenen Inhalte zur Nutzung bereithält, sondern vielmehr als Host-Provider i.S.d. § 10 TMG fungiert.2365 Wie Klingebiel ausführt, werden die fremden Inhalte nicht auf Vollständigkeit und Richtigkeit überprüft, was laut BGH2366 zu den Kriterien für ein Zueigenmachen zählt. Die hochgeladenen Inhalte sind ferner mit eigenen Inhalten qualitativ nicht vergleichbar. Die kontextbezogene Werbung vermittelt zudem nicht den Eindruck, es lägen nur eigene Inhalte vor. Auch die Nutzungsbedingungen sprechen nicht zwingend für ein Zueigenmachen der Inhalte.2367 Demzufolge scheidet eine täterschaftliche Haftung aus.2368 Das Gericht hat seine Auffassung in einem jüngeren Urteil geändert. Unter Bezugnahme auf 1215 die zur markenrechtlichen Haftung von Plattformbetreibern ergangene höchstrichterliche Rspr.2369 hat das LG Hamburg eine täterschaftliche Haftung des Betreibers (Youtube) ausdrücklich verneint.2370 Aufgrund der inhaltlichen und optischen Gestaltung des Internetportals sowie in Ermangelung einer redaktionellen Kontrolle der Inhalte durch den Betreiber scheide ein Zueigenmachen von durch Nutzer hochgeladenen Videos aus.2371 Für Urheberrechtsverletzungen durch solche Videos komme allenfalls eine Störerhaftung in Betracht.2372 Ein Plattformbetreiber, der weder als Täter noch als Teilnehmer für Urheberrechtsverstöße, 1216 die durch von Dritten hochgeladene Inhalte verursacht werden, ist nach Kenntniserlangung von der Rechtsverletzung verpflichtet, die entsprechenden Inhalte unverzüglich zu sperren und dafür Vorsorge zu treffen, dass es nicht zu weiteren Rechtsverletzungen kommt.2373 Dem Plattformbetreiber ist es in diesem Zshg. insb. zuzumuten, durch den Einsatz eines Softwareprogramms (bei Youtube: Content-ID-Programm), künftige Uploads zu verhindern.2374 Darü2363 2364 2365 2366 2367 2368 2369
2370 2371 2372 2373 2374
LG Hamburg v. 3.9.2010 – 308 O 27/09, CR 2010, 818 (Ls. 1) m. Anm. Klingebiel. LG Hamburg v. 3.9.2010 – 308 O 27/09, CR 2010, 818 (Ls. 2) m. Anm. Klingebiel. Ähnlich Roggenkamp, in: Heckmann (Hrsg.), jurisPR-ITR 21/2010 Anm. 2, C. BGH v. 12.11.2009 – I ZR 166/07, CR 2010, 468 (Ls.) m. Anm. Hoeren/Plattner – marions-kochbuch.de. Klingebiel, CR 2010, 823 ff. Ebenso Klingebiel, CR 2010, 823 (825); Roggenkamp, in: Heckmann (Hrsg.), jurisPR-ITR 21/2010 Anm. 2, C. BGH v. 17.8.2011 – I ZR 57/09, CR 2011, 817 – Stiftparfüm; v. 30.4.2008 – I ZR 73/05, CR 2008, 579 – Internet-Versteigerung III; v. 19.4.2007 – I ZR 35/04, CR 2007, 523 m. Anm. Rössel – Internetversteigerung II; v. 11.3.2004 – I ZR 304/01, CR 2004, 763 (767) m.w.N. m. Anm. Volkmann – Internetversteigerung I. LG Hamburg v. 20.4.2012 – 310 O 461/10, CR 2012, 391 f. m. Anm. Schulz. LG Hamburg v. 20.4.2012 – 310 O 461/10, CR 2012, 391 (Ls. 1) m. Anm. Schulz. LG Hamburg v. 20.4.2012 – 310 O 461/10, CR 2012, 391 (Ls. 1) m. Anm. Schulz. OLG Hamburg v. 29.9.2010 – 5 U 9/09, ITRB 2011, 103; LG Hamburg v. 20.4.2012 – 310 O 461/10, CR 2012, 391 (Ls. 2) m. Anm. Schulz; vgl. auch LG München I v. 29.1.2009 – 7 O 3836/07, juris Rz. 163. LG Hamburg v. 20.4.2012 – 310 O 461/10, CR 2012, 391 (Ls. 3) m. Anm. Schulz.
Kosmides
709
B Rz. 1217
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
ber hinaus wird vom LG Hamburg vorgeschlagen, dass Youtube zusätzlich zum Content-IDProgramm einen Wortfilter installiert, um die Zahl der durch dieses Programm nicht erfassten Rechtsverletzungen zu reduzieren.2375 Die Verletzung der im Einzelfall gebotenen Verhaltenspflichten kann zur Begründung einer Störerhaftung führen. 1217 Bei einer urheberrechtsverletzenden Bildveröffentlichung hat das OLG Hamburg einen Anspruch auf Unterlassung und Schadensersatz gegen den Forenbetreiber abgelehnt, wenn der Anbieter unverzüglich nach einem entsprechenden Hinweis des Rechteinhabers das fragliche Foto entfernt hat. Ihn treffe keine Pflicht, von vornherein durch entsprechende technische Maßnahmen das Einstellen rechtsverletzender Bilder zu unterbinden oder dies nach einer einmaligen Rechtsverletzung zu tun.2376 1218 Werden im elektronischen Immobilienangebot eines Maklers Fotos beigefügt, auf denen Innenräume, Garten und Garage einer Wohnung ohne Genehmigung seitens des Bewohners abgebildet werden, kann eine Haftung wegen Beeinträchtigung des allgemeinen Persönlichkeitsrechts des Bewohners begründet werden.2377 Für die Geltendmachung eines Unterlassungsanspruchs gem. §§ 823 Abs. 1, 1004 BGB i.V.m. Art. 1, 2 GG wird dabei vorausgesetzt, dass der Bewohner durch die Immobilienanzeige individuell betroffen ist.2378 1218a Der Betreiber einer Internetplattform, auf der Fotografen Fotos zum entgeltlichen Herunterladen ins Internet stellen, haftet als Störer für eine Beeinträchtigung des Grundstückseigentums durch ungenehmigte Verwertung von Fotos des Grundstücks nur dann, wenn die Eigentumsverletzung für ihn erkennbar ist.2379 1219 Bei Nichtlöschung unbefugt verwendeter urheberrechtlich geschützter Fotografien im Internet (z.B. im Rahmen einer Internetauktion) kann auch eine Vertragsstrafe in Betracht kommen. Hat sich der Schuldner gegenüber dem Rechteinhaber verpflichtet, unter Meidung einer Vertragsstrafe für jeden einzelnen Rechtsverstoß, mehrere unberechtigt eingestellte Lichtbilder auf einer Internetauktionsplattform nicht weiter zu verwerten, so hat er nur eine einzige Vertragsstrafe verwirkt, auch wenn die Fotos nach Abschluss der Internet-Auktion weiterhin öffentlich zugänglich sind. Dies gilt allerdings nur dann, wenn die Nichtlöschung der Fotos auf eine Fahrlässigkeit des Schuldners zurückzuführen ist.2380 4.13 Online-Marktplätze 1220 Online-Shops bieten mit ihrem elektronischen Katalog „eigene“ Informationen. Insoweit kommt eine Haftungsprivilegierung nicht in Betracht. Zugleich sind sie aber auch Plattformen mit ähnlichem Gepräge wie Foren. Dazu tragen Rubriken bzw. Informationsbereiche bei wie – Gästebuch,2381 – Bewertungsmöglichkeiten, – Link-Sammlungen. 1221 Ein Plattformbetreiber wird durch das bloße Bereitstellen seiner Plattform nicht zum Täter oder Teilnehmer einer von Dritten herbeigeführten Rechtsverletzung. Er kommt vielmehr,
2375 2376 2377 2378 2379 2380 2381
LG Hamburg v. 20.4.2012 – 310 O 461/10, CR 2012, 391 (Ls. 4) m. Anm. Schulz. OLG Hamburg v. 4.2.2009 – 5 U 180/07, ZUM 2009, 417 (Ls.) – Long Island Ice Tea. OLG Saarbrücken v. 17.6.2015 – 5 U 56/14, CR 2016, 261. OLG Saarbrücken v. 17.6.2015 – 5 U 56/14, CR 2016, 261. BGH v. 17.12.2010 – V ZR 44/10, CR 2011, 325 (Ls.). OLG Frankfurt v. 10.7.2013 – 11 U 28/12, ITRB 2014, 6. Haftung für ehrverletzende Einträge in Internet-Gästebuch: LG Düsseldorf v. 14.8.2002 – 2a O 312/01, MMR 2003, 61.
710
Kosmides
Haftung und Privilegierung der Provider
Rz. 1225
B
sofern er als rein technischer Dienstleister agiert, in den Genuss der Privilegierungen (§ 10 TMG).2382 So haftet der Betreiber eines Internetauktionshauses nicht als Verletzer, wenn er eine (mar- 1222 ken)rechtsverletzende Ware weder anbietet noch selbst in den Verkehr bringt und die fremde Marke auch nicht in der Werbung benutzt, sondern es den Nutzern der Plattform durch die Bereitstellung seiner Dienste bloß ermöglicht, gefälschte Produkte anzubieten.2383 Damit leistet er nur einen Beitrag zur Markenrechtsverletzung, woraus sich zumutbare Prüfpflichten ergeben können. Dem Anbieter darf insb. nicht zugemutet werden, „etwaige markenverletzende Angebote seiner Nutzer vor deren Veröffentlichung proaktiv herauszufiltern, wenn er sich dafür keiner bereits vorhandenen Software bedienen kann, die in der Lage ist, rechtsverletzende Angebote seiner im geschäftlichen Verkehr handelnden Nutzer zuverlässig elektronisch herauszufiltern, ohne dabei – mit der Folge einer Beeinträchtigung des rechtmäßigen Handels – zugleich auch rechtmäßige Angebote zu unterbinden.“2384
Das Hauptproblem ist die Vielzahl der täglich eingehenden bzw. einzustellenden Angebo- 1223 te,2385 die es nur schwer zumutbar erscheinen lassen, alles (proaktiv) auch nur oberflächlich auf Verstöße hin zu prüfen. Den Plattformbetreiber trifft eine Prüfungspflicht, die im Einzelfall genauere Konturen erhält. Zwar ist es einer Internetplattform für Fremdversteigerungen nicht zuzumuten, „jedes Angebot vor Veröffentlichung im Internet auf eine mögliche Rechtsverletzung hin zu untersuchen“, da dies praktisch das Geschäftsmodell zunichte machen („in Frage stellen“) würde.2386 Allerdings verdient der Plattformbetreiber über die Provision an der Piraterieware. Deshalb wiegt das Interesse des Plattformbetreibers an einem kostengünstigen und reibungslosen Ablauf weniger schwer als etwa das der Denic.2387 „Dies bedeutet, dass die Beklagte immer dann, wenn sie auf eine klare Rechtsverletzung hingewiesen worden ist, nicht nur das konkrete Angebot unverzüglich sperren muss (§ 11 Satz 1 Nr. 2 TDG n.F.), sie muss vielmehr auch Vorsorge treffen, dass es möglichst nicht zu weiteren derartigen Markenverletzungen kommt.“2388
Der BGH hat die Haftungsmöglichkeit am Fall der Internetversteigerung ausgedehnt: Die praktische Überwachungspflicht besteht nicht nur hinsichtlich bereits geschehener Verletzungen. Vielmehr greift die Überwachungspflicht auch für den vorbeugenden Unterlassungsanspruch. Die Haftungsprivilegien (TMG) finden also keine Anwendung2389 – trotz des Verbots der allgemeinen Überwachungspflichten (nach § 7 Abs. 2 Satz 1 TMG).
1224
Der BGH sah den Internetversteigerer richtigerweise nur als Störer, nicht als Teilnehmer und behandelt ausführlich die Gehilfenhaftung, wozu zumindest bedingter Vorsatz in Bezug auf die Haupttat erforderlich ist und dabei das Bewusstsein der Rechtswidrigkeit einzuschließen hat.2390 Diese Voraussetzung wurde verneint, also der Gehilfenvorsatz nicht angenom-
1225
2382 OLG Bdb. v. 18.2.2010 – 5 U 12/09, ITRB 2010, 126. 2383 Vgl. BGH v. 17.8.2011 – I ZR 57/09, CR 2011, 817 (818) – Stiftparfüm; OLG Hamburg v. 29.11.2012 – 3 U 216/06, CR 2013, 806 (808). 2384 OLG Hamburg v. 29.11.2012 – 3 U 216/06, CR 2013, 806 (807, Ls. 4). 2385 OLG Düsseldorf v. 26.2.2004 – I-20 U 204/02, MMR 2004, 315; BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523, zu einer Online-Auktionsplattform mit Einstellen von 90.000 Angeboten täglich. 2386 BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 (767) m. Anm. Volkmann – Internetversteigerung I unter Hinweis auf Erw.grd. 42 RL 2000/31/EG. 2387 BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 (767) m.w.N. m. Anm. Volkmann – Internetversteigerung I. 2388 BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 (767) m. Anm. Volkmann – Internetversteigerung I. 2389 BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (524 Rz. 19) m. Anm. Rössel – Internetversteigerung II unter Bezugnahme auf BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 (767) – Internetversteigerung I. 2390 BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (525 Rz. 29 ff.) unter Hinweis auf BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 (767) – Internetversteigerung I.
Kosmides
711
B Rz. 1226
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
men. Der Internetversteigerer ist Störer und hat im Falle der drohenden Verletzung, hier der Gemeinschaftsmarke, die Unterlassungspflicht.2391 1226 Für den Provider ergibt sich damit folgendes Bild, wie der BGH sehr klar ausführt: „Nach den in der Senatsentscheidung ‚Internetversteigerung I‘ … dargelegten Grundsätzen müssen die Beklagten, die als Betreiber einer Internetplattform für Fernversteigerung an den erzielten Erlösen teilhaben, immer dann, wenn sie vom Markeninhaber auf eine klare Rechtsverletzung hingewiesen worden sind, nicht nur das konkrete Angebot unverzüglich sperren (§ 10 Satz 1 Nr. 2 TMG bzw. § 11 Satz 1 Nr. 1 TDG 2001). Sie müssen darüber hinaus Vorsorge treffen, dass es möglichst nicht zu weiteren derartigen Markenverletzungen kommt. Hierbei ist zu beachten, dass der Hinweis des Markeninhabers auf die Markenverletzung auch einen Hinweis darauf umfassen muss, dass der jeweilige Anbieter im geschäftlichen Verkehr gehandelt hat.“2392
1227 Dieses Ergebnis wird bestätigt und die Haftung noch ausgedehnt durch jugendgefährdende Medien bei eBay.2393 Demnach besteht eine Prüfungspflicht, a) gegenüber weiteren gleichartigen Fällen, b) gegenüber anderen Angeboten des Versteigerers.2394 Diese Haftung für die Nichterfüllung wettbewerbsrechtlicher Verkehrspflichten ist jedoch nicht mehr „Störerhaftung“, sondern „Täterhaftung“.2395 Der Provider unterliegt der wettbewerbsrechtlichen Verkehrspflicht, die durch sein eigenes Handeln begründete ernsthafte Gefahr der Verletzung geschützter Interessen Dritter „im Rahmen des Möglichen und Zumutbaren zu begrenzen“.2396 Es geht um die „Pflicht zu gefahrverhütenden Maßnahmen“.2397 1228 Problemfelder sind neben dem Datenschutz für die Nutzer im Anbahnungsbereich die ggf. erforderliche Altersverifikation und die evtl. wettbewerbswidrige Darstellung der angebotenen Leistung. Die evtl. markenrechtsverletzende Werbung wird sich der Shop-Betreiber selbst zurechnen lassen. Markenrechtsverletzungen können sogar in der Form der „Markenverletzung verkehrt durch Nicht-Angebot“ bestehen2398: Werden tatsächlich die Produkte der beworbenen Marke nicht angeboten, stellt die Verwendung der Marke eine Markenverletzung dar2399: „Es liegt eine Doppel-Identverletzung (identische Bezeichnung für jeweils identische Waren) vor, wenn einerseits eine Produktkategorie mit ‚Marke (0)‘ (Nicht-Angebot) bezeichnet wird und andererseits innerhalb einer Oberkategorie (hier: Markenschmuck) die betreffende Marke aufgelistet ist. In beiden Konstellationen wird auf die unter der Marke vertriebenen Produkte im Sinne der markenrechtlichen Herkunftsfunktion Bezug genommen. Es handelt sich weiterhin in beiden Fällen um einen markenmäßigen Gebrauch des Kennzeichens, und zwar zur Kennzeichnung der angebotenen Dienstleistung (hier: Internetversteigerung) und damit zur Unterscheidung von anderen gleich-
2391 BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (526 Rz. 40) m. Anm. Rössel – Internetversteigerung II. 2392 BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (527) m. Anm. Rössel – Internetversteigerung II. 2393 BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay. 2394 BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay. 2395 So Köhler, GRUR 2008, 1 (3) zu BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay: unter Hinweis auf Ls. 2 Satz 2: „Wer in dieser Weise gegen eine wettbewerbsrechtliche Verkehrspflicht verstößt, ist Täter einer Wettbewerbshandlung.“ S.a. BGH v. 18.10.2007 – I ZR 102/05, CR 2008, 386 (Ls. 2) – ueber18.de: „Als Täter … haftet, wer Internetnutzern über seine Website einen gebündelten Zugang …“. 2396 BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 728 (Ls. 2 S. 1, entspr. weitgehend 730) m. Anm. Härting – Jugendgefährdende Medien bei eBay. 2397 Köhler, GRUR 2008, 1 (4) zu BGH v. 12.7.2007 – I ZR 18/04, CR 2007, 729 m. Anm. Härting – Jugendgefährdende Medien bei eBay: unter Hinweis auf Rz. 37. 2398 OLG Hamburg v. 21.6.2007 – 3 U 302/06, MIR 2007, Dok. 301 – jette joop. 2399 OLG Hamburg v. 21.6.2007 – 3 U 302/06, MIR 2007, Dok.301 – jette joop, da eine Berufung auf § 23 MarkenG selbst dann ausscheidet, wenn in Zukunft die Produkte dieser Marke angeboten werden sollen.
712
Kosmides
Haftung und Privilegierung der Provider
Rz. 1234
B
artigen Dienstleistungen (vgl. EuGH GRUR Int 1999, 438 – BMW/Deenik; BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103 = ITRB 2007, 156 = GRUR 2007, 65 – Impuls).2400“
Das „Nicht-Angebot“ wird wegen der Ausnutzung der Suchmaschinen-Methodik mit der Verwendung der Metatags gleichgesetzt.2401
1229
Die in der Rspr. entwickelten Grundsätze und Maßstäbe zur Inanspruchnahme von Forenbetreibern auf Unterlassung im Wege der Störerhaftung gelten auch für die Verantwortlichkeit von Betreibern eines Internet-Marktplatzes für Schutzrechtsverletzungen.2402 So ist der Plattformbetreiber zur Aufdeckung eventueller Markenrechtsverletzungen grds. nicht verpflichtet, Überwachungsmaßnahmen zu treffen, die darauf ausgerichtet sind, sämtliche Verkaufsangebote einer manuellen Kontrolle darauf zu unterziehen, ob unter den Marken von den Originalerzeugnissen abweichende Produkte angeboten werden.2403
1230
Den Plattformbetreiber treffen nach der BGH-Rspr. i.d.R. weitergehende Kontrollpflichten, wenn er Anzeigen im Internet schaltet, die unmittelbar zu schutzrechtsverletzenden Angeboten führen.2404 Dies wird damit begründet, dass der Anbieter durch eine solche Anzeigenschaltung seine neutrale Stellung verlässt und eine aktive Rolle im Hinblick auf die rechtsverletzenden Angebote übernimmt.2405
1231
In einem vergleichbaren Sachverhalt hat hingegen das OLG Hamburg ausgeführt:
1232
„Der Betreiber eines Online-Marktplatzes bleibt im Sinne der EuGH-Rechtsprechung (EuGH v. 12.7.2011 – Rs. C-324/09, ITRB 2011, 198 = IPRB 2011, 195, CR 2011, 597 m. Anm. Volkmann = WRP 2011, 1129 – L‘Oréal ./. eBay) neutral und nimmt keine „aktive Rolle“ im Hinblick auf rechtsverletzende Verkaufsangebote seiner Nutzer ein, wenn er bei einem Suchmaschinenbetreiber für bestimmte Suchworte eine sog. Adword-Anzeige schaltet, die dergestalt verlinkt ist, dass der Suchende nach Eingabe des Suchwortes und nach Anklicken der darauf angezeigten Adword-Werbung auf den Suchbereich des Online-Marktplatzes geleitet wird, wo eine dem Suchwort entsprechende Ergebnisliste angezeigt wird, die sowohl rechtmäßige als auch rechtsverletzende Angebote der Marktplatznutzer enthält.“2406
Das OLG Düsseldorf hat angesichts der durch den Betrieb einer Plattform für gewerbliche An- 1233 gebote geschaffenen Gefahr von Impressumspflichtverstößen dem Plattformbetreiber die (wettbewerbsrechtliche) Verkehrspflicht auferlegt, mögliche und zumutbare Prüfungs-, Überwachungs- und Eingreifpflichten zu erfüllen, um der entsprechenden Gefahr entgegenzuwirken.2407 Der Betreiber einer Online-Handelsplattform kann für Urheberrechtsverletzungen wegen der 1234 Verbreitung deutscher Übersetzungen aus einem Lateinbuch über seine Website haften.2408 Online-Händler, die auf einer Internetplattform wie Amazon E-Books zum Kauf anbieten, können wegen einer Urheberrechtsverletzung nur dann auf Unterlassung in Anspruch ge-
2400 OLG Hamburg v. 21.6.2007 – 3 U 302/06, MIR 2007, Dok. 301 – jette joop. 2401 OLG Hamburg v. 21.6.2007 – 3 U 302/06, MIR 2007, Dok. 301 – jette joop unter Hinweis auf BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103 – Impuls. 2402 Vgl. EuGH v. 12.7.2011 – C-324/09, Slg. 2011, I-6011, Rz. 123 f. – L‘Oréal/eBay; BGH v. 17.8.2011 – I ZR 57/09, CR 2011, 817 (Ls. 1 und 2) – Stiftparfüm. 2403 BGH v. 22.7.2010 – I ZR 139/08, CR 2011, 259 (Ls. 1) – Kinderhochstühle im Internet I; ebenso LG Hamburg v. 9.3.2012 – 408 HKO 137/09, juris Rz. 137 ff. 2404 BGH v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (53) – Kinderhochstühle im Internet II. 2405 BGH v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (53) – Kinderhochstühle im Internet II. 2406 OLG Hamburg v. 29.11.2012 – 3 U 216/06, CR 2013, 806 f. (Ls. 2). 2407 OLG Düsseldorf v. 18.6.2013 – I-20 U 145/12, CR 2013, 666 (669). 2408 OLG München v. 21.9.2006 – 29 U 2119/06, CR 2007, 40.
Kosmides
713
B Rz. 1235
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
nommen werden, wenn der Verstoß begangen wurde, nachdem sie auf eine klare Rechtsverletzung hingewiesen worden waren.2409 1235 Unter Berufung auf diese E. des OLG München hat das AG Hamburg geurteilt, dass ein Medienhändler keinen anlasslosen Prüfungspflichten im Hinblick auf das Angebot von Tonträger-Kompilationen unterliegt.2410 1236 Bei Identitätsdiebstahl, Phishing u.Ä. stellt sich die Frage, inwieweit der Plattformbetreiber, über den die Handlungen ausgeführt werden, evtl. verantwortlich ist, also die Frage nach der Störerverantwortlichkeit eines Marktplatzbetreibers zusammen mit der Frage, wer die Beweislast für Sicherheitsvorkehrungen bzw. deren Abwesenheit trägt.2411 Zunächst wird mit Phishing bezeichnet, wenn mittels der Versendung einer E-Mail der Empfänger veranlasst werden soll, den Absender der E-Mail interessierende, meist heikle Daten wie Bankkonto oder auch Passwörter in der Rückantwort preiszugeben. Mittels der so gewonnenen Daten kann sodann der „Phisher“ sich für den so Ausgespähten bei Aktionen gegenüber Dritten, z.B. dem Bank-Institut, ausgeben. Aber auch durch Spionage beim Konto-Inhaber und/oder dessen Bank kann sich der Täter die Kontodaten nebst PIN und TAN beschaffen. Bekannt wurden z.B. die Versuche, die Empfänger zur Herausgabe auch der sensibelsten Bankdaten zu bewegen, indem diese angeschrieben wurden, ihr Bankinstitut müsse seine EDV-Sicherheit überprüfen und dazu würden die Daten des Kunden benötigt. Der Phisher gibt sich insofern also für den IT-Sicherheitsbeauftragten dieses Bankinstituts aus. Anschließend werden die Daten dazu benutzt, um Überweisungen zu tätigen, die als Auftraggeber den ausgestellten Bankkunden vorgeben. Die beiden Handlungs-Bereiche – Gewinnung der Konten-Daten und dann die Verwendung dieser Daten unter Vortäuschung der Integrität des Auftraggebers – gehören vom Tatsächlichen her zusammen. Juristisch unterscheiden sie sich naturgemäß. 1237 Bei Identitätsdiebstahl von Dritten, die sich unter dem Namen eines anderen Nutzers anmelden und Handel betreiben, wurde eine Störerhaftung des Betreibers des Marktplatzes eBay angenommen. Der Betreiber trägt die Beweislast für Sicherheitsvorkehrungen.2412 In diesem Falle hatte der Kläger sich dagegen gewehrt, dass sich ein Dritter unter einem Decknamen mit Angabe der Klardaten des Klägers (Name und Anschrift) angemeldet und darunter Waren verkauft hatte. Dabei ging es allerdings um die zivilrechtliche „Namensanmaßung“ (§ 12 BGB). 1238 Nach Auffassung des OLG Düsseldorf kann ein Online-Auktionshaus wie eBay im Wege der Störerhaftung in Anspruch genommen werden, wenn „es seine Prüfungspflichten nach einem Hinweis auf eine klare Rechtsverletzung einschließlich des Hinweises, woraus sich ein Handeln im geschäftlichen Verkehr ergibt, verletzt“ hat.2413 Für die Begründung der Störerhaftung wird eine kerngleiche offensichtliche Markenverletzung vorausgesetzt, die mit zumutbaren technischen Mitteln (Filterverfahren) verhindert werden kann.2414 1239 Der Anbieter ist aufgrund des ihm zustehenden virtuellen Hausrechts grds. berechtigt, die Nutzung seiner auf Anbahnung eines Vertragsschlusses gerichteten Website nach seinen Vorstellungen zu beschränken.2415 Im Falle eines zu Testzwecken gehäuften Aufsuchens der
2409 OLG München v. 24.10.2013 – 29 U 885/13, GRUR-RR 2014, 13 – Buchbinder Wanninger; zur Frage, ob die Online-Plattformen für die unkörperliche Verbreitung digitaler Inhalte haftungsrechtlich wie Buchhändler zu behandeln sind, Reinke, K&R 2012, 459 ff., wobei diese Frage verneint wird. 2410 AG Hamburg v. 22.9.2014 – 36a C 98/14, juris Os. 2411 OLG Bdb. v. 16.11.2005 – 4 U 5/05, CR 2006, 124. 2412 OLG Bdb. v. 16.11.2005 – 4 U 5/05, CR 2006, 124. 2413 OLG Düsseldorf v. 24.2.2009 – I-20 U 204/02, CR 2009, 391 (Ls. 1). 2414 OLG Düsseldorf v. 24.2.2009 – I-20 U 204/02, CR 2009, 391 (392). 2415 LG Hamburg v. 28.8.2008 – 315 O 326/08, juris Rz. 41.
714
Kosmides
Haftung und Privilegierung der Provider
Rz. 1243
B
Seite eines Internetshops, welches zu einer Störung des zu kontrollierenden Betriebs führt, wurde vom OLG Hamburg eine Zugangsbeschränkung als gerechtfertigt angesehen.2416 Der Betreiber einer Internet-Anzeigenplattform, der den Zugang eines Verkaufsinteressenten wegen Betrugverdachts gesperrt hat, ist nach § 10 TMG nicht verpflichtet, (auch) die Weiterleitung einer E-Mail an dessen Registrierungsadresse zu unterbinden. Eine Ausdehnung der Verhaltenspflichten des Anbieters, die er bei fremden Informationen, welche er für einen Nutzer speichert, zu erfüllen hat, auf fremde Informationen, die er in einem Kommunikationsnetz lediglich übermittelt, würde nach Ansicht des OLG Bdb. die Privilegierung des § 8 Abs. 1 Satz 1 TMG leerlaufen lassen.2417
1240
4.14 Domaininhaber und Admin-C Der Domain-Registrar kann als Störer für rechtswidrige Inhalte Dritter haften.2418 Dabei ist 1241 seine Haftung nach Ansicht des LG Frankfurt aufgrund der bestehenden Unterschiede zum Host-Provider nicht nach den Grundsätzen zur Haftung des Host-Providers.2419 Näher liege vielmehr die Übertragung der Grundsätze zur Störerhaftung der DeNIC, sodass der Registrar auf Beseitigung bzw. Unterlassung in Anspruch genommen werden könne, wenn – nach erfolgtem Hinweis auf die Rechtsverletzung – ein rechtskräftiger Titel vorliege oder die Rechtsverletzung offenkundig sei.2420 Niedrigere Anforderungen an die Begründung der Haftung scheint wohl das OLG Karlsruhe zu stellen: Bei einer Domain, die markenrechtsverletzende Metatags beinhaltet, haftet danach der Registrar einfach nach Kenntniserlangung von der Markenrechtsverletzung als Mitstörer und ist zur Einwirkung auf seinen Kunden verpflichtet, auf dass dieser den rechtmäßigen Zustand wiederherstelle.2421 Der Inhaber der Domain und der administrative Ansprechpartner, der sog. Admin-C, können zwar dieselbe Person sein. Diese beiden Funktionen sind allerdings voneinander zu unterscheiden. Dies ergibt sich aus den Denic Domainrichtlinien.2422
1242
„VII. Der Domaininhaber ist der Vertragspartner DENICs und damit der an der Domain materiell Berechtigte. (…) VIII. Der administrative Ansprechpartner (Admin-c) ist die vom Domaininhaber benannte natürliche Person, die als sein Bevollmächtigter berechtigt und gegenüber DENIC auch verpflichtet ist, sämtliche die Domain betreffenden Angelegenheiten verbindlich zu entscheiden. (…)“.
Eine Haftung des Domaininhabers für die Inhalte der unter seiner Domain betriebenen Web- 1243 site ist grds. zu bejahen.2423 Der Domaininhaber kann als Verpächter für Äußerungen haften, die auf der von seinem Pächter betriebenen Website verbreitet werden.2424 Er sei mit dem Betreiber der mit der verpachteten Domain verknüpften Website vertraglich verbunden und habe die Möglichkeit, „sich durch entsprechende Vertragsgestaltung den Einfluss auf
2416 OLG Hamburg v. 18.4.2007 – 5 U 190/06, CR 2007, 597 (Ls. 3); OLG Hamm v. 10.6.2008 – 4 U 37/08, CR 2009, 121 (Ls. 2). 2417 OLG Bdb. v. 9.5.2012 – 13 U 50/10, CR 2012, 537 (Ls.). 2418 Vgl. OLG Saarbrücken v. 22.10.2014 – 1 U 25/14, CR 2015, 317; LG Köln v. 13.5.2015 – 28 O 11/15, CR 2015, 616; restriktiver: OLG Frankfurt v. 16.9.2015 – 16 W 47/15, K&R 2015, 742: „Der Verursachungsbeitrag des Domain-Registrars beschränkt sich darauf, den Eintrag für die gewünschte Domain im Domain-Name-System gesetzt zu haben. (…) Den Domain-Registrar treffen nur eingeschränkte Prüfpflichten, die eine Handlungspflicht nur dann auslösen, wenn die Verletzung von Persönlichkeitsrechten offenkundig und unschwer feststellbar ist“. 2419 LG Frankfurt/M. v. 5.8.2015 – 2-03 O 306/15, CR 2016, 461 (Ls. 1). 2420 LG Frankfurt/M. v. 5.8.2015 – 2-03 O 306/15, CR 2016, 461 (Ls. 2). 2421 OLG Karlsruhe v. 22.10.2003 – 6 U 112/03, CR 2004, 535. 2422 S. http://www.denic.de/domains/allgemeine-informationen/domainrichtlinien.html (abgerufen im Januar 2016). 2423 LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810 (812). 2424 BGH v. 30.6.2009 – VI ZR 210/08, CR 2009, 730 (Ls. 1) – Domainverpächter.
Kosmides
715
B Rz. 1244
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
die Internetseite vorzubehalten und diesen Einfluss im Falle der Verletzung der Rechte Dritter auszuüben“.2425 1244 Ihn treffen aber nur zumutbare Prüfungspflichten, die erst ab Kenntniserlangung von der Rechtsverletzung entstehen.2426 Nach Ansicht des LG Köln ist es dem Inhaber einer Domain nicht zumutbar, auf seine Seite verlinkende Webseiten Dritter auf rechtswidrige Inhalte zu überprüfen, wenn der Dritte den Link eigenmächtig gesetzt hat.2427 1245 Der Domaininhaber kann auch für urheberrechtswidriges Framing in Anspruch genommen werden.2428 1246 Eine Haftung des Domaininhabers ist auch im Fall des Domain-Hiding zu bejahen. Hier gelangt der User nicht ersichtlich auf eine Subdomain, während im Browser nach wie vor die Adresse der Hauptdomain steht. Der im Impressum der Subdomain genannte Diensteanbieter ist auch dann für den Inhalt dieser Seite verantwortlich, wenn er für die für den User allein ersichtliche Hauptdomain nicht Domaininhaber ist.2429 1247 Bei Persönlichkeitsrechtsverletzungen haftet der Inhaber einer Domain hinsichtlich von ihm verbreiteter persönlichkeitsrechtsverletzender Äußerungen auf der Homepage bei entsprechenden Prüfpflichten im Wege des Schadensersatzes auch auf die Kosten einer Abmahnung.2430 1248 Der Anbieter eines sog. Domainparking-Dienstes haftet grds. weder als Täter noch als Teilnehmer für Markenverletzungen seiner Kunden.2431 Der Provider kann aber als Störer in Anspruch genommen werden.2432 In diesem Zshg. darf ihm keine allgemeine Pflicht auferlegt werden, die in sein System von Kunden eingestellten Domainnamen auf Kennzeichenverletzungen hin zu überprüfen (§ 7 Abs. 2 Satz 1 TMG).2433 Es gelten vielmehr die allgemeinen Grundsätze zur Störerhaftung, wonach der Anbieter als Störer verantwortlich ist, sobald er Kenntnis von der Rechtsverletzung erlangt.2434 1249 Strittig ist die Störerhaftung des Admin-C.2435 Die Rspr. ist sehr gegensätzlich. Gegen eine Haftung haben sich z.B. ausgesprochen: LG Kassel,2436 OLG Koblenz,2437 LG Dresden2438 und OLG Hamburg2439 haben einen Unterlassungsanspruch gegen den Admin-C unter Hinweis auf die Domainrichtlinien abgelehnt. 2425 2426 2427 2428 2429 2430 2431 2432 2433 2434 2435 2436 2437 2438
2439
716
BGH v. 30.6.2009 – VI ZR 210/08, CR 2009, 730 (731) – Domainverpächter. BGH v. 30.6.2009 – VI ZR 210/08, CR 2009, 730 (Ls. 2) – Domainverpächter. LG Hamburg v. 3.8.2005 – 315 O 296/05, CR 2006, 130. LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810 (Ls.). OLG Hamburg v. 9.9.2004 – 5 U 194/03, CR 2005, 294. LG Hamburg v. 21.1.2005 – 324 S 6/04, MMR 2005, 479. BGH v. 18.11.2010 – I ZR 155/09, CR 2011, 534 (Ls. 2) – Sedo; OLG Frankfurt v. 25.2.2010 – 6 U 70/09, MMR 2010, 417 (Ls.); LG Frankfurt v. 26.2.2009 – 2-03 O 384/08, juris Rz. 24 ff. BGH v. 18.11.2010 – I ZR 155/09, CR 2011, 534 (Ls. 3) – Sedo; OLG Stuttgart v. 19.4.2012 – 2 U 91/11, CR 2012, 474 (Ls. 2); vgl. auch Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 670 ff. BGH v. 18.11.2010 – I ZR 155/09, CR 2011, 534 (Ls. 3) – Sedo. Vgl. auch OLG Stuttgart v. 19.4.2012 – 2 U 91/11, CR 2012, 474 (475). Krit. Wimmer/Schulz, CR 2006, 754 m. Rechtsprechungsüberblick. Vgl. auch Hoeren/Eustergerling, MMR 2006, 132. OLG Koblenz v. 25.1.2002 – 8 U 1842/00, CR 2002, 280 m. Anm. Eckhardt – vallendar.de; vgl. auch Hoeren/Eustergerling, MMR 2006, 132. LG Dresden v. 9.3.2007 – 43 O 0128/07, CR 2007, 462 m. Anm. Wimmers/Schulz: Es ist dem Admin-C unter Berücksichtigung seiner Funktion und Aufgabenstellung nicht zuzumuten, die Inhalte aller betreuten Websites regelmäßig zu prüfen; a.M. LG Hamburg v. 5.4.2007 – 327 O 699/06, CR 2008, 198 (Ls. 3). OLG Hamburg v. 22.5.2007 – 7 U 137/06, CR 2007, 797; vgl. auch OLG Hamburg v. 17.1.2012 – 3 W 54/10, MMR 2012, 489 (Ls. 3).
Kosmides
Haftung und Privilegierung der Provider
Rz. 1251
B
Mit der Stellung des Admin-C ist keine Einflussnahme verbunden bzw. kein Recht zur Einflussnahme eingeräumt;2440 eine manuelle Überwachung ist nicht zumutbar.2441 Im Hinblick auch auf die AGB der DENIC hat der Admin-C nicht die für eine Kontrolle nötigen Rechte.2442 Es besteht auch keine Haftung des Admin-C für Wettbewerbsverstöße der Domain-Inhaberin.2443 Die Mitstörer-Haftung des Admin-C wurde vom LG Dresden mit der Begründung abgelehnt, dem Admin-C sei es unter Berücksichtigung seiner Funktion und Aufgabenstellung nicht zuzumuten, die Inhalte aller betreuten Webseiten regelmäßig zu prüfen.2444 Für eine Haftung haben sich ausgesprochen:
1250
– Das OLG Stuttgart und das LG München I gehen davon aus, dass der administrative Ansprechpartner nach den DE-Registrierungsrichtlinien als Bevollmächtigter des Domaininhabers berechtigt und verpflichtet ist, sämtliche die Domain betreffenden Angelegenheiten und damit auch die Aufrechterhaltung oder Beseitigung eines kennzeichenrechtlichen Verstoßes zu entscheiden.2445 – Angesichts der Möglichkeit, die Funktion als Admin-C jederzeit zu beenden, gehen das LG Bonn und das LG Hamburg davon aus, dass er neben dem Domaininhaber als (Mit-)Störer für die Veröffentlichung wettbewerbswidriger Inhalte haftet, sofern er die rechtliche Möglichkeit zur Verhinderung besaß.2446 Auch das LG Berlin ging davon aus, dass der Admin-C durch die Registrierung für einzelne rechtswidrige Inhalte und sogar für Spam hafte.2447 Die haftungsrechtliche Inanspruchnahme kann auch dadurch verhindert werden, dass der Admin-C, wozu er aufgrund seiner Stellung berechtigt ist, die Domain kündigt.2448 – Der Zonen-Verwalter einer Internet-Domain „haftet für Rechtsverstöße auf den verwalteten Seiten nur dann auf Unterlassung, wenn die Rechtsverletzung für ihn offensichtlich erkennbar ist oder ihm ein entsprechender gerichtlicher Titel vorgelegt wird“.2449 Ausdrücklich bezieht sich das Gericht hierbei auf BGH vom 14.5.2001, wonach DENIC nur bei offensichtlichen Rechtsverstößen verantwortlich ist.2450 Die Frage über die Haftung des Admin-C wurde auf höchstrichterlicher Ebene im Wesentli- 1251 chen geklärt. Nach dem BGH nimmt der Admin-C an der Privilegierung der DENIC teil.2451 So gesehen hat er nicht für jede durch das Betreiben der Domain verwirklichte Rechtsverletzung einzustehen.2452 Es sei ihm nicht zumutbar, für jeden Domainnamen, für den er als ad2440 OLG Hamburg v. 22.5.2007 – 7 U 137/06, CR 2007, 797. 2441 OLG Hamburg v. 22.5.2007 – 7 U 137/06, CR 2007, 797. 2442 Deshalb: Keine (Mit-)Störerhaftung des Admin-C einer Domain für Persönlichkeitsrechtsverletzungen des die Domain haltenden Betreibers einer Website, OLG Hamburg v. 22.5.2007 – 7 U 137/06, CR 2007, 797. 2443 LG Dresden v. 9.3.2007 – 43 O 128/07, MMR 2007, 394; s.a. Wimmers/Schulz, CR 2007, 463; a.M. LG Hamburg v. 5.4.2007 – 327 O 699/06, CR 2008, 198 haftet als Störer bei unerlaubtem Glücksspiel unter der Domain. 2444 LG Dresden v. 9.3.2007 – 43 O 128/07, MMR 2007, 394. 2445 OLG Stuttgart v. 1.9.2003 – 2 W 27/03, CR 2004, 133; LG München I v. 10.2.2005 – 7 O 18567/04, CR 2005, 532. 2446 LG Bonn v. 23.2.2005 – 5 S 197/04, CR 2005, 527; LG Hamburg v. 2.3.2004 – 312 O 529/03 jur-pc 24/2005. 2447 LG Berlin v. 26.9.2005 – 16 O 718/05. 2448 KG v. 20.3.2006 – 10 W 27/05, CR 2006, 778. 2449 LG Bielefeld v. 14.5.2004 – 16 O 44/04, CR 2004, 701; offen dagegen LG Bielefeld v. 8.11.2005 – 20 S 49/05, CR 2006, 350 m. Anm. Wimmers/Schulz. 2450 BGH v. 17.5.2001 – I ZR 251/99, CR 2001, 850 – ambiente.de; vgl. auch LG Frankfurt/M. v. 5.8.2015 – 2-03 O 306/15, CR 2016, 461 (462 f.). 2451 BGH v. 9.11.2011 – I ZR 150/09, CR 2012, 179 (182 f.) – Basler Kosmetik. 2452 BGH v. 9.11.2011 – I ZR 150/09, CR 2012, 179 (Ls. 2) – Basler Kosmetik; zu weitgehend OLG Hamburg v. 17.1.2012 – 3 W 54/10, MMR 2012, 489, das die Beurteilung des BGH wohl missverstanden
Kosmides
717
B Rz. 1252
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
ministrativer Ansprechpartner fungiert, zu prüfen, „ob darin Namen von natürlichen Personen, Handelsnamen oder Bezeichnungen oder Bestandteile von Bezeichnungen enthalten sind, um dann eine nicht selten schwierige rechtliche Prüfung vorzunehmen, ob Namensrechte, Markenrechte oder sonstige Kennzeichenrechte verletzt sind“.2453 1252 Eine Haftung trifft den Admin-C nur ausnahmsweise. Eine zumutbare Verhaltenspflicht, deren Verletzung eine Haftung des Admin-C begründen kann, kann sich insb. aus den besonderen Umständen des Einzelfalls ergeben. Eine Haftung ist insofern zu bejahen, wenn der Admin-C verpflichtet ist, zu prüfen, ob mit der beabsichtigten Registrierung Rechte Dritter verletzt werden. Dies kann etwa der Fall sein, wenn „der im Ausland ansässige Anmelder freiwerdende Domainnamen jeweils in einem automatisierten Verfahren ermittelt und registriert und der Admin-C sich dementsprechend pauschal bereit erklärt hat, diese Funktion für eine große Zahl von Registrierungen zu übernehmen“.2454 Ferner ist eine Prüfpflicht des Admin-C anzunehmen, wenn „bei Registrierung einer Vielzahl von Domainnamen die möglichen Kollisionen mit bestehenden Namensrechten Dritter auch vom Anmelder nicht geprüft werden“.2455 Voraussetzung für eine Haftung ist insoweit das Vorliegen besonderer gefahrerhöhender Umstände. Eine abstrakte Gefahr, die auf die Registrierung einer Vielzahl von Domainnamen zurückzuführen ist, ist hingegen nicht ausreichend.2456 4.15 Affiliate-Marketing 1253 Affiliate-Marketing stellt ein besonders beliebtes Geschäftsmodell im Online-Bereich dar, da es die Ausweitung der Vertriebsaktivitäten im Internet ermöglicht.2457 Hierunter fallen sog. Partnerprogramme, bei denen ein kommerzieller Anbieter (Merchant, Advertiser) seine Leistungen mit Hilfe eines Vertriebspartners (Affiliate, Publisher) bewirbt.2458 I.R.d. Partnerprogramms stellt der Merchant dem Affiliate Werbemittel (z.B. Banner, Logos, Produktfotos) zur Verfügung, die der Affiliate nutzt, um die Internetseite des Merchants zu bewerben.2459 Die Werbemittel werden i.d.R. in die Website des Affiliate integriert. Sie sind dabei mit der Internetseite des Merchants verlinkt, sodass der Internetnutzer, der auf diese Werbemittel klickt, auf diese Internetseite weitergeleitet wird. 1254 Für ihre Dienste werden Affiliates i.d.R. durch Provision vergütet. Insb. kommen als Vergütungsmodelle Pay-per-Click, Pay-per-Sale sowie Pay-per-View in Betracht.2460 1255 An einem Affiliate-System ist typischerweise neben dem Merchant und dem Affiliate noch ein Systembetreiber beteiligt, der ein Affiliate-Netzwerk führt. Der Systembetreiber übernimmt dabei die Aufgabe, Merchant und Affiliate zusammenzubringen und zwischen ihnen zu vermitteln.2461 In diesem Fall fungiert das Affiliate-Netzwerk als Bindeglied zwischen Merchant und Affiliate, sodass ein direktes Vertragsverhältnis zwischen ihnen nicht erforderlich ist. Neben den Vertragsbeziehungen zwischen Merchant und Affiliate-Netzwerk ei-
2461
hat („Wie der Bundesgerichtshof (…) ausgeführt hat, kommt eine Haftung (…) grundsätzlich nicht in Betracht“). BGH v. 9.11.2011 – I ZR 150/09, CR 2012, 179 (182) – Basler Kosmetik. BGH v. 9.11.2011 – I ZR 150/09, CR 2012, 179 (Ls. 3) – Basler Kosmetik. BGH v. 13.12.2012 – I ZR 150/11, CR 2013, 177 (178, Ls. 3) m. Anm. Müller – dlg.de. BGH v. 13.12.2012 – I ZR 150/11, CR 2013, 177 (178, Ls. 3) m. Anm. Müller – dlg.de. Vgl. auch LG Hamburg v. 10.2.2011 – 315 O 356/10, juris Rz. 3. S. z.B. für Reisepartnerprogramm LG Hamburg v. 3.8.2005 – 315 O 296/05, CR 2006, 130: (keine) Mitstörerhaftung für Affiliates, wenn nach Abmahnung die erforderliche Prüfung vorgenommen wird. Ebenso, Haftung (nur) bei bzw. ab Kenntnis: LG Frankfurt/M. v. 15.12.2005 – 2/03 O 537/04, 2/3 O 537/04, 2-3 O 537/04, MMR 2006, 247. S.a. schon LG Hamburg v. 1.3.2000 – 315 O 219/99, MMR 2000, 436 – lucky strike. Emde/Weber, in: Hoeren/Bensinger (Hrsg.), Haftung im Internet, Kap. 9 Rz. 2. Zu den Vergütungsmodellen Emde/Weber, in: Hoeren/Bensinger (Hrsg.), Haftung im Internet, Kap. 9 Rz. 10 ff. Emde/Weber, in: Hoeren/Bensinger (Hrsg.), Haftung im Internet, Kap. 9 Rz. 6 f.
718
Kosmides
2453 2454 2455 2456 2457 2458
2459 2460
Haftung und Privilegierung der Provider
Rz. 1259
B
nerseits sowie Affiliate und Affiliate-Netzwerk andererseits kann aber trotzdem ein direktes Vertragsverhältnis zwischen Merchant und Affiliate bestehen. Merchant und Affiliate können aber auch – wie z.B. beim Amazon Partnerprogramm – ohne Einbindung eines AffiliateNetzwerks kooperieren.2462 Hier beruht die Kooperation der Partner zwangsläufig auf einer direkten Vertragsbeziehung. Für die von ihren Werbepartnern (Affiliates) begangenen Rechtsverletzungen i.R.d. AffiliateWerbung können die Merchants in Anspruch genommen werden.2463 Dies wird je nach Art des verletzten Rechtsguts auf § 8 Abs. 2 UWG, §§ 14 Abs. 7, 15 Abs. 6 MarkenG und §§ 99, 97 Abs. 1, 98 UrhG gestützt: Der Merchant muss sich demgemäß das Verhalten des Affiliate zurechnen lassen, weil der Affiliate als dessen Beauftragter anzusehen ist.2464 Der Begriff des Beauftragten ist weit auszulegen.2465 Es kommt auf die Eingliederung des Affiliate in die Betriebsorganisation des Merchant (etwa durch dessen Auslagerung von Funktionen) und darauf an, dass der Erfolg dem Merchant zugute kommt, dieser aber auch auf den Bereich Einfluss hat, in dem die rechtsverletzende Handlung erfolgt.2466
1256
Grds. hat ein Merchant für die Inhalte von Affiliate-Partnerseiten nicht wie für eigenes Ver- 1257 halten einzustehen.2467 Das OLG Köln hat entschieden, dass eine Kennzeichenverletzung durch einen Affiliate nicht ohne weiteres dem Auftraggeber (Betreiber eines Internetversandhandels) zugerechnet werden kann.2468 Der Advertiser, der an einem Affiliate-Marketing-Netzwerk beteiligt ist, haftet nach Ansicht des LG Stuttgart nicht ohne weiteres auf Unterlassung von unzulässigen Spam-Emails, die ein mit ihm über dieses Netzwerk verbundener Affiliate versendet. „Das Gericht verkennt in diesem Zusammenhang nicht die Schwierigkeiten des Klägers, als Außenstehender Vorgänge aus einem Marketingdreieck im Einzelnen darlegen zu können. Es bleibt ihm aber zweifellos die relativ einfache Möglichkeit, sich an den unmittelbaren Störer zu halten. Will er einen anderen als mittelbaren Störer heranziehen, muss er mehr vortragen als nur pauschale Behauptungen, weil die Störerhaftung nicht über Gebühr auf Dritte erstreckt werden darf“.2469
Eine Haftungszurechnung ist vielmehr nur unter bestimmten Voraussetzungen denkbar. Nach Auffassung des OLG Köln müssen konkret folgende Bedingungen erfüllt werden: das dem werbenden Unternehmen nützliche Anklicken der Links kann abgerechnet werden, der Auftraggeber hat mit der anderweitigen Tätigkeit des Affiliate zu rechnen und kann diese beeinflussen.2470
1258
Affiliate-Marketing-Modelle können ein gegen den Schutzanspruch des § 7 UWG gerichtetes Störmoment enthalten. Denn sie schaffen Anreize für Affiliate-Partner, Marktteilnehmer zur Provisionserlangung entgegen § 7 UWG in unzumutbarer Weise zu belästigen.2471 Arbeitet ein Unternehmer mit provisionsberechtigten Vertriebspartnern, so ist ihm das durch das Affiliate-System geschaffene und verwirklichte Störmoment grds. zuzurechnen,
1259
2462 S.a. Emde/Weber, in: Hoeren/Bensinger (Hrsg.), Haftung im Internet, Kap. 9 Rz. 9. 2463 Vgl. BGH v. 7.10.2009 – I ZR 109/06, CR 2009, 794 f. (Ls. 2) – Partnerprogramm; OLG Köln v. 12.2.2010 – I-6 U 169/09, MMR 2010, 782. 2464 OLG Stuttgart v. 14.3.2013 – 2 U 161/12, juris Rz. 56; OLG Köln v. 12.2.2010 – I-6 U 169/09, MMR 2010, 782; LG Karlsruhe v. 30.1.2014 – 15 O 101/13 KfH IV, juris Rz. 34; LG Berlin v. 16.8.2005 – 15 O 321/05, MMR 2006, 118; LG Köln v. 6.10.2005 – 31 O 8/05, CR 2006, 64 m. Anm. Ernst: Störerhaftung für von Affiliate innerhalb und außerhalb des Partnerprogramms gesetzte rechtsverletzende Metatags. 2465 OLG Köln v. 24.5.2006 – 6 U 200/05, CR 2007, 184 m.w.N., S. 185. 2466 OLG Köln v. 24.5.2006 – 6 U 200/05, CR 2007, 184 m.w.N., S. 185, auch zur Organisations- und Vertragsstruktur des Partnerprogramms. 2467 OLG Köln v. 12.2.2010 – I-6 U 169/09, MMR 2010, 782 f. 2468 OLG Köln v. 28.1.2011 – 6 U 200/05, CR 2007, 184. 2469 LG Stuttgart v. 29.5.2013 – 13 S 200/12, CR 2013, 542 (543). 2470 OLG Köln v. 28.1.2011 – 6 U 200/05, CR 2007, 184, juris Os. 2471 Vgl. OLG Stuttgart v. 1.7.2010 – 2 U 96/09, juris Rz. 46.
Kosmides
719
B Rz. 1260
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
sofern er seine dem Verbraucherschutz dienenden Sorgfaltspflichten verletzt, insb. die gebotenen Sicherungsmaßnahmen nicht getroffen hat.2472 1260 Im Vertrag zum Partnerprogramm wird wohl regelmäßig eine Haftung des Merchant für Handlungen bzw. Rechtsverletzungen der Affiliates ausgeschlossen und die Verpflichtung zum Einhalt der Schutzrechte Dritter vereinbart. Ungeachtet dieser Vereinbarung bzw. unabhängig von solcher AGB-Regelung soll der Merchant für Schutzrechtsverletzungen des Affiliate haften.2473 „Für die wettbewerbsrechtliche Beurteilung der Manipulation des Suchergebnisses“ spielt es keine Rolle, „ob sie durch Metatagging, Keyword-Stuffing, Cloaking, Verwendung verschobener Seiten oder in anderer Weise erfolgt ist.“2474
1261 Diese Verletzungshandlungen sind im Betrieb der Beklagten durch einen Beauftragten vorgenommen worden, wofür die Beklagte gem. § 14 Abs. 7 MarkenG haftet.2475 1262 Bei einer Werbung in einer Preissuchmaschine, die wegen unzureichender oder irreführender Preisangaben gegen die PAngV oder das Irreführungsverbot verstößt, haftet der Händler nach dem BGH als Täter, wenn er die Preisangaben dem Suchmaschinenbetreiber mitgeteilt und Letzterer diese Angaben unverändert in die Suchmaschine übernommen hat.2476 Das LG Hamburg hat unter Berufung auf diese E. geurteilt, dass ein Händler, der einen Onlineshop auf der Plattform eines Anbieters, der im Rahmen eines Partnerprogramms Vertragsbeziehungen zu einem Suchmaschinenbetreiber als Affiliate-Partner unterhält, betreibt und dort seine Produkte anbietet, nach § 8 Abs. 2 Satz 1 UWG für eigenes wettbewerbswidriges Verhalten haftet, wenn er selbst veranlasst, dass auf der Internetseite des Suchmaschinenbetreibers für ein von ihm angebotenes Produkt unter Verstoß gegen die PAngV geworben wird.2477 1263 Begeht ein Affiliate eine Rechtsverletzung (z.B. einen Wettbewerbsverstoß), steht eine Haftung des Betreibers des Partnerprogramms im Raum.2478 Der Betreiber eines Affiliate-Programms haftet allerdings nicht ohne weiteres als Mitstörer für eine vom Partner begangene Rechtsverletzung. Ihn treffen keine Pflichten zur Überprüfung, ob durch eigenmächtige Verlinkungen des Partners Rechtsverletzungen begangen werden.2479 1264 Wenig behandelt ist bisher die Frage, ob auch der Affiliate für Rechtsverletzungen des Advertisers haftet.2480
2472 OLG Stuttgart v. 1.7.2010 – 2 U 96/09, juris Rz. 45 ff. 2473 OLG Köln v. 24.5.2006 – 6 U 200/05, CR 2007, 184; s.a. Auer-Reinsdorff, ITRB 2008, 164. 2474 OLG Köln v. 24.5.2006 – 6 U 200/05, CR 2007, 184 (Ls. 1 S. 2 fast wörtlich); s. dazu Ott, MMR 2008, 222 (225). 2475 Vgl. auch BGH v. 7.10.2009 – I ZR 109/06, CR 2009, 794 f. (Ls. 2) – Partnerprogramm; OLG Köln v. 12.2.2010 – I-6 U 169/09, MMR 2010, 782. 2476 BGH v. 18.3.2010 – I ZR 16/08, CR 2010, 809 (Ls.) – Froogle II. 2477 Vgl. LG Hamburg v. 10.2.2011 – 315 O 356/10, juris Rz. 45 ff. 2478 Im konkreten Fall von LG Hamburg v. 3.8.2005 – 315 O 296/05, CR 2006, 130 ohne weitere zuzurechnende Umstände abgelehnt. 2479 LG Hamburg v. 3.8.2005 – 315 O 296/05, CR 2006, 130; ebenso LG Frankfurt v. 15.12.2005 – 2/03 O 537/04, MMR 2006, 247: Haftung erst ab Kenntnis der Rechtsverletzung; anders OLG Köln v. 24.5.2006 – 6 U 200/05, CR 2007, 184, das eine Haftung des Merchants für den Affiliate unabhängig von Kenntnis und unabhängig davon angenommen hat, ob die Website, auf der die Verletzung erfolgte, beim Affiliate-Programm angemeldet war; so auch LG Potsdam v. 12.12.2007 – 52 O 67/07, MIR 2008, Dok. 015 unter Hinweis auf OLG Köln v. 24.5.2006 – 6 U 200/05, CR 2007, 184 und LG Berlin v. 16.8.2005 – 15 O 321/05, MMR 2006, 118. 2480 Dazu Kieser/Kleinemenke, WRP 2012, 543 (544 ff.).
720
Kosmides
Haftung und Privilegierung der Provider
Rz. 1269
B
4.16 Soziale Netzwerke Die Betreiber von sozialen Netzwerken wie Facebook und Twitter sind als Host-Provider i.S.v. § 10 TMG zu qualifizieren.2481
1265
Für rechtsverletzende Inhalte, die die Miglieder von sozialen Netzwerken veröffentlichen, 1266 haftet der Anbieter nicht als Täter, weil er sich die entsprechenden Inhalte nicht zu eigen macht.2482 Der Anbieter ist nicht verpflichtet, solche Informationen vor der Veröffentlichung auf eventuelle Rechtsverletzungen hin zu überprüfen. Entsprechend der Rspr. zur Störerhaftung von Forenbetreibern (s. Rz. 1155 ff.) treffen den Anbieter zumutbare Prüfpflichten, die zur Entstehung gelangen, wenn er konkret auf rechtswidrige Inhalte auf der von ihm betriebenen Internetplattform hingewiesen worden ist. Er haftet demnach als Störer, wenn er nach Kenntnis die betreffenden Inhalte nicht sperrt oder löscht. Das ungenehmigte Verbreiten von Inhalten aus dem privaten Kommunikationsverkehr, der 1266a im Rahmen eines sozialen Netzwerks bzw. einer Chat-Plattform wie WhatsApp oder Facebook-Messenger durchgeführt wird, kann rechtswidrig sein und eine Deliktshaftung des Täters nach § 823 BGB begründen. So hat das LG Köln entschieden, dass das Verbreiten von Äußerungen einer anderen Person, die der privaten Kommunikation von Messenger-Usern entstammen, ohne deren Einverständnis das Recht dieser Person am gesprochenen bzw. geschriebenen Wort als Ausprägung des allgemeinen Persönlichkeitsrechts verletzt.2483 Dementsprechend ist das Recht am eigenen Bild tangiert, wenn Bildnisse eines heimlich Fotografierten ohne dessen Genehmigung über WhatsApp verbreitet werden.2484 4.17 Links 4.17.1 Allgemeines Obwohl Links also eigentlich eine ggf. nur schwache Verletzungsform sind, greifen die mög- 1267 lichen Haftungsprivilegierungen – §§ 7 ff. TMG – nicht zugunsten der Links, sodass auch keine Begrenzung der Haftung auf Unterlassung bzw. Störerhaftung erfolgt. Die Haftung desjenigen, der einen Hyperlink auf eine Website mit rechtswidrigen Inhalten setzt, richtet sich nach den allgemeinen Bestimmungen. Es geht demnach um die Frage der Zurechnung als eigene Informationen ohne den Filter, also unabhängig von der Rspr. zu den Privilegierungen. Früher wurde hinsichtlich der Zulässigkeit, einen Link auf fremde Seiten zu setzen, darauf 1268 abgestellt, ob dies im Rahmen eines Konkurrenzverhältnisses geschieht.2485 Inzwischen geht es wohl v.a. darum, ob eine Zueignung bzw. ein „zu Eigen machen“ auf diesem Wege erfolgt2486 oder besondere Effekte entstehen wie Irreführung. Eine Haftung wegen der Verlinkung auf fremden Inhalt wegen dessen Rechtswidrigkeit besteht grds. nur bei offensichtlichen oder bekannten Rechtsverstößen.2487 Anders verhält es sich bei Frames bzw. Framing, wodurch die Inhalte als solche des Websitebetreibers angesehen und deshalb auch so behandelt werden.2488
2481 EuGH v. 16.2.2012 – C-360/10, CR 2012, 265 (266) – Netlog NV/Sabam; s.a. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 553; Hoffmann, in: Spindler/Schuster, § 10 TMG Rz. 1; Krüger/Apel, MMR 2012, 144 (145). 2482 Vgl. OLG Stuttgart v. 22.10.2013 – 4 W 78/13, CR 2014, 328 (Ls. 1). 2483 LG Köln v. 10.6.2015 – 28 O 547/14, CR 2016, 48. 2484 LG Frankfurt v. 28.5.2015 – 2-03 O 452/14, CR 2016, 46 (Ls. 1). 2485 LG Hamburg v. 2.1.2001 – 312 O 606/00, CR 2001, 265. 2486 S.a. BGH v. 18.10.2007 – I ZR 102/05, Rz. 20, CR 2008, 386 – ueber18.de. 2487 BGH v. 1.4.2004 – I ZR 317/01, CR 2004, 613 – Schöner Wetten. 2488 BGH v. 16.5.2013 – I ZR 46/12, CR 2013, 455 (458) – Die Realität; LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810.
Kosmides
721
1269
B Rz. 1270
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1270 Das BVerfG nahm im Zshg. mit einem Nichtannahmebeschluss Gelegenheit, indirekt seine Auffassung zur Thematik der Hyperlinks abzugeben.2489 Neben der Frage des Beweises der Kenntnis spielt, so das BVerfG, als Gegenstand möglicher weiterer fachgerichtlicher Prüfung eine Rolle „die Reichweite der urheberrechtlichen Störerverantwortlichkeit“. „Ob die weite urheberrechtliche Störerhaftung auch an der Verletzung bloßer Verhaltensnormen – hier das in § 95 Abs. 3 Ziffer 1 UrhG enthaltene Werbeverbot – anknüpfen kann, sieht die neuere Rechtsprechung des BGH unter dem Eindruck kritischer Stimmen des Schrifttums ersichtlich als erörterungswürdig an (vgl. BGH v. 24.6.2003 – KZR 32/02, BGHZ 155, 189; BGHZ 158, 236 (251); für das Schrifttum vgl. Leible/Sosnitza, NJW 2004, 3225 (3226 ff.); Leistner, GRUR 2006, 801 ff.; Wimmers/Schulz, CR 2006, 754 (758 ff.), jeweils m.w.N.). Möglicher Gegenstand fachgerichtlicher Prüfung kann auch die Fragestellung sein, in welchem Umfang die Verantwortlichkeit der Presse für in einer redaktionellen Berichterstattung eingebundene Hyperlinks nach den Grundsätzen der presserechtlichen Verbreiterverantwortlichkeit beurteilt werden muss (vgl. etwa Burkhardt in: Wenzel, Das Recht der Wort- und Bildberichterstattung, 5. Aufl. 2003, Kap. 10 Rz. 248 f.; Libertus/ Schneider, CR 2006, 626 [629 ff.]; Spindler, MMR 2002, 495 [502 ff.]). Verfassungsrechtlich lässt es sich nicht beanstanden, wenn nach diesen Grundsätzen bei überwiegendem Informationsinteresse auch über eine unzweifelhaft rechtswidrige Äußerung eines Dritten berichtet werden darf, sofern sich der Verbreiter die berichtigte Äußerung nicht zu eigen gemacht hat (vgl. BVerfG v. 30.9.2003 – 1 BvR 865/00, NJW 2004, 590 (591)).“2490
1271 Nach dem BGH unterfällt ein redaktioneller Bericht einschließlich der dort gesetzten Links dem Schutzbereich der Presse- und Meinungsfreiheit nach Art. 6 EUV, Art. 11 Abs. 1 und 2 der EU-Grundrechtecharta sowie Art. 5 Abs. 1 Satz 1 und 2 GG, sofern er zum geschützten Bereich der freien Berichterstattung gehört.2491 Dies ist der Fall, wenn sich der Link nicht auf eine bloß technische Erleichterung für den Aufruf der betreffenden Internetseite beschränkt, sondern – vergleichbar einer Fußnote – zusätzliche Informationsquellen erschließt.2492 Zugunsten des Linksetzers kann gewertet werden, dass er auf die Rechtswidrigkeit des Angebots deutlich hingewiesen hat.2493 1272 Das LG Hamburg qualifizierte die Einstellung von Wikipedia-Inhalten über eine Verlinkung in das eigene Internetangebot eines TK-Anbieters als – als solchen erkennbaren – Inhalt aus der Berichterstattung Dritter, für den der TK-Anbieter nicht haftet und die Veranlassung der Entfernung nach Abmahnung ausreichte.2494 1273 Bei Verlinkung von Seiten unterschiedlicher Unternehmen haftet das Unternehmen, auf dessen Seite verlinkt wird, auch dann nicht für Inhalte auf der übergeordneten Seite, wenn es sich um konzernverbundene Unternehmen handelt.2495 1274 Wird dagegen ein Hyperlink aus einem redaktionellen Inhalt zu einer Werbeseite nicht so gestaltet, dass dem Nutzer erkennbar ist, dass er auf eine Werbeseite verwiesen wird, haftet der Linksetzer wegen wettbewerbswidriger Schleichwerbung.2496 1275 Ist es einer öffentlich-rechtlichen Körperschaft, hier einer Studentenschaft, untersagt, allg. politische Äußerungen zu tätigen, kann das Setzen eines Links auf eine Seite eines Dritten mit derartigen Inhalten nicht anders beurteilt werden, wie eine Veröffentlichung auf den eigenen Seiten.2497
2489 BVerfG v. 3.1.2007 – 1 BvR 1936/05, CR 2007, 381. 2490 BVerfG v. 3.1.2007 – 1 BvR 1936/05, CR 2007, 381 (382). 2491 BGH v. 14.10.2010 – I ZR 191/08, CR 2011, 401 (Ls.) – AnyDVD; a.A. OLG München v. 23.10.2008 – 29 U 5696/07, CR 2009, 33 (34, Ls. 3). 2492 BGH v. 14.10.2010 – I ZR 191/08, CR 2011, 401 (403). 2493 BGH v. 14.10.2010 – I ZR 191/08, CR 2011, 401 (404). 2494 LG Hamburg v. 16.5.2008 – 324 O 847/07, CR 2008, 523 (Ls. 1). 2495 OLG Hamburg v. 24.2.2005 – 5 U 72/04, CR 2006, 127. 2496 KG v. 30.6.2006 – 5 U 127/05, CR 2006, 631. 2497 VG Berlin v. 1.11.2004 – 2 A 113.04, CR 2005, 370.
722
Kosmides
Haftung und Privilegierung der Provider
Rz. 1281
B
Das bloße Bekanntmachen der Domain eines Dritten durch Werbung auf einem Auto kann haftungsrechtlich mit dem Setzen eines Links nicht gleichgestellt werden.2498
1276
Dem einzelnen Anbieter einer Website, v.a. einer unentgeltlichen, steht es frei, durch eine Hausordnung („Virtuelles Hausrecht“) zu versuchen, nicht Ziel unerwünschter Links zu werden.2499 Für Internetforen gibt es entsprechende Probleme hinsichtlich des Ausschlusses von Nutzern.2500
1277
4.17.2 Insb. Urheberrecht Prägend für die urheberrechtliche Behandlung von Links ist die E. „Paperboy“,2501 in der der BGH einen Suchdienst für tagesaktuelle Nachrichten im Internet zu bewerten hatte, der auf urheberrechtlich geschützte Artikel verlinkt und jeweils kurze Texte der fremden Seite und Stichwörter wiedergibt. Wird ein Hyperlink zu einer Datei auf einer fremden Website mit einem urheberrechtlich geschützten Werk gesetzt, liegt nach BGH kein Eingriff in das Vervielfältigungsrecht des Urhebers vor. Wer ein urheberrechtlich geschütztes Werk ohne technische Schutzmaßnahmen im Internet öffentlich zugänglich macht, ermöglicht dadurch bereits selbst die Nutzungen, die ein Abrufender vornehmen kann. Das Setzen eines Hyperlinks stellt damit selbst bei einer Erleichterung des Zugangs keinen urheberrechtlichen Störungszustand („keine urheberrechtliche Nutzungshandlung“) dar.2502 Die Verlinkung auf einen vom Urheber bereits selbst in das Internet eingestellten Inhalt stellt keinen Eingriff in das Recht der öffentlichen Zugänglichmachung dar. Auch das Verlinken auf Artikel in einer Datenbank stellt keinen Eingriff in dem Datenbankhersteller vorbehaltene Nutzungshandlungen dar.
1278
Diese Auffassung des BGH hat der EuGH jüngst im Ergebnis bestätigt: Zwar nehme der Be- 1279 treiber einer Internetseite mit anklickbaren Links eine Wiedergabe für die Öffentlichkeit vor.2503 Jedoch könne eine Wiedergabe, „die dieselben Werke umfasste wie die ursprüngliche Wiedergabe und wie diese im Internet, also nach demselben technischen Verfahren, erfolgte, nach ständiger Rechtsprechung nur dann unter den Begriff „öffentliche Wiedergabe“ i.S.v. Art. 3 Abs. 1 der Richtlinie 2001/29 fallen, wenn sie sich an ein neues Publikum richtet, d. h. an ein Publikum, das die Inhaber des Urheberrechts nicht hatten erfassen wollen, als sie die ursprüngliche öffentliche Wiedergabe erlaubten“.2504
Da im streitgegenständlichen Fall die Verlinkung nicht zu einer Wiedergabe der urheberrechtlich geschützten Werke für ein neues Publikum geführt hatte, wurde eine solche öffentliche Wiedergabe auch ohne Erlaubnis des Urheberrechtsinhabers als zulässig eingestuft.2505
1280
In der Paperboy-E. des BGH wurde allerdings die Frage, ob das Setzen von Links einen Ein- 1281 griff in das Recht auf öffentliche Zugänglichmachung darstellt, wenn sich der Berechtigte einer technischen Schutzmaßnahme bedient, um solche Links zu verhindern, der Linksetzende aber diese Schutzvorrichtungen umgeht, nicht beantwortet. Diese Frage wurde vielmehr 2498 ÖOGH v. 18.8.2004 – 4 Ob 122/04a, MMR 2005, 36 – zahntaxi.at. 2499 S. generell zu den möglichen Ansprüchen Strafner, Urheber- und wettbewerbsrechtliche Abwehransprüche des Anbieters von Informationen im World Wide Web gegen Hyperlinks. Zu den Grenzen der zulässigen Verlinkung bei verschiedenen Arten und vertraglichen Gestaltungsmöglichkeiten Redeker, ITRB 2003, 207. 2500 Zur Bejahung des „Virtuellen Hausrechts“ mit Ableitung aus Eigentumsrecht und Haftungsrisiko s. LG München I v. 25.10.2006 – 30 O 11973/05, CR 2007, 264 m. Anm. Redeker; Feldmann/Heidrich, CR 2006, 406; zur „Hausordnung“ s.a. LG Bonn v. 16.11.1999 – 10 O 457/99, MMR 2000, 109; OLG Köln v. 25.8.2000 – 19 U 2/00, CR 2000, 843. 2501 BGH v. 17.7.2003 – I ZR 259/00, CR 2003, 920 m. Anm. Nolte – Paperboy. 2502 BGH v. 17.7.2003 – I ZR 259/00, CR 2003, 920 (923) m. Anm. Nolte – Paperboy. 2503 EuGH v. 13.2.2014 – C-466/12, CR 2014, 258 (259) – Svensson. 2504 EuGH v. 13.2.2014 – C-466/12, CR 2014, 258 (259) – Svensson; s.a. Gräbig, MMR 2015, 365 (366). 2505 EuGH v. 13.2.2014 – C-466/12, CR 2014, 258 (259) – Svensson.
Kosmides
723
B Rz. 1282
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
in der Session-ID-E. des BGH bejahend beantwortet: Wer einen Hyperlink setzt, der derartige Schutzmaßnahmen umgeht, eröffnet einen Zugang zum Werk, der ansonsten für diese Nutzer oder auf diesem Weg nicht bestünde.2506 1282 Zusammenfassend gilt demnach nach BGH2507: – „Macht ein Berechtigter ein urheberrechtlich geschütztes Werk ohne technische Schutzmaßnahmen im Internet öffentlich zugänglich, haftet der Linksetzende nicht als Störer oder Täter, weil der Berechtigte dadurch bereits selbst den Nutzern die Vervielfältigung ermöglicht und den Zugang eröffnet hat und der Linksetzende die ohnehin mögliche Vervielfältigung und den ohnehin eröffneten Zugang lediglich erleichtert.“ – „Bedient der Berechtigte sich dagegen technischer Schutzmaßnahmen, um den Zugang zu dem geschützten Werk beispielsweise nur bestimmten Nutzern zu eröffnen oder nur auf einem bestimmten Weg zu ermöglichen, (…) greift das Setzen eines Hyperlink, der unter Umgehung dieser Schutzmaßnahmen einen unmittelbaren Zugriff auf das geschützte Werk ermöglicht, in das Recht der öffentlichen Zugänglichmachung des Werkes ein.“
1283 Das Setzen eines Links im redaktionellen Bericht kann vorsätzliche Beihilfe zur verbotenen Einfuhr und Verbreitung von „Vorrichtungen zur Umgehung wirksamer technischer Maßnahmen“ gem. § 95a Abs. 3 UrhG sein.2508 Andererseits ist dabei aber auch zu berücksichtigen, dass die in einem redaktionellem Bericht gesetzten Links dem Schutzbereich der Presse- und Meinungsfreiheit unterfallen können. 1284 Anders als bei einem Link, der zu einer fremden Website führt, auf der ein urheberrechtlich geschütztes Werk veröffentlicht ist, ist stets eine eigene urheberrechtliche Nutzungshandlung anzunehmen, wenn der Anbieter für die Nutzer einer Website einen Terminkalender bereithält und ihnen über einen Link Einladungsschreiben Dritter zugänglich macht, die er in einem eigenen Download-Center abgelegt hat.2509 Bei dem abrufbaren Einladungsschreiben handelt es sich nicht um eine fremde Information i.S.v. § 10 TMG, sodass die Haftungsprivilegierungen dieser Vorschrift nicht greifen. Gleiches gilt für die §§ 8 und 9 TMG. Es liegt weder eine bloße Durchleitung fremder Informationen noch eine Zwischenspeicherung zur beschleunigten Übermittlung von fremden Informationen vor.2510 1285 Wie das OLG Düsseldorf klargestellt hat, ist Embedded Content in urheberrechtlicher Hinsicht2511 anders als das Setzen eines einfachen Hyperlinks zu beurteilen. Im erstgenannten Falle wird das urheberrechtlich geschützte Werk durch den Linksetzenden öffentlich zum Abruf bereitgehalten, wohingegen im zweitgenannten Falle auf ein bereits veröffentlichtes Werk lediglich verwiesen wird. Der Hyperlinksetzer hält das geschützte Werk weder selbst öffentlich zum Abruf bereit noch übermittelt er es selbst auf Abruf an Dritte.2512 Dies entspricht auch dem Verständnis des EuGH, der im Zshg. mit der Einbettung eines auf einer Website öffentlich zugänglichen geschützten Werkes in eine andere Website mittels eines
2506 BGH v. 29.4.2010 – I ZR 39/08, CR 2011, 41 (42) – Session-ID; vgl. auch Conrad, CR 2013, 305. 2507 BGH v. 29.4.2010 – I ZR 39/08, CR 2011, 41 (42) – Session-ID. 2508 OLG München v. 23.10.2008 – 29 U 5696/07, CR 2009, 33 (36); LG München I v. 7.3.2005 – 21 O 3220/05, CR 2005, 460; OLG München v. 28.7.2005 – 29 U 2887/05, CR 2005, 821; dazu auch BVerfG v. 3.1.2007 – 1 BvR 1936/05, CR 2007, 381: Umgehung des Kopierschutzes von DVD-Datenträgern; LG München I v. 11.10.2006 – 21 O 2004/06, CR 2007, 607; LG München I v. 14.11.2007 – 21 O 6742/07, CR 2008, 186; s.a. zu rechtswidrigem Angebot von „Clone-CD“ BGH v. 17.7.2008 – I ZR 219/05, CR 2008, 691 – Clone-CD. 2509 BGH v. 4.7.2013 – I ZR 39/12, GRUR 2014, 180 (Ls. 1) – Terminhinweis mit Kartenausschnitt. 2510 BGH v. 4.7.2013 – I ZR 39/12, GRUR 2014, 180 (181, Rz. 16 ff.) – Terminhinweis mit Kartenausschnitt. 2511 Zu Embedded Content unter dem Gesichtspunkt des Rechts der öffentlichen Wiedergabe Jahn/Palzer, K&R 2015, 1 ff. 2512 OLG Düsseldorf v. 8.11.2011 – I-20 U 42/11, CR 2012, 122 f.
724
Kosmides
Haftung und Privilegierung der Provider
Rz. 1291
B
Links unter Verwendung der Framing-Technik ein öffentliches Zugänglichmachen angenommen hat.2513 Der Betreiber eines Blogs, in dem der Nutzer ein fremdes Bild für einen eigenen Beitrag im 1286 Wege des Embedded Content unter Verstoß gegen das Recht des Fotografen auf öffentliche Zugänglichmachung nutzt, haftet nicht für diese Urheberrechtsverletzung, wenn er sich das Bild nicht zu eigen gemacht hat und dieses sofort nach Kenntniserlangung von der Rechtsverletzung löscht.2514 Editierte Links (auch eDonkeys oder Hash-Links) ermöglichen und erleichtern die Suche 1287 und den Download von Filmplagiaten in Internet-Tauschbörsen. Die Rspr. nimmt auch mit dem Angebot der editierten Links eine Urheberrechtsverletzung an und bejaht eine Haftung des Anbieters nach den Grundsätzen der Störerhaftung.2515 4.17.3 Insb. Strafrecht Die Haftung für Hyperlinks richtet sich nach den allgemeinen Strafnormen und nicht nach 1288 §§ 7 ff. TMG (weder direkt noch analog).2516 Der Linksetzer haftet für die Inhalte der mittels Link aufrufbaren Seiten sowie für die von dort über weitere Links erreichbaren Unterseiten. Die Grenzen der Haftung werden unterschiedlich beurteilt. Teilweise wird darauf abgestellt, ob eine Identifikation mit dem Inhalt erfolgt,2517 oder ob der strafbare Inhalt sich in einer gewissen Nähe zur Ausgangsseite befindet und damit zwingend oder relativ schnell zu erreichen ist2518 oder wenn er die Verzweigungen zu weiteren Seiten sowie deren Inhalt gekannt hat.2519 Dabei kann das Setzen eines direkten Links auf strafbare Inhalte in bestimmten Ausnahme- 1289 fällen straflos bleiben, wenn das Zugänglichmachen der Internetseiten im Rahmen einer Dokumentation der staatsbürgerlichen Aufklärung oder einem ähnlichen Zweck dient.2520 Der Entscheidung zugrunde lag allerdings der Einzelfall einer umfassenden Dokumentation, die nach der Sozialadäquanzklausel des § 86 Abs. 3 StGB den Willen des Linksetzenden einen Beitrag zur staatsbürgerlichen Aufklärung zu leisten, deutlich sichtbar machte und die Entscheidung nicht auf jede Form der Wissensvermittlung durch einzelne Artikel übertragbar macht.2521 Das Vorliegen der Voraussetzungen des § 86 Abs. 3 StGB hat der Linksetzer darzulegen und zu beweisen.2522 Eine Strafbarkeit scheidet auch bei erkennbarer Distanzierung oder Satire aus, etwa beim Angebot, sich gesperrte Seiten am Telefon vorlesen zu lassen.2523
1290
4.18 E-Werbung Dazu im Ganzen Rz. 717 ff.
2513 2514 2515 2516 2517 2518 2519 2520 2521 2522 2523
1291
EuGH v. 21.10.2014 – C-348/13, MIR 2014, Dok. 108 (Rz. 18) – BestWater. OLG Düsseldorf v. 8.11.2011 – I-20 U 42/11, CR 2012, 122 (123). LG Hamburg v. 15.7.2005 – 308 O 379/05, CR 2006, 68 m. Anm. Sommer/Brinkel. Gercke, CR 2006, 844. Park, GA 2001, 23. Löhnig, JR 1997, 496; AG Stuttgart v. 7.10.2004 – 2 Ds 2 Js 21471/02, CR 2005, 69. Koch, CR 2004, 213. OLG Stuttgart v. 24.4.2006 – 1 Ss 449/05, CR 2006, 542 m. Anm. Kaufmann; CR 2005, 675. Vgl. auch Kaufmann, CR 2006, 542. AG Stuttgart v. 7.10.2004 – 2 Ds 2 Js 21471/02, CR 2005, 69 m. Anm. Neumann. LG Stuttgart v. 15.6.2005 – 38 Ns 2 Js 21471/02, CR 2005, 675 m. Anm. Kaufmann = ITRB 2005, 271 (unter Aufhebung von AG Stuttgart v. 7.10.2004 – 2 Ds 2 Js 21471/02, CR 2005, 69).
Kosmides
725
B Rz. 1292
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
4.19 Beeinflussung von Suchmaschinen 1292 Die Einflussnahme auf Trefferlisten von Internet-Suchdiensten kann eine Haftung wegen Wettbewerbsverstoß (dazu Rz. 876, 911 ff.) ebenso wie eine Markenrechtsverletzung auslösen. Der Betreiber einer Verkaufsplattform, der die auf seiner Website bereitgestellte interne Suchmaschine (z.B. Google) derart programmiert hat, dass Suchanfragen der Nutzer (hier: „Poster Lounge“) automatisch verarbeitet werden und gesammelte Suchdaten in einer mit der Marke eines Dritten (hier: „Poster-lounge“) verwechselbaren Weise in den Quelltext seiner Internetseite aufgenommen werden, haftet nicht als Störer, sondern als Täter dafür, dass eine Suchmaschine einen Treffereintrag erstellt, der über einen Link zur Website des Plattformbetreibers führt.2524 Zur Haftung des Suchmaschinenbetreibers s. Rz. 1186 ff. 4.20 Adwords und Keywords 1293 Adwords führen kontextsensitiv auf die Eingaben des Nutzers zu in das Suchergebnis „eingeblendete“ Anzeigen bzw. Werbe-Informationen. Google und Yahoo etwa bieten das Schalten von Anzeigen Dritter, die auf bestimmte, dazu passende Eingaben (keywords) erscheinen.2525 1294 Hinsichtlich der „Störerhaftung“ ist zwischen der Verantwortlichkeit des Betreibers der die Adwords anbietenden Suchmaschine und dem ein geschütztes Zeichen eines Dritten rechtswidrig verwendenden Werbenden zu unterscheiden. 1295 Zur Haftung des Suchmaschinenbetreibers s. Rz. 1186 ff. Zur Haftung des Werbenden s. Rz. 930 ff. 4.21 Frames 1296 Durch die Verwendung von Frames (zum Begriff s. Rz. 975) kann insb. eine wettbewerbsrechtliche sowie eine urheberrechtliche Haftung begründet werden. Zur wettbewerbsrechtlichen Komponente s. Rz. 975 ff. 1297 Bei dem Einsatz von Frame-Links ist keine körperliche Festsetzung und damit auch keine (unerlaubte) Vervielfältigung i.S.d. § 16 UrhG anzunehmen.2526 1298 Unklar bzw. strittig ist, ob das Framing von urheberrechtlich geschützten Inhalten ein öffentliches Zugänglichmachen i.S.d. § 19a UrhG darstellt.2527 Auf diese Problematik sei nach Ansicht des BGH weder die Paperboy-E. des BGH2528 noch die Svensson-E. des EuGH2529 an sich übertragbar.2530 Auf Vorlage des BGH2531 hat der EuGH jedoch unter Berufung auf sein Svensson-Urteil neuerdings klargestellt, dass die Einbettung eines auf einer Website öffentlich zugänglichen geschützten Werkes in eine andere Website mittels eines Links unter Ver2524 BGH v. 30.7.2015 – I ZR 104/14, CR 2016, 116 (Ls. und 119). 2525 Die Terminologie steht naturgemäß nicht fest. Manche sprechen auch von Metatag-Keyword; s. z.B. OLG Düsseldorf v. 14.2.2006 – I-20 U 195/05, CR 2006, 695. Zum Überblick über die Rechtsprechung bei Keyword Advertising s. Hüsch, MMR 2006, 357; zur markenmäßigen Benutzung s. Jaeschke, CR 2008, 375. 2526 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 143; Härting, Internetrecht, Rz. 1310 f. 2527 Bejahend: Schneider in der Voraufl. (4. Aufl. 2009), B Rz. 1311; BGH v. 16.5.2013 – I ZR 46/12, CR 2013, 455 (458, Rz. 23 ff.) – Die Realität; Ablehnend: Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 161; Härting, Internetrecht, Rz. 1311. 2528 BGH v. 17.7.2003 – I ZR 259/00, CR 2003, 920 m. Anm. Nolte – Paperboy. 2529 EuGH v. 13.2.2014 – C-466/12, CR 2014, 258 – Svensson. 2530 BGH v. 10.4.2014 – I ZR 46/12, K&R 2014, 519 – Die Realität II; vgl. aber Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 161. 2531 Vgl. BGH v. 16.5.2013 – I ZR 46/12, CR 2013, 455 – Die Realität; v. 10.4.2014 – I ZR 46/12, K&R 2014, 519 – Die Realität II.
726
Kosmides
Haftung und Privilegierung der Provider
Rz. 1303
B
wendung der Framing-Technik allein keine urheberrechtsverleztende öffentliche Wiedergabe darstellt, soweit das betreffende Werk weder für ein neues Publikum noch nach einem speziellen technischen Verfahren wiedergegeben wird, das sich von demjenigen der ursprünglichen Wiedergabe unterscheidet.2532 Entsprechend der in der Paperboy-E. formulierten Linie,2533 haben ferner das OLG Mün- 1299 chen2534 und das OLG Köln2535 auf die technische Betrachtung abgestellt und in der Ermöglichung der Wiedergabe fremder Werke auf der eigenen Website in Form von Frames keine urheberrechtliche Verwertungshandlung i.S.v. § 19a UrhG gesehen. Beim Framing mache nur derjenige, in dessen Zugriffssphäre sich das Werk befindet, dieses der Öffentlichkeit zugänglich, nicht aber der Linksetzer, der einen framenden Link auf das Werk setzt.2536 Demgegenüber hatte die Vorinstanz eine Urheberrechtsverletzung, konkret einen Eingriff in das Recht der öffentlichen Zugänglichmachung, bejaht.2537 Das LG München I hatte auch in einer früheren E. Framing als einen Fall des öffentlich Zugänglichmachens gemäß § 19a UrhG eingestuft.2538 Im Unterschied zu Links/Deep Links und der die grds. Zulässigkeit bejahenden Paperboy-E. des BGH treffe der Nutzer beim Framing gerade keine eigene Entscheidung, die fremde Seite und den fremden Inhalt aufzurufen. Die Fremdheit der Inhalte ist beim Framing für den Nutzer selbst meist nicht ersichtlich. Geframte Inhalte sind regelmäßig dem Betreiber der Website zuzurechnen.2539
1300
Die Ausgestaltung des Framing kann dazu führen, dass die Urheberschaft allg. und speziell die Namensnennung des Urhebers entfallen und der Betrachter den Inhalt demjenigen zurechnet, der den Frame verwendet (relevant nach § 13 UrhG i.V.m. § 97 UrhG).2540 Es kommt auch ein Verstoß gegen § 14 UrhG (Schutz vor Entstellung) in Betracht.2541
1301
Auch ein Anspruch aus unzulässigem Namensgebrauch gem. § 12 BGB ist denkbar. Ein sol- 1302 cher Anspruch scheidet nach Ansicht des OLG Celle aus, wenn auf die Quelle der durch Anklicken des Links aufgerufenen Internetseite ausdrücklich hingewiesen wird.2542 Sehr schwierig erscheint eine klare Grenzziehung zwischen (erlaubtem) Deep Linking und 1303 dem (nicht ohne Zustimmung erlaubten) Framing. Das LG München stellt dazu darauf ab, ob sich der Ersteller des Web-Auftritts fremde Inhalte so zu eigen macht, dass für den gewöhnlichen Nutzer die Fremdheit nicht mehr in Erscheinung tritt.2543 Das Zueigenmachen führt zur Verantwortlichkeit des Anbieters,2544 aber auch des Domain-Inhabers, der die Ver2532 2533 2534 2535 2536 2537 2538 2539 2540 2541 2542 2543 2544
EuGH v. 21.10.2014 – C-348/13, MIR 2014, Dok. 108 (Rz. 19) – BestWater. S.a. Conrad, CR 2013, 305 (306). OLG München v. 16.2.2012 – 6 U 1092/11, CR 2013, 331 (Ls. 1). OLG Köln v. 16.3.2012 – 6 U 206/11, CR 2012, 547 (548); BGH v. 14.9.2012 – 6 U 73/12, CR 2012, 809 (810); ebenso LG Köln v. 4.12.2013 – 28 O 347/13, juris Rz. 16. OLG München v. 16.2.2012 – 6 U 1092/11, CR 2013, 331 (Ls. 2). LG München I v. 2.2.2011 – 37 O 1577/10; ebenso in Bezug auf Embedded Content OLG Düsseldorf v. 8.11.2011 – I-20 U 42/11, CR 2012, 122 (Ls. 1). LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810. LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810 (offen gelassen für den Fall, dass die Fremdheit des Inhalts ausreichend deutlich gemacht wurde). S. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 143; Ernst, NJW-CoR 1997, 224 (225); Gabel, K&R 1998, 555 (556) zu LG Düsseldorf v. 29.4.1998 – 12 O 347/97, CR 1998, 763. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 143. OLG Celle v. 8.3.2012 – 13 W 17/12, MMR 2013, 123 (124). LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810. S.a. Rz. 1264, zu BVerfG v. 3.1.2007 – 1 BvR 1936/05, CR 2007, 381 (382). LG München I v. 10.1.2007 – 21 O 20028/05, ITRB 2007, 107 mit Verweis u.a. auf OLG Hamburg v. 22.2.2001 – 3 U 247/00, CR 2001, 704: Vervielfältigung bei Framing auch dann, wenn jeweils nur ein Teil eines fremden Online-Lexikons im Frame erscheint. S.a. zum Zueigenmachen BVerfG v. 3.1.2007 – 1 BvR 1936/05, CR 2007, 381 und dazu z.B. LG München I v. 14.11.2007 – 21 O 6742/07, CR 2008, 186 (191).
Kosmides
727
B Rz. 1304
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
antwortung dafür übernehmen muss, dass die für die unter seiner Domain angebotenen Inhalte notwendigen Rechte vorliegen.2545 Die Alternative ist, dass für den Nutzer die Fremdheit der angebotenen Seiten deutlich erkennbar bleibt, sodass nur eine Haftung gemäß den Grundsätzen der E. BGH – Schöner Wetten – in Betracht kommt.2546 4.22 Thumbnails 1304 Unter Thumbnails sind kleine digitale Grafiken bzw. Bilder zu verstehen, die als Vorschau für eine größere Version dieser Grafiken bzw. Bilder dienen.2547 1305 Die Erstellung von Thumbnails kann mangels einer schöpferischen Leistung nicht als Bearbeitung i.S.v. § 3 UrhG eingestuft werden.2548 Sie stellt hingegen eine andere Umgestaltung i.S.d. § 23 UrhG dar.2549 1306 Der BGH hat entschieden, dass es sich bei einem Thumbnail in einer Bildersuchmaschine, das ein Kunstwerk lediglich verkleinert, ansonsten aber ohne wesentliche Veränderungen identisch in seinen schöpferischen Zügen gut erkennbar wiedergibt, um eine Vervielfältigung i.S.v. § 16 Abs. 2 UrhG handelt.2550 Dies gelte unabhängig davon, ob das Vorschaubild als Bearbeitung oder Umgestaltung unter § 23 UrhG fällt.2551 1307 Werden Thumbnails in der Trefferliste einer Suchmaschine aufgelistet, ist ein öffentliches Zugänglichmachen durch den Suchmaschinenbetreiber i.S.v. § 19a UrhG anzunehmen.2552 1308 Die Nutzung in Gestalt von Thumbnails der bei der Herstellung eines Filmwerks entstandenen Lichtbilder stellt grds. keine filmische Verwertung i.S.v. § 91 UrhG dar, weil die Lichtbilder weder im Rahmen der Auswertung des Filmwerks noch in Form eines Films genutzt werden.2553 1309 Besonders interessant ist die Beurteilung von Thumbnails, die seitens Dritter in das Internet eingestellt werden, unter dem Aspekt der urheberrechtlichen Haftung. In diesem Zshg. diskutiert die Rspr. die Übertragbarkeit der Paperboy-E. des BGH.2554 Teilweise wird eine Gleichbehandlung mit grds. zulässigen Links verneint.2555 Gegen den Verwender von Thumbnails besteht demnach ein urheberrechtlicher Unterlassungsanspruch. In der öffentlichen Zugänglichmachung von Thumbnails sieht das LG Hamburg eine unfreie Nutzung der zugrunde liegenden Originalfotos.2556 Dies gelte auch, wenn die Thumbnails gegenüber den Originalfotos erheblich verkleinert sind. Dies sei nicht ausreichend, um die Schwelle zur freien Benutzung nach § 24 UrhG zu erreichen.
2545 LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810 mit Verweis auf LG Köln v. 5.10.2001 – 28 O 346/01, MMR 2002, 254; BGH v. 11.4.2002 – I ZR 317/99, CR 2002, 674 m. Anm. Koschorreck und OLG Karlsruhe v. 22.10.2003 – 6 U 112/03, MMR 2004, 256. 2546 LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810 zu BGH v. 1.4.2004 – I ZR 317/01, CR 2004, 613. 2547 Vgl. BGH v. 19.11.2009 – I ZR 128/07, IPRB 2010, 172 – Film-Einzelbilder; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 15. 2548 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 82. 2549 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 133, 162. 2550 BGH v. 29.4.2010 – I ZR 69/08, Rz. 17, CR 2010, 463 – Vorschaubilder I; LG Berlin v. 27.9.2011 – 16 O 484/10, juris Rz. 18. 2551 BGH v. 29.4.2010 – I ZR 69/08, Rz. 17, CR 2010, 463 – Vorschaubilder I. 2552 BGH v. 29.4.2010 – I ZR 69/08, CR 2010, 463 (Ls. 1) – Vorschaubilder I; vgl. auch OLG Hamburg v. 12.5.2010 – 5 U 221/08, 44.ZUM 2010, 886 (889). 2553 BGH v. 19.11.2009 – I ZR 128/07, IPRB 2010, 172 – Film-Einzelbilder. 2554 BGH v. 17.7.2003 – I ZR 259/00, CR 2003, 920 m. Anm. Nolte – Paperboy. 2555 So ausdrücklich LG Hamburg v. 5.9.2003 – 308 O 449/03, CR 2004, 855. 2556 LG Hamburg v. 5.9.2003 – 308 O 449/03, CR 2004, 855.
728
Kosmides
Haftung und Privilegierung der Provider
Rz. 1314
B
Im Hinblick auf die mögliche Differenzierung bei der Verantwortlichkeit ist interessant, worauf auch die Anmerkung hinweist, dass das LG Hamburg die Angebote nicht als unmittelbare Verletzung fremder Verwertungsrechte angesehen hat, sondern die Haftung über die Eigenschaft als Störer begründet.
1310
Nach anderer Ansicht sollen für den Betreiber einer Bildsuchmaschine hinsichtlich der Spei- 1311 cherung und Wiedergabe stark verkleinerter Ausführungen eines urheberrechtlich geschützten Fotos zumindest für Schadensersatzansprüche die Haftungsprivilegierungen des TMG gelten2557 oder jedenfalls kein Schaden entstanden sein.2558 Dabei diene insb. die Lizenzanalogie nicht zur Schadensberechnung, weil die für die Verwertung zu zahlende angemessene Lizenzgebühr durchaus bei Null liegen könne.2559 Teilweise sollen urheberrechtliche Ansprüche insgesamt scheitern, weil entsprechend den Grundsätzen der Paperboy-E. des BGH der Urheber mit dem Einstellen der Fotos in das Internet die öffentliche Zugänglichmachung selbst bewirkt hat.2560 Die Bewertung des LG München I2561 insb. im Hinblick darauf, wo Zwischenkopien anfal- 1312 len, wo der Ablageort ist usw., wird relativiert durch eine E. des LG Erfurt. Danach räumt ein Berechtigter, der sein Werk im Rahmen seines Internetauftritts allgemein und kostenlos zugänglich macht, stillschweigend die Nutzungsrechte ein bzw. erklärt stillschweigend sein Einverständnis mit den Vervielfältigungen, die mit dem Abruf des Werkes notwendigerweise verbunden sind. Dies gilt nach Meinung des Gerichts insb. für die Wiedergabe im Form von Thumbnails in Bildersuchmaschinen.2562 Der Leitsatz lautet dazu: „Handelt es sich bei einer Darstellung innerhalb einer Bildersuche um eine reine Verlinkung auf die Ursprungsseite der Abbildung, so liegt bereits keine urheberrechtliche Nutzungshandlung vor“.2563
Ausdrücklich bezieht sich in diesem Zshg. das LG Erfurt auch auf die E. des LG Ham- 1313 burg2564 und hinsichtlich der Auffassung zur stillschweigenden Einverständniserklärung mit Vervielfältigungen, die mit dem Abruf des Werkes notwendig verbunden sind, auf Berberich.2565 Das OLG Jena ist grds. der Auffassung, dass der Einsatz der Thumbnails urheberrechtswidrig ist, erreicht aber das Ergebnis, dass trotzdem der Unterlassungsanspruch2566 nicht zugesprochen wird, über die Rechtsmissbräuchlichkeit dessen Geltendmachung.2567 Der Klägerin gerät zum Nachteil, dass sie für die Besucher durch Erleichterungen des Zugangs Suchmaschinenoptimierung betrieben hat und so „Crawler“ anlockte.2568 Das AG Bielefeld hatte für die Speicherung und Wiedergabe der stark verkleinerten Ausführung eines urheberrechtlich geschützten Fotos (Thumbnails) in einer Bildsuchmaschine die
2557 AG Bielefeld v. 18.2.2005 – 42 C 767/04, CR 2006, 72 (noch zu § 10 TDG). 2558 LG Bielefeld v. 8.11.2005 – 20 S 49/05, CR 2006, 350 m. Anm. Wimmers/Schulz (Vorinstanz: AG Bielefeld v. 18.2.2005 – 42 C 767/04, CR 2006, 72). 2559 LG Bielefeld v. 8.11.2005 – 20 S 49/05, CR 2006, 350 m. Anm. Wimmers/Schulz. 2560 Berberich, MMR 2005, 145. 2561 LG München I v. 10.1.2007 – 21 O 20028/05, CR 2007, 810. 2562 LG Erfurt v. 15.3.2007 – 3 O 1108/05, CR 2007, 391; OLG Jena v. 27.2.2008 – 2 U 319/07, CR 2008, 390. 2563 LG Erfurt v. 15.3.2007 – 3 O 1108/05, CR 2007, 391 (Ls. 2); OLG Jena v. 27.2.2008 – 2 U 319/07, CR 2008, 390. 2564 LG Hamburg v. 5.9.2003 – 308 O 449/03, CR 2004, 855. 2565 Berberich, MMR 2005, 147 (zu urheberrechtlichen Zulässigkeit von Thumbnails bei der Suche nach Bildern im Internet). 2566 OLG Jena v. 27.2.2008 – 2 U 319/07, CR 2008, 390: wegen fehlender Einwilligung in die unfreie Benutzung. 2567 OLG Jena v. 27.2.2008 – 2 U 319/07, CR 2008, 390; zu diesem Dilemma s. Ott, K&R 2008, 306 (307). 2568 OLG Jena v. 27.2.2008 – 2 U 319/07, CR 2008, 390; dazu krit. Ott, K&R 2008, 306 (307).
Kosmides
729
1314
B Rz. 1315
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
Haftungsprivilegierung des TDG (nun TMG) als anwendbar erklärt.2569 Vom LG Bielefeld wurde der Anspruch auf Schadensersatz wegen der Verwendung des Bildes als Thumbnail im Rahmen der Suchergebnisse verneint. Das Wichtige dabei war, dass das LG Bielefeld die Anwendbarkeit der Haftungsprivilegierung, wie sie das AG Bielefeld vorgenommen hatte, in Zweifel zieht.2570 1315 Der BGH hat die Haftungsproblematik in Bezug auf die Verwendung von Thumbnails durch Bildersuchmaschinen mit zwei Urteilen zugunsten der Suchmaschinenbetreiber weitgehend geklärt. Nach ersterer E. ist eine Urheberrechtsverletzung zu verneinen, wenn der Berechtigte in die Wiedergabe der Abbildung eines urheberrechtlich geschützten Werkes als Vorschaubild in Ergebnislisten von Bildersuchmaschinen eingewilligt hat.2571 Eine solche Einwilligung erfordert aber keine auf den Eintritt dieser Rechtsfolge gerichtete rechtsgeschäftliche Willenserklärung.2572 Eine Einwilligung in die rechtsverletzende Handlung ist vielmehr auch dann gegeben, wenn der Rechteinhaber Bilder auf seine Internetseite einstellt und diese damit für den Zugriff durch Suchmaschinen zugänglich macht, ohne von technischen Möglichkeiten Gebrauch zu machen, um die Verwendung dieser Bilder durch Bildersuchmaschinen in Form von Thumbnails auszunehmen.2573 In der zweiten E. hat der BGH seine Rspr. fortgeführt: Eine Urheberrechtsverletzung ist (auch dann) abzulehnen, wenn ein Dritter die Abbildung mit Zustimmung des Urhebers ins Internet eingestellt hat, ohne technische Maßnahmen gegen ein Auffinden und Anzeigen dieser Abbildung durch Suchmaschinen zu treffen.2574 4.23 eDonkeys 1316 Es gibt sog. editierte Links, die eDonkey-Link genannt werden. Im konkreten Fall, LG Hamburg, ermöglichten diese die Suche und den Download bestimmter TV-Serien innerhalb von Internet-Tauschbörsen.2575 Es handelt sich dabei um eine Schnittstelle zwischen www und Tauschplattform2576: „Beim Aktivieren der Links wird der eigentliche Downloadvorgang … nicht über den Website-Server selbst realisiert, sondern vollzieht sich über den jeweils verwendeten Filesharing-Client auf dem Rechner der Nutzers …“. Da sich dies mittels Peer-toPeer-Technologie vollzieht, werden diese Links auch nach den entsprechenden Tauschbörsen benannt. Die Methodik, auf der diese basieren, nennt sich Hash-Links. Diese verweisen nicht auf eine Adresse im www, sondern auf eine eindeutig über den Hash-Wert identifizierbare Datei.2577 1317 Das Setzen von eDonkey-Links ist dann urheberrechtlich problematisch, wenn der Rechteinhaber damit nicht einverstanden ist. Beim Anbieten von editierten Links, die die Suche und den Download von urheberrechtsverletzenden Inhalten in Internet-Tauschbörsen ermöglichen, können in erster Linie der Betreiber der Website (Linksetzer) sowie der Inhaber des Servers, auf dem sich die Website befindet, als Störer im Rahmen eines Unterlassungsanpruchs herangezogen werden.2578 2569 AG Bielefeld v. 18.2.2005 – 42 C 767/04, CR 2006, 72. Berberich bezeichnet die Entscheidung i.V.m. einem Hinweis auf Gercke, MMR 2005, 557 als widersprüchliche Sachverhaltswürdigung. S.a. anders für eDonkey-Links LG Hamburg v. 15.7.2005 – 308 O 379/05, CR 2006, 68. 2570 LG Bielefeld v. 8.11.2005 – 20 S 49/05, CR 2006, 350 (351) m. Anm. Wimmers/Schulz. 2571 BGH v. 29.4.2010 – I ZR 69/08, CR 2010, 463 (Ls. 1) – Vorschaubilder I. 2572 BGH v. 29.4.2010 – I ZR 69/08, CR 2010, 463 (466) – Vorschaubilder I. 2573 BGH v. 29.4.2010 – I ZR 69/08, CR 2010, 463 (467) – Vorschaubilder I; vgl. auch LG Köln v. 22.6.2011 – 28 O 819/10, CR 2012, 59. 2574 BGH v. 19.10.2011 – I ZR 140/10, CR 2012, 333 (Ls. 1) – Vorschaubilder II. 2575 LG Hamburg v. 15.7.2005 – 308 O 379/05, CR 2006, 68 m. Anm. Sommer/Brinkel; vgl. auch OLG Köln v. 18.7.2014 – I-6 U 192/11, 6 U 192/11, CR 2014, 650, juris Rz. 5. 2576 S. Sommer/Brinkel, CR 2006, 68. 2577 Zur Beschreibung s. Sommer/Brinkel, CR 2006, 68; s.a. Nordemann/Dustmann, CR 2004, 380 zu so genannter Internetpiraterie. 2578 LG Hamburg v. 15.7.2005 – 308 O 379/05, CR 2006, 68 m. Anm. Sommer/Brinkel.
730
Kosmides
Haftung und Privilegierung der Provider
Rz. 1323
B
Die Qualifizierung des E-donkey-Links erfolgt nach der E. des LG Hamburg nicht anders als 1318 für „klassische“ Links, also entsprechend der gleichen Wertung mit Ausschluss einer analogen Anwendung der Haftungsprivilegierung.2579 Der Ausschluss der Haftungsprivilegierung betrifft freilich nur den Linksetzenden. Der Serverbetreiber ist hingegen als Host-Provider gemäß § 10 TMG privilegiert. Eine Haftung des Anbieters von Internetzugangsdiensten ist nicht auszuschließen.2580 Dieser ist zwar gemäß § 8 TMG privilegiert. Er kann allerdings nach den Grundsätzen der Störerhaftung in Anspruch genommen werden. Eine Anspruchnahme des Access-Providers als Störer ist nur möglich, wenn er den Zugang zu den rechtsverletzenden Informationen durch zumutbare Maßnahmen unterbinden kann.2581
1319
„Im Rahmen der Prüfung der Zumutbarkeit von Maßnahmen sind die wirtschaftlichen Nachteile, die der Zugangsvermittler durch die in Rede stehenden Maßnahmen erleidet, den Vorteilen, die sich der Rechteinhaber von diesen Maßnahmen verspricht, einander gegenüberzustellen. Dabei müssen die Kosten, die mit der Einführung der betreffenden Maßnahme verbunden sind, den durch die fragliche Rechtsverletzung entstehenden Schäden einander gegenübergestellt werden. Hierzu ist zumindest der Vortrag der Größenordnung der betreffenden Beträge erforderlich“.2582
4.24 Online-Enzyklopädie Online-Enzyklopädien sind als Sammelwerke urheberrechtlich geschützt (§ 4 Abs. 1 UrhG).
1320
Die Inhalte von Online-Enzyklopädien können unter einer Open-Content-Lizenz lizenziert werden (z.B. Wikipedia). In diesem Fall wird eine Lizenz, die sich i.d.R. auf alle Nutzungsarten bezieht, pauschal jedermann, der die Inhalte nutzt, unentgeltlich eingeräumt.2583 Mit der Erteilung einer Open-Content-Lizenz geht kein Verzicht auf die Urheberrechte einher.2584
1321
Bei Wikipedia handelt es sich um eine nutzergenerierte Enzyklopädie. Wikipedia macht sich die eingetragenen Äußerungen nicht zu eigen, sodass allenfalls eine Inanspruchnahme als Störer in Betracht kommt.2585 Insofern greift ein Vergleich mit der (Nicht-)Haftung von Meinungsforen.2586
1322
Nach einer E. des OLG Stuttgart, die zu einem Anspruch auf Löschung persönlichkeits- 1323 rechtsverletzender Informationen auf der Wikipedia-Plattform ergangen ist, treffen den Anbieter grds. keine proaktiven Prüfungspflichten.2587 Eine solche Internetenzyklopädie haftet als Störer nach den von der BGH-Rspr. entwickelten Grundsätzen in Bezug auf Host-Provider.2588
2579 S. Sommer/Brinkel, CR 2006, 68. 2580 EuGH v. 27.3.2014 – C-314/12, CR 2014, 469 (Ls. 2) – UPC Telekabel Wien; vgl. auch EuGH v. 24.11.2011 – C-70/10, CR 2012, 33 (36) – Scarlet/SABAM, in dem eine Haftung nicht schlechthin ausgeschlossen wurde. 2581 OLG Köln v. 18.7.2014 – I-6 U 192/11, 6 U 192/11, CR 2014, 650 (Ls. 3). 2582 OLG Köln v. 18.7.2014 – I-6 U 192/11, 6 U 192/11, CR 2014, 650 (Ls. 4). 2583 Vgl. auch Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 342. 2584 Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.1 Rz. 343; LG München I v. 19.5.2004 – 21 O 6123/04, CR 2004, 774 m. Anm. Hoeren. 2585 LG Köln v. 14.5.2008 – 28 O 334/07, CR 2008, 525. 2586 LG Köln v. 14.5.2008 – 28 O 334/07, CR 2008, 525 unter Hinweis auf BGH v. 27.3.2007 – VI ZR 101/06, CR 2007, 586 m. Anm. Schuppert; s.a. LG Hamburg v. 16.5.2008 – 324 O 847/07, CR 2008, 523. 2587 OLG Stuttgart v. 2.10.2013 – 4 U 78/13, CR 2014, 393 (Ls. 1). 2588 OLG Stuttgart v. 2.10.2013 – 4 U 78/13, CR 2014, 393 (Ls. 2).
Kosmides
731
B Rz. 1324
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1324 Der Unterlassungsanspruch gegen rechtsverletzende Wikipedia-Inhalte kann auch unter dem Aspekt des postmortalen Persönlichkeitsrechts geltend gemacht werden.2589 1325 Ein weiterer Problembereich ist die Störerhaftung des Betreibers einer Online-Enzyklopädie für Urheberrechtsverletzungen.2590 Das LG Berlin hat im Falle der unlizenzierten Abbildung von Motiven eines Künstlers auf Briefmarken dem Erben des Künstlers einen entsprechenden Unterlassungsanspruch nach §§ 97 Abs. 1 Satz 1, 15 Abs. 2 Satz 2 Nr. 2, 19a UrhG zugesprochen.2591 1326 Der Inhaber der Domain „wikipedia.de“ (Wikimedia), der keine eigenen Inhalte bereitstellt, sondern lediglich eine schlichte Durchleitungsadresse unterhält, welche Nutzer auf die URL von Wikipedia weiterleitet, haftet nach Auffassung des LG Köln nicht für (rechtswidrige) Wikipedia-Inhalte.2592 1327 Ein Wikipedia-Eintrag, der darauf gerichtet ist, durch Beeinflussung der rechtsgeschäftlichen Entscheidungsfreiheit der Verbraucher den Absatz einer Ware zu fördern, kann eine verschleierte Werbung i.S.v. § 4 Nr. 3 UWG a.F. bzw. § 5a Abs. 6 UWG n.F. darstellen.2593 4.25 Glücksspiel 1328 Das Setzen von Links aufseiten von in Deutschland nicht konzessionierten Glücksspielanbietern2594 ist nicht wettbewerbswidrig.2595 Der Suchmaschinenbetreiber, der mittels Sponsored-Links für in Deutschland nicht genehmigtes Glücksspiel wirbt, haftet jedoch nach Ansicht des LG Hamburg als Störer, wenn er zumutbare technische Möglichkeiten zur Verhinderung hatte.2596 Dagegen haftet die DENIC mangels Strafbarkeit des Bewerbens von verbotenem Glücksspiel nach § 284 StGB nicht als Störer für das bloße Konnektierthalten einer Website für ausländische Online-Casinos.2597 1329 Den Betreiber eines Webkatalogs trifft bei Setzen eines Links auf ein Online-Casino eine Prüfpflicht dahingehend, ob ein verbotenes Glücksspiel vorliegt.2598 4.26 E-Cards 1330 Der Anbieter von E-Cards haftet nach überwiegender Rspr.2599 und Lit.2600 als Störer. Etwas anderes gilt möglicherweise dann, wenn die E-Cards durch Dritte zur Belästigung missbraucht werden.2601
2589 Vgl. LG Schweinfurt v. 23.10.2012 – 22 O 934/10, juris Rz. 61 ff.; AG Berlin-Charlottenburg v. 9.2.2006 – 218 C 1001/06, ZUM 2006, 680. 2590 Vgl. etwa LG Berlin v. 6.10.2011 – 15 O 377/11, ZUM-RD 2012, 160; LG Berlin v. 27.3.2012 – 15 O 377/11, ZUM-RD 2012, 399. 2591 LG Berlin v. 27.3.2012 – 15 O 377/11, juris Rz. 66 = ZUM-RD 2012, 399. 2592 LG Köln v. 14.5.2008 – 28 O 334/07, CR 2008, 525 m. Anm. Wimmers/Schulz. 2593 OLG München v. 10.5.2012 – 29 U 515/12, CR 2012, 827. 2594 Zu Fragen der Regelung des Glücksspielwesens Hecker, WRP 2012, 523 ff.; s.a. Heeg/Levermann, MMR 2012, 20 ff.; Pagenkopf, NJW 2012, 2918 ff.; Soldner/Jahn, K&R 2013, 301 ff. 2595 LG Deggendorf v. 12.10.2004 – 1 S 36/04, CR 2005, 130. 2596 LG Hamburg v. 16.9.2004 – 315 O 755/03, CR 2005, 534. 2597 OLG Hamburg v. 1.7.2004 – 3 U 5/04, CR 2005, 523. 2598 OLG Hamburg v. 8.9.2005 – 3 U 49/05, MMR 2006, 37. 2599 Vgl. etwa LG München v. 5.11.2002 – 33 O 17030/02, ITRB 2003, 98; LG München I v. 15.4.2003 – 33 O 5791/03, CR 2003, 615; OLG München v. 12.2.2004 – 8 U 4223/03, CR 2004, 695; KG v. 22.6.2004 – 9 W 53/04, CR 2005, 64; AG Rostock v. 28.1.2003 – 43 C 68/02, MMR 2003, 345. 2600 Ernst/Seichter, MMR 2006, 779 m.N. 2601 So etwa Ernst/Seichter, MMR 2006, 779.
732
Kosmides
Haftung und Privilegierung der Provider
Rz. 1335
B
5. Ansprüche gegen Verletzer und v.a. Störer 5.1 Grundlagen Als mögliche (zivilrechtliche) Rechtsfolgen der Haftung für Handlungen im Internet kommen v.a. negatorische Abwehransprüche, nämlich Beseitigung und Unterlassung, sowie Schadensersatzansrprüche in Betracht (s. Rz. 1336 ff., 1348 ff.).
1331
In Bezug auf diese Anspruchsarten ist zwischen dem Verletzer und dem Störer zu unter- 1332 scheiden.2602 Während gegen den Verletzer sowohl Beseitigungs- und Unterlassungs- als auch Schadensersatzansprüche geltend gemacht werden können, kann der Störer grds. nur auf Beseitigung und Unterlassung in Anspruch genommen werden. Die Störerhaftung kann nicht zur Begründung von Schadensersatzansprüchen führen.2603 Nicht auszuschließen sind aber vertragliche Schadensersatzansprüche gegenüber einem Anbieter, der gleichzeitig auch als Störer haftet. Die willentliche und adäquat-kausale Mitwirkung an einem fremden Rechtsverstoß kann eine Vertragspflichtverletzung darstellen. Es können ferner Ansprüche auf Auskunft bestehen (s. Rz. 1361 ff.). Zu den lauterkeitsrechtlichen Ansprüchen, insb. dem Unterlassungsanspruch, bei unzulässiger E-Werbung s. Rz. 717 ff.
1333
Die Anwendung des Herkunftslandprinzips, konkret des § 3 Abs. 2 TMG, kann dazu führen, 1334 dass ein ausländischer Anbieter von einem deutschen Gericht für rechtsverletzende Inhalte, die weltweit und damit auch in Deutschland abgerufen werden können, abgesehen von den in § 3 Abs. 5 TMG vorgesehenen Regelungen, nicht verurteilt werden kann. Das OLG Hamburg hat in diesem Zshg. klargestellt, dass eine abgestufte Prüfung der Zulässigkeit von gewerbsmäßigen grenzüberschreitenden Inhalten vorzunehmen ist.2604 In einem ersten Schritt ist nach deutschem Haftungsrecht zu ermitteln, ob ein Unterlassungsanspruch besteht. Bejahendenfalls ist in einem weiteren Schritt zu prüfen, ob dies auch nach der für den ausländischen Provider maßgeblichen Rechtsordnung der Fall ist.2605 5.2 Beseitigung/Unterlassung sowie Schadensersatz 5.2.1 Allgemeines Umstritten ist, für welche Arten von Ansprüchen die Haftungsprivilegierungen der §§ 8 ff. 1335 TMG gelten. Der BGH hat das Haftungsprivileg hinsichtlich der Speicherung von Informationen (§ 10 Satz 1 TMG), das den Diensteanbieter, der fremde Informationen für einen Nutzer speichert („Hosting“), von einer Verantwortlichkeit freistellt, in der Ricardo/Rolex-E. nur für Schadensersatzansprüche, nicht dagegen auf Unterlassungsansprüche angewandt.2606 In der E. Internetversteigerung II hat der BGH nicht nur die Unanwendbarkeit der Haftungsprivile-
2602 Alexander, Schadensersatz und Abschöpfung im Lauterkeits- und Kartellrecht, S. 608. 2603 Vgl. BGH v. 30.7.2015 – I ZR 104/14, CR 2016, 116 (118); v. 27.1.2005 – I ZR 119/02, GRUR 2005, 670 (671) – WirtschaftsWoche; v. 22.4.2004 – I ZR 303/01, GRUR 2004, 704 (705) – Verabschiedungsschreiben; v. 18.10.2001 – I ZR 22/99, GRUR 2002, 618 (619) – Meißner Dekor; vgl. auch Alexander, Schadensersatz und Abschöpfung im Lauterkeits- und Kartellrecht, S. 608 ff. 2604 OLG Hamburg v. 24.7.2007 – 7 U 98/06, K&R 2007, 659 (660); s.a. LG Berlin v. 24.5.2012 – 27 O 864/11, CR 2012, 752. Zur internationalen Zuständigkeit deutscher Gerichte bei Persönlichkeitsrechtsverletzung im Internet BGH v. 8.5.2012 – VI ZR 217/08, CR 2012, 525 (Ls. 1): „Die deutschen Gerichte sind zur Entscheidung über Klagen wegen Persönlichkeitsbeeinträchtigungen durch im Internet abrufbare Veröffentlichungen eines in einem anderen Mitgliedstaat der Europäischen Union niedergelassenen Anbieters jedenfalls dann international zuständig, wenn die Person, die sich in ihren Rechten verletzt fühlt, den Mittelpunkt ihrer Interessen in Deutschland hat“. 2605 OLG Hamburg v. 24.7.2007 – 7 U 98/06, K&R 2007, 659 (660). 2606 BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 – Internetversteigerung I; ebenso AG Berlin-Mitte v. 20.10.2004 – 15 C 1011/04, MMR 2005, 639.
Kosmides
733
B Rz. 1336
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
gierung gem. § 10 Satz 1 TMG für auf eine bereits geschehene Rechtsverletzung gestützt, sondern auch für vorbeugende Unterlassungsansprüche bestätigt.2607 1336 Diese Ansicht des BGH zur Nichtanwendbarkeit der Haftungsprivilegierung auf Unterlassungsansprüche wurde durch neuere Urteile bestätigt.2608 Sie hat sich zwischenzeitlich zu ständiger Rspr. verfestigt.2609 Diese Rspr. zu § 10 TMG ist freilich verallgemeinerungsfähig. Sie betrifft nicht nur § 10, sondern vielmehr alle Privilegierungstatbestände in den §§ 8 ff. TMG.2610 1337 Der Umstand, dass in der im vorliegenden Zshg. interessierenden Rspr. hauptsächlich „Unterlassungsansprüche“ und nicht „Beseitigungsansprüche“ in Rede stehen, darf nicht zum Fehlschluss verleiten, dass sich die Nichtanwendbarkeit der Haftungsprivilegien auf (in die Zukunft gerichtete) Unterlassungsansprüche beschränke. Sie erstreckt sich vielmehr auch auf Beseitigungsansprüche. Die seltenen Bezugnahmen auf „Beseitigungsansprüche“ liegen v.a. daran, dass in der Rspr. auf eine saubere Trennung von Unterlassungs- und Beseitigungsanspruch verzichtet wird. In den meisten Fällen wird die Beseitigung als vom Unterlassungsanspruch umfasst angesehen (vgl. etwa auch § 97 UrhG: Überschrift und Abs. 1). So gesehen bezieht sich die Unterlassungspflicht laut BGH auf die erforderlichen und zumutbaren Maßnahmen „zur Beseitigung der Rechtsverletzung und zur Verhinderung künftiger Rechtsverletzungen“.2611 1338 In der Tat werden allerdings mit diesen Abwehransprüchen völlig unterschiedliche Anspruchsziele verfolgt: Der Beseitigungsanspruch ist auf Behebung einer eingetretenen und gegenwärtig fortdauernden Störung gerichtet. Der Unterlassungsanspruch soll einen Neueintritt der konkreten bzw. kerngleichen Störung für die Zukunft verhindern. 1339 Kurzum gesagt: Nach heutigem Stand der Rechtsentwicklung richten sich die Ansprüche auf Beseitigung und Unterlassung nach den allgemeinen Bestimmungen. Die Haftungsprivilegierungen greifen hier nicht. Sie beschränken sich auf die schadensersatzrechtliche Verantwortlichkeit. 1340 Die Unterscheidung zwischen Schadensersatz- und Unterlassungsansprüchen wird in der Lit.2612 und von Teilen der Rspr.2613 kritisch beurteilt: So begründet die Nichtanwendung der Haftungsprivilegierung auf Unterlassungsansprüche vorbeugende Überwachungspflichten der Provider, deren Voraussetzungen je nach Art des Providers nicht nur unklar sind, sondern auch gegen das in der E-Commerce-Richtlinie (RL 2000/31/EG) und im TMG niedergelegte Verbot allgemeiner Überwachungspflichten verstoßen.2614 Zudem würde dies eine strengere Haftung im Fall des Unterlassungsanspruchs voraussetzen, wenn dieser im Gegensatz zum Schadensersatzanspruch verschuldensunabhängig ist und keine Privilegierung zubilligt. 2607 BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (Ls. 3) m. Anm. Rössel – Internetversteigerung II. 2608 BGH v. 27.3.2012 – VI ZR 144/11, CR 2012, 464 (Rz. 9) – RSS-Feeds; v. 25.10.2011 – VI ZR 93/10, CR 2012, 103 (Rz. 19) – Blog-Eintrag; v. 22.7.2010 – I ZR 139/08, CR 2011, 259 (260) – Kinderhochstühle im Internet I; v. 30.6.2009 – VI ZR 210/08, CR 2009, 730 (731) – Domainverpächter; v. 30.4.2008 – I ZR 73/05, CR 2008, 579 (580) – Internet-Versteigerung III. 2609 So ausdrücklich BGH v. 27.3.2012 – VI ZR 144/11, CR 2012, 464 (Rz. 9) – RSS-Feeds; v. 25.10.2011 – VI ZR 93/10, CR 2012, 103 (Rz. 19) – Blog-Eintrag. 2610 Vgl. BGH v. 30.6.2009 – VI ZR 210/08, CR 2009, 730 (731) – Domainverpächter. 2611 Vgl. etwa BGH v. 15.8.2013 – I ZR 79/12, Rz. 20 – Prüfpflichten; ebenso OLG Düsseldorf v. 3.9.2015 – I-15 U 119/14, CR 2016, 327 (328, Ls. 1). 2612 Volkmann, K&R 2004, 231; Rücker, CR 2005, 347; Hoeren, MMR 2004, 643. 2613 S. OLG Düsseldorf v. 26.2.2004 – I-20 U 204/02, MMR 2004, 315 m. Anm. Leupold (Vorinstanz LG Düsseldorf v. 29.10.2002 – 4a O 464/01, CR 2003, 211; aufgehoben durch BGH v. 19.4.2007 – I ZR 35/04, CR 2007 – Internetversteigerung II); s.a. Anm. Volkmann, K&R 2004, 231; OLG Bdb. v. 16.12.2003 – 6 U 161/02, CR 2004, 696; LG Berlin v. 25.2.2003 – 16 O 476/01, CR 2003, 773. 2614 Rücker, CR 2005, 347 (bezugnehmend auf BGH v. 11.3.2004 – I ZR 304/01, CR 2004, 763 – Internetversteigerung I).
734
Kosmides
Haftung und Privilegierung der Provider
Rz. 1343a
B
Hoeren will daher auch in Fällen des Verstoßes gegen den Trennungsgrundsatz von Inhalt und Werbung die Haftungsprivilegierungen heranziehen.2615 Roggenkamp/Stadler halten es für fraglich, ob der BGH im Lichte der neueren Rspr. des 1341 EuGH seine Rspr. aufrechterhalten kann.2616 Der EuGH unterscheide bei der Anwendung der Privilegierungstatbestände nicht zwischen Unterlassungs- und Schadensersatzansprüchen. Seine Rspr. könne nur dahingehend verstanden werden, dass die Verantwortlichkeitsprivilegierungen der E-Commerce-Richtlinie (RL 2000/31/EG) umfassend gelten sollen und damit, entgegen der Rspr. des BGH, auch Unterlassungsansprüche einschließen.2617 5.2.2 Beseitigung und Unterlassung Für die Inanspruchnahme eines Diensteanbieters auf Beseitigung und/oder Unterlassung im 1342 Wege der Störerhaftung wird grds. die Verletzung möglicher und zumutbarer Verhaltens-, insb. Prüfpflichten vorausgesetzt.2618 Bei einer Verletzung absoluter Rechte durch eine Gesellschaft kann den Geschäftsführer, der diese Gesellschaft vetritt, eine persönliche Haftung als Störer treffen, wenn er „in irgendeiner Weise willentlich und adäquat kausal zur Verletzung des geschützten Rechts beiträgt und dabei zumutbare Verhaltenspflichten verletzt“.2619 Für die Geltendmachung eines Anspruchs auf Beseitigung und/oder Unterlassung ist ein 1343 Verschulden des Störers nicht erforderlich.2620 Verlangt allerdings der Mitbewerber die Abgabe einer Unterlassungserklärung verbunden mit dem Versprechen einer vom Verschulden unabhängigen Vertragsstrafe für den Fall der Zuwiderhandlung, ist die vorformulierte Unterlassungserklärung als rechtsmissbräuchlich i.S.v. § 8 Abs. 4 UWG einzustufen.2621 Bei im Internet abrufbaren rechtsverletzenden Inhalten erstreckt sich der Beseitigungs- 1343a anspruch gegen den Störer i.d.R. nicht nur auf die Berichtigung, sondern auch die Löschung bzw. das Hinwirken auf Löschung dieser Inhalte.2622 Diese Verpflichtung erfasst im Falle der Inanspruchnahme eines Suchmaschinenbetreibers auch die Entfernung der rechtswidrigen Inhalte aus dem Cache.2623 Um den Störer auf die Löschung bzw. das Hinwirken auf Löschung in Anspruch zu nehmen, müssen nach dem BGH die „beanstandeten Behauptungen nachweislich falsch sind und die begehrte Abhilfemaßnahme unter Abwägung der beiderseitigen Rechtspositionen, insb. der Schwere der Beeinträchtigung, zur Beseitigung des Störungszustands geeignet, erforderlich und dem Störer zumutbar“ sein.2624
2615 Hoeren, MMR 2004, 643. 2616 Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 457. 2617 Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 458 unter Verweis auf EuGH v. 12.7.2011 – C-324/09, CR 2011, 597 – L‘Oréal/eBay; v. 23.3.2010 – C-236/08 bis C-238/08, Slg. 2010, I-2417 – Google France/Louis Vuitton. 2618 BGH v. 15.8.2013 – I ZR 80/12, CR 2013, 728 (Rz. 30) – File-Hosting-Dienst; v. 16.5.2013 – I ZR 216/11, CR 2014, 50 (52) – Kinderhochstühle im Internet II; v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 (Ls. 1) – Autocomplete-Funktion; v. 18.11.2010 – I ZR 155/09, CR 2011, 534 (536) – Sedo; v. 30.4.2008 – I ZR 73/05, CR 2008, 579 (581) – Internetversteigerung III; v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (526) m. Anm. Rössel – Internetversteigerung II: mit Hinweis auf BGH v. 10.10.1996 – I ZR 129/94 – Architektenwettbewerb; v. 15.10.1998 – I ZR 21/96, CR 1999, 326 – Möbelklassiker; v. 17.5.2001 – I ZR 251/99, CR 2001, 850 – ambiente.de; v. 11.3.2004 – I ZR 304/01, CR 2004, 763 m. Anm. Volkmann – Internetversteigerung I; LG Hamburg v. 24.1.2014 – 324 O 264/11, K&R 2014, 288 (Ls.). 2619 BGH v. 27.11.2014 – I ZR 124/11, CR 2015, 562 (563, Ls. 7); vgl. auch BGH v. 18.6.2014 – I ZR 242/12, GRUR 2014, 883. 2620 Vgl. nur BGH v. 28.7.2015 – VI ZR 340/14, CR 2015, 671 (Ls. 3). 2621 BGH v. 15.12.2011 – I ZR 174/10, CR 2012, 469 (Ls. 1) m. Anm. Kaufmann. 2622 BGH v. 28.7.2015 – VI ZR 340/14, CR 2015, 671 (Ls. 1). 2623 OLG Düsseldorf v. 3.9.2015 – I-15 U 119/14, CR 2016, 327 (328, Ls. 2). 2624 BGH v. 28.7.2015 – VI ZR 340/14, CR 2015, 671 (Ls. 2).
Kosmides
735
B Rz. 1343b
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1343b Gegen Provider kommen als Folge der Haftung jedenfalls ab Kenntniserlangung von der Rechtsverletzung2625 auch auf die Zukunft gerichtete Unterlassungsansprüche in Betracht. Bekannt gewordene Persönlichkeitsrechtsverletzungen verpflichten den Betreiber einer Suchmaschine, die konkreten Suchergebniseinträge umgehend zu beseitigen und dafür zu sorgen, dass sie künftig nicht nochmals verbreitet und sinngemäße Ergebniseinträge vermieden werden.2626 1344 Ein Unterlassungsanspruch gegen den Betreiber eines Meinungsforums wurde seitens des BGH jedenfalls für den Fall bejaht, dass dem Verletzten die Identität des Verletzers bekannt ist.2627 Dieser Unterlassungsanspruch (ab Kenntnis) besteht unabhängig von den Ansprüchen des Verletzten gegenüber dem Dritten.2628 Der BGH hat damit die Rspr. des OLG Düsseldorf aufgehoben, die dem Verletzten lediglich einen Anspruch auf Distanzierung vom Beitrag zubilligte, nicht dagegen einen Unterlassungsanspruch. Dieser sei nur gegeben, wenn der Betreiber dem Verletzten die Identität des Teilnehmers nicht preisgibt.2629 1345 Die Reichweite des Unterlassungsanspruchs erfasst nicht nur den Link, der zu dem beanstandeten Inhalt führt, sondern auch die Löschung der Website selbst bzw. die Änderung des Textes. Denn die Seite bleibt über Suchmaschinen und über eine direkte Eingabe bzw. nach einem „Bookmark“ weiterhin abrufbar.2630 1346 Aufgrund eines Unterlassungsanspruchs gegenüber einem Suchmaschinenbetreiber in Bezug auf die Verbreitung von Bildnissen, welche die betroffene Person in ihrem allgemeinen Persönlichkeitsrecht verletzen, ist der Anbieter nicht nur verpfichtet, die angezeigten URL und die entsprechenden Bilder für die Anzeige in den Suchergebnissen zu löschen bzw. zu sperren, sondern auch dafür Sorge zu tragen, dass eine Anzeige dieser Bilder in den Suchergebnissen unabhängig von der URL verhindert wird.2631 1347 Der Domaininhaber kann nicht auf Unterlassung in Anspruch genommen werden, wenn er nach Kenntniserlangung und Prüfung die Störung unverzüglich beseitigt.2632 Nach Ansicht des OLG Stuttgart besteht gegen den Betreiber eines Social Network-Portals kein Unterlassungsanspruch, wenn er „nur wenige Stunden nach Eingang der Abmahnung das beanstandete Lichtbild gelöscht“ hat.2633 1348 Die vom BGH aufgeworfene Frage, „ob der Störer auch dann vorbeugend auf Unterlassung in Anspruch genommen werden kann, wenn es noch nicht zu einer Verletzung des geschützten Rechts gekommen ist, eine Verletzung in der Zukunft aber aufgrund der Umstände zu befürchten ist“, wird nun vom Senat bejahend entschieden, und zwar für den Fall bzw. dann, „wenn der potentielle Störer eine Erstbegehungsgefahr begründet“.2634 „Dies folgt bereits aus dem Wesen des vorbeugenden Unterlassungsanspruchs, wonach eine drohende Gefährdung nicht erst abgewartet zu werden braucht, … bis der erste Eingriff in ein Rechtsgut erfolgt ist. Soweit der älteren Senatsrechtsprechung etwas anderes entnommen werden kann, wird hieran nicht festgehalten.“2635
2625 2626 2627 2628 2629 2630 2631 2632 2633 2634
LG Flensburg v. 25.11.2005 – 6 O 108/05, MMR 2006, 181 m. Anm. Kazemi. Spieker, MMR 2005, 727. BGH v. 27.3.2007 – VI ZR 101/06, CR 2007 586. BGH v. 27.3.2007 – VI ZR 101/06, CR 2007, 586 m. Anm. Schuppert. OLG Düsseldorf v. 26.4.2006 – I-15 U 180/05, CR 2006, 482. LG Hamburg v. 28.3.2003 – 315 O 569/02, MMR 2004, 195. LG Hamburg v. 24.1.2014 – 324 O 264/11, K&R 2014, 288 (290). BGH v. 30.6.2009 – VI ZR 210/08, CR 2009, 730 (733) – Domainverpächter. OLG Stuttgart v. 22.10.2013 – 4 W 78/13, CR 2014, 328. BGH v. 17.7.2013 – I ZR 129/08, CR 2014, 168 (169); v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (526 Rz. 41) – Internetversteigerung II. 2635 BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 (526 Rz. 41) m. Anm. Rössel – Internetversteigerung II.
736
Kosmides
Haftung und Privilegierung der Provider
Rz. 1354
B
Ein vorbeugender Unterlassungsanspruch besteht nach neuerer Rspr. nur, wenn „ernsthafte 1349 und greifbare tatsächliche Anhaltspunkte dafür vorhanden sind, der Anspruchsgegner werde sich in naher Zukunft in der fraglichen Weise rechtswidrig verhalten“.2636 Das LG Berlin hat mit Blick auf das Herkunftslandprinzip entschieden, dass der Anspruch 1350 auf Unterlassung der Veröffentlichung einer fremden das Persönlichkeitsrecht verletzenden Meinungsäußerung gegen einen ausländischen Portalbetreiber voraussetzt, dass dem Betroffenen auch nach dem Recht des Sitzstaates des Portalbetreibers ein Unterlassungsanspruch zusteht. Ist das nicht der Fall, kann der Anbieter nicht als Störer auf Unterlassung nach deutschem Recht in Anspruch genommen werden.2637 Bei der Passivlegitimation für einen Unterlassungsanspruch gegen einen Provider sind die 1351 Konzernstrukturen zu beachten. Nach OLG Hamburg2638 ist Google Deutschland für Unterlassungsansprüche bei von Dritten begangenen Rechtsverletzungen durch Google-Adwords nicht passiv-legitimiert. Denn Inhaberin der Domain google.de ist nicht Google Deutschland, sondern die US-Mutter Google Inc. Vertragspartner bei den Google-Adwords ist Google Irland. Die Mitstörerhaftung ergibt sich also auch dann nicht, wenn Google Deutschland auf außergerichtliche Abmahnschreiben reagiert hat. Die Darlegungs- und Beweislast für das Vorliegen der anspruchsbegründenden Vorausset- 1352 zungen der Störerhaftung trägt nach den allgemeinen Grundsätzen grds. der Gläubiger des Unterlassungsanspruchs.2639 Der Anspruchssteller ist insofern bei der Inanspruchnahme des Betreibers einer Internet-Auktionsplattform für das Vorliegen des Merkmals, dass es dem Plattformbetreiber technisch möglich und zumutbar war, nach dem ersten Hinweis auf die Rechtsverletzung weitere Verletzungen zu verhindern, grds. darlegungs- und beweispflichtig.2640 Um diese Dalegungs- und Beweislast zu mildern, ist mit dem BGH anzunehmen, dass es dem Anbieter obliegt, vorzutragen, „welche Schutzmaßnahmen er ergreifen kann und weshalb ihm – falls diese Maßnahmen keinen lückenlosen Schutz gewährleisten – weitergehende Maßnahmen nicht zuzumuten sind“ (sekundäre Darlegungslast).2641 Eine vorformulierte Unterlassungserklärung ist rechtsmissbräuchlich, wenn sie eine Vertragsstrafe ohne Veschulden vorsieht und/oder eine überzogene Höhe der Vertragsstrafe enthält.2642 Überhöhte Abmahngebühren sind auch ein Indiz für einen Rechtsmissbrauch.2643
1353
5.2.3 Schadensersatz Für einen Schadensersatzanspruch wird grds. – neben der Rechtswidrigkeit – ein Verschulden des Schädigers vorausgesetzt (z.B. §§ 823 BGB; 97 Abs. 2 UrhG; 14 Abs. 6 MarkenG; 42 Abs. 2 GeschmMG; 139 Abs. 2 PatG; 24 Abs. 2 GebrMG; 37 Abs. 2 SortSchG, 9 Satz 1 UWG). 2636 BGH v. 17.8.2011 – I ZR 57/09, CR 2011, 817 (821). 2637 LG Berlin v. 24.5.2012 – 27 O 864/11, CR 2012, 752; s.a. OLG Hamburg v. 24.7.2007 – 7 U 98/06, K&R 2007, 659 (660). 2638 OLG Hamburg v. 4.5.2006 – 3 U 180/04, MMR 2006, 754. 2639 Vgl. auch BGH v. 23.9.2003 – VI ZR 335/02, CR 2004, 48 (49) m. Anm. Spindler. 2640 BGH v. 10.4.2008 – I ZR 227/05, CR 2008, 727 (Ls.); vgl. auch Rössel, CR 2007, 527 (528) unter Hinweis zur Annahme der Beweislast beim Rechteinhaber: OLG München v. 21.12.2006 – 29 U 4407/06; LG Hamburg v. 3.8.2005 – 315 O 296/05, CR 2006, 130; Rössel/Rössel, CR 2005, 809 (813); a.A., also beim Verletzer, OLG Hamburg v. 8.2.2006 – 5 U 78/05, CR 2006, 299 m. Anm. Brinkel; Spindler, K&R 1998, 177 (179). 2641 BGH v. 10.4.2008 – I ZR 227/05, CR 2008, 727 (Ls.); zur sekundären Darlegungslast des Inhabers eines Internetanschlusses bei Urheberrechtsverletzungen durch Filesharing BGH v. 11.6.2015 – I ZR 75/14, CR 2016, 396 – Tauschbörse III; zu Beweisanforderungen für Urheberrechtsverletzungen durch Filesharing BGH v. 11.6.2015 – I ZR 19/14, CR 2016, 401 – Tauschbörse I. 2642 BGH v. 15.12.2011 – I ZR 174/10, CR 2012, 469 (Ls. 1 und 2) m. Anm. Kaufmann. 2643 BGH v. 15.12.2011 – I ZR 174/10, CR 2012, 469 (Ls. 3) m. Anm. Kaufmann.
Kosmides
737
1354
B Rz. 1355
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1355 Für den Fall des Bestehens von Schadensersatzansprüchen wird in § 10 TMG eine zusätzliche Voraussetzung (zu den Privilegierungsvoraussetzungen s. Rz. 1041 ff.) vorgesehen: Dem Host-Provider kann das Privileg nur dann zugute kommen, wenn ihm „auch keine Tatsachen oder Umstände bekannt sind, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird“ (§ 10 Satz 1 Nr. 1 2. Alt. TMG). Insofern entfällt die Haftungsfreistellung bereits bei bewusster grober Fahrlässigkeit des Anbieters.2644 Bei Wegfall der Privilegierung richten sich die Anspruchsvoraussetzungen nach den allgemeinen Bestimmungen.2645 1356 Bei unbefugter Veröffentlichung von Fotos im Internet steht dem Urheber „regelmäßig ein Schadensersatz gemäß den Honorarempfehlungen der Mittelstandsgemeinschaft Fotomarketing zu, der sich bei unterlassener Mitteilung des Namens des Urhebers verdoppelt.“2646
1357 Andererseits fallen DDos-Attacken allein in den Risikobereich des Resellers, sodass insoweit, als dadurch erhöhter Datentransfer entsteht, kein Vergütungsanspruch des Access-Providers gegenüber dem Kunden besteht,2647 ähnlich wie die Kosten des Providers für Sperrung der Kundenzugänge auch bei mehrstufigen Verträgen nicht vom bisherigen Kunden verlangt werden können, dessen Kunden wiederum Nutzer beim Provider waren.2648 1358 Ein vertraglicher Schadensersatzanspruch kann selbst im Anwendungsbereich der durch das TMG privilegierten Tatbestände statuiert werden. Vertragliche Pflichten gehen grds. der Vorschrift des § 7 Abs. 2 sowie den Privilegierungstatbeständen der §§ 8 TMG vor, sodass eine vertragliche Begründung der Schadensersatzhaftung durch diese Bestimmungen nicht ausgeschlossen werden kann.2649 1359 Das LG Aurich hat einen vertraglichen Schadensersatzanspruch des Nutzers eines InternetMarktplatzes gegenüber dem Betreiber wegen Mitverschuldens (§ 254 Abs. 1 BGB) abgelehnt, wenn der Nutzer auf die Nutzung der zur Verfügung gestellten Sicherungsmechanismen wie PayPal oder Treuhandservice verzichtet und damit selbst die entscheidende Ursache für den eingetretenen Schaden gesetzt hat.2650 5.2.4 Internationale Zuständigkeit, anwendbares Recht 1360 Nach § 32 ZPO ist für Klagen aus unerlaubten Handlungen das Gericht zuständig, in dessen Bezirk die Handlung begangen ist. Nach dem BGH sind die deutschen Gerichte bei Persönlichkeitsrechtsverletzungen durch im Internet abrufbare Veröffentlichungen international zuständig (vgl. generell zur internationalen Zuständigkeit deutscher Gerichte Rz. 711 ff.), wenn die rechtsverletzenden Inhalte objektiv einen deutlichen Bezug zum Inland in dem Sinne aufweisen, dass eine Kollision der widerstreitenden Interessen nach den Umständen des Einzelfalls im Inland tatsächlich eingetreten sein kann oder eintreten kann.2651 „Dies ist dann anzunehmen, wenn eine Kenntnisnahme von der beanstandeten Meldung nach den Umständen des konkreten Falls im Inland erheblich näher liegt als es aufgrund der bloßen Abrufbarkeit des Angebots der Fall wäre und die vom Kläger behauptete Beeinträchtigung seines Persönlichkeitsrechts durch Kenntnisnahme von der Meldung (auch) im Inland eintreten würde.“2652
2644 2645 2646 2647 2648 2649 2650 2651 2652
Vgl. auch BeckRTD-Komm/Jandt, § 10 TMG Rz. 21. Ebenso Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 231. OLG Düsseldorf v. 9.5.2006 – I-20 U 138/05, 20 U 138/05, RDV 2007, 212. AG Gelnhausen v. 6.10.2005 – 51 C 202/05, ITRB 2006, 29. BGH v. 23.3.2005 – III ZR 338/04, CR 2005, 816 m. Anm. Schuppert. Vgl. auch Hartmann, in: Wandtke (Hrsg.), Medienrecht Praxishandbuch, § 6 Rz. 250. LG Aurich v. 27.11.2009 – 2 O 979/08, juris Rz. 21. BGH v. 2.3.2010 – VI ZR 23/09, CR 2010, 383 (Ls. 1) – New York Times. BGH v. 2.3.2010 – VI ZR 23/09, CR 2010, 383 (Ls. 2) – New York Times.
738
Kosmides
Haftung und Privilegierung der Provider
Rz. 1365
B
Für Ansprüche aus Delikt ist wiederum der Ort zuständigkeitsbegründend, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht (Art. 7 Nr. 2 VO Nr. 1215/2012; früher: Art. 5 Nr. 3 VO Nr. 44/2001).2653 Der Ort des schädigenden Ereignisses ist demnach sowohl der Handlungsort als auch der Erfolgsort.2654 Bei Rechtsverletzungen im Internet sind die entsprechenden Ansprüche nach dem EuGH entweder bei den Gerichten des Mitgliedstaats, in dem der Urheber dieser Inhalte niedergelassen ist, oder bei den Gerichten des Mitgliedstaats, in dem sich der Mittelpunkt der Interessen des Verletzten befindet.2655
1361
„Anstelle einer Haftungsklage auf Ersatz des gesamten entstandenen Schadens kann diese Person ihre Klage auch vor den Gerichten jedes Mitgliedstaats erheben, in dessen Hoheitsgebiet ein im Internet veröffentlichter Inhalt zugänglich ist oder war. Diese sind nur für die Entscheidung über den Schaden zuständig, der im Hoheitsgebiet des Mitgliedstaats des angerufenen Gerichts verursacht worden ist.“2656
Der BGH hat insoweit die internationale Zuständigkeit deutscher Gerichte bei Persönlichkeitsbeeinträchtigungen durch im Internet abrufbare Veröffentlichungen eines in einem anderen EU-Mitgliedstaat niedergelassenen Anbieters bejaht, wenn die verletzte Person den Mittelpunkt ihrer Interessen in Deutschland hat.2657 In einem solchen Fall ist der vom Verletzten geltend gemachte Anspruch (etwa Schadensersatzanspruch) nach deutschem Recht zu beurteilen (Art. 40 Abs. 1 Satz 2 EGBGB).2658 Art. 40 EGBGB wird nicht durch § 3 Abs. 2 Satz 1 TMG verdrängt. Denn § 3 TMG enthält keine kollisionsrechtliche Norm.2659
1362
5.2.5 Disclaimer Sog. Disclaimer sind üblich. Ihre Wirkung ist aber zweifelhaft.2660 Sie können zur Distanzie- 1363 rung von Inhalten Dritter verwendet werden, die auf der Website des Anbieters bereitgehalten werden. Disclaimer sind in diesem Zshg. deshalb von Bedeutung, weil sie die Nutzerperspektive beeinflussen können. Sie können im Ergebnis dazu führen, dass der Anbieter in den Genuss der im TMG vorgesehenen Haftungsprivilegierungen kommt.2661 Ein Disclaimer, wonach für verlinkte Inhalte einer Website nicht gehaftet wird, kann, weil der Haftungsausschluss nur für Schadensersatz- nicht dagegen für Unterlassungsansprüche gelten kann, nur zum Ausschluss der Handelnden-Haftung, nicht jedoch zu einem Ausschluss der Störerhaftung führen.2662
1364
Disclaimer sind nicht unbedingt darauf ausgerichtet, eine Haftung des Providers unmittelbar auszuschließen. Ihnen kann auch eine mittelbare haftungsausschließende Funktion zukommen. Sie können in diesem Zshg. etwa einen Hinweis an die Nutzer darauf enthalten, dass es unzulässig ist, urheberrechtsverletzende Werke hochzuladen. Solche Disclaimer sind nach Ansicht des OLG Hamburg eine notwendige, aber wenig effektive Maßnahme, weil sie erfahrungsgemäß ungeeignet seien, entschlossene Rechtsverletzer von ihrem Handeln abzuhalten.2663
1365
2653 2654 2655 2656 2657 2658 2659 2660 2661 2662 2663
S.a. Brand, NJW 2012, 127 (128); vgl. EuGH v. 22.1.2015 – C-441/13, CR 2015, 184 (Ls.). BGH v. 30.3.2006 – I ZR 24/03, CR 2006, 539 (540) – Arzneimittelwerbung im Internet. EuGH v. 25.10.2011 – C-509/09 und C-161/10, Slg. 2011, I-10269, Rz. 52 – eDate Advertising. EuGH v. 25.10.2011 – C-509/09 und C-161/10, Slg. 2011, I-10269, Rz. 52 – eDate Advertising. BGH v. 8.5.2012 – VI ZR 217/08, CR 2012, 525 (Ls. 1); s.a. OLG Hamburg v. 24.3.2009 – 7 U 94/08, ZUM-RD 2009, 654 (656). BGH v. 8.5.2012 – VI ZR 217/08, CR 2012, 525 (526, Rz. 21); v. 25.10.2011 – VI ZR 93/10, Rz. 14 ff., CR 2012, 103 – Blog-Eintrag; OLG Hamburg v. 24.3.2009 – 7 U 94/08, ZUM-RD 2009, 654 (656). BGH v. 8.5.2012 – VI ZR 217/08, CR 2012, 525 (526). S.a. Ernst, ITRB 2007, 165; Schmidl, MMR 2005, 501. Härting, Internetrecht, Rz. 2101 f. LG Berlin v. 14.6.2005 – 16 O 229/05, MMR 2005, 718. OLG Hamburg v. 14.3.2012 – 5 U 87/09, CR 2012, 411.
Kosmides
739
B Rz. 1366
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1366 In Bezug auf Arzneimittelwerbung im Internet hat der BGH entschieden, dass das Verbreitungsgebiet der Werbung durch einen Disclaimer, mit dem der Werbende ankündigt, Adressaten in einem bestimmten Land nicht zu beliefern, eingeschränkt werden kann. Für die Wirksamkeit des Disclaimers wird vorausgesetzt, dass er – „eindeutig gestaltet“ und – „auf Grund seiner Aufmachung als ernst gemeint aufzufassen“ ist und – „vom Werbenden auch tatsächlich beachtet“ wird.2664 5.3 Auskunft 5.3.1 Allgemeines 1367 Auch aufgrund der durch die Privilegierungen des TMG beschränkten Haftung der Provider stellt sich in der Praxis zunehmend die Frage, ob stattdessen dem Betroffenen die Identität des Verletzers preiszugeben ist. Die primäre Bedeutung des Auskunftsanspruchs besteht darin, die Verfolgung weitergehender Ansprüche, v.a. von Schadensersatzansprüchen, zu ermöglichen.2665 So gesehen besteht ein Auskunftsanspruch zur Bezifferung eines Schadensersatzanspruches nur dann, wenn eine konkrete anspruchsbegründende Rechtsverletzung feststeht.2666 1368 Die Rspr. zum Auskunftsproblem ist uneinheitlich (s. Rz. 136(a ff.). Unklar ist, ob und wann ein Auskunftsanspruch gegenüber dem Diensteanbieter besteht. In diesem Zshg. lassen sich Differenzierungen nach folgenden Gesichtspunkten ergeben: – Art der Rechtsverletzung (z.B. allgemeines Persönlichkeitsrecht, Immaterialgüterrecht, Wettbewerbsverstoß) – Anspruchsgrundlage (allgemein-gesetzliche oder spezial-gesetzliche) und – Art des Providers (z.B. Access-Provider, Host-Provider). 1368a Zwischen Auskunftsansprüchen und Bankgeheimnis besteht ein Spannungsverhältnis. Ein unbegrenztes und bedingungsloses Bankgeheimnis steht im Widerspruch zu Art. 8 Abs. 3 lit. e RL 2004/48/EG.2667 Insoweit ist nach dem EuGH eine Regelung, die – wie § 383 Abs. 1 Nr. 6 ZPO – die unbegrenzte Möglichkeit einräumt, das Zeugnis zu verweigern, nicht richtlinienkonform.2668 Eine solche weitreichende Regelung über die Auskunftsverweigerung könne den in Art. 8 Abs. 1 RL 2004/48/EG vorgesehenen Auskunftsanspruch vereiteln und damit das Grundrecht auf einen wirksamen Rechtsbehelf und das Grundrecht des geistigen Eigentums verletzen.2669 Dementsprechend hat der BGH geurteilt, dass sich eine Bank nicht auf § 19 Abs. 2 Satz 1 Halbs. 2 MarkenG i.V.m. § 383 Abs. 1 Nr. 6 ZPO berufen darf, um die Auskunft über Namen und Anschrift eines Kontoinhabers zu verweigern, wenn das Konto für den Zahlungsverkehr im Zshg. mit einer offensichtlichen Markenverletzung verwandt wurde.2670
2664 2665 2666 2667
BGH v. 30.3.2006 – I ZR 24/03, CR 2006, 539 (Ls. 1). Vgl. Roggenkamp/Stadler, in: Heckmann, jurisPK-Internetrecht, Kap. 10 Rz. 538. LG München I v. 11.7.2014 – 21 O 854/13, juris Os. 1. Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates v. 29.4.2004 zur Durchsetzung der Rechte des geistigen Eigentums, ABl. L 157 v. 30.4.2004, S. 45. EuGH v. 16.7.2015 – C-580/13, CR 2016, 251 (Ls.) – Coty Germany GmbH/Stadtsparkasse Magdeburg. 2668 EuGH v. 16.7.2015 – C-580/13, CR 2016, 251 (252, Rz. 37 ff.) – Coty Germany GmbH/Stadtsparkasse Magdeburg. 2669 EuGH v. 16.7.2015 – C-580/13, CR 2016, 251 (252, Rz. 39) – Coty Germany GmbH/Stadtsparkasse Magdeburg. 2670 BGH v. 21.10.2015 – I ZR 51/12, CR 2016, 469 (Ls.).
740
Kosmides
Haftung und Privilegierung der Provider
Rz. 1376
B
Darüber hinaus hängt das Auskunftsproblem eng mit der Frage zusammen, inwieweit die 1369 beanspruchten Daten Verkehrs- oder Bestandsdaten und datenschutzrechtlich besonders geschützt sind.2671 Verkehrsdaten, die nicht zu Rechnungs- oder Entstörzwecken erforderlich sind, sind gem. § 96 Abs. 1 Satz 3 TKG zu löschen. § 15 Abs. 4 TMG differenziert für Nutzungsdaten, die noch für die Abrechnung benötigt werden (Weiterverwendung) und Verpflichtungen zur Aufbewahrung (Sperren, nicht Löschen). 5.3.2 Spezialgesetzliche Auskunftsansprüche Nach § 101 UrhG ist zur Auskunft verpflichtet, wer fremdes Urheber- oder Leistungsschutzrecht verletzt. Diese Vorschrift legt einen Anspruch auf Auskunft über vorhandenes Wissen fest.2672
1370
Verletzer i.S.d. spezialgesetzlichen Regelung des § 101 UrhG ist nicht nur der Täter oder Teilnehmer einer Verletzungshandlung, sondern auch der Störer, der ggf. schuldlos zu einer Urheberrechtsverletzung beigetragen hat.2673 Deshalb steht dem Auskunftsanspruch nicht entgegen, dass der Betreiber einer Online-Handelsplattform nicht in die Vertriebskette eingebunden sei (also m.a.W. eine Sonderverbindung besteht).2674
1371
I.R.v. § 101 Abs. 1 UrhG ist eine Störerhaftung ausschließlich in Bezug auf Rechtsverletzun- 1372 gen zu bejahen, die erfolgen, nachdem dem als Störer in Anspruch genommenen Diensteanbieter von einer klaren Rechtsverletzung Kenntnis verschafft wurde.2675 Der Auskunftsanspruch gem. § 101 UrhG wird in verschiedenen Urteilen abgelehnt.2676
1373
Rechteinhaber haben weder in direkter noch in analoger Anwendung von § 101 Abs. 1 UrhG 1374 einen Auskunftsanspruch über die Identität eines Kunden gegenüber einem Access-Provider, wenn der Provider allein einen Zugang vermittelt, über den durch Download Urheberrechtsverletzungen nach § 19a UrhG erfolgen.2677 Nach Auffassung des OLG Frankfurt besteht kein Auskunftsanspruch gegen den AccessProvider auf Herausgabe der personenbezogenen Daten eines Internetnutzers, der im Internet Musikdateien zum Download unter Verletzung der Urheberrechte Dritter anbietet.2678
1375
Das OLG Hamburg geht sogar so weit, eine Verpflichtung zur Auskunftserteilung nach 1376 § 101a UrhG a.F. (nun § 101 UrhG) selbst dann abzulehnen, wenn der Provider als Mitstörer
2671 BVerfG v. 29.6.2006 – 2 BvR 902/06, CR 2007, 383; Sankol, MMR 2006, 361 zur Abgrenzung gegenüber Art. 10 GG und BVerfG v. 2.3.2006 – 2 BvR 2099/04, CR 2006, 383 (Ls. 1) m. Anm. Störing; s.a. Sankol, MMR 2007, 170 zu BVerfG v. 29.6.2006 – 2 BvR 902/06, CR 2007, 383. Zum Vorrang der Daten- und Geheimschutzvorschriften im Zusammenhang mit Drittauskunftsanspruch: Sieber/Höfinger, MMR 2004, 575; s.a. Splittgerber/Klytta, K&R 2007, 78 zu Auskunftsansprüchen gegen Internet-Provider (Access-/E-Mail-/Sub-Domain-Provider) über Identität der Kunden und Schranken. 2672 OLG Düsseldorf v. 7.3.2013 – I-20 W 121/12, I-20 W 5/13, CR 2013, 470 (Ls. 1); v. 7.3.2013 – I-20 W 123/12, juris Os. 1; v. 7.3.2013 – I-20 W 128/12, juris Os. 1. 2673 Vgl. OLG München v. 17.11.2011 – 29 U 3496/11, CR 2012, 119 (Ls. 3); v. 21.9.2006 – 29 U 2119/06, CR 2007, 40 m.w.N. u.a. auf BT-Drs. 11/4792; ebenso in Bezug auf den Verletzerbegriff i.R.v. § 97 Abs. 1 Satz 1 UrhG OLG München v. 24.10.2013 – 29 U 885/13, GRUR-RR 2014, 13 (14) – Buchbinder Wanninger. 2674 OLG München v. 21.9.2006 – 29 U 2119/06, CR 2007 40. 2675 OLG München v. 17.11.2011 – 29 U 3496/11, CR 2012, 119 (Ls. 3). 2676 OLG München v. 17.11.2011 – 29 U 3496/11, CR 2012, 119; vgl. auch OLG Frankfurt v. 25.1.2005 – 11 U 51/04, CR 2005, 285; OLG Hamburg v. 28.4.2005 – 5 U 156/04, CR 2005, 512 m. Anm. Dorschel. 2677 OLG Hamburg v. 28.4.2005 – 5 U 156/04, CR 2005, 512 mit Anm. Dorschel. 2678 Vgl. OLG Frankfurt v. 25.1.2005 – 11 U 51/04, CR 2005, 285; zu den europarechtlichen Grenzen des geplanten Auskunftsanspruchs gegen Provider Spindler/Dorschel, CR 2006, 341.
Kosmides
741
B Rz. 1377
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
zur Entfernung und Sperrung der Nutzung von Informationen nach den „allgemeinen Gesetzen“ verpflichtet ist (vgl. § 7 Abs. 2 TMG).2679 1377 Mangels Rechtsgrundlage besteht kein Anspruch des Schutzrechtsinhabers nach § 101 Abs. 1 und 2 Satz 1 Nr. 3 UrhG gegenüber dem Internet-Provider auf die vorsorgliche Speicherung der dynamischen IP-Adressen seiner Nutzer.2680 1378 Anders dagegen das LG München, das noch unter Verweis auf LG Hamburg bei Urheberrechtsverletzungen einen Auskunftsanspruch angenommen hat, dem weder § 11 TDG (nun § 10 TMG) noch datenschutzrechtliche Gründe entgegenstehen. Es sei eine Ermächtigung zur Auskunft nach dem Rechtsgedanken des § 28 Abs. 3 Satz 1 Nr. 1 BDSG a.F. (nun § 28 Abs. 2 Nr. 2 lit. a BDSG) anzunehmen, wobei der zivilrechtliche Anspruch auf Auskunft ein berechtigtes Interesse i.S. dieser Vorschrift darstelle.2681 1379 Der Auskunftsschuldner ist nicht verpflichtet, Informationen zu beschaffen, derer er für die ordnungsgemäße Führung seines Unternehmens nicht bedarf.2682 1380 Nach überwiegender Ansicht der OLG setze ein Auskunftsanspruch gemäß § 101 Abs. 2 UrhG (auch) voraus, dass eine Rechtsverletzung in gewerblichem Ausmaß vorliegt.2683 Was speziell den in § 101 Abs. 2 Satz 1 Nr. 3 UrhG vorgesehenen Auskunftsanspruch angeht, so muss etwa hinzukommen, dass der Auskunftsverpflichtete in gewerblichem Ausmaß für rechtsverletzende Tätigkeiten genutzte Dienstleistungen erbracht hat. 1381 In diesem Zshg. wurde angenommen, dass eine Rechtsverletzung, die im Einstellen eines urheberrechtlich geschützten Werkes in eine Internet-Tauschbörse liegt, nicht unbedingt das für einen Auskunftsanspruch erforderliche Merkmal des gewerblichen Ausmaßes begründe.2684 In solchen Fällen kann demnach ein Auskunftsanspruch zu verneinen sein. 1382 Nach Ansicht des OLG Köln liegt etwa ein gewerbliches Ausmaß einer Rechtsverletzung durch das Einstellen urheberrechtlich geschützter Werke in ein P2P-Netzwerk nach Ablauf von sechs Monaten gerechnet ab dem Erscheinungsdatum des Werks (auch bei Filmwerken) nur in Ausnahmefällen vor.2685 1383 Nach neuer BGH-Rspr. bezieht sich allerdings das Kriterium des gewerblichen Ausmaßes bei einem Auskunftsanspruch gemäß § 101 Abs. 2 UrhG nicht auf die Rechtsverletzung selbst. Der BGH hat entschieden, dass bei einem Auskunftsanspruch gemäß § 101 Abs. 2 Satz 1 Nr. 3 UrhG wegen einer offensichtlichen Rechtsverletzung gegenüber einer Person, die in gewerblichem Ausmaß für rechtsverletzende Tätigkeiten genutzte Dienstleistungen erbracht hat, die Begründetheit des Antrags nach § 101 Abs. 9 Satz 1 UrhG grds. kein besonderes und insb. kein gewerbliches Ausmaß der Rechtsverletzung voraussetzt.2686 Es ist dabei
2679 OLG Hamburg v. 28.4.2005 – 5 U 156/04, CR 2005, 512 m. Anm. Dorschel. 2680 OLG Düsseldorf v. 7.3.2013 – I-20 W 121/12, I-20 W 5/13, CR 2013, 470 (Ls. 2); v. 7.3.2013 – I-20 W 123/12, juris Os. 2. 2681 LG München I v. 11.1.2006 – 21 O 2793/05, CR 2006, 564 unter Verweis auf LG Hamburg v. 7.7.2004 – 308 O 264/04, CR 2005, 136 m. Anm. Schlegel. 2682 OLG Düsseldorf v. 7.3.2013 – I-20 W 121/12, I-20 W 5/13, CR 2013, 470 (Ls. 1). 2683 Vgl. OLG Köln v. 2.11.2011 – 6 W 237/11, juris Os.; v. 27.12.2010 – 6 W 155/10, IPRB 2011, 33, juris, Rz. 2 – Männersache; OLG Hamburg v. 17.2.2010 – 5 U 60/09, CR 2010, 363 (365); OLG Schleswig v. 5.2.2010 – 6 W 26/09, 11;GRUR-RR 2010, 239 (240); OLG München v. 26.7.2011 – 29 W 1268/11, ITRB 2011, 277 – Die Friseuse; s.a. Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 3.2 Rz. 148 m.w.N. 2684 OLG Köln v. 2.11.2011 – 6 W 237/11, juris Os.; a.A. OLG München v. 26.7.2011 – 29 W 1268/11, ITRB 2011, 277 – Die Friseuse. 2685 OLG Köln v. 5.5.2011 – I-6 W 91/11, MMR 2011, 761 (Ls. 1) – The Hurt Locker. 2686 BGH v. 5.12.2012 – I ZB 48/12, CR 2013, 465 (Ls. 3); v. 19.4.2012 – I ZB 77/11, juris Os. 2.
742
Kosmides
Haftung und Privilegierung der Provider
Rz. 1389
B
nicht erforderlich, dass die rechtsverletzenden Tätigkeiten das Urheberrecht oder ein anderes nach dem UrhG geschütztes Recht in gewerblichem Ausmaß verletzt haben.2687 Auskunftsansprüche, die dem des § 101 UrhG entsprechen, sind auch in den anderen imma- 1384 terialgüterrechtsspezifischen Gesetzen vorgesehen. Die Rede ist von § 19 MarkenG, § 140b PatG, § 24b GebrMG, § 46 GeschmMG und § 37b SortSchG. Für die Begründung dieser Auskunftsansprüche wird eine Schutzrechtsverletzung in gewerblichem Ausmaß vorausgesetzt. Dies ergibt sich nicht ausdrücklich aus diesen Regelungen. Es folgt vielmehr daraus, dass „sich die Wirkungen dieser Schutzrechte von vornherein nicht auf Handlungen erstrecken, die im privaten Bereich zu nichtgewerblichen Zwecken vorgenommen werden (§ 11 Nr. 1 PatG, § 12 Nr. 1 GebrMG, § 40 Nr. 1 GeschmMG, § 10a Nr. 1 SortSchG) oder nur Handlungen erfassen, die im geschäftlichen Verkehr erfolgen (§§ 14, 15, 17 MarkenG)“.2688 Eine Handlung zu gewerblichen bzw. geschäftlichen Zwecken ist eine Handlung in gewerblichem Ausmaß.2689 In den §§ 14 Abs. 2, 15 Abs. 5 Satz 4 TMG sind Auskunftsansprüche der Diensteanbieter ge- 1385 genüber den Sicherheitsbehörden sowie privaten Rechteinhabern ausdrücklich geregelt.2690 Nach diesen Vorschriften darf der Portalbetreiber auf Anordnung der zuständigen Stellen Auskunft der Bestands-, Nutzungs- und Abrechnungsdaten erteilen, soweit dies u.a. für Zwecke der Strafverfolgung erforderlich ist.2691 Die genannten Regeln lassen auch eine Auskunftserteilung zu, soweit dies zur Durchsetzung von Immaterialgüterrechten notwendig ist.2692 Mit § 113 TKG steht eine spezialgesetzliche Auskunftsregelung bereit. Diese Vorschrift regelt lediglich eine Auskunftserteilung an staatliche Stellen.2693
1386
§ 113 Abs. 1 Satz 1 TKG ist laut BVerfG so auszulegen, dass er für sich allein keine Auskunftspflichten der Telekommunikationsunternehmen begründet. Vielmehr setzt er für die abschließende Begründung einer Auskunftspflicht eigene Ermächtigungsgrundlagen voraus, die eine Verpflichtung der Telekommunikationsdiensteanbieter gegenüber den jeweils abrufberechtigten Behörden aus sich heraus normenklar begründen.2694
1387
Nach Ansicht des LG Hamburg soll der Access-Provider zur Auskunft über Nutzerdaten, 1388 auch dynamische IP-Adressen, verpflichtet sein.2695 Das BVerfG hat allerdings entschieden, dass in der Zuordnung dynamischer Adressen zu ih- 1389 ren Anschlussinhabern ein Eingriff in das Telekommunikationsgeheimnis des Art. 10 Abs. 1 GG liegt.2696 Daher darf § 113 Abs. 1 TKG nicht als Ermächtigung für die Zuordnung von dynamischen IP-Adressen verstanden werden.2697
2687 2688 2689 2690 2691 2692 2693 2694 2695
2696 2697
BGH v. 19.4.2012 – I ZB 80/11, CR 2012, 600 (Ls. 1) – Alles kann besser werden. BGH v. 19.4.2012 – I ZB 77/11, Rz. 14. BGH v. 19.4.2012 – I ZB 77/11, Rz. 14. LG München I v. 3.7.2013 – 25 O 23782/12, CR 2013, 677 (678); BeckRTD-Komm/Dix, § 14 TMG Rz. 47. BGH v. 1.7.2014 – VI ZR 345/13, CR 2014, 597 (Ls. 1). BeckRTD-Komm/Dix, § 14 TMG Rz. 53. OLG Düsseldorf v. 7.3.2013 – I-20 W 121/12, I-20 W 5/13, CR 2013, 470 (471). BVerfG v. 24.1.2012 – 1 BvR 1299/05, CR 2012, 245 (250) m. Anm. Schnabel. LG Hamburg v. 23.6.2005 – 631 Qs 43/05, CR 2005, 832: Auskunftspflicht für Access-Provider über Kontaktdaten von Endgerätenutzern hinter dynamischen IP-Adressen; zur Pflicht des Internet-Access-Providers zur Speicherung dynamischer IP-Adressen: AG Darmstadt v. 30.6.2005 – 300 C 397/04, CR 2006, 38. Zu massenhafter Aufforderung zur Speicherung von Verbindungsdaten an Access-Provider LG Flensburg v. 25.11.2005 – 6 O 108/05, MMR 2006-181. LG Offenburg v. 17.4.2008 – 3 Qs 83/07, CR 2008, 592. BVerfG v. 24.1.2012 – 1 BvR 1299/05, CR 2012, 245 (Ls. 1) m. Anm. Schnabel. BVerfG v. 24.1.2012 – 1 BvR 1299/05, CR 2012, 245 (Ls. 4) m. Anm. Schnabel; OLG Düsseldorf v. 7.3.2013 – I-20 W 121/12, I-20 W 5/13, CR 2013, 470 (471).
Kosmides
743
B Rz. 1390
E-Business: Fernabsatz – E-Commerce – E-Werbung – Provider-Haftung
1390 Demgegenüber greift die (bloße) Zuordnung einer Telekommunikationsnummer zu einem Anschlussinhaber nicht in Art. 10 Abs. 1 GG ein.2698 Durch den Auskunftsanspruch wird das durch Art. 10 GG geschützte Fernmeldegeheimnis grds. nicht tangiert.2699 Das BVerfG hat entschieden, dass die im Herrschaftsbereich eines Kommunikationsteilnehmers gespeicherten Inhalte und Umstände einer Kommunikation außerhalb des laufenden Kommunikationsvorgangs nicht durch das Fernmeldegeheimnis geschützt werden.2700 1391 Die so gespeicherten Daten unterfallen dem Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG und werden ggf. zusätzlich durch Art. 13 GG geschützt.2701 Das Recht auf informationelle Selbstbestimmung fordert als Grenze der Eingriffsbefugnisse, dass der Gesetzgeber den Verwendungszweck der erhobenen Daten spezifisch, präzise und für den Betroffenen klar erkennbar bestimmen muss. Beim Zugriff auf die bei dem Betroffenen gespeicherten Verbindungsdaten ist auf deren erhöhte Schutzwürdigkeit Rücksicht zu nehmen. Die Verhältnismäßigkeitsprüfung muss dem Umstand Rechnung tragen, dass es sich um Daten handelt, die außerhalb der Sphäre des Betroffenen unter dem besonderen Schutz des Fernmeldegeheimnisses stehen und denen im Herrschaftsbereich des Betroffenen ein ergänzender Schutz durch das Recht auf informationelle Selbstbestimmung zuteil wird.2702 5.3.3 Allgemeiner Auskunftsanspruch gem. § 242 BGB 1392 Weil es, mit Ausnahme spezialgesetzlicher Regelungen, keinen allgemeinen gesetzlich geregelten Auskunftsanspruch gegenüber Dritten gibt, kann sich ein solcher gestützt auf § 242 BGB ergeben.2703 Erforderlich ist nach ständiger Rspr.,2704 dass die Auskunft zur Durchsetzung des Hauptanspruchs erforderlich ist, der Auskunft Begehrende in entschuldbarer Weise über Bestand und Umfang des Anspruchs im Unklaren ist, er sich die Information zwar nicht selbst beschaffen, der Verpflichtete jedoch die Auskunft ohne große Mühe erteilen kann.2705 1393 Grds. ist für einen solchen Auskunftsanspruch eine besondere rechtliche Beziehung, d.h. eine Sonderverbindung, zwischen dem Berechtigten und dem Verpflichteten, zu fordern. Hierzu zählen vertragliche und gesetzliche Schuldverhältnisse, ebenso wie vor- oder außervertragliche Beziehungen.2706 Der Auskunftssuchende kann vom Inanspruchgenommenen auch die Mitteilung personenbezogener Daten Dritter verlangen.2707 So gesehen kann dem Verletzten ein Auskunftsanspruch gegen den Diensteanbieter in Bezug auf Daten des Verletzers zustehen.
2698 BVerfG v. 24.1.2012 – 1 BvR 1299/05, CR 2012, 245 (246) m. Anm. Schnabel. 2699 BVerfG v. 24.1.2012 – 1 BvR 1299/05, CR 2012, 245 m. Anm. Schnabel. 2700 BVerfG v. 2.3.2006 – 2 BvR 2099/04, CR 2006, 383 m. Anm. Störing; vgl. auch LG Stuttgart v. 22.12.2004 – 9 Qs 80/04, MMR 2005, 628; LG Hamburg v. 23.6.2005 – 631 Qs 43/05, CR 2005, 832. 2701 BVerfG v. 24.1.2012 – 1 BvR 1299/05, CR 2012, 245 (Ls. 1) m. Anm. Schnabel; v. 2.3.2006 – 2 BvR 2099/04, CR 2006, 383 m. Anm. Störing. 2702 BVerfG v. 2.3.2006 – 2 BvR 2099/04, CR 2006, 383 m. Anm. Störing. 2703 LG Berlin v. 10.11.2005 – 27 O 616/05, CR 2006, 418. 2704 BGH v. 1.7.2014 – VI ZR 345/13, CR 2014, 597 f. (Rz. 6); v. 6.2.2007 – X ZR 117/04, NJW 2007, 1806 (1807); v. 6.6.2002 – I ZR 79/00, GRUR 2002, 795 (797 f.) – Titelexklusivität; v. 22.11.2000 – VIII ZR 40/00, WRP 2001, 168 (169); OLG München v. 17.6.2010 – 29 U 3312/09, GRUR-RR 2010, 416 (417). 2705 Vgl. auch Schmitz/Laun, MMR 2005, 208. 2706 Vgl. nur BGH v. 1.7.2014 – VI ZR 345/13, CR 2014, 597 f. (Rz. 6); v. 6.6.2002 – I ZR 79/00, GRUR 2002, 795 (797 f.) – Titelexklusivität. 2707 BGH v. 1.7.2014 – VI ZR 345/13, CR 2014, 597 (598, Rz. 7); v. 17.5.2001 – I ZR 291/98, BGHZ 148, 26 (30).
744
Kosmides
Haftung und Privilegierung der Provider
Rz. 1399
B
Inhalt und Reichweite des Auskunftsanspuchs aus § 242 BGB bestimmen sich unter Berück- 1394 sichtigung der Umstände des Einzelfalls und der beiderseitigen Interessen des Auskunftssuchenden und des Inhabers der Information in Wahrung des Grundsatzes der Verhältnismäßigkeit des verlangten Mittels zu dem angestrebten Erfolg.2708 Nach Ansicht des OLG Dresden2709 sowie des OLG Stuttgart2710 kann ein aus § 242 BGB 1395 hergeleiteter Auskunftsanspruch auf Offenlegung der Identität des Autors eines persönlichkeitsrechtsverletzenden Beitrags in einem Internetportal (auch) gegen den Portalbetreiber gerichtet werden. Auch das LG Berlin hat gegen den Host-Provider durch die Haftung als Störer eine Auskunftspflicht nach § 242 BGB bejaht.2711 Einen entsprechenden Anspruch gegen den Betreiber eines Internetbewertungsportals auf Auskunft über die Identität des Urhebers von persönlichkeitsrechtsverletzenden Inhalten hat dagegen der BGH im Ergebnis abgelehnt. Der BGH hat zwar angenommen, dass im Rahmen eines aus §§ 823, 1004 BGB folgenden Unterlassungsanspruchs eine Auskunftspflicht bestehen kann, die der Ermittlung der Quelle der Rechtsbeeinträchtigung dient, mit dem Ziel, künftige Beeinträchtigungen zu vermeiden.2712
1396
In Ermangelung einer gesetzlichen Ermächtigungsgrundlage i.S.d. § 12 Abs. 2 TMG ist allerdings der Anbieter nicht berechtigt, ohne Einwilligung des Nutzers dessen personenbezogene Daten an den durch diese Inhalte Betroffenen zu übermitteln.2713
1397
Auch das OLG Hamm hat entschieden, dass ein durch eine anonyme negative Bewertung in 1398 einem Berufsbewertungsportal betroffener Psychotherapeut keinen Auskunftsanspruch gegen den Portalbetreiber auf Benennung der Identität des Verfassers der Bewertung hat, wenn es sich bei der fraglichen Äußerung um ein die Sozialsphäre des Therapeuten betreffendes Werturteil ohne unsachliche Schmähkritik, Formalbeleidigungen oder Angriffe auf die Menschenwürde handelt.2714 In einem solchen Fall steht dem Betroffenen weder ein Unterlassungs- noch ein Schadensersatzanspruch gegen den Portalbetreiber zu.2715 Das LG München I hat ferner einen Auskunftsanspruch im Hinblick auf die Identität des 1399 Autors eines persönlichkeitsrechtsverletzenden Beitrags mit der Begründung verneint, dass § 14 Abs. 2 TMG lex specialis zu dem allgemeinen Anspruch ist, sodass ein Rückgriff auf den aus Treu und Glauben abgeleiteten Auskunftsanspruch nicht in Betracht kommt.2716
2708 2709 2710 2711 2712 2713 2714 2715 2716
BGH v. 6.6.2002 – I ZR 79/00, GRUR 2002, 795 (798) – Titelexklusivität. OLG Dresden v. 8.2.2012 – 4 U 1850/11, ITRB 2012, 223. OLG Stuttgart v. 26.6.2013 – 4 U 28/13, juris Os. 2. LG Berlin v. 10.11.2005 – 27 O 616/05, CR 2006, 418 (Ls. 2). BGH v. 1.7.2014 – VI ZR 345/13, CR 2014, 597 f. (Rz. 6 f.). BGH v. 1.7.2014 – VI ZR 345/13, CR 2014, 597 (Ls. 2). OLG Hamm v. 3.8.2011 – I-3 U 196/10, CR 2012, 128 (Ls. 1). OLG Hamm v. 3.8.2011 – I-3 U 196/10, CR 2012, 128 (Ls. 1). LG München v. 3.7.2013 – 25 O 23782/12, CR 2013, 677 (Ls.).
Kosmides
745
C. Arbeitsvertragsrecht Rz.
Rz. I. Branchentypische Formen des Arbeitseinsatzes: Selbständiger Auftragnehmer (EDV-Dienstleister), Arbeitnehmer, Leiharbeitnehmer, Freiberufler . . . . . . . . . . . . . . . . . . . . 1. Abgrenzung Arbeitnehmer, Selbständiger (Freelancer), Scheinselbständiger. . . . . . . . . . . . . . . . . . . 2. Leiharbeitnehmer und Konsequenzen für agile Projekte 2.1 Erlaubnispflichtigkeit der Arbeitnehmerüberlassung . . . . 2.2 Abgrenzung zwischen Werk-, Dienst- und Arbeitnehmerüberlassungsvertrag bei agilen Projekten . . . . . . . . . . . . . . . . . . 3. Abgrenzung selbständiger Gewerbetreibender und Freiberufler . . . . . . . 3.1 Uneinheitliche Rechtsprechung zu den Anforderungen an den Ausbildungsnachweis . . . . . . . . 3.2 Ausbildungs- und Tätigkeitsdokumentation . . . . . . . . . . . . . 4. Ausblick: Veränderte Rahmenbedingungen durch Industrie 4.0 . . . II. Allgemeines zur AGB-Kontrolle im Arbeitsrecht 1. Unterschiedliche Behandlung von Arbeitsverträgen einerseits und Tarifverträgen, Betriebs- und Dienstvereinbarungen andererseits . . . . . . 2. Angemessene Berücksichtigung der Besonderheiten des Arbeitsrechts . . 3. Definition von arbeitsvertraglichen AGB. . . . . . . . . . . . . . . . . . . . . . . . . .
1
3
8
11 18 19 23 24
4. Schriftformklausel, Nebenabreden (§ 305b BGB) . . . . . . . . . . . . . . . . . . . 5. Überraschende Klausel nach § 305c Abs. 1 BGB . . . . . . . . . . . . . . . 6. Mehrdeutige Klauseln, § 305c Abs. 2 BGB. . . . . . . . . . . . . . . . . . . . . 7. Rechtsfolgen bei Unwirksamkeit von Klauseln . . . . . . . . . . . . . . . . . . . III. Inhaltskontrolle von ausgewählten arbeitsvertraglichen Klauseln 1. Inhaltskontrolle bei Regelung des Direktionsrechts . . . . . . . . . . . . . . . . 2. Abgeltung von Überstunden . . . . . . 3. Bonuszahlungen, Incentivepläne . . . 4. Inhaltskontrolle bei Widerrufsvorbehalt . . . . . . . . . . . . . . . . . . . . . . 5. Inhaltskontrolle bei Freiwilligkeitsvorbehalt . . . . . . . . . . . . . . . . . . 6. Allgemeine Verschwiegenheitsklausel . . . . . . . . . . . . . . . . . . . . . . . . 7. Nachvertragliches Wettbewerbsverbot. . . . . . . . . . . . . . . . . . . . . . . . . 8. Vertragsstrafe . . . . . . . . . . . . . . . . . .
30
IV. Urheberrechtliche Aspekte bei Verträgen mit Programmierern 1. Grundsätze . . . . . . . . . . . . . . . . . . . . 2. Arbeitsvertragliche Regelungen. . . . 3. Programmierer als freier Mitarbeiter 4. Teams aus selbständigen und angestellten Programmierern . . . . . . . . .
33
V. IT-Outsourcing und Betriebsübergang nach § 613a BGB . . . . . . . . . . .
27
36 38 41 43
47 51 52 53 55 58 61 67
71 74 82 83 86
Literatur: Baeck/Winzer/Hies, Zweiter Referentenentwurf zur Änderung des Arbeitnehmerüberlassungsgesetzes und anderer Gesetze, NZG 2016, 415; Bauer, Wirrwarr im Arbeitsrecht, Handelsblatt 11.10.2006, 31; Bauschke, Arbeitnehmer und andere – Bewertung der neuesten Gesetzesinitiativen, öAT 2016, 69; Bayreuther, Altersgrenzen nach der Palacios-Entscheidung des EuGH, DB 2007, 2425; Bieder, Einschränkungen der privilegierten Arbeitnehmerhaftung für leitende Angestellte, DB 2008, 638; Böhm, Fiktiver (Leih)Arbeitnehmerschutz (§§ 9, 10 AÜG-E)?!, NZA 2016, 528; Däubler/Bonin/Deinert, AGB-Kontrolle im Arbeitsrecht, 4. Aufl. 2014; Gertz, Gleichbehandlung – droht eine Klageflut?, Computerwoche 2006, 50; Giesen, Reform der Leiharbeit, ZRP 2016, 130; Glanz, Kündigung von leistungsschwachen Mitarbeitern („Low Performer“), NJW-Spezial 2008, 82; Göpfert/Merten/Siegrist, Mitarbeiter als „Wissensträger“, NJW 2008, 1703; Grimm, Industrie 4.0 – Arbeiten 4.0 – Arbeitsrecht 4.0? Veränderungsbedarf in Bezug auf Arbeitszeit und -ort, Arbeitnehmerbegriff, Betriebsverfassung sowie Beschäftigtendatenschutz, ArbRB 2015, 336; Hauck, Die Vertragsstrafe im Arbeitsrecht im Lichte der Schuldrechtsreform, NZA 2006, 816; Hengstler, Arbeitnehmerüberlassung in Scrum-Projekten. Besonderheiten der ANÜ und Vermeidungsstrategien, ITRB 2015, 217; Henssler/Willemsen/Kalb, Arbeitsrecht, 7. Aufl. 2016 (zitiert als: HWK/Bearbeiter); Hohenstatt/Grau, Der Betriebsübergang nach Güney Görres – Was geht noch?, NJW 2007, 29; Horcher, Inhaltskontrolle von Zielvereinbarungen, BB 2007, 2065; Kandaouroff/Rose, Personalgespräch: Darf der Arbeitnehmer dritte Personen mitbringen?, DB 2008, 1210; Kleinebrink, Grenzen bei der Hinzuzie-
746
Antoine/Conrad
Branchentypische Formen des Arbeitseinsatzes
Rz. 4
C
hung von Sachverständigen durch den Betriebsrat, ArbRB 2006, 278; Knöfel, Angestellte Rechtsanwälte als Handlungsgehilfen?, AnwBl 2008, 241; Kock, „Meine Meilen, Deine Meilen“: dienstlich erlangte Bonuspunkte aus Kundenbindungsprogrammen, DB 2007, 462; Köhler, Dauerbrenner Scheinselbstständigkeit und verdeckte Arbeitnehmerüberlassung, GWR 2014, 28; Küttner, Personalbuch 2016, 23. Aufl. 2016; Lakies, AGB-Kontrolle von Vertragsstrafenvereinbarungen, ArbRAktuell 2014, 313; Lapp, IT-Sicherheit gehört in den Arbeitsvertrag, Computerwoche 2007, 42; Latendorf/Rademacher, Betriebsvereinbarungen als andere Rechtsvorschriften, CR 1989, 1105; Müller-Glöge/Preis/Schmidt (Hrsg.), Erfurter Kommentar zum Arbeitsrecht, 17. Aufl. 2017 (zitiert: ErfK/Bearbeiter); Niemann, Vertragsbruch: Strafabreden in Formulararbeitsverträgen, RdA 2013, 92; Podehl, Haftung des Arbeitgebers wegen Stress am Arbeitsplatz?, DB 2007, 2090; Ricken, Betriebliche Übung und Vertragskontrolle im Arbeitsrecht, DB 2006, 1372; Schaub, Arbeitsrechtliches Formular- und Verfahrenshandbuch, 11. Aufl. 2015; Schaub, Arbeitsrechts-Handbuch, 16. Aufl. 2015; Schüren, Scheinwerk- und Scheindienstverträge mit Arbeitnehmerüberlassungserlaubnis. Vorschlag zu einer Korrektur des AÜG, NZA 2013, 176; Schulz, Die Strafbarkeit des Arbeitgebers nach § 266a StGB bei der Beschäftigung von Scheinselbständigen, NJW 2006, 183; Wisskirchen/Jordan/Bissels, Arbeitsrechtliche Probleme bei der Einführung internationaler Verhaltens- und Ethikrichtlinien (Codes of Conduct/Codes of Ethics), DB 2005, 2190.
I. Branchentypische Formen des Arbeitseinsatzes: Selbständiger Auftragnehmer (EDV-Dienstleister), Arbeitnehmer, Leiharbeitnehmer, Freiberufler Eine typische Situation im IT-Projektgeschäft ist, dass insb. bei großen Projekten (z.B. SAP- 1 Einführung) externe EDV-Dienstleister und/oder Arbeitnehmer eines Software- oder Consulting-Anbieters für einen längeren, auch mehrjährigen Zeitraum im Unternehmen des Auftraggebers eingesetzt werden. Häufig sind dabei die Externen so in die Arbeitsorganisation des Auftraggebers eingegliedert, dass sie sich nur unwesentlich von den internen Mitarbeitern unterscheiden. Die Externen halten sich z.B. an dieselben Arbeitszeiten wie die Internen, bekommen vom Auftraggeber Büroräume und Material zur Verfügung gestellt, benutzen die hauseigene Kantine, nehmen insb. bei Zuruf-Projekten projektbezogene Weisungen des Auftraggebers oder dessen Mitarbeiter entgegen und – was aus arbeitsrechtlicher Sicht am riskantesten ist – werden vom Auftraggeber, wenn hausintern ein personeller oder technischer Engpass eintritt, in anderen, fremden Projekten des Auftraggebers, für die die Externen nicht bestimmt sind, eingesetzt. Während beim Einsatz von EDV-Dienstleistern die Abgrenzung zwischen Arbeitnehmer und Selbständiger bzw. auch Freiberufler die relevante Streitfrage ist, so ist es beim internen Einsatz von externen Arbeitnehmern des Anbieters die Arbeitnehmerüberlassung. Eine weitere, v.a. steuerlich relevante Frage im Zshg. mit dem Einsatz externer EDV-Dienstleister ist die Freiberufler-Eigenschaft.
2
1. Abgrenzung Arbeitnehmer, Selbständiger (Freelancer), Scheinselbständiger Im IT-Bereich sind grds., wie auch sonst, zwei typische Formen des Arbeitseinsatzes von Mit- 3 arbeitern denkbar: Zum einen als Arbeitnehmer und zum anderen als selbständige bzw. freie Mitarbeiter. Bei der Arbeitnehmereigenschaft i.S.d. Arbeitsrechts ist entscheidend, dass der Arbeitnehmer aufgrund eines privatrechtlichen Vertrags weisungsgebunden in persönlicher Abhängigkeit bei Eingliederung in die betriebliche Organisation zur Arbeitsleistung verpflichtet ist. Der Selbständige/Freelancer dagegen kann seine Tätigkeit bei Übernahme des Unternehmer- 4 risikos im Wesentlichen frei gestalten und seine Arbeitszeit bestimmen. Als Korrelat zu dieser freien Gestaltungsmöglichkeit des Selbständigen spielen häufig werkvertragliche Aspekte im Verhältnis zum Auftraggeber, also festgelegter Erfolg in einer bestimmten Qualität zu einem bestimmten Zeitpunkt, eine wichtige Rolle bei der Bestimmung der vertraglichen Leistung.
Antoine/Conrad
747
C Rz. 5
Arbeitsvertragsrecht
5 Scheinselbständigkeit ist die Beschäftigung eines Mitarbeiters als Selbständiger, der jedoch aufgrund der Ausgestaltung des Vertragsverhältnisses (insb. wirtschaftliche Abhängigkeit und Weisungsgebundenheit) tatsächlich Arbeitnehmer ist. 6 Entscheidend bei dieser Abgrenzung ist nicht der Wortlaut der Vereinbarung, also etwa die Überschrift des Vertrags als freier Mitarbeitervertrag, sondern die tatsächlich gelebte Vertragspraxis. In der Praxis kommt es so häufig vor, dass bei der Projektarbeit, insb. bei großen Arbeitgeberorganisationen, ggf. aber auch bei mittelständischen Auftraggebern, der ursprünglich freie EDV-Berater bzw. selbständige EDV-Dienstleister so in die Projekt- und Arbeitsorganisation des Auftraggebers eingegliedert ist, dass – v.a. im Streitfalle – die Arbeitsgerichte statt Selbständigkeit das Vorliegen eines Arbeitsverhältnisses, also Arbeitnehmereigenschaft des Auftragnehmers, feststellen. 7 Das Risiko insb. für den Arbeitgeber im Hinblick auf die Abgrenzung Arbeitnehmereigenschaft und freie Mitarbeitereigenschaft des EDV-Beraters bzw. EDV-Dienstleisters ist erheblich und liegt im arbeitsrechtlichen, sozialversicherungsrechtlichen1 und steuerrechtlichen Bereich: – Anwendbarkeit des Arbeitszeitgesetzes, – Anwendbarkeit des Kündigungsschutzgesetzes, – Anwendbarkeit der gesetzlichen Entgeltfortzahlung (u.a. Krankheit, Urlaub), – Anwendbarkeit des Mindestlohngesetzes (MiLOG) – Sozialversicherungspflicht des Arbeitnehmers, – Pflicht zum Einbehalt der Steuern. Die Beteiligten können insoweit durch ein Anfrageverfahren bei der Deutschen Rentenversicherung Bund (DRV Bund) gem. § 7a SGB IV eine Klärung herbeiführen. Auslöser von Rechtsstreitigkeiten, die ggf. für den Auftraggeber das Risiko der Überprüfung der Selbständigkeit des EDV-Dienstleisters mit sich bringen können, sind in der Praxis häufig Festlegungen von Gewerbesteuer gegen den EDV-Dienstleister. 2. Leiharbeitnehmer und Konsequenzen für agile Projekte 2.1 Erlaubnispflichtigkeit der Arbeitnehmerüberlassung 8 Die Überlassung von Leiharbeitnehmern ohne die nach § 1 Abs. 1 Satz 1 AÜG erforderliche Erlaubnis, ist als gewerbsmäßige Arbeitnehmerüberlassung verboten und kann für die Parteien empfindliche rechtliche Konsequenzen haben. In diesem Fall wird ein Arbeitsverhältnis zwischen dem Entleiher und den Leiharbeitnehmern fingiert, mit der Folge der Geltung der arbeitsrechtlichen Schutzvorschriften. Den Entleiher treffen dabei auch die sozialversicherungs- und steuerrechtlichen Pflichten.2 9 Bei berechtigter Arbeitnehmerüberlassung wird zwischen Verleiher und Entleiher ein Arbeitnehmerüberlassungsvertrag geschlossen. Der Arbeitsvertrag besteht zwischen dem Verleiher und dem Leiharbeitnehmer. Mit dem Entleiher besteht kein Arbeitsvertrag, er bekommt aber aufgrund des Arbeitnehmerüberlassungsvertrags teilweise arbeitgeberähnliche Befugnisse
1 S. BSG v. 13.10.2015 – B 12 R 14/15 B, Rz. 7 – IT-Freelancer: Zu den Merkmalen „eigenes Unternehmerrisiko, Vorhandensein einer eigenen Betriebsstätte, Verfügungsmöglichkeit über die eigene Arbeitskraft und im Wesentlichen frei gestaltete Tätigkeit und Arbeitszeit“, die auch auf die Branche der Informationstechnologie anwendbar sind. 2 ErfK/Wank, AÜG, Einl. Rz. 40; BAG v. 17.1.2007 – 7 AZR 23/06, DB 2007, 1034 zur Unzulässigkeit konzerninterner Arbeitnehmerüberlassung nach der bis 1985 geltenden Rechtslage und zur Fortwirkung von Ansprüchen nach dem AÜG auch bei jahrelanger Untätigkeit.
748
Antoine/Conrad
Branchentypische Formen des Arbeitseinsatzes
Rz. 13
C
gegenüber dem Leiharbeitnehmer, im Wesentlichen Weisungsbefugnisse. Merkmal der Leiharbeit ist eine vorübergehende Überlassung des Leiharbeitnehmers (§ 1 Abs. 1 Satz 2 AÜG). Der Zeitraum „vorübergehend“ ist in Rspr. und Lit. umstritten.3 Der Entleiher hat ein fachliches Weisungsrecht und muss den Betriebsrat bei der Beschäftigung von Leiharbeitnehmern beteiligen. Die Erlaubnis der gewerbsmäßigen Arbeitnehmerüberlassung unterliegt folgenden Voraussetzungen:
10
– Die Erlaubnis zur gewerbsmäßigen Arbeitnehmerüberlassung wird von der Bundesagentur für Arbeit auf Antrag erteilt. – Der Entleiher hat ein fachliches Weisungsrecht und muss den Betriebsrat vor der Übernahme beteiligen. – Der Verleiher muss während der Zeit der Überlassung dem Leiharbeitnehmer die im Betrieb des Entleihers geltenden wesentlichen Arbeitsbedingungen einschließlich Arbeitsentgelt („equal pay“) gewähren (§ 10 Abs. 4 Satz 1 AÜG). 2.2 Abgrenzung zwischen Werk-, Dienst- und Arbeitnehmerüberlassungsvertrag bei agilen Projekten Wesentliches Unterscheidungskriterium4 zwischen Werkvertrag und Arbeitnehmerüberlas- 11 sung ist, dass beim Werkvertrag der Werkunternehmer bzw. seine Arbeitnehmer beim Auftraggeber nicht betrieblich eingegliedert und v.a. nicht weisungsgebunden gegenüber dem Auftraggeber sind. Der Werkunternehmer trägt eigenverantwortlich die Organisationsverpflichtung aller Aufgaben, die sich aus der Werkerstellung ergeben (v.a. Leitung und Steuerung des Projekts), und er trägt auch das unternehmerische Risiko (v.a. im Rahmen der Gewährleistung). Der Werkunternehmer verfügt im Regelfall über eigene Arbeitsmittel und der Auftraggeber hat keine Einflussmöglichkeit auf Zahl und Art der Arbeitnehmer, die der Werkunternehmer im Projekt einsetzt. Der Dienstvertrag unterscheidet sich vom Werkvertrag dadurch, dass der Dienstverpflichte- 12 te keinen Erfolg schuldet und das Projekt nicht (allein) steuert und leitet, sondern ggf. zusammen mit dem Auftraggeber. Allerdings sieht auch der Dienstvertrag vor, dass der Dienstverpflichtete die unternehmerische Disposition hins. der Organisation der Diensterfüllung hat (u.a. in zeitlicher Hinsicht und hins. der Arbeitnehmer des Dienstverpflichteten). Auch beim Dienstvertrag hat der Auftraggeber keine Weisungsbefugnis gegenüber den Arbeitnehmern des Dienstverpflichteten.5 Bei agilen Projekten6 ist das Risiko groß, dass das Verhältnis zwischen Auftraggeber und Auf- 13 tragnehmer nicht als Werk- oder Dienstvertrag, sondern als Arbeitnehmerüberlassung qualifiziert wird. Typische Rollenverteilung – etwa bei Scrum – ist, dass der Product Owner vom Auftraggeber gestellt wird, der Scrum Master vom Auftragnehmer und die Entwicklerteams sind gemischt und bestehen im Regelfall aus Mitarbeitern von Auftraggeber und Auftragnehmer. I.R.d. agilen Vorgehens (u.a. Daily Scrums, Sprints, Backlogs) ist grds. nicht vorgesehen, dass die Befugnisse von Product Owner und Scrum Master gegenüber den Entwicklerteams danach differenzieren, ob Teammitglieder Arbeitnehmer des Auftraggebers oder des Auftragnehmers sind.
3 S. dazu ausführlich ErfK/Wank, AÜG, § 1 Rz. 37c und Küttner/Röller, Personalbuch 2016 Arbeitnehmerüberlassung, Rz. 4 m.w.N. 4 Hengstler, ITRB 2015, 217 (218). 5 Venetis, in: Auer-Reinsdorff/Conrad, § 37 Rz. 65. 6 Allg. zu agiler Methodik s. M Rz. 839; N Rz. 52 ff.; Q Rz. 87.
Antoine/Conrad
749
C Rz. 14
Arbeitsvertragsrecht
14
Die alleinige Steuerung und Leitung des Projekts durch den Auftragnehmer – was grds. Voraussetzung für den Werkvertrag ist – gibt es bei agilen Methoden häufig nicht. Vielmehr muss der Auftraggeber eine starke Rolle bei der Organisation des Projekts übernehmen und entsprechende zeitliche und personelle Kapazitäten zur Verfügung stellen. Die Teams von Auftraggeber und Auftragnehmer sind bei agilen Projekten sehr eng verwoben, sodass bei Abwesenheiten von Mitarbeitern des Auftragnehmers (z.B. Urlaubszeiten) u.U. direkter Abstimmungsbedarf mit dem Auftraggeber besteht.
15
Nicht selten findet das gesamte Projekt auf dem Betriebsgelände des Auftraggebers statt und die Arbeitnehmer des Auftragnehmers werden z.B. mit Werks- und Kantinenausweisen des Auftraggebers ausgestattet, evtl. sogar mit Arbeitsmitteln wie Arbeitszimmer und PC bzw. Laptops. Die Grenze zur betrieblichen Eingliederung beim Auftraggeber und Weisungsgebundenheit gegenüber dem Auftraggeber wird bei solchen Projekten leicht überschritten. Das gilt insb. dann, wenn der Auftraggeber – gerade wegen der engen Verflechtungen in den gemischten Teams – ein Mitspracherecht bei der Auswahl der Teammitglieder des Auftragnehmers haben will, etwa indem die Projektmitarbeiter des Auftragnehmers im (Schein-)Werk- oder Dienstvertrag namentlich festgelegt werden.7 Will der Auftraggeber das Risiko der unerlaubten Arbeitnehmerüberlassung reduzieren, muss er u.a. dieses Mitspracherecht und die namentliche Festlegung von Projektmitarbeitern vermeiden. Hat der Auftraggeber schlechte Erfahrungen mit einzelnen Projektmitarbeitern des Auftragnehmers gemacht, sollte eher eine abstrakte vertragliche Festlegung zur Qualifikation der Projektmitarbeiter erfolgen.
16
Haben Auftraggeber und Auftragnehmer ihr vertragliches Verhältnis zu Unrecht als Werkoder Dienstvertrag qualifiziert, während tatsächlich Arbeitnehmerüberlassung vorliegt, drohen für den Auftraggeber die Konsequenzen der §§ 9, 10 AÜG. Ist das Dreiecksverhältnis als Arbeitnehmerüberlassung zu qualifizieren und hat der Verleiher keine Erlaubnis zur Arbeitnehmerüberlassung, wird zwischen Entleiher (Auftraggeber) und Arbeitnehmer des Verleihers ein Arbeitsverhältnis fingiert. Das hat u.a. zur Folge, dass der Auftraggeber Sozialversicherungsbeiträge einschließlich Arbeitnehmeranteilen und Lohnsteuer nachzahlen muss. Ob diese Rechtsfolge auch eintritt, wenn der Verleiher vorsorglich „auf Vorrat“ eine Erlaubnis zur Arbeitnehmerüberlassung vorhält, war lange unklar.8 Durch diese sog. Fallschirmlösung wurde von der Rspr. die Fiktion eines Arbeitsverhältnisses verhindert, wenn sich der Werkvertrag nachträglich als verdeckte Arbeitnehmerüberlassung herausstellte. Allerdings widersprach dem zuletzt das LAG BW in seiner E. vom 3.12.2014. Es ging davon aus, dass die Berufung auf das Vorliegen einer Arbeitnehmerüberlassungserlaubnis ein treuwidriges widersprüchliches Verhalten darstelle, wenn statt des von den Parteien gewollten Werkvertrags eine verdeckte Arbeitnehmerüberlassung vorliege.9 Diese Ansicht teilte das BAG in seiner E. vom 12.7.2016 nicht.10 Vielmehr bestätigte das BAG die Fallschirmlösung und sah ein fiktives Arbeitsverhältnis deswegen nicht als gegeben an, weil eine vorsorglich eingeholte Arbeitnehmerüberlassung vorlag. § 10 Abs. 1 Satz 1 AÜG i.V.m. § 9 Nr. 1 AÜG fingiere das Zustandekommen eines Arbeitsverhältnisses ausschließlich bei fehlender Arbeitnehmerüberlassungserlaubnis des Verleihers.11 Für eine analoge Anwendung dieser Vorschrift bei verdeckter Arbeitnehmerüberlassung fehle es an einer planwidrigen Regelungslücke. Der Gesetzgeber habe für eine solche nicht offene Arbeitnehmerüberlassung bewusst nicht die Rechtsfolge der Begründung eines Arbeitsverhältnisses mit dem Entleiher angeordnet.
7 Hengstler, ITRB 2015, 217 (219). 8 Venetis, in: Auer-Reinsdorff/Conrad, § 37 Rz. 71 f.; vgl. auch Schüren, NZA 2013, 176; Köhler, GWR 2014, 28. 9 LAG BW v. 3.12.2014 – 4 Sa 41/14, NZA-RR 2015, 177. 10 BAG v. 12.7.2016 – 9 AZR 352/15, s. a. schon BAG v. 10.12.2013 – 9 AZR 51/13, NJW 2014, 956. 11 Pressemitteilung Nr. 35/16 – Rechtsfolge verdeckter Arbeitnehmerüberlassung.
750
Antoine/Conrad
Branchentypische Formen des Arbeitseinsatzes
Rz. 17
C
Dennoch wird die Fallschirmlösung in Zukunft keinen Bestand haben. Wie schon im Koalitionsvertrag von 201312 vereinbart, sollen nach dem vom Bundeskabinett am 1.6.2016 beschlossenen Gesetzesentwurf der Missbrauch von Werkvertragsgestaltungen und die verdeckte Arbeitnehmerüberlassung verhindert werden.13 Das Gesetz wird voraussichtlich am 1.7.2017 in Kraft treten. Nach dem neuen § 1 Abs. 1 Satz 5 AÜG-E müssen Verleiher und Entleiher die Überlassung von Leiharbeitnehmern in ihrem Vertrag ausdrücklich als Arbeitnehmerüberlassung bezeichnen, bevor sie den Leiharbeitnehmer überlassen oder tätig werden lassen. Nach § 1 Abs. 1 Satz 6 AÜG-E ist die Person des Leiharbeitnehmers zudem unter Bezugnahme auf diesen Vertrag zu konkretisieren. Ein Verstoß gegen diese „Kennzeichnungs- oder Konkretisierungspflicht“14 führt gem. § 9 Nr. 1 lit. a AÜG-E zur Unwirksamkeit des Vertrags zwischen Verleiher und Leiharbeitnehmer und hat zur Folge, dass ein Rechtsverhältnis zwischen dem Entleiher und dem Verleiher für den Beginn der Tätigkeit zum vorgesehenen Zeitpunkt als zustande gekommen gilt. Das gilt nur dann nicht, wenn der Leiharbeitnehmer innerhalb einer Monatsfrist schriftlich gegenüber dem Verleiher oder dem Entleiher widerspricht, vgl. § 9 Nr. 1 lit. a AÜG-E. Die Pflicht zur Bezeichnung soll sicherstellen, dass eine zwar (ggf. auf Vorrat) erlaubte, aber verdeckte Arbeitnehmerüberlassung die gleichen Rechtsfolgen wie eine unerlaubte Arbeitnehmerüberlassung auslöst.15 Damit knüpft der Gesetzgeber aber für die Unwirksamkeit des Geschäfts und die Neubegründung eines Arbeitsverhältnisses an die rein formelle Bezeichnung des Vertrags. Das erscheint widersprüchlich, weil sich die rechtliche Bewertung eines Vertrags nach ständiger Rspr. und auch nach dem dies klarstellenden § 12 Abs. 1 Satz 2 AÜG-E gerade nicht nach der Bezeichnung, sondern nach dem Willen der Vertragsparteien und der praktischen Durchführung richtet.16 Die neue Regelung bringt daher nicht die gewünschte Rechtssicherheit. Die rechtliche Einordnung ist darüber hinaus schon für Gerichte schwierig und wird für Unternehmen mitunter kaum rechtssicher möglich sein.17 Das wird dazu führen, dass zur Vermeidung der Rechtsfolgen aus §§ 9, 10 AÜG-E im Zweifel mehr Verträge als Arbeitnehmerüberlassungsverträge bezeichnet werden und die Anzahl der Scheinarbeitnehmerüberlassungsverträge zunimmt.18 Die Praxis zeigt dabei, dass sich auch ein Werkvertrag schnell in eine Arbeitnehmerüberlassung umwandeln kann mit der Folge, dass nun trotz des bezweckten Werkvertrags mangels der Bezeichnung als Arbeitnehmerüberlassung ein Arbeitsverhältnis zum Entleiher fingiert wird.19 Das Reformvorhaben der Bundesregierung beinhaltet eine Reihe weiterer neuer Vorschrif- 17 ten, die auch im IT-Bereich Konsequenzen haben. § 611a BGB-E enthält eine neue Definition des Arbeitnehmers, die allerdings eher eine Zusammenfassung der bisherigen Rspr. zum Begriff des Arbeitnehmers darstellt.20 Zudem sieht der Gesetzesentwurf weitgehende Änderungen im Arbeitnehmerüberlassungsgesetz, erweiterte Mitbestimmungsrechte des Betriebsrats bei Werkverträgen und Leiharbeit im BetrVG sowie Ergänzungen im Schwarz-
12 Koalitionsvertrag 2013 von CDU, CSU, SPD, S. 49 f, abrufbar unter https://www.cdu.de/sites/de fault/files/media/dokumente/koalitionsvertrag.pdf (abgerufen am 19.8.2016). 13 BR-Drs. 294/16; Giesen, ZRP 2016, 130; Böhm, NZA 2016, 528 (530). 14 Baeck/Winzer/Hies, NZG 2016, 415 (417). 15 Böhm, NZA 2016, 528 (530); Baeck/Winzer/Hies, NZG 2016, 415 (417); Rolfs/Giesen/Kreikebohm/Udsching/Kock, BeckOK Arbeitsrecht, AÜG, § 1 Rn. 24. 16 BGH v. 25.6.2002 – X ZR 83/00, NJW 2002, 3317; Böhm, NZA 2016, 528 (530); Baeck/Winzer/Hies, NZG 2016, 415 (418). 17 Böhm, NZA 2016, 528 (529). 18 Böhm, NZA 2016, 528 (529); Baeck/Winzer/Hies, NZG 2016, 415 (418). 19 Böhm, NZA 2016, 528 (529). 20 Giesen, ZRP 2016, 130; Bauschke, öAT 2016, 69; Baeck/Winzer/Hies, NZG 2016, 415 f.
Antoine/Conrad
751
C Rz. 18
Arbeitsvertragsrecht
ArbG und SGB IV vor.21 Es bleibt allerdings abzuwarten, ob das Gesetzgebungsverfahren noch Änderungen des Regierungsentwurfes mit sich bringt. Gem. § 1 Abs. 1 Satz 4, Abs. 1b AÜG-E ist eine „vorübergehende“ Überlassung zukünftig an eine Überlassungshöchstfrist von 18 aufeinander folgenden Monaten gebunden, wobei diese Frist bspw. tarifvertragsrechtlich unbegrenzt ist und im Geltungsbereich eines Tarifvertrags auch von nicht tarifgebundenen Parteien mittels Betriebs- oder Dienstvereinbarung um bis zu 24 Monate überschritten werden kann, vgl. § 1 Abs. 1b Sätze 3-8 AÜG-E und das Gesetz Gestaltungsmöglichkeiten hinsichtlich des Fristlaufs durch Fristauslösung und Fristunterbrechung bietet.22 Zeiten vor dem 1.1.2017 werden gem. § 19 Abs. 2 AÜG-E nicht berücksichtigt. Sanktioniert wird ein Verstoß ebenfalls mit der Fiktion eines Arbeitsverhältnisses zwischen Entleiher und Leiharbeitnehmer, § 9 Abs. 1 Nr. 1b i.V.m. § 10 Abs. 1 Satz 1 AÜG-E. Der sog. „equal treatment“-Grundsatz (§ 8 Abs. 1 AÜG-E) wird um eine neue Fristregelung in § 8 Abs. 4 AÜG-E ergänzt, der gewährleistet, dass Arbeitnehmer im Falle einer tarifvertraglichen Unterschreitung nach Ablauf dieser Frist (von 9 bzw. tarifvertraglich bis zu 15 Monaten) das gleiche Entgelt bekommen wie die Arbeitnehmer des Betriebs, in dem sie eingesetzt werden.23 Hinsichtlich der Erweiterung der Mitbestimmungsrechte des Betriebsrats ist zum einen auf das erweiterte Unterrichtungsrecht des Betriebsrats in § 80 Abs. 2 Satz 1 BetrVG-E hinzuweisen, dass zukünftig „insbesondere den zeitlichen Umfang des Einsatzes, den Einsatzort und die Arbeitsaufgaben dieser Personen“ umfasst. Zum anderen erstrecken sich die dem Betriebsrat zur Verfügung zu stellenden Unterlagen gem. § 80 Abs. 2 Satz 2 BetrVG-E auch auf „Verträge, die der Beschäftigung der in Satz 1 genannten Personen zugrunde liegen.“ Zudem unterliegt die Personalplanung „hinsichtlich der geplanten Beschäftigung von Personen, die nicht in einem Arbeitsverhältnis zum Arbeitgeber stehen“ gem. § 92 Abs. 1 Satz 1 BetrVG-E zukünftig dem Mitbestimmungsrecht. 3. Abgrenzung selbständiger Gewerbetreibender und Freiberufler 18
Nicht nur für den Arbeitgeber,24 sondern auch für den selbständigen EDV-Berater ist die richtige Qualifizierung seiner Tätigkeit von entscheidender Bedeutung, insb. für die Durchführung der Steuererhebung. Grds. müssen selbständige EDV-Berater ein Gewerbe anmelden und unterliegen der Gewerbesteuerpflicht, es sei denn, sie sind Freiberufler. Entscheidend ist, ob bzw. wann eine EDV-Beratung freiberuflich i.S.d. § 18 Abs. 1 Einkommensteuergesetz (EStG) ist und wo die Grenze zur Gewerbesteuer gemäß § 15 Abs. 2 EStG liegt. Um Einkünfte aus freiberuflicher Tätigkeit zu erzielen, muss die Tätigkeit des EDV-Dienstleisters – in einem für den Katalogberuf nach § 18 Abs. 1 Nr. 1 EStG – hier also Ingenieur- oder Informatiker-typischen Bereich – liegen und – muss ein mit einem Katalogberuf vergleichbarer qualifizierter, wissenschaftlicher Ausbildungsstand bzw. Wissensstand des EDV-Beraters vorliegen. Zur Abgrenzung ist das ausschlaggebende Entscheidungskriterium die geistige, schöpferische Arbeit, die bei einer freiberuflichen Tätigkeit im Vordergrund steht. Damit haben sich verschiedene Finanzgerichte auseinander gesetzt. Die Rspr. ist insoweit nicht einheitlich.
21 Giesen, ZRP 2016, 130. 22 Giesen, ZRP 2016, 130 (131); Böhm, NZA 2016, 528 (529); Baeck/Winzer/Hies, NZG 2016, 415 (417). 23 Giesen, ZRP 2016, 130 (132). 24 Gerade im IT-Bereich birgt die Freelancer-Problematik im Zshg. mit Fremdpersonaleinsatz ein erhebliches Risiko. S. aus jüngerer Zeit LAG BW v. 1.8.2013 – 2 Sa 6/13, NZA 2013, 1017; LAG Hamm v. 24.7.2013 – 3 Sa 1749/12.
752
Antoine/Conrad
Branchentypische Formen des Arbeitseinsatzes
Rz. 23
C
3.1 Uneinheitliche Rechtsprechung zu den Anforderungen an den Ausbildungsnachweis Das FG Hamburg25 hat die Tätigkeit eines selbständigen EDV-Beraters, der seine Fähigkei- 19 ten autodidaktisch erlangt hat, auch ohne Hochschulabschluss als ingenieursähnlichen Beruf i.S.d. § 18 Abs. 1 Nr. 1 Satz 2 EStG anerkannt. Die Voraussetzungen hierfür sah das Gericht gegeben, wenn die Gesamttätigkeit mit der eines Diplom-Informatikers im Bereich der Entwicklung und Handhabung von Systemsoftware und komplexer Anwendersoftware vergleichbar ist. Nicht erforderlich sei hingegen, dass der Betroffene über den gleichen mathematischen und hardwaretechnischen Kenntnisstand verfügt wie ein Hochschulabsolvent der Fachrichtung Informatik. Im konkreten Fall war der EDV-Berater im Bereich Systemtechnik und Entwicklung komplexer Anwendersoftware tätig. Dagegen hat das Hessische FG26 als eine Voraussetzung der Freiberuflichkeit verlangt, dass die Ausbildung des EDV-Beraters mit der eines Absolventen einer Hochschule oder Fachhochschule vergleichbar ist. Das Gericht führt dazu aus:
20
„Da der Ingenieur auf wissenschaftlicher Grundlage tätig ist, setzt ein Beruf, der dem eines Ingenieurs ähnlich sein soll, ebenfalls eine Ausbildung voraus, die mit der Berufsausbildung des Ingenieurs oder der eines Informatikers verglichen werden kann. Aufgabe des Ingenieurs ist es, auf der Grundlage Natur und Technik wissenschaftlicher Erkenntnis und unter Berücksichtigung wissenschaftlicher Belange technische Werke zu planen, zu konstruieren und ihre Fertigung zu überwachen.“
Zwar könne ein solcher Ausbildungsstand durch Teilnahme an Ausbildungs- und Fortbil- 21 dungsveranstaltungen oder durch selbständiges Literaturstudium und auch durch praktische Erfahrung erworben werden, müsse aber vom Wissensstand her mit einem Ingenieurstudium oder einem Informatikstudium vergleichbar sein. Insb. müsse erkennbar sein, dass der Steuerpflichtige mit seiner Aus- und Fortbildung sowie seiner praktischen Tätigkeit ein breit angelegtes Wissen und nicht nur Einzelausschnitte bestimmter Teilgebiete erworben hat. Denn, so das Gericht, „wer über ein gründliches und umfassendes theoretisches Wissen in seinem Beruf verfügt, vermag auch relativ einfach erscheinende Probleme in einem größeren Zusammenhang zu sehen und damit sicherer zu urteilen, als jemand, der dies nur auf Grund einer vorwiegend praktischen Ausbildung sowie seiner praktischen Erfahrungen tut“.
Im konkreten Fall hatte der Kläger nach dem Abitur eine Ausbildung als Datenverarbei- 22 tungskaufmann abgeschlossen und danach fünf Jahre lang eine EDV-Beratung betrieben. Er bezeichnete seinen Beruf als „Systementwicklung“ und war der Ansicht, während seines gesamten Ausbildungs- und Berufslebens neben dem kontinuierlichen Selbststudium Fortbildungsveranstaltungen besucht zu haben, was sein Wissen mit dem eines an einer Fachhochschule ausgebildeten Wirtschaftsinformatikers vergleichbar mache. Das Hessische FG hat die Klage abgewiesen, da aus den vorgelegten Unterlagen des EDV-Beraters nicht erkennbar sei, dass er über eine dem Ingenieurberuf adäquate breit (nicht nur auf Teilbereiche) angelegte, mit einer Ausbildung einer Hochschule oder Fachhochschule vergleichbare Ausbildung verfügt. Als Nachweis für seine ingenieursähnliche Tätigkeit hatte der Kläger lediglich Auftragsbeschreibungen vorgelegt, jedoch keine konkreten Belege über seine Tätigkeitsfelder im Rahmen der jeweiligen Auftragsdurchführung, wie z.B. Pflichtenhefte und Projektberichte. 3.2 Ausbildungs- und Tätigkeitsdokumentation Damit stellte das Gericht hohe Anforderungen an den Ausbildungsstand eines EDV-Dienstleisters, wenn dieser in steuerrechtlicher Hinsicht als Freiberufler gelten will. Im Zweifel 25 FG Hamburg v. 27.4.2006 – 6 K 120/02; v. 14.7.2015 – 3 K 207/14. 26 FG Hessen v. 11.7.2007 – 8 K 1148/02.
Antoine/Conrad
753
23
C Rz. 24
Arbeitsvertragsrecht
muss ein EDV-Berater den Nachweis erbringen, dass er ein ebenso breit angelegtes, wissenschaftlich fundiertes Wissen erworben hat, wie es in einem Hochschulstudium gelehrt wird. Es empfiehlt sich daher, konkret, detailliert und schlüssig zu dokumentieren, welche Tätigkeiten der EDV-Berater im Rahmen seiner Projekte ausgeübt hat. Auch insoweit kann also sorgfältige und ausführliche Gestaltung von Pflichtenheften, Auftragsbeschreibungen und Projektabschlussberichten hilfreich sein. Diese sowie Nachweise über die besuchten Ausbildungs- und Fortbildungskurse sollten mit Blick auf ein mögliches behördliches oder gerichtliches Nachweiserfordernis aufbewahrt werden. Je breiter das Tätigkeitsfeld des Beraters und je umfassender der Lehrstoff von besuchten Fortbildungen, umso eher ist ein Nachweis der Freiberuflichkeit möglich, auch wenn kein abgeschlossenes Fach-/Hochschulstudium vorliegt. 4. Ausblick: Veränderte Rahmenbedingungen durch Industrie 4.0 24
Durch die fortschreitenden Digitalisierungsprozesse, die auch die Arbeitswelt zunehmend erfassen, werden Beschäftigungsverhältnisse hinsichtlich Ort und Zeit der zu erbringenden Leistungen flexibler. Diese Automatisierungsentwicklung hin zu einer Industrie 4.0 mit einem Höchstmaß an Vernetzung und Kommunikation zwischen Maschinen und Menschen sowohl im Produktions-, im Vertriebs- und im Kundenbetreuungsprozess bedingt auch eine Dynamisierung der zukünftigen Arbeitsformen. Hier wird es erforderlich sein, auch in Zukunft einen angemessenen, sozialverträglichen Ausgleich zwischen praktischen Gegebenheiten und arbeitsrechtlichen Schutzmaßnahmen für Arbeitnehmer/Dienstleister/Auftragnehmer sicherzustellen.
25
In arbeitsvertraglicher Hinsicht dürften in der Industrie 4.0 Werkvertragsmodelle eine weitere Verbreitung finden als bisherige Dienstverträge, da der kurzfristige Abruf von Problemlösungen und sonstigen Aufgabenerledigungen voraussichtlich stark an Bedeutung zunehmen wird.27
26
Sofern unter diesen Bedingungen auch ein verstärktes Outsourcing von Arbeit an externe Anbieter vorgenommen wird,28 treten u.a. im Zshg. mit Leiharbeitnehmerschaft, (Schein-)Selbständigkeit und Arbeitnehmerüberlassung erhebliche juristische Problemkonstellationen auf.29 Zu den darüber hinaus zu beachtenden datenschutzrechtlichen Fragen s. A Rz. 692 ff. und A Rz. 956 ff.
II. Allgemeines zur AGB-Kontrolle im Arbeitsrecht 1. Unterschiedliche Behandlung von Arbeitsverträgen einerseits und Tarifverträgen, Betriebs- und Dienstvereinbarungen andererseits 27
Gemäß § 310 Abs. 4 BGB unterliegen Tarifverträge sowie Betriebs- und Dienstvereinbarungen nicht der AGB-Kontrolle. Für die Kontrolle von Einzelarbeitsverträgen gelten die §§ 305 ff. BGB (§ 310 Abs. 4 Satz 2 BGB) unter angemessener Berücksichtigung der „im Arbeitsrecht geltenden Besonderheiten“. Entscheidend sind dafür nicht nur rechtliche, sondern auch tatsächliche Besonderheiten des Arbeitslebens.30
28
Die Unterscheidung von Arbeitsvertrag, Tarifverträgen, Dienst- und Betriebsvereinbarungen gemäß § 310 Abs. 4 Satz 1 BGB scheint auf den ersten Blick klar. Wird jedoch in dem Arbeitsvertrag auf einen Tarifvertrag Bezug genommen, bewirkt dies, dass eine Inhaltskontrol27 28 29 30
Vgl. etwa Grimm, ArbRB 2015, 336. Etwa über im Vordringen befindliche Auftragsvergaben über IT-Portale o.Ä. S. dazu Grimm, ArbRB 2015, 336 (337 f.). BAG v. 25.5.2005 – 5 AZR 572/04, NJW 2005, 3305 (3306); v. 29.9.2010 – 3 AZR 557/08, NZA 2011, 206 = AP BetrAVG § 1 Nr. 64, Rz. 28.
754
Antoine/Conrad
C Rz. 24
Arbeitsvertragsrecht
muss ein EDV-Berater den Nachweis erbringen, dass er ein ebenso breit angelegtes, wissenschaftlich fundiertes Wissen erworben hat, wie es in einem Hochschulstudium gelehrt wird. Es empfiehlt sich daher, konkret, detailliert und schlüssig zu dokumentieren, welche Tätigkeiten der EDV-Berater im Rahmen seiner Projekte ausgeübt hat. Auch insoweit kann also sorgfältige und ausführliche Gestaltung von Pflichtenheften, Auftragsbeschreibungen und Projektabschlussberichten hilfreich sein. Diese sowie Nachweise über die besuchten Ausbildungs- und Fortbildungskurse sollten mit Blick auf ein mögliches behördliches oder gerichtliches Nachweiserfordernis aufbewahrt werden. Je breiter das Tätigkeitsfeld des Beraters und je umfassender der Lehrstoff von besuchten Fortbildungen, umso eher ist ein Nachweis der Freiberuflichkeit möglich, auch wenn kein abgeschlossenes Fach-/Hochschulstudium vorliegt. 4. Ausblick: Veränderte Rahmenbedingungen durch Industrie 4.0 24
Durch die fortschreitenden Digitalisierungsprozesse, die auch die Arbeitswelt zunehmend erfassen, werden Beschäftigungsverhältnisse hinsichtlich Ort und Zeit der zu erbringenden Leistungen flexibler. Diese Automatisierungsentwicklung hin zu einer Industrie 4.0 mit einem Höchstmaß an Vernetzung und Kommunikation zwischen Maschinen und Menschen sowohl im Produktions-, im Vertriebs- und im Kundenbetreuungsprozess bedingt auch eine Dynamisierung der zukünftigen Arbeitsformen. Hier wird es erforderlich sein, auch in Zukunft einen angemessenen, sozialverträglichen Ausgleich zwischen praktischen Gegebenheiten und arbeitsrechtlichen Schutzmaßnahmen für Arbeitnehmer/Dienstleister/Auftragnehmer sicherzustellen.
25
In arbeitsvertraglicher Hinsicht dürften in der Industrie 4.0 Werkvertragsmodelle eine weitere Verbreitung finden als bisherige Dienstverträge, da der kurzfristige Abruf von Problemlösungen und sonstigen Aufgabenerledigungen voraussichtlich stark an Bedeutung zunehmen wird.27
26
Sofern unter diesen Bedingungen auch ein verstärktes Outsourcing von Arbeit an externe Anbieter vorgenommen wird,28 treten u.a. im Zshg. mit Leiharbeitnehmerschaft, (Schein-)Selbständigkeit und Arbeitnehmerüberlassung erhebliche juristische Problemkonstellationen auf.29 Zu den darüber hinaus zu beachtenden datenschutzrechtlichen Fragen s. A Rz. 692 ff. und A Rz. 956 ff.
II. Allgemeines zur AGB-Kontrolle im Arbeitsrecht 1. Unterschiedliche Behandlung von Arbeitsverträgen einerseits und Tarifverträgen, Betriebs- und Dienstvereinbarungen andererseits 27
Gemäß § 310 Abs. 4 BGB unterliegen Tarifverträge sowie Betriebs- und Dienstvereinbarungen nicht der AGB-Kontrolle. Für die Kontrolle von Einzelarbeitsverträgen gelten die §§ 305 ff. BGB (§ 310 Abs. 4 Satz 2 BGB) unter angemessener Berücksichtigung der „im Arbeitsrecht geltenden Besonderheiten“. Entscheidend sind dafür nicht nur rechtliche, sondern auch tatsächliche Besonderheiten des Arbeitslebens.30
28
Die Unterscheidung von Arbeitsvertrag, Tarifverträgen, Dienst- und Betriebsvereinbarungen gemäß § 310 Abs. 4 Satz 1 BGB scheint auf den ersten Blick klar. Wird jedoch in dem Arbeitsvertrag auf einen Tarifvertrag Bezug genommen, bewirkt dies, dass eine Inhaltskontrol27 28 29 30
Vgl. etwa Grimm, ArbRB 2015, 336. Etwa über im Vordringen befindliche Auftragsvergaben über IT-Portale o.Ä. S. dazu Grimm, ArbRB 2015, 336 (337 f.). BAG v. 25.5.2005 – 5 AZR 572/04, NJW 2005, 3305 (3306); v. 29.9.2010 – 3 AZR 557/08, NZA 2011, 206 = AP BetrAVG § 1 Nr. 64, Rz. 28.
754
Antoine/Conrad
Allgemeines zur AGB-Kontrolle im Arbeitsrecht
Rz. 35
C
le in Allgemeinen Geschäftsbedingungen ebenfalls nicht stattfindet. Das Problem vertieft sich in dem Fall, in dem lediglich auf Teile kollektivrechtlicher Regelungen Bezug genommen wird. Insb. stellt sich die Frage, ob der Verweis in einem Arbeitsvertrag auf Tarifverträge der AGB-Kontrolle unterliegt. Dies ist wohl grds. der Fall. I.Ü. ist die unterschiedliche Behandlung von Arbeitsverträgen einerseits und z.B. Betriebs- 29 vereinbarungen andererseits nach § 310 Abs. 4 BGB darin begründet, dass Betriebsvereinbarungen etwa einem Widerrufsvorbehalt unterliegen.31 2. Angemessene Berücksichtigung der Besonderheiten des Arbeitsrechts Gemäß § 310 Abs. 4 Satz 2 BGB sind jedoch bei der Anwendung der Inhaltskontrolle auf Ar- 30 beitsverträge die Besonderheiten des Arbeitsrechts und insb. § 310 BGB angemessen zu berücksichtigen. § 305 Abs. 2 BGB ist auf Arbeitsverträge nicht anzuwenden. Das bedeutet, dass ein ausdrücklicher Hinweis auf den Bestandteil der AGB und eine zumutbare Möglichkeit der Kenntnisnahme nicht gegeben sein muss. Dies ist etwa bei AGB aus betrieblicher Übung ein wichtiger Anwendungsbereich. Ebenso nicht einschlägig ist § 305 Abs. 3 BGB, wonach die Vertragsparteien die Geltung von AGB für eine bestimmte Art von Geschäften im Voraus vereinbaren können, sofern § 305 Abs. 2 BGB, also der ausdrückliche Hinweis und die zumutbare Möglichkeit der Kenntnisnahme beachtet wurden.
31
§ 310 Abs. 4 Satz 2 BGB soll insb. berücksichtigen, dass es sich bei dem Arbeitsverhältnis um ein Dauerschuldverhältnis handelt in einer engen Bindung von Arbeitgeber und Arbeitnehmer und von daher spezifischen Anpassungs- und Flexibilisierungsbedürfnissen Rechnung zu tragen ist.32
32
3. Definition von arbeitsvertraglichen AGB Die Definition von AGB ist allg. in § 305 Abs. 1 BGB geregelt (s.a. M Rz. 1052 ff.). Als AGB 33 können sowohl der gesamte Vertragstext als auch einzelne Klauseln gelten. Ein Kriterium von AGB ist die „Vorformulierung“. Das bedeutet, dass die jeweilige Klausel nicht im Einzelnen ausgehandelt ist.33 Wurde also mit einem Arbeitnehmer ein Arbeitsvertrag verhandelt, sollte der Arbeitgeber darauf achten, dass er die Verhandlungssituation ausreichend dokumentiert und dabei insb. etwa anhand von verschiedenen Entwürfen des Arbeitsvertrags kennzeichnet, dass einzelne Klauseln und der Vertragstext insgesamt zur Disposition des Arbeitnehmers standen und dass auch bestimmte Änderungen gegenüber den sonst beim Arbeitgeber üblichen Vertragsmustern vorgenommen wurden. Dies mag insb. bei Betrieben mit einer geringen Anzahl von Arbeitnehmern praktikabel sein. In großen Arbeitsorganisationen ist der AGB-Charakter des Arbeitsvertrags eher der Regelfall. Ein weiteres Kriterium ist die „Vielzahl von Anwendungsfällen“. Auch einseitige Erklärun- 34 gen, etwa Einwilligungserklärungen, unterliegen dem AGB-Recht, wenn sie von dem Verwender vorbereitet und für mindestens drei Anwendungsfälle vorformuliert wurden.34 Da nach der Rspr. des BAG der Arbeitnehmer Verbraucher ist,35 muss der Arbeitgeber davon ausgehen, dass bereits die einmalige Verwendung von vorformulierten Vertragsbedingungen die Inhaltskontrolle nach den AGB-Vorschriften eröffnet und den Arbeitsvertrag infolgedessen an den AGB-Vorschriften misst. 31 32 33 34 35
S. BAG v. 1.2.2006 – 5 AZR 187/05, NJW 2006, 2060. BAG v. 11.4.2006 – 9 AZR 557/05, NJW 2006, 3303 (3306) m. Anm. Hohenstatt/Schramm. Dazu s. BGH v. 19.5.2005 – III ZR 437/04, NJW 2005, 2543, und M Rz. 1057 ff. S. Grüneberg, in: Palandt, § 305 Rz. 5 m.w.N. BAG v. 25.5.2005 – 5 AZR 572/04, NJW 2005, 3305 (3308 f.); ErfK/Preis, BGB, § 305-310 Rz. 23.
Antoine/Conrad
755
35
C Rz. 36
Arbeitsvertragsrecht
4. Schriftformklausel, Nebenabreden (§ 305b BGB) 36
Gemäß § 305b BGB haben Individualvereinbarungen Vorrang vor AGB. Dies gilt auch bei Arbeitsverträgen. Mündliche Individualvereinbarungen haben Vorrang trotz der Schriftformklausel in AGB.36 Fraglich ist jedoch, ob durch so genannte doppelte Schriftformklauseln in Arbeitsverträgen der Eintritt etwa von betrieblichen Übungen, die für den Arbeitnehmer günstig, jedoch für den Arbeitgeber ungünstig sind, vermieden werden kann.
37
Grds. sind Schriftformklauseln in AGB, wonach Änderungen oder Ergänzungen des Arbeitsvertrags der Schriftform bedürfen, ohne rechtliche Wirkung. Das BAG hat in ständiger Rspr.37 die Ansicht vertreten, dass doppelte Schriftformklauseln grds. den Eintritt einer betrieblichen Übung nicht verhindern können. Formularklauseln in AGB können nicht die nach § 305b BGB höherrangige Individualabrede außer Kraft setzen.38 5. Überraschende Klausel nach § 305c Abs. 1 BGB
38
Überraschungsklauseln sind Klauseln in AGB, die nach den Umständen so ungewöhnlich sind, dass der Arbeitnehmer mit ihnen nicht zu rechnen braucht. Fraglich ist, ob gerade im IT-Bereich, wenn etwa ausländische Mitarbeiter eingestellt werden, allein die deutsche Sprache zu einem Überraschungsmoment i.S.v. § 305c BGB führen kann. Dies dürfte wohl grds. nicht der Fall sein.
39
Ebenso wenig dürften fehlende Überschriften zu überraschenden Klauseln führen. Etwas anderes würde jedoch gelten, wenn etwa Ausschlussfristen und Ausgleichsklauseln, also für den Arbeitnehmer sehr negative Regelungen, unter einer sehr allgemeinen Überschrift wie z.B. „Schlussbestimmungen“ stehen.39 Für die Praxis ist allg. folgender Rat festzuhalten: Zwar können Überschriften die Lesbarkeit und Transparenz des Vertragstextes für den Arbeitnehmer erheblich erhöhen. Jedoch ist große Vorsicht vor so genannten Sammelüberschriften über einzelnen Abschnitten des Vertrags oder über einem Paragraphen mit sehr unterschiedlichen Regelungsgegenständen in unterschiedlichen Abschnitten, Paragraphen, schlimmstenfalls sogar innerhalb eines Abschnittes walten zu lassen. Solche Sammelüberschriften können sehr wohl irreführend sein, wenn sie von wichtigen Regelungsgegenständen in einzelnen Abschnitten oder Paragraphen ablenken.40
40
Im Einzelfall sollte der Verwender auf eine möglicherweise überraschende Klausel besonders hinweisen oder sie drucktechnisch hervorheben.41 Außergewöhnliche Abweichungen von dispositiven Gesetzesvorschriften sollten besonders kenntlich gemacht werden. 6. Mehrdeutige Klauseln, § 305c Abs. 2 BGB
41
Nach § 305 Abs. 2 BGB gehen Zweifel bei der Auslegung zulasten des Verwenders. Grundsatz ist jedoch der Vorrang der Auslegung des Vertrags. So hatte das BAG42 folgende Klausel auszulegen: „Der Urlaub richtet sich nach den tariflichen Regelungen.“ Das BAG hatte insoweit entschieden, dass auf die Unklarheitenregelung nur zurückgegriffen werden muss, wenn nach der Auslegung nicht behebbare Zweifel verbleiben.43 Das BAG sah die Regelung als hinreichend klar an, da auf den gesamten tariflichen Regelungskomplex „Urlaub“ Bezug genommen werde. 36 37 38 39 40 41 42 43
S. etwa BGH v. 21.9.2005 – XII ZR 312/02, NJW 2006, 138. S. etwa BAG v. 24.6.2002 – 9 AZR 302/02, NJW 2003, 3725. BAG v. 20.5.2008 – 9 AZR 382/07, NJW 2009, 316. S. BAG v. 23.2.2005 – 4 AZR 139/04, NZA 2005, 1193. S. etwa BAG v. 23.2.2005 – 4 AZR 139/04, NZA 2005, 1193. Etwa BAG v. 28.5.2009 – 8 AZR 896/07, NZA 2009, 1337 (1339) m.w.N. BAG v. 17.1.2006 – 9 AZR 41/05, NZA 2006, 923. BAG v. 17.1.2006 – 9 AZR 41/05, NZA 2006, 923.
756
Antoine/Conrad
Inhaltskontrolle von ausgewhlten arbeitsvertraglichen Klauseln
Rz. 47
C
Nur nicht behebbare Zweifel, bei denen sich auch über die Auslegung kein eindeutiger Inhalt 42 ermitteln lässt, führen zwingend zu einer für den Arbeitnehmer günstigeren Auslegungsvariante. Beispiel: Der Arbeitnehmer erhält folgende Vergütung: Vergütungsgruppe/Stufe KR II aus III = DM 2.157,71 –. In der Klausel wurde auf eine tarifliche Vergütungsgruppe verwiesen, andererseits jedoch ein Festbetrag genannt, sodass streitig war, ob die dynamische tarifvertragliche Anpassung auch für den Arbeitnehmer galt. Das BAG sah im Zshg. mit der vorgenommenen Auslegung nicht behebbare Zweifel und kam damit aufgrund der bestehenden Unklarheit zu einer Auslegung zulasten des Arbeitgebers, sah also in der Klausel eine zeitdynamische Verweisung zur tariflichen Vergütung. In gleicher Weise hat das BAG bei einer entsprechenden Vertragsformulierung zur Arbeitszeit entschieden.44 7. Rechtsfolgen bei Unwirksamkeit von Klauseln Die Unwirksamkeit von AGB haben nach allgemeinen AGB-rechtlichen Grundsätzen folgende Rechtsfolgen:
43
– Unwirksamkeit der in Rede stehenden Regelung – Fortbestand des Vertrags i.Ü. (nach den Grundsätzen der §§ 139, 306 Abs. 2 BGB). Sind AGB in Arbeitsverträgen unwirksam, bleibt der Vertrag i.Ü. wirksam, es sei denn, das Festhalten am Vertrag ist für eine Vertragspartei eine unzumutbare Härte. Nach der Rspr. des BAG wird eine unwirksame vertragliche Bestimmung, die einen der Vertragspartner unangemessen benachteiligt, auf ein rechtlich zulässiges Maß zurückgeführt. Dabei ist noch nicht abzusehen, wie sich die Rspr. zur geltungserhaltenden Reduktion entwickelt. Das BAG45 hat in verschiedenen E. die Unwirksamkeit bestimmter arbeitsvertraglicher Klauseln festgestellt und keine geltungserhaltende Reduktion vorgenommen. Der Verwender von AGB trage also das vollständige Risiko der Unwirksamkeit einer Klausel.
44
Eine Geltungserhaltung des Vertragstextes ist möglich, wenn die unwirksame Regelung 45 schlicht gestrichen werden kann und die übrig bleibenden Regelungen für sich noch einen Sinn ergeben (sog. „Blue-Pencil-Test“). Statt der unwirksamen oder weggefallenen Regelung gelten, soweit nicht ausreichend vertragliche Regelungen verbleiben, die gesetzlichen Regelungen. Der gesamte Vertrag ist allerdings dann unwirksam, wenn das Festhalten an ihm für eine Vertragspartei eine unzumutbare Härte darstellen würde. Eine Ausnahme besteht, wo durch ergänzende Vertragsauslegung gemäß §§ 133, 157 BGB der Wille der Vertragsparteien insoweit interpretiert werden kann, also eine Art geltungserhaltende Reduktion der gestrichenen Regelung zur Anwendung kommt. Dass im Wege der §§ 133, 157 BGB eine geltungserhaltende Reduktion in gewisser Form möglich ist, hat auch das BAG46 für den Fall der Widerrufsvorbehalte entschieden.
46
III. Inhaltskontrolle von ausgewählten arbeitsvertraglichen Klauseln 1. Inhaltskontrolle bei Regelung des Direktionsrechts Entgegen früherer Beratungspraxis ist gerade dann Vorsicht walten zu lassen, wenn in einem 47 Arbeitsvertrag das Direktionsrecht etwa hinsichtlich des örtlichen Einsatzes des Arbeitnehmers konkretisiert wird. Zum einen ist auf die Angemessenheit und Transparenz der Regelung gemäß § 305c Abs. 2 und 3 und § 307 Abs. 1 BGB zu achten. Zudem ist zu beachten, dass spätestens mit Einführung des § 106 Abs. 1 Gewerbeordnung (GewO) die Grundlage für
44 BAG v. 10.7.2013 – 10 AZR 898/11, NJOZ 2013, 1825. 45 BAG v. 18.9.2005 – 5 AZR 52/05, NJW 2006, 795. 46 BAG v. 12.1.2005 – 5 AZR 364/04, NJW 2005, 1820.
Antoine/Conrad
757
Inhaltskontrolle von ausgewhlten arbeitsvertraglichen Klauseln
Rz. 47
C
Nur nicht behebbare Zweifel, bei denen sich auch über die Auslegung kein eindeutiger Inhalt 42 ermitteln lässt, führen zwingend zu einer für den Arbeitnehmer günstigeren Auslegungsvariante. Beispiel: Der Arbeitnehmer erhält folgende Vergütung: Vergütungsgruppe/Stufe KR II aus III = DM 2.157,71 –. In der Klausel wurde auf eine tarifliche Vergütungsgruppe verwiesen, andererseits jedoch ein Festbetrag genannt, sodass streitig war, ob die dynamische tarifvertragliche Anpassung auch für den Arbeitnehmer galt. Das BAG sah im Zshg. mit der vorgenommenen Auslegung nicht behebbare Zweifel und kam damit aufgrund der bestehenden Unklarheit zu einer Auslegung zulasten des Arbeitgebers, sah also in der Klausel eine zeitdynamische Verweisung zur tariflichen Vergütung. In gleicher Weise hat das BAG bei einer entsprechenden Vertragsformulierung zur Arbeitszeit entschieden.44 7. Rechtsfolgen bei Unwirksamkeit von Klauseln Die Unwirksamkeit von AGB haben nach allgemeinen AGB-rechtlichen Grundsätzen folgende Rechtsfolgen:
43
– Unwirksamkeit der in Rede stehenden Regelung – Fortbestand des Vertrags i.Ü. (nach den Grundsätzen der §§ 139, 306 Abs. 2 BGB). Sind AGB in Arbeitsverträgen unwirksam, bleibt der Vertrag i.Ü. wirksam, es sei denn, das Festhalten am Vertrag ist für eine Vertragspartei eine unzumutbare Härte. Nach der Rspr. des BAG wird eine unwirksame vertragliche Bestimmung, die einen der Vertragspartner unangemessen benachteiligt, auf ein rechtlich zulässiges Maß zurückgeführt. Dabei ist noch nicht abzusehen, wie sich die Rspr. zur geltungserhaltenden Reduktion entwickelt. Das BAG45 hat in verschiedenen E. die Unwirksamkeit bestimmter arbeitsvertraglicher Klauseln festgestellt und keine geltungserhaltende Reduktion vorgenommen. Der Verwender von AGB trage also das vollständige Risiko der Unwirksamkeit einer Klausel.
44
Eine Geltungserhaltung des Vertragstextes ist möglich, wenn die unwirksame Regelung 45 schlicht gestrichen werden kann und die übrig bleibenden Regelungen für sich noch einen Sinn ergeben (sog. „Blue-Pencil-Test“). Statt der unwirksamen oder weggefallenen Regelung gelten, soweit nicht ausreichend vertragliche Regelungen verbleiben, die gesetzlichen Regelungen. Der gesamte Vertrag ist allerdings dann unwirksam, wenn das Festhalten an ihm für eine Vertragspartei eine unzumutbare Härte darstellen würde. Eine Ausnahme besteht, wo durch ergänzende Vertragsauslegung gemäß §§ 133, 157 BGB der Wille der Vertragsparteien insoweit interpretiert werden kann, also eine Art geltungserhaltende Reduktion der gestrichenen Regelung zur Anwendung kommt. Dass im Wege der §§ 133, 157 BGB eine geltungserhaltende Reduktion in gewisser Form möglich ist, hat auch das BAG46 für den Fall der Widerrufsvorbehalte entschieden.
46
III. Inhaltskontrolle von ausgewählten arbeitsvertraglichen Klauseln 1. Inhaltskontrolle bei Regelung des Direktionsrechts Entgegen früherer Beratungspraxis ist gerade dann Vorsicht walten zu lassen, wenn in einem 47 Arbeitsvertrag das Direktionsrecht etwa hinsichtlich des örtlichen Einsatzes des Arbeitnehmers konkretisiert wird. Zum einen ist auf die Angemessenheit und Transparenz der Regelung gemäß § 305c Abs. 2 und 3 und § 307 Abs. 1 BGB zu achten. Zudem ist zu beachten, dass spätestens mit Einführung des § 106 Abs. 1 Gewerbeordnung (GewO) die Grundlage für
44 BAG v. 10.7.2013 – 10 AZR 898/11, NJOZ 2013, 1825. 45 BAG v. 18.9.2005 – 5 AZR 52/05, NJW 2006, 795. 46 BAG v. 12.1.2005 – 5 AZR 364/04, NJW 2005, 1820.
Antoine/Conrad
757
C Rz. 48
Arbeitsvertragsrecht
das Direktionsrecht nicht im Arbeitsvertrag begründet ist, sondern in § 106 Abs. 1 GewO, der ein sehr weitgehendes Direktionsrecht manifestiert durch den Wortlaut: „Der Arbeitgeber kann Inhalt, Ort und Zeit der Arbeitsleistung nach billigem Ermessen näher bestimmen, soweit diese Arbeitsbedingungen nicht durch Arbeitsvertragsbestimmungen einer Betriebsvereinbarung eines anwendbaren Tarifvertrages oder gesetzliche Vorschriften festgelegt sind. Dies gilt auch hinsichtlich der Ordnung und des Verhaltens der Arbeitnehmer im Betrieb. Bei der Ausübung des Ermessens hat der Arbeitgeber auch auf Behinderung des Arbeitnehmers Rücksicht zu nehmen.“
Die Konsequenz ist, dass eine arbeitsvertragliche Regelung des Direktionsrechts dieses im Regelfall nicht ausweitet, sondern im Zweifel einschränkt. 48
Gem. § 308 Abs. 4 BGB ist eine Vereinbarung, die dem Arbeitgeber das Recht einräumt, die versprochene Leistung zu ändern oder von ihr abzuweichen, unwirksam, wenn nicht die Vereinbarung der Änderung oder Abweichung unter Interessenabwägung für den anderen Vertragsteil zumutbar ist.47 § 308 Nr. 4 BGB erfasst nur einseitige Bestimmungsrechte hinsichtlich der Leistungen des Arbeitgebers, nicht aber hinsichtlich der ihm geschuldeten Gegenleistung, nämlich der Arbeitsleistung. Das bedeutet, dass ein Änderungsvorbehalt des Arbeitgebers sehr wohl möglich ist.48 Allerdings müssen die Gründe für die einseitige Leistungsbestimmung genannt und transparent dargestellt werden und es muss in einer Klausel das Gebot der Interessenabwägung zum Ausdruck kommen.49 Zu beachten ist, dass nicht nur die ausdrückliche Regelung von Dienstort oder Dienstsitz eine Festlegung begründen kann, sondern etwa auch eine Ortsangabe im Briefbogen des Arbeitsvertrags.
49
Zusätzlich zu der Inhaltskontrolle des Direktionsrechts kommt eine Ausübungskontrolle nach § 315 BGB hinzu, weil die Leistung einseitig durch eine Partei bestimmt wird. Danach ist also im Zweifel anzunehmen, dass diese Bestimmung nach billigem Ermessen zu treffen ist.
50
Zu beachten ist für den Arbeitgeber, dass sich nur der Arbeitnehmer auf die Unwirksamkeit berufen kann, insb. bei einer intransparenten Konzerndirektionsklausel. Der Arbeitgeber selbst kann sich bei Unwirksamkeit einer Konzerndirektionsklausel nicht auf diese berufen, mit der Folge, dass die unwirksame Konzernklausel günstig für die Arbeitnehmer sein kann, etwa im Zshg. mit Kündigungen, Sozialauswahl und der Anbietungspflicht von freien Arbeitsplätzen. So hat das BAG50 entschieden, dass im Falle einer Konzerndirektionsklausel freie Arbeitsplätze im Konzern dem Arbeitnehmer im Falle einer betriebsbedingten Kündigung angeboten werden müssen und dass bei der Sozialauswahl das Direktionsrecht des Arbeitgebers zu berücksichtigen ist mit der Folge, dass die Sozialauswahl den Kreis von Arbeitnehmern umfassen muss bzw. den Kreis von Betrieben, für den das Direktionsrecht gilt.51 2. Abgeltung von Überstunden
51
Zusammenfassend ist festzustellen, dass eine pauschale Abgeltung im Zweifel intransparent sein kann, wenn für den Arbeitnehmer die konkrete Vergütungshöhe nicht bestimmbar ist. Das Verhältnis von Leistung und Gegenleistung ist nicht erkennbar, wenn Überstunden in unbestimmter Höhe von der monatlichen Vergütung mit abgedeckt sein sollen. Zu differenzieren ist grds. zwischen der Begrenzung der Wirkungsweise auf Überstunden, der Begrenzung der Wirkungsweise auf Arbeitszeit bis 45 Stunden pro Woche.52 Für die verblei47 BAG v. 11.4.2006 – 9 AZR 557/05, NJW 2006, 3303; Schaub/Linck, Arbeitsrechts-Handbuch, § 35 Rz. 55a. 48 Bspw. BAG v. 14.11.2012 – 10 AZR 783/11, NZA 2013, 1150. 49 BAG v. 14.11.2012 – 10 AZR 783/11, NZA 2013, 1150 (1154). 50 BAG v. 23.3.2006 – 2 AZR 162/05, NZA 2007, 30. 51 Zu Letzterem s. BAG v. 11.4.2006 – 9 AZR 557/05, NJW 2006, 3303 m. Anm. Hohenstatt/Schramm. 52 S. BAG v. 31.8.2005 – 5 AZR 545/04, NZA 2006, 324.
758
Antoine/Conrad
Inhaltskontrolle von ausgewhlten arbeitsvertraglichen Klauseln
Rz. 53
C
bende Arbeitszeit ist eine AGB-Kontrolle dann möglich, wenn in transparenter Weise das Verhältnis von Leistung und Gegenleistung dargestellt wird. Erforderlich ist also die Begrenzung auf ein bestimmtes konkretisiertes Überstundenvolumen, ebenso wie die Kennzeichnung der Vergütung für die Überstunden im Rahmen der gesamten monatlichen Vergütung. Eine Darstellung, die eine komplizierte Rückrechnungsweise mit sich bringt, ist i.d.R. nur schwerlich transparent darstellbar. In der Praxis ist also davon auszugehen, dass Überstundenabgeltungen im Zweifel unwirksam sind. Eine Klausel, die eine pauschale Vergütung von Überstunden vorsieht, ist nur wirksam, wenn sich für den Arbeitnehmer aus dem Arbeitsvertrag klar und verständlich ergibt, welche Arbeitsleitung, in welchem Umfang von der Pauschalvergütung erfasst sind. Der Arbeitnehmer muss bei Vertragsabschluss erkennen können, welche Leistung er für die Vergütung maximal erbringen muss.53 3. Bonuszahlungen, Incentivepläne Regelmäßig wird die Auszahlung des Bonus an das Erreichen vereinbarter Ziele geknüpft.54 52 Zu unterscheiden ist in diesem Zshg. zwischen einer Zielvereinbarung und einer Zielvorgabe. Während die Zielvereinbarung die allgemeine Regelung im Arbeitsvertrag ist, dass der Arbeitnehmer bei Erreichen bestimmter Ziele eine bestimmte Bonuszahlung ausgezahlt bekommt, sind die Zielvorgaben konkrete Kriterien, die das Erreichen des Ziels bestimmen. Oft wird in Arbeits-/oder Dienstverträgen zur Bonuszahlung auf Incentivepläne verwiesen. Dabei handelt es sich um Allgemeine Geschäftsbedingungen, die gem. § 305 Abs. 2 BGB Bestandteil des Vertrags geworden sein und somit zumindest bekannt gemacht sein müssen. Die Bedingungen dürfen keine überraschenden Regeln enthalten, dürfen nicht unangemessen benachteiligen und müssen transparent sein.55 Ist in einem Arbeitsvertrag eine Zielvereinbarung mit Bonuszahlung getroffen, versäumt es der Arbeitgeber jedoch pflichtwidrig, die Ziele im laufenden Kalenderjahr festzulegen mit der Folge, dass wegen fehlender Zielsetzungen für den Arbeitnehmer nicht bestimmt werden kann, ob er dieses Ziel erreicht hat und somit den Bonus erhält, hat der Arbeitnehmer grds. einen Anspruch auf Schadensersatz, der jedoch nicht gleich bedeutend ist mit einer fiktiven Zielerreichung. Die Höhe des Schadens wird von den Arbeitsgerichten im Zweifel mit 100 % der Bonuszahlung festgelegt, jedoch hat sich der Arbeitnehmer ein Mitverschulden anrechnen zu lassen, das seinen Zahlungsanspruch mindert, wenn er den Arbeitgeber nicht zumindest aufgefordert hat, entsprechende Ziele zu setzen und auch entsprechende Ziele angeboten hat.56 4. Inhaltskontrolle bei Widerrufsvorbehalt Gemäß §§ 307 Abs. 1, 308 Nr. 4 BGB ist bei Widerrufsvorbehalten vom Arbeitgeber zu be- 53 achten, dass die Zumutbarkeit des Widerrufs und dessen sachliche Gründe in der Regelung selbst erkennbar sein müssen. Dies bedeutet für die Regelungsgestaltung: – die widerrufliche Leistung muss konkret gekennzeichnet sein; – die Voraussetzungen des Widerrufs müssen konkret dargelegt sein. Insb. muss der Arbeitnehmer wissen, woran er ist. Es kommt also auf den Arbeitnehmerempfängerhorizont an; – die Art und Weise der Präzisierung ist fraglich und nach den Umständen des Einzelfalles zu bestimmen. Jedenfalls darf der Änderungskündigungsschutz nicht umgangen werden,
53 Schaub/Linck, Arbeitsrechts-Handbuch, § 35 Rz. 79 m.w.N. 54 BAG v. 24.10.2007 – 10 AZR 825/06, DB 2008, 126; s.a. Freihube, Neue Spielregeln für arbeitsvertragliche Vereinbarungen von Sonderzahlungen, DB 2008, 124. Zum Meinungsstand, ob Zielvereinbarungen Mischcharakter zukommen kann, s. Horcher, BB 2007, 2065. 55 Löw/Glürz, AGB-Kontrolle bei Bonuszahlungen, DB 2015, 187. 56 S. BAG v. 12.12.2007 – 10 AZR 97/07, NJW 2008, 872.
Antoine/Conrad
759
C Rz. 54
Arbeitsvertragsrecht
das bedeutet, dass die widerrufliche Leistung unter 25 % des Gesamtverdienstes liegen muss, bei zusätzlichem Ersatz für Aufwendung bei 30 %.57 54
Bei Altverträgen sind die entsprechenden Kennzeichnungen ggf. durch ergänzende Vertragsauslegung nach §§ 133, 157 BGB zu ermitteln. Auch der Widerrufsvorbehalt obliegt als einseitige Leistungsbestimmung bzw. Leistungsänderung der Ausübungskontrolle des § 315 BGB. 5. Inhaltskontrolle bei Freiwilligkeitsvorbehalt
55
Ebenso wie der Widerrufsvorbehalt muss der Freiwilligkeitsvorbehalt angemessen und widerspruchsfrei sein, §§ 307 Abs. 1, 305c Abs. 2 BGB.58 Dies bedeutet im Einzelfall, dass bei monatlich zu zahlender Leistungszulage als Vergütungsbestandteil ein Ausschluss konkret einer solchen Leistungszusage jedenfalls unangemessen wäre.59
56
Zu beachten ist, dass der Widerruf der Gewährung einer freiwilligen Leistung als Gehaltsbestandteil grds. ein einseitiger Eingriff in das Gegenseitigkeitsverhältnis der arbeitsrechtlichen Beziehung zwischen Arbeitgeber und Arbeitnehmer ist und grds. intransparent, da der Arbeitnehmer bei Abschluss des Vertrags nicht weiß, ob er auf die Gewährung der „freiwilligen Leistung“ vertrauen darf oder nicht, inwieweit also das Vertragsverhältnis für ihn insgesamt günstig oder eher ungünstig ist. Diese grundsätzliche Widersprüchlichkeit zwischen der Zusage einer „freiwilligen Leistung über mehrere Bezugszeiträume“ und dem Vorbehalt der ständigen Freiwilligkeit ist per se schon intransparent und daher unwirksam, da für den Arbeitnehmer in keiner Weise durchschaubar.60
57
Das Fazit ist somit, dass Freiwilligkeitsvorbehalte grds. nur bei einmaligen Leistungen wirksam vereinbar sind, wenn also die Auswirkungen des Nichtgewährens der Leistung für den Arbeitnehmer überschaubar sind.61 Eine gewisse Flexibilität ist für den Arbeitgeber jedoch durch Anrechnungs- oder Widerrufsvorbehalte gestaltbar. Dies bedeutet also, dass Widerrufsvorbehalte, insb. wenn die Art der Leistungen und die Voraussetzungen des Widerrufs hinreichend konkret gekennzeichnet und im Vertrag geregelt sind, grds. stets eher zulässig sind, als so genannte Freiwilligkeitsvorbehalte, von denen im Regelfall abzuraten ist. Dies gilt insb. für die beliebten freiwilligen Bonuszahlungen zum Jahresende bzw. Weihnachtsgeld u.Ä. Will der Arbeitgeber geschlechtsbezogene Benachteiligung und somit potentiell AGG-Verstöße bei freiwilligen Leistungen vermeiden, muss er bei generalisierenden Kriterien von sich aus Benachteiligungen aus sachfremden Kriterien vermeiden.62 6. Allgemeine Verschwiegenheitsklausel
58
Inzwischen in den meisten Arbeitsverträgen üblich ist eine allgemeine Verschwiegenheitspflicht des Arbeitnehmers in Bezug auf sämtliche betrieblichen Belange, die auch in der Zeit nach Beendigung des Arbeitsverhältnisses weiter besteht.
59
Gekoppelt werden sollte diese mit der Pflicht des Mitarbeiters, bei Ausscheiden sämtliche dienstlichen Unterlagen, Bücher oder sonstige Dokumente über die eigene Firma und Kunden zurückzugeben. Ausdrücklich mit einzubeziehen ist dabei die Rückgabe von Dokumen57 S. dazu auch BAG v. 11.10.2006 – 5 AZR 721/05, NJW 2007, 536 m. Anm. Lingemann. 58 Ein Freiwilligkeitsvorbehalt kann nicht in Bezug auf monatliche Leistungszulagen vereinbart werden, da die Möglichkeit der jederzeitigen Einstellung eines laufenden, in das vertragliche Synallagma eingebundenen Arbeitsentgelts den Arbeitnehmer unangemessen i.S.v. § 307 BGB benachteiligt, BAG v. 25.4.2007 – 5 AZR 627/06, DB 2007, 1757; Schramm, NZA 2007, 1329. 59 S. BAG v. 25.4.2007 – 5 AZR 627/06, DB 2007, 1757. 60 S. BAG v. 24.10.2007 – 10 AZR 825/06, NJW 2008, 680 m. Anm. Dzida. 61 BAG v. 30.7.2008 – 10 AZR 606/07, NJW 2008, 3592; v. 14.9.2011 – 10 AZR 526/10, NZA 12/81. 62 BAG v. 14.8.2007 – 9 AZR 943/06, DB 2008, 128.
760
Antoine/Conrad
Inhaltskontrolle von ausgewhlten arbeitsvertraglichen Klauseln
Rz. 63
C
tationen und Datenträgern jeder Art und – besonders wichtig – die Löschung sämtlicher Daten und Software, einschließlich der Quell- und Objektcodes. Dabei sollte der Arbeitgeber bzw. Auftraggeber sich die vollständige Rückgabe aller im Zshg. mit der Diensterbringung stehenden Unterlagen, ganz gleich in welchem Format, sowie die Löschung von Programmkopien und Daten auf sämtlichen Speichermedien schriftlich bestätigen lassen. Um dem Mitarbeiter ein Druckmittel zur Erfüllung von berechtigten oder unberechtigten Forderungen aus der Hand zu nehmen, ist es sinnvoll, den Ausschluss eines Zurückbehaltungsrechts an dienstlichen Unterlagen jeglicher Art aufzunehmen. Hierbei ist allerdings mit Blick auf § 309 Nr. 2 lit. b BGB sorgsam zu formulieren.
60
7. Nachvertragliches Wettbewerbsverbot Häufig deckt eine solche allgemeine Verschwiegenheitsverpflichtung nicht das Erfahrungs- 61 wissen ab, womit der Mitarbeiter das beim Auftraggeber erworbene Wissen frei verwerten darf. Ein Instrument, um die Verwertung des Arbeitgeber-Know-how zu verhindern, kann die Regelung eines nachvertraglichen Wettbewerbsverbots sein. In Arbeitsverträgen der IT-Branche (oft auch z.B. in Subunternehmerverträgen) sind daher nicht nur Verschwiegenheitspflichten und Datenschutzbestimmungen üblich, sondern auch Klauseln über nachvertragliche Wettbewerbsverbote bzw. Kundenschutz. Verstöße gegen solche und andere arbeitsvertragliche Pflichten werden regelmäßig mit Vertragsstrafen in der Größenordnung eines Gesamtmonatseinkommens oder höher geahndet.63 Sowohl in Arbeitsverträgen als auch in Subunternehmerverträgen handelt es sich bei solchen Klauseln häufig um AGB.64 Eine Regelung, aufgrund derer der Verpflichtete faktisch seinen Beruf nicht mehr ausüben könnte, ist unwirksam, was insb. bei einer hohen Spezialisierung des Verpflichteten relevant sein kann (etwa bei Programmierern).65 Diese Vorgaben beruhen auf § 74a HGB und werden von den Gerichten sehr unterschiedlich ausgelegt. Im Einzelnen ist daher vieles umstritten. Auch ohne Vertragsstrafenregelung kann ein Wettbewerbsverbot unwirksam sein. Grds. müssen Wettbewerbsverbote zeitlich, gegenständlich und räumlich beschränkt sein. Fehlt eines dieser Merkmale, ist dies ein Indiz für die Unwirksamkeit der Klausel. Die gegenständliche Beschränkung betrifft den Kundenkreis, der durch das Wettbewerbsverbot zugunsten des Klauselverwenders geschützt werden soll. Regelmäßig wird dem Mitarbeiter auch untersagt, eine Tätigkeit auf dem Geschäftsgebiet des Arbeit- bzw. Auftraggebers für eigene oder fremde Rechnung vorzunehmen. In gegenständlicher Hinsicht darf sich das Wettbewerbsverbot jedoch regelmäßig nur auf solche Kunden beziehen, bei denen der Arbeitnehmer bzw. Subunternehmer vertragsgemäß tatsächlich eingesetzt wurde.
62
Räumlich kann beispielsweise die Beschränkung auf ein Bundesland ausreichend sein. Je weiter der räumliche Bereich ausgedehnt wird (z.B. gesamte Bundesrepublik Deutschland), desto enger hat die gegenständliche Beschränkung auszufallen, andernfalls kann die Klausel unwirksam sein.
63
63 S. zu Vertragsstrafe Rz. 67 ff. Zur Unangemessenheit einer Vertragsstrafe im Arbeitsvertrag, wonach bei einem Verstoß gegen ein Wettbewerbsverbot in jedem Einzelfall eine Vertragsstrafe in Höhe des ein- bis dreifachen Monatsgehaltes verwirkt wird, s. BAG v. 18.8.2005 – 8 AZR 65/05, NZA 2006, 34. Bei unangemessen hoher Vertragsstrafe findet keine geltungserhaltende Reduktion statt. S.a. Hauck, NZA 2006, 816 ff. 64 S. zur Berücksichtigung von § 309 Nr. 6 BGB bei formularmäßigen Vertragsstrafeversprechen in Arbeitsverträgen: Schaub/Klagges, Arbeitsrechtliches Formular- und Verfahrenshandbuch, A. 2. Teil, Rz. 169 ff.; s.a. BAG v. 18.8.2005 – 8 AZR 65/05, NZA 2006, 34 hins. Anforderungen an die klare Bezeichnung der eine Vertragsstrafe auslösenden Pflichtverletzung wegen § 307 Abs. 1 BGB und zur Transparenz BAG v. 23.1.2014 – 8 AZR 130/13, NZA 2014, 777. 65 Zu Abwerbeanrufen durch Personalberater (Direktansprache am Arbeitsplatz III) s. BGH v. 22.11.2007 – I ZR 183/04, NJW 2008, 855.
Antoine/Conrad
761
C Rz. 64
Arbeitsvertragsrecht
64
Ein weiteres wichtiges Kriterium für die Wirksamkeit der Wettbewerbsklausel ist die zeitliche Geltung. Kundenschutzklauseln während der Dauer der Vertragslaufzeit sind regelmäßig wirksam, wenn auch die gegenständlichen und räumlichen Beschränkungen angemessen sind und die Klausel i.Ü. transparent ist.
65
Nachvertraglich darf das Wettbewerbsverbot längstens auf die Dauer von zwei Jahren nach Vertragsende ausgedehnt werden (§ 74 Abs. 1 HGB), sofern der Klauselverwender (Arbeitgeber/Auftraggeber) ein schutzwürdiges Interesse an dem nachvertraglichen Verbot nachweisen kann. Eine längere Geltung des Wettbewerbsverbotes ist nur im Einzelfall unter besonderen Umständen zulässig. Zumindest bei Arbeitnehmern ist zudem Wirksamkeitsvoraussetzung eines nachvertraglichen Verbotes die Zahlung einer Karenzentschädigung.
66
Anders als bei der Verschwiegenheitsverpflichtung ist für die Dauer des Wettbewerbsverbots dem Arbeitnehmer eine Karenzentschädigung zu zahlen. Beim nachvertraglichen Wettbewerbsverbot ist hinsichtlich einer Karenzentschädigung zu unterscheiden zwischen Arbeitnehmern und Selbständigen: Einem Angestellten oder wirtschaftlich bzw. sozial abhängigen freien Mitarbeiter (sog. Scheinselbständigen) kann ein Wettbewerbsverbot nur gegen Zahlung einer angemessenen Karenzentschädigung für die Dauer des Verbotes wirksam auferlegt werden. Die Höhe der Karenzentschädigung muss mindestens 50 % der vertraglichen Vergütung betragen. Die Vorschriften zur Karenzentschädigung bei Handelsvertretern (§§ 74 ff. HGB) gelten hier entsprechend für alle Arbeitnehmer.66 Dem selbständigen Subunternehmer muss grds. keine Karenzentschädigung gezahlt werden. Jedoch kann die Abgrenzung zwischen einem selbständigen Subunternehmer und einem abhängigen freien Mitarbeiter schwierig sein, insb. wenn der Subunternehmer kein Kaufmann ist.67 Hieraus ergeben sich in der Praxis vielfach Möglichkeiten, ein Wettbewerbsverbot anzugreifen. 8. Vertragsstrafe
67
Im Zshg. mit Kundenschutz/Wettbewerbsverboten68 oder auch Geheimhaltung werden häufig Vertragsstrafeversprechen vereinbart. Die Wirksamkeit von Vertragsstrafen ist bereits individualvertraglich kritisch. V.a. aber als AGB werden hohe Anforderungen an die Transparenz und Angemessenheit der Regelung gestellt.69 Dabei ist zu berücksichtigen, dass eine Streitigkeit über die Wirksamkeit der Klausel mit hohen Prozesskosten verbunden sein kann, zumal der Streitwert i.d.R. nach der Höhe der Vertragsstrafe bemessen wird.
68
Besteht ein grobes Missverhältnis zwischen der Bedeutung des Verbots und der versprochenen Vertragsstrafe, ist die Klausel unwirksam, da sie in diesem Fall den Arbeitnehmer entgegen Treu und Glauben unangemessen benachteiligt.70
69
In der Vertragsgestaltung empfiehlt sich daher, Vertragsstrafenregelung einerseits und Wettbewerbsverbot oder Geheimhaltungsklausel andererseits zumindest in getrennten Absätzen, besser in verschiedenen Paragraphen/Ziffern des Vertrags zu regeln, damit nicht das Wettbewerbsverbot von einer möglichen Unwirksamkeit der Vertragsstrafenklausel mit erfasst wird (Stichwort „Blue-Pencil-Test“).71 Des Weiteren sollte die Vertragsstrafe ebenfalls gegenständlich beschränkt werden, nach Möglichkeit sollte konkret auf angegebene Verbots66 Zur nachvertraglichen Wettbewerbsbeschränkung allg. sowie zur Karenzentschädigung mit umfangreicher Rspr. s. Schaub/Vogelsang, Arbeitsrechts-Handbuch, § 55 Rz. 1 ff. 67 Dazu s. im Einzelnen Rz. 18 ff. zu „Freiberuflereigenschaft von selbständigen EDV-Beratern“. 68 S. Rz. 61 ff. 69 Däubler, in: Däubler/Bonin/Deinert (Hrsg.), AGB-Kontrolle im Arbeitsrecht, § 309 Nr. 6, Rz. 12 ff.; ErfK/Preis, BGB, §§ 305–310, Rz. 97–99; grundlegend: BAG v. 25.9.2008 – 8 AZR 717/07, NZA 2009, 370; Lakies, ArbRAktuell 2014, 313. 70 BAG v. 14.8.2007 – 8 AZR 973/06, NJW 2008, 458 u. v. 25.9.2008 – 8 AZR 717/07, NZA 2009, 370. 71 S.a. zu „Blue-Pencil-Test“ bei Ausschlussfristenregelung, BAG v. 12.3.2008 – 10 AZR 132/07, ArbRB 2008, 231; s. zu dieser Thematik auch Niemann, RdA 2013, 92 (96, 99) m.w.N. in Fn. 106.
762
Antoine/Conrad
Urheberrechtliche Aspekte bei Vertrgen mit Programmierern
Rz. 74
C
handlungen (z.B. „aktives Abwerben von folgenden näher bezeichneten Kundengruppen …“) Bezug genommen werden. Als weiteres Indiz für die Angemessenheit könnte die Vertragsstrafe der Höhe nach gestaf- 70 felt werden (etwa nach Anzahl der Verstöße). Evtl. ergänzend könnte die Vertragsstrafe in Abhängigkeit vom Auftragswert (und somit vom Schaden für den Klauselverwender) gesetzt werden. Durch Letzteres würde die Regelung in die Nähe eines pauschalierten Schadensersatzversprechens rücken. Bei einem pauschalierten Schadensersatz ist zwar die Angemessenheit weniger kritisch als bei einer Vertragsstrafenregelung, allerdings ist eine Vertragsstrafe unabhängig von einem tatsächlich eingetretenen (kausalen) Schaden zu zahlen. Ist im Vertrag keine pauschalierte Schadensersatzzahlung gewollt, wäre somit klarzustellen, dass die vereinbarte Zahlung bei Verstoß gegen das Wettbewerbsverbot auch ohne Schadenseintritt oder -nachweis an den Klauselverwender/Geschädigten zu zahlen ist.
IV. Urheberrechtliche Aspekte bei Verträgen mit Programmierern 1. Grundsätze Bei angestellten Software-Entwicklern kann sich in der Praxis trotz der Regelung in § 69b 71 UrhG (s. G Rz. 125 ff.) häufiger die Frage stellen, wer Inhaber der urheberrechtlichen Nutzungsrechte an einer Software ist, die im Rahmen eines Arbeitsverhältnisses oder einer freien Mitarbeiterschaft entwickelt wurde, und wer das Endprodukt wirtschaftlich vermarkten und letztlich den Erlös verteilen darf. Insoweit ist vieles streitig. Fehlt es an klaren vertraglichen Vereinbarungen und entsteht Streit, kann dies u.a. den geplanten Markteintritt eines Produktes verzögern. Grds. ist nach § 7 UrhG Urheber auch bei Software stets der Programmschöpfer, also der Programmierer des jeweiligen Programms. Diese natürliche Person bzw. Gruppe von natürlichen Personen ist Inhaber sämtlicher Nutzungsrechte an dieser Software und kann entscheiden, ob und unter welchen Bedingungen diese veröffentlicht, verbreitet, vervielfältigt und genutzt bzw. verwertet wird, §§ 69c, 15 UrhG.
72
Bei Softwareentwicklung im Rahmen eines Arbeits- oder Dienstverhältnisses gelten Beson- 73 derheiten. „In Arbeits- und Dienstverhältnissen“ bedeutet dies, dass die Software von einem Arbeitnehmer in Wahrnehmung seiner Aufgaben oder nach den Anweisungen seines Arbeitgebers geschaffen wird. In diesem Fall ist nach § 69b UrhG unwiderruflich, unbefristet und ausschließlich der Arbeitgeber zur Ausübung aller vermögensrechtlichen Befugnisse an dem Computerprogramm berechtigt, sofern nichts anderes vereinbart ist. Folglich entscheidet der Arbeitgeber, wie das Produkt verwertet wird, ob bspw. unter einer proprietären oder einer freien Lizenz (OSS). Der normalerweise notwendige Vertrag zur ausdrücklichen Übertragung der Nutzungsrechte vom Programmierer als Urheber auf den Arbeitgeber ist also nicht erforderlich. Auch wenn der Arbeitnehmer den Arbeitgeber wechselt oder als Programmierer selbständig tätig wird, bleibt ihm die Nutzung des beim ursprünglichen Arbeitgeber geschaffenen Programms untersagt. Damit ist der Programmierer von der Verwertung des von ihm erstellten Programms gänzlich ausgeschlossen. 2. Arbeitsvertragliche Regelungen Enthält also der Arbeitsvertrag mit einem Programmierer keine Klausel über die Zuordnung 74 der Nutzungs- und Verwertungsrechte an der zu entwickelnden Software, so gilt der Regelfall des § 69b UrhG: Rechteinhaber ist der Arbeitgeber. Vereinbarungen mit einer differenzierten Zuordnung der Rechte an der Software sind zulässig, müssen aber vertraglich ausdrücklich festgelegt sein.
Antoine/Conrad
763
Urheberrechtliche Aspekte bei Vertrgen mit Programmierern
Rz. 74
C
handlungen (z.B. „aktives Abwerben von folgenden näher bezeichneten Kundengruppen …“) Bezug genommen werden. Als weiteres Indiz für die Angemessenheit könnte die Vertragsstrafe der Höhe nach gestaf- 70 felt werden (etwa nach Anzahl der Verstöße). Evtl. ergänzend könnte die Vertragsstrafe in Abhängigkeit vom Auftragswert (und somit vom Schaden für den Klauselverwender) gesetzt werden. Durch Letzteres würde die Regelung in die Nähe eines pauschalierten Schadensersatzversprechens rücken. Bei einem pauschalierten Schadensersatz ist zwar die Angemessenheit weniger kritisch als bei einer Vertragsstrafenregelung, allerdings ist eine Vertragsstrafe unabhängig von einem tatsächlich eingetretenen (kausalen) Schaden zu zahlen. Ist im Vertrag keine pauschalierte Schadensersatzzahlung gewollt, wäre somit klarzustellen, dass die vereinbarte Zahlung bei Verstoß gegen das Wettbewerbsverbot auch ohne Schadenseintritt oder -nachweis an den Klauselverwender/Geschädigten zu zahlen ist.
IV. Urheberrechtliche Aspekte bei Verträgen mit Programmierern 1. Grundsätze Bei angestellten Software-Entwicklern kann sich in der Praxis trotz der Regelung in § 69b 71 UrhG (s. G Rz. 125 ff.) häufiger die Frage stellen, wer Inhaber der urheberrechtlichen Nutzungsrechte an einer Software ist, die im Rahmen eines Arbeitsverhältnisses oder einer freien Mitarbeiterschaft entwickelt wurde, und wer das Endprodukt wirtschaftlich vermarkten und letztlich den Erlös verteilen darf. Insoweit ist vieles streitig. Fehlt es an klaren vertraglichen Vereinbarungen und entsteht Streit, kann dies u.a. den geplanten Markteintritt eines Produktes verzögern. Grds. ist nach § 7 UrhG Urheber auch bei Software stets der Programmschöpfer, also der Programmierer des jeweiligen Programms. Diese natürliche Person bzw. Gruppe von natürlichen Personen ist Inhaber sämtlicher Nutzungsrechte an dieser Software und kann entscheiden, ob und unter welchen Bedingungen diese veröffentlicht, verbreitet, vervielfältigt und genutzt bzw. verwertet wird, §§ 69c, 15 UrhG.
72
Bei Softwareentwicklung im Rahmen eines Arbeits- oder Dienstverhältnisses gelten Beson- 73 derheiten. „In Arbeits- und Dienstverhältnissen“ bedeutet dies, dass die Software von einem Arbeitnehmer in Wahrnehmung seiner Aufgaben oder nach den Anweisungen seines Arbeitgebers geschaffen wird. In diesem Fall ist nach § 69b UrhG unwiderruflich, unbefristet und ausschließlich der Arbeitgeber zur Ausübung aller vermögensrechtlichen Befugnisse an dem Computerprogramm berechtigt, sofern nichts anderes vereinbart ist. Folglich entscheidet der Arbeitgeber, wie das Produkt verwertet wird, ob bspw. unter einer proprietären oder einer freien Lizenz (OSS). Der normalerweise notwendige Vertrag zur ausdrücklichen Übertragung der Nutzungsrechte vom Programmierer als Urheber auf den Arbeitgeber ist also nicht erforderlich. Auch wenn der Arbeitnehmer den Arbeitgeber wechselt oder als Programmierer selbständig tätig wird, bleibt ihm die Nutzung des beim ursprünglichen Arbeitgeber geschaffenen Programms untersagt. Damit ist der Programmierer von der Verwertung des von ihm erstellten Programms gänzlich ausgeschlossen. 2. Arbeitsvertragliche Regelungen Enthält also der Arbeitsvertrag mit einem Programmierer keine Klausel über die Zuordnung 74 der Nutzungs- und Verwertungsrechte an der zu entwickelnden Software, so gilt der Regelfall des § 69b UrhG: Rechteinhaber ist der Arbeitgeber. Vereinbarungen mit einer differenzierten Zuordnung der Rechte an der Software sind zulässig, müssen aber vertraglich ausdrücklich festgelegt sein.
Antoine/Conrad
763
C Rz. 75
Arbeitsvertragsrecht
75
Als „Gegenleistung“ für seine Geistesarbeit erhält der Programmierer-Urheber seine vertragliche Vergütung, womit die Rechteübertragung grds. abgegolten ist. Um Streitigkeiten hinsichtlich der Vergütung zu vermeiden, sollte der Vertrag eine Regelung enthalten, dass mit der vereinbarten Vergütung alle Ansprüche für die Einräumung der Nutzungsrechte abgegolten sind, auch für den Fall der Beendigung des Vertrags und auch insoweit kein weiterer Vergütungsanspruch besteht.
76
Obwohl § 69b UrhG sämtliche vermögensrechtlichen Befugnisse dem Arbeitgeber zuspricht, ist gesetzlich nicht eindeutig geregelt, ob der Arbeitgeber etwa auch zur Veränderung und Bearbeitung bzw. zur Unterlizenzierung an Dritte berechtigt ist. Insoweit ist eine ausdrückliche arbeitsvertragliche Regelung ratsam (zur urheberrechtlichen Beurteilung der Leistungen aus dem Arbeitsverhältnis s. G Rz. 125 ff.).
77 Günstig für den Arbeitgeber ist, wenn die entsprechende vertragliche Klausel auch Software erfasst, die der Arbeitnehmer nicht „in Wahrnehmung seiner Aufgaben“ oder „nach den Anweisungen seines Arbeitgebers geschaffen hat“, bei deren Erstellung er jedoch Arbeitsmittel oder Kenntnisse verwendet hat, die er durch das Arbeitsverhältnis erlangt hat. Eine solche Regelung geht über den Wortlaut des § 69b UrhG hinaus und erspart dem Arbeitgeber im Streitfalle schwierig nachzuweisende Abgrenzungsfragen. Im Hinblick auf die Regelungen in § 69b UrhG kann streitig sein, ob die Software außerhalb der Arbeitszeit geschaffen wurde und deshalb die Rechtseinräumung nicht „automatisch“ erfolgt.72 78
Sofern programmbezogene Erfindungen aus Arbeits- oder Dienstverhältnissen zugleich Patentschutz genießen, findet neben dem Urheberrecht auch das Arbeitnehmererfindungsgesetz (ArbnErfG) Anwendung. Hieraus ergeben sich für die Beteiligten besondere Anbietungspflichten sowie u.U. ein besonderer, neben dem Arbeitslohn bestehender Vergütungsanspruch, von dem vertraglich nicht abgewichen werden kann, § 22 ArbnErfG. Die Regelungen zur Bemessung der Vergütung sind im privaten wie im öffentlichen Dienst durch Richtlinien des Bundesarbeitsministeriums konkretisiert.73
79
Da sich immer neue Nutzungsarten im Softwarebereich entwickeln können, sollte der Vertrag auch unbekannte Nutzungsarten mit einbeziehen. § 31a UrhG regelt, dass unbekannte Nutzungsarten grds. in Verträge mit einbezogen werden können. Die Nutzungsrechtsregelung insoweit bedarf also der Schriftform. Umstritten ist jedoch weiter, ob die Regelungen der §§ 32 und 32a UrhG, die sich auf eine angemessene Vergütung bzw. weitere Beteiligung des Urhebers für andere Nutzungsrechte beziehen, auf den Arbeitnehmer/Urheber anzuwenden sind. Nach überwiegender Auffassung in Rspr. und Lit. sind alle Ansprüche des Arbeitnehmers grds. mit der Zahlung des Arbeitslohnes abgegolten.74 Die Anwendung des § 32a UrhG, also einer Vergütungsänderung, wenn ein auffälliges Missverhältnis zwischen den Verträgen und Vorteilen aus der Nutzung entsteht, begegnet wohl keinen großen Bedenken. Auch hier sollten im Vertrag möglicherweise klarstellende Regelungen getroffen werden. Dabei ist zu berücksichtigen, dass der Anspruch auf Vergütungsänderung gemäß § 32a UrhG bei einem auffälligen Missverhältnis nicht abbedungen werden kann, § 32a Abs. 3 Satz 1 UrhG. Ein stillschweigender Verzicht für unbekannte Nutzungsarten kann durch die Begründung eines Arbeitsverhältnisses nicht vermutet werden. Für die Einräumung von Nutzungsrechten an künftigen Werken ist die Schriftform auch im Arbeitsrecht zwingend vorgeschrieben (§§ 31a, 40 i.V.m. § 43 UrhG).
72 S. zu einem Klauselvorschlag, der beide Bereiche umfasst: Kather, in: Redeker, IT-Verträge, Stand: 9. EL, 5/2005, Kap. 5.1 § 6. 73 Richtlinien für die Vergütung von Arbeitnehmererfindungen im privaten Dienst (Beilage zum Bundesanzeiger Nr. 156 vom 18.8.1959, geändert durch die Richtlinie vom 1.9.1983 [Bundesanzeiger Nr. 169, S. 9994]); Richtlinien für die Vergütung von Arbeitnehmererfindungen im öffentlichen Dienst (Bundesanzeiger Nr. 237, S. 2). 74 BGH v. 24.10.2000 – X ZR 72/98, CR 2001, 223.
764
Antoine/Conrad
Urheberrechtliche Aspekte bei Vertrgen mit Programmierern
Rz. 85
C
Trotz automatischer Rechtseinräumung oder auch vertraglicher Regelung, dass dem Arbeit- 80 geber sämtliche vermögenswerten Befugnisse zustehen, muss nicht zwingend eine Herausgabe des Quellcodes seitens des Arbeitnehmers geschuldet sein.75 Zu berücksichtigen ist, dass auch Arbeiten aus dem Home Office von Angestellten verrichtet werden, an deren Ergebnissen die Rechte des Arbeitgebers nach § 69b UrhG bestehen.76 Wenn der Mitarbeiter „dabei auf das Bereitstellen der Programmierumgebung durch den Betriebsinhaber angewiesen ist, ein nicht abgrenzbares Werk im Rahmen eines EDV-Programms in Abstimmung mit weiteren Programmierern im Betrieb zu erstellen hat und daneben für vielfältige Nebenarbeiten, insb. zur Beantwortung vielfältiger Fachfragen auf dem Gebiet der IT herangezogen, worden ist“, kann er Arbeitnehmer sein.77
81
3. Programmierer als freier Mitarbeiter Oft sind Programmierer selbständig für einen oder mehrere Auftraggeber tätig. Bei ihnen als 82 freie Mitarbeiter ist der oben genannte § 69b UrhG nicht einschlägig. Hieraus folgt grds., dass sämtliche Nutzungsrechte am Auftragswerk beim Programmierer als Urheber liegen, womit dieser selbst seinem Auftraggeber die Benutzung und Vermarktung des Programms verbieten lassen kann. Auch die Zahlung einer noch so üppigen Vergütung ändert daran nichts. Anders als bei einem Arbeitnehmer muss sich also der Auftraggeber gegenüber einem freien Mitarbeiter die Rechte an dem von ihm in Auftrag gegebenen Programm durch ausdrückliche vertragliche Vereinbarung sichern.78 4. Teams aus selbständigen und angestellten Programmierern Vor dem Hintergrund der unterschiedlichen rechtlichen Behandlung von Arbeitnehmern 83 und freien Mitarbeitern hinsichtlich der Zuordnung urheberrechtlicher Nutzungsrechte am Auftragswerk wird verständlich, weshalb sich in der Praxis gemischte Entwickler-Teams aus angestellten und freien Programmierern als besonders schwierig herausstellen können. Während der Arbeitgeber per Gesetz unmittelbar die Rechte des Angestellten erwirbt, ist dies bei freien Mitarbeitern nicht der Fall. Ein solcher Rechteübergang erfolgt nur auf Grundlage einer ausdrücklichen vertraglichen Vereinbarung zwischen Auftraggeber und freiem Mitarbeiter. Anderenfalls verbleiben die Urheberrechte (Nutzungsrechte) an der Software bzw. eines Teils davon beim freien Mitarbeiter. Der Auftraggeber ist somit rechtlich nicht in der Lage, Dritten wirksam Nutzungsrechte an der Software, die ihm ja nur zum Teil gehört, zu übertragen, d.h. er kann sie nicht an Dritte verkaufen. Ziehen Auftraggeber, Auftragnehmer und freie Entwickler anfänglich an einem Strang, so können die Vorstellungen im Laufe der Zusammenarbeit, bei der Vermarktung des Werkes und nicht zuletzt bei der Erlösverteilung auseinander gehen. Nicht nur bei großen, investmentintensiven Entwicklungsprojekten sollte daher bereits im Vorfeld genau auf die Gestaltung der Verträge geachtet und mit klaren Klauseln Rechtssicherheit geschaffen werden. Dies gilt umso mehr für die Konstellation mehrerer verschiedenvertraglich eingebundener Mitarbeiter.
84
Die Teams können sich auch aus den Mitarbeitern und Freelancern aller Vertragspartner zu- 85 sammensetzen. Etwa bei Requirements Engineering, Erstellung des Blueprint, Durchführung der Workshops, Programming in Pairs bei Agiler Methodik bzw. bei Scrum und bei Tests sind oft mehrere Auftragnehmer beteiligt. Evtl. entstehen Werke, bei denen die zu den verschiedenen Vertragspartnern gehörenden Mitarbeiter Mitautoren sind, als Freelancer bzw. Subunter75 76 77 78
S. zu einer Auslegung eines Vergleichs: LAG Köln v. 21.12.2004 – 9 (10) Sa 1086/04. Zur Arbeitnehmereigenschaft bei Home Office s. LAG Frankfurt/M. v. 13.3.2015 – 10 Sa 575/14. LAG Frankfurt v. 13.3.2015 – 10 Sa 575/14. Zur Abgrenzung eines Arbeitnehmers von einem freien Mitarbeiter s. Rz. 3 ff.
Antoine/Conrad
765
C Rz. 86
Arbeitsvertragsrecht
nehmer aber nicht eine Rechtseinräumung geregelt haben, die der nach § 69b UrhG für Angestellte entspricht.
V. IT-Outsourcing und Betriebsübergang nach § 613a BGB 86
Die erstmalige Vergabe von bisher innerbetrieblich ausgeführten Tätigkeiten (im weitesten Sinne EDV-Leistungen), also die sogenannten Fälle des Outsourcing, stellen ein Rechtsgeschäft dar, das zu einem Betriebsübergang oder Teilbetriebsübergang nach § 613a BGB führen kann.
87
Die Beurteilung, ob ein Betriebsübergang vorliegt, hängt davon ab, ob mit dem Auftrag der Übergang einer wirtschaftlichen Einheit verbunden ist. Die wirtschaftliche Einheit besteht nach der EG-Richtlinie, der Rspr. des EuGH und des BAG aus einer organisatorischen Gesamtheit von Personen und Sachen zur auf Dauer angelegten Ausübung einer wirtschaftlichen Tätigkeit mit eigener Zielsetzung.79
88
Ob eine wirtschaftliche Einheit übergegangen ist, ist anhand folgender kennzeichnender Tatsachen zu prüfen: – die Art des betreffenden Unternehmens oder Betriebs, – der etwaige Übergang der materiellen Betriebsmittel, – der Wert der immateriellen Aktiva im Zeitpunkt des Übergangs, – die etwaige Übernahme der Hauptbelegschaft durch den Inhaber, – der etwaige Übergang der Kundschaft, – der Grad der Ähnlichkeit zwischen der vor und nach dem Übergang verrichteten Tätigkeit, – die Dauer einer eventuellen Unterbrechung der Tätigkeit. Bei der Bewertung sind diese Umstände nur Teilaspekte, die nicht isoliert betrachtet werden dürfen und einer Gesamtbewertung unterzogen werden müssen.80 Nach der Rspr. sowohl des EuGH als auch des BAG ist die bloße Tätigkeit als solche noch keine wirtschaftliche Einheit.81
89
In Branchen, in denen es im Wesentlichen auf die Arbeitskraft ankommt, wie etwa in der ITBranche, kann auch eine Gesamtheit von Arbeitnehmern, die durch eine gemeinsame Tätigkeit dauerhaft verbunden sind, eine wirtschaftliche Einheit darstellen. D.h., übernimmt ein neuer Rechtsträger die Arbeitnehmer bzw. Mitarbeiter einer IT-Abteilung bei Fortführung von deren Tätigkeit, wird ein Betriebsübergang vorliegen. Werden jedoch nur bislang durch die Mitarbeiter eines Auftraggebers ausgeübte Tätigkeiten „fremdvergeben“ bzw. auf einen externen Auftragnehmer übertragen, ohne dass dieser weder sichtliche Betriebsmittel noch Personal übernimmt, liegt keine Betriebsnachfolge i.S.d. § 613a BGB vor. Es handelt sich dabei vielmehr um eine sog. Funktionsnachfolge, die keinen Betriebsübergang darstellt.82 Daraus ergibt sich auch, dass die Übernahme einzelner Arbeitnehmer aus Einheiten keine Betriebsnachfolge sein muss. Es ist also grds. möglich, i.R.d. Outsourcing Arbeiten, die bisher 79 RL 77/187/EWG, nunmehr RL 2001/23/EG; st. Rspr. des BAG im Anschl. an EuGH v. 11.3.1997 – C-13/95, NJW 1997, 2039 – Süzen; zuletzt beispielhaft BAG v. 24.8.2006 – 8 AZR 556/05, NJOZ 2007, 5216; v. 13.12.2007 – 8 AZR 1107/06, DB 2008, 1161; v. 22.5.2014 – 8 AZR 1069/12, NZA 2014, 1335. 80 HWK/Willemsen, § 613a BGB Rz. 93 f. 81 BAG v. 23.5.2013 – 8 AZR 207/12, BB 2014, 61. 82 Beispielhaft: BAG v. 13.11.1997 – 8 AZR 295/95, NJW 1998, 1885; v. 27.10.2005 – 8 AZR 45/05, DB 2006, 454; v. 14.8.2007 – 8 AZR 1043/06, NZA 2007, 1431.
766
Antoine/Conrad
C Rz. 86
Arbeitsvertragsrecht
nehmer aber nicht eine Rechtseinräumung geregelt haben, die der nach § 69b UrhG für Angestellte entspricht.
V. IT-Outsourcing und Betriebsübergang nach § 613a BGB 86
Die erstmalige Vergabe von bisher innerbetrieblich ausgeführten Tätigkeiten (im weitesten Sinne EDV-Leistungen), also die sogenannten Fälle des Outsourcing, stellen ein Rechtsgeschäft dar, das zu einem Betriebsübergang oder Teilbetriebsübergang nach § 613a BGB führen kann.
87
Die Beurteilung, ob ein Betriebsübergang vorliegt, hängt davon ab, ob mit dem Auftrag der Übergang einer wirtschaftlichen Einheit verbunden ist. Die wirtschaftliche Einheit besteht nach der EG-Richtlinie, der Rspr. des EuGH und des BAG aus einer organisatorischen Gesamtheit von Personen und Sachen zur auf Dauer angelegten Ausübung einer wirtschaftlichen Tätigkeit mit eigener Zielsetzung.79
88
Ob eine wirtschaftliche Einheit übergegangen ist, ist anhand folgender kennzeichnender Tatsachen zu prüfen: – die Art des betreffenden Unternehmens oder Betriebs, – der etwaige Übergang der materiellen Betriebsmittel, – der Wert der immateriellen Aktiva im Zeitpunkt des Übergangs, – die etwaige Übernahme der Hauptbelegschaft durch den Inhaber, – der etwaige Übergang der Kundschaft, – der Grad der Ähnlichkeit zwischen der vor und nach dem Übergang verrichteten Tätigkeit, – die Dauer einer eventuellen Unterbrechung der Tätigkeit. Bei der Bewertung sind diese Umstände nur Teilaspekte, die nicht isoliert betrachtet werden dürfen und einer Gesamtbewertung unterzogen werden müssen.80 Nach der Rspr. sowohl des EuGH als auch des BAG ist die bloße Tätigkeit als solche noch keine wirtschaftliche Einheit.81
89
In Branchen, in denen es im Wesentlichen auf die Arbeitskraft ankommt, wie etwa in der ITBranche, kann auch eine Gesamtheit von Arbeitnehmern, die durch eine gemeinsame Tätigkeit dauerhaft verbunden sind, eine wirtschaftliche Einheit darstellen. D.h., übernimmt ein neuer Rechtsträger die Arbeitnehmer bzw. Mitarbeiter einer IT-Abteilung bei Fortführung von deren Tätigkeit, wird ein Betriebsübergang vorliegen. Werden jedoch nur bislang durch die Mitarbeiter eines Auftraggebers ausgeübte Tätigkeiten „fremdvergeben“ bzw. auf einen externen Auftragnehmer übertragen, ohne dass dieser weder sichtliche Betriebsmittel noch Personal übernimmt, liegt keine Betriebsnachfolge i.S.d. § 613a BGB vor. Es handelt sich dabei vielmehr um eine sog. Funktionsnachfolge, die keinen Betriebsübergang darstellt.82 Daraus ergibt sich auch, dass die Übernahme einzelner Arbeitnehmer aus Einheiten keine Betriebsnachfolge sein muss. Es ist also grds. möglich, i.R.d. Outsourcing Arbeiten, die bisher 79 RL 77/187/EWG, nunmehr RL 2001/23/EG; st. Rspr. des BAG im Anschl. an EuGH v. 11.3.1997 – C-13/95, NJW 1997, 2039 – Süzen; zuletzt beispielhaft BAG v. 24.8.2006 – 8 AZR 556/05, NJOZ 2007, 5216; v. 13.12.2007 – 8 AZR 1107/06, DB 2008, 1161; v. 22.5.2014 – 8 AZR 1069/12, NZA 2014, 1335. 80 HWK/Willemsen, § 613a BGB Rz. 93 f. 81 BAG v. 23.5.2013 – 8 AZR 207/12, BB 2014, 61. 82 Beispielhaft: BAG v. 13.11.1997 – 8 AZR 295/95, NJW 1998, 1885; v. 27.10.2005 – 8 AZR 45/05, DB 2006, 454; v. 14.8.2007 – 8 AZR 1043/06, NZA 2007, 1431.
766
Antoine/Conrad
IT-Outsourcing und Betriebsbergang nach § 613a BGB
Rz. 92
C
von Mitarbeitern des Auftraggebers durchgeführt wurden, auf Drittunternehmen zu übertragen. Die Funktionsnachfolge wird jedoch dann zum Betriebsübergang, wenn der neue Auftragnehmer einen wesentlichen Teil des bisherigen Personals übernimmt. Rechtsfolgen des Betriebsübergangs: Mit dem Betriebsübergang gehen die Arbeitsverhältnisse 90 auf den neuen Inhaber mit allen Pflichten und Rechten über. Es gilt weiter der Kündigungsschutz. Nach § 613a Abs. 4 Satz 1 BGB ist die Kündigung aus Anlass des Betriebsübergangs rechtsunwirksam. Nach Betriebsübergang rechtfertigen Unterschiede in Vergütungssystemen für Stammbelegschaft und übernommene Arbeitnehmer für sich allein keine Ungleichbehandlung. Ein sachlicher Grund für eine Differenzierung kann in der Angleichung der Arbeitsbedingungen liegen.83 Der Arbeitnehmer kann innerhalb eines Monats nach der notwendigen Unterrichtung vom 91 Betriebsübergang gemäß § 613a Abs. 5 BGB diesem schriftlich widersprechen sowohl gegenüber dem bisherigen Arbeitgeber als auch gegenüber dem neuen. Hierbei muss beachtet werden, dass die Monatsfrist nicht mit genereller Kenntnis des Arbeitnehmers vom Betriebsübergang gilt, sondern erst ab dem Zeitpunkt der ordnungsgemäßen und vollständigen Unterrichtung gemäß § 613a Abs. 5 BGB.84 Zusammenfassend ist festzuhalten, dass das klassische Outsourcing, also die Fremdvergabe 92 von Tätigkeiten, die bisher im eigenen Unternehmen durchgeführt wurden, an Drittunternehmen, keinen Betriebsübergang darstellt, wenn der neue Auftragnehmer weder Personal noch Arbeitsmittel übernimmt.85 Für das outsourcende Unternehmen bleiben in diesem Fall „arbeitsrechtlich gesehen“ erhebliche Gestaltungsräume.
83 BAG v. 14.3.2007 – 5 AZR 420/06, DB 2007, 1817. Zur Rechtsprechungsänderung zu Tarifwechsel bei Betriebsübergang s. BAG v. 29.8.2007 – 4 AZR 767/06, NZA 2008, 364. 84 BAG v. 13.7.2006 – 8 AZR 303/05, DB 2007, 2406. 85 Umfassend dazu: BAG v. 14.8.2007 – 8 AZR 1043/06, NZA 2007, 1431; v. 22.1.2009 – 8 AZR 158/07, NZA 2009, 905; HWK/Willemsen, § 613a BGB Rz. 174.
Antoine/Conrad
767
Urheberrechtliche Aspekte bei Vertrgen mit Programmierern
Rz. 74
handlungen (z.B. „aktives Abwerben von folgenden näher bezeichneten Kundengruppen …“) Bezug genommen werden. Als weiteres Indiz für die Angemessenheit könnte die Vertragsstrafe der Höhe nach gestaf- 70 felt werden (etwa nach Anzahl der Verstöße). Evtl. ergänzend könnte die Vertragsstrafe in Abhängigkeit vom Auftragswert (und somit vom Schaden für den Klauselverwender) gesetzt werden. Durch Letzteres würde die Regelung in die Nähe eines pauschalierten Schadensersatzversprechens rücken. Bei einem pauschalierten Schadensersatz ist zwar die Angemessenheit weniger kritisch als bei einer Vertragsstrafenregelung, allerdings ist eine Vertragsstrafe unabhängig von einem tatsächlich eingetretenen (kausalen) Schaden zu zahlen. Ist im Vertrag keine pauschalierte Schadensersatzzahlung gewollt, wäre somit klarzustellen, dass die vereinbarte Zahlung bei Verstoß gegen das Wettbewerbsverbot auch ohne Schadenseintritt oder -nachweis an den Klauselverwender/Geschädigten zu zahlen ist.
IV. Urheberrechtliche Aspekte bei Verträgen mit Programmierern 1. Grundsätze Bei angestellten Software-Entwicklern kann sich in der Praxis trotz der Regelung in § 69b 71 UrhG (s. G Rz. 125 ff.) häufiger die Frage stellen, wer Inhaber der urheberrechtlichen Nutzungsrechte an einer Software ist, die im Rahmen eines Arbeitsverhältnisses oder einer freien Mitarbeiterschaft entwickelt wurde, und wer das Endprodukt wirtschaftlich vermarkten und letztlich den Erlös verteilen darf. Insoweit ist vieles streitig. Fehlt es an klaren vertraglichen Vereinbarungen und entsteht Streit, kann dies u.a. den geplanten Markteintritt eines Produktes verzögern. Grds. ist nach § 7 UrhG Urheber auch bei Software stets der Programmschöpfer, also der Programmierer des jeweiligen Programms. Diese natürliche Person bzw. Gruppe von natürlichen Personen ist Inhaber sämtlicher Nutzungsrechte an dieser Software und kann entscheiden, ob und unter welchen Bedingungen diese veröffentlicht, verbreitet, vervielfältigt und genutzt bzw. verwertet wird, §§ 69c, 15 UrhG.
72
Bei Softwareentwicklung im Rahmen eines Arbeits- oder Dienstverhältnisses gelten Beson- 73 derheiten. „In Arbeits- und Dienstverhältnissen“ bedeutet dies, dass die Software von einem Arbeitnehmer in Wahrnehmung seiner Aufgaben oder nach den Anweisungen seines Arbeitgebers geschaffen wird. In diesem Fall ist nach § 69b UrhG unwiderruflich, unbefristet und ausschließlich der Arbeitgeber zur Ausübung aller vermögensrechtlichen Befugnisse an dem Computerprogramm berechtigt, sofern nichts anderes vereinbart ist. Folglich entscheidet der Arbeitgeber, wie das Produkt verwertet wird, ob bspw. unter einer proprietären oder einer freien Lizenz (OSS). Der normalerweise notwendige Vertrag zur ausdrücklichen Übertragung der Nutzungsrechte vom Programmierer als Urheber auf den Arbeitgeber ist also nicht erforderlich. Auch wenn der Arbeitnehmer den Arbeitgeber wechselt oder als Programmierer selbständig tätig wird, bleibt ihm die Nutzung des beim ursprünglichen Arbeitgeber geschaffenen Programms untersagt. Damit ist der Programmierer von der Verwertung des von ihm erstellten Programms gänzlich ausgeschlossen. 2. Arbeitsvertragliche Regelungen Enthält also der Arbeitsvertrag mit einem Programmierer keine Klausel über die Zuordnung 74 der Nutzungs- und Verwertungsrechte an der zu entwickelnden Software, so gilt der Regelfall des § 69b UrhG: Rechteinhaber ist der Arbeitgeber. Vereinbarungen mit einer differenzierten Zuordnung der Rechte an der Software sind zulässig, müssen aber vertraglich ausdrücklich festgelegt sein.
Antoine/Conrad
763
Rz. 86
Arbeitsvertragsrecht
nehmer aber nicht eine Rechtseinräumung geregelt haben, die der nach § 69b UrhG für Angestellte entspricht.
V. IT-Outsourcing und Betriebsbergang nach § 613a BGB 86
Die erstmalige Vergabe von bisher innerbetrieblich ausgeführten Tätigkeiten (im weitesten Sinne EDV-Leistungen), also die sogenannten Fälle des Outsourcing , stellen ein Rechtsgeschäft dar, das zu einem Betriebsübergang oder Teilbetriebsübergang nach § 613a BGB führen kann.
87
Die Beurteilung, ob ein Betriebsübergang vorliegt, hängt davon ab, ob mit dem Auftrag der Übergang einer wirtschaftlichen Einheit verbunden ist. Die wirtschaftliche Einheit besteht nach der EG-Richtlinie, der Rspr. des EuGH und des BAG aus einer organisatorischen Gesamtheit von Personen und Sachen zur auf Dauer angelegten Ausübung einer wirtschaftlichen Tätigkeit mit eigener Zielsetzung.79
88
Ob eine wirtschaftliche Einheit übergegangen ist, ist anhand folgender kennzeichnender Tatsachen zu prüfen: – die Art des betreffenden Unternehmens oder Betriebs, – der etwaige Übergang der materiellen Betriebsmittel, – der Wert der immateriellen Aktiva im Zeitpunkt des Übergangs, – die etwaige Übernahme der Hauptbelegschaft durch den Inhaber, – der etwaige Übergang der Kundschaft, – der Grad der Ähnlichkeit zwischen der vor und nach dem Übergang verrichteten Tätigkeit, – die Dauer einer eventuellen Unterbrechung der Tätigkeit. Bei der Bewertung sind diese Umstände nur Teilaspekte, die nicht isoliert betrachtet werden dürfen und einer Gesamtbewertung unterzogen werden müssen.80 Nach der Rspr. sowohl des EuGH als auch des BAG ist die bloe Ttigkeit als solche noch keine wirtschaftliche Einheit.81
89
In Branchen, in denen es im Wesentlichen auf die Arbeitskraft ankommt, wie etwa in der ITBranche, kann auch eine Gesamtheit von Arbeitnehmern , die durch eine gemeinsame Tätigkeit dauerhaft verbunden sind, eine wirtschaftliche Einheit darstellen. D.h., übernimmt ein neuer Rechtsträger die Arbeitnehmer bzw. Mitarbeiter einer IT-Abteilung bei Fortführung von deren Tätigkeit, wird ein Betriebsübergang vorliegen. Werden jedoch nur bislang durch die Mitarbeiter eines Auftraggebers ausgeübte Tätigkeiten „fremdvergeben“ bzw. auf einen externen Auftragnehmer übertragen, ohne dass dieser weder sichtliche Betriebsmittel noch Personal übernimmt, liegt keine Betriebsnachfolge i.S.d. § 613a BGB vor. Es handelt sich dabei vielmehr um eine sog. Funktionsnachfolge , die keinen Betriebsübergang darstellt.82 Daraus ergibt sich auch, dass die Übernahme einzelner Arbeitnehmer aus Einheiten keine Betriebsnachfolge sein muss. Es ist also grds. möglich, i.R.d. Outsourcing Arbeiten, die bisher 79 RL 77/187/EWG, nunmehr RL 2001/23/EG; st. Rspr. des BAG im Anschl. an EuGH v. 11.3.1997 – C-13/95, NJW 1997, 2039 – ; zuletzt beispielhaft BAG v. 24.8.2006 – 8 AZR 556/05, NJOZ 2007, 5216; v. 13.12.2007 – 8 AZR 1107/06, DB 2008, 1161; v. 22.5.2014 – 8 AZR 1069/12, NZA 2014, 1335. 80 HWK/ , § 613a BGB Rz. 93 f. 81 BAG v. 23.5.2013 – 8 AZR 207/12, BB 2014, 61. 82 Beispielhaft: BAG v. 13.11.1997 – 8 AZR 295/95, NJW 1998, 1885; v. 27.10.2005 – 8 AZR 45/05, DB 2006, 454; v. 14.8.2007 – 8 AZR 1043/06, NZA 2007, 1431.
766
Antoine/Conrad
Vergabe von IT-Leistungen 2005, 436; Mller /Ernst , Elektronische Vergabe ante portas – Übersicht über aktuelle und zukünftige Rechtsfragen, NJW 2004, 1768 ff.; Mller /Gerlach , Open-Source-Software und Vergaberecht, CR 2005, 87 ff.; Mller /Veil , Wettbewerblicher Dialog und Verhandlungsverfahren im Vergleich, VergabeR 2007, 298; Mller-Wrede (Hrsg.) Vergabe- und Vertragsordnung für Leistungen VOL/A, 4. Aufl. 2014; MllerWrede (Hrsg.), GWB-Vergaberecht, Kommentar, 2. Aufl. 2014; Mller-Wrede (Hrsg.), Verdingungsordnung für Leistungen VOL/A, 3. Aufl. 2010; Mller-Wrede (Hrsg.), ÖPP-Beschleunigungsgesetz 2006, S. 25 ff.; Mller-Wrede , Unmittelbare Anwendbarkeit der Richtlinie 2004/18/EG, VergabeR 2005, 693; Noch , Bauleistung? Lieferleistung? Dienstleistung? Oder doch Bauleistung? BauRB 2005, 147 ff.; Noch , Das neue Vergaberecht, BauRB 2005, 121 ff.;Noch , Vergaberecht kompakt, Handbuch für die Praxis, 7. Aufl. 2016 sowie 6. Aufl. 2015; Ohle /von dem Bussche , Der Projektant als Bieter in komplexen IT/TK-Ausschreibungen, CR 2004, 791 ff.; Ohle /Sebastiani , Informationstechnologie und Vergabeverfahren, CR 2003, 510 ff.; Ohler , Die c. i. c.-Haftung des öffentlichen Auftraggebers bei Fehlern im Vergabeverfahren, BauRB 2005, 153; Ohrtmann , Der Grundsatz produktneutraler Ausschreibung im Wandel?, VergabeR 2012, 376; Ohrtmann , Bietergemeinschaften – Chancen und Risiken, VergabeR 2008, 426; Ollmann , Die kleine Vergaberechtsreform, VergabeR 2008, 447; Ollmann , Wettbewerblicher Dialog eingeführt, VergabeR 2005, 156; Ollmann , Das neue Vergaberecht, Eine kritische Darstellung der Arbeitsentwürfe, VergabeR 2004, 669; Opitz , Die Berücksichtigung von Switching Costs bei der öffentlichen Beschaffung von ITK-Leistungen, CR 2014, 281 ff.; Opitz , Die neue Sektorenverordnung, VergabeR 2009, 689; Opitz , Wie funktioniert der wettbewerbliche Dialog, VergabeR 2006, 451; Opitz , Das Legislativpaket: Die neuen Regelungen zur Berücksichtigung umwelt- und sozialpolitischer Belange bei der Vergabe öffentlicher Aufträge, VergabeR 2004, 421; Otting /Tresselt , Grenzen der Loslimitierung, VergabeR 2009, 585; Paul , Das elektronische Vergabeverfahren, 1. Aufl. 2008 (Dissertation); Pooth , Muss man noch unverzüglich rügen?, VergabeR 2011, 358; Portz , Flexible Vergaben durch Rahmenvereinbarungen: Klarstellungen durch die EU-Vergaberichtlinie 2014, VergabeR 2014, 523; Portz , Der EuGH bewegt sich: Keine Ausschreibung kommunaler Kooperationen nach dem Urteil „Stadtreinigung Hamburg“, VergabeR 2009, 702; Prie/ Hausmann /Kulartz , Beck’sches Formularbuch Vergaberecht, München 2004; Prie /Niestedt , Rechtsschutz im Vergaberecht, Praxishandbuch für den Rechtsschutz bei der Vergabe öffentlicher Aufträge oberhalb und unterhalb der EG-Schwellenwerte, München 2006; Pnder /Schellenberg (Hrsg.) Vergaberecht, 1. Aufl. 2011; Pukall , Die Neuregelung des Vergaberechts, Stand und Perspektiven, VergabeR 2006, 586; Redeker , Abgrenzung der VOF zur VOL, ITRB 2003, 131; Reidt /Stickler /Glahs , Vergaberecht Kommentar, 3. Aufl. 2011; Reuber , Kein allgemeines Bewerbungsverbot wegen Vorbefassung, VergabeR 2005, 271; Rosenktter , Rahmenvereinbarungen mit Miniwettbewerb – Zwischenbilanz eines neuen Instruments, VergabeR 2010, 368; Rosenktter /Fritz, Vertragsänderungen nach den neuen Richtlinien, VergabeR 2014, 290; Roth , Reform des Vergaberechts – der große Wurf?, VergabeR 2009, 404; Schaller , Kommentar zur VOL 4. Aufl. 2008; Schaller , Dokumentations-, Informations-, Mitteilungs-, Melde- und Berichtspflichten im öffentlichen Auftragswesen, VergabeR 2007, 394; Schimanek , Vergaberechtliche Besonderheiten bei der Ausschreibung von ITLeistungen, K& R 2004, 269 ff.; Schwab /Seidel , Revision der Rechtsmittelrichtlinien im Öffentlichen Auftragswesen: Was bringt die weitere Koordinierung der Klagerechte im Binnenmarkt?, VergabeR 2007, 699 ff.; Siegel , Die Behandlung gemischter Verträge nach dem neuen Vergaberecht, VergabeR 2007, 25;Siegel , Die Vergaberechtspflichtigkeit der In-State-Geschäfte, VergabeR 2006, 621; Soudry /Hettich (Hrsg.), Das neue Vergaberecht, Eine systematische Darstellung der neuen EU-Vergaberichtlinien 2014; Bundesanzeiger-Verlag (Band 49); Spiehofer /Sellmann , Rechtsschutz im Unterschwellenbereich – zur begrenzten Tragweite der Entscheidung des Bundesverfassungsgerichts, VergabeR 2007, 159; Stolz , Die Behandlung von Angeboten, die von den ausgeschriebenen Leistungspflichten abweichen, VergabeR 2008, 322; Stoye / Hoffmann , Nachunternehmerbenennung und Verpflichtungserklärung im Lichte der neuesten BGHRechtsprechung und der VOB/A 2009, VergabeR 2009, 569; Stoye /von Mnchhausen , Primärrechtsschutz in der GWB-Novelle – Kleine Vergaberechtsreform mit großen Einschnitten im Rechtsschutz, VergabeR 2008, 871; Terwiesche , Ausschluss und Marktzutritt des Newcomers, VergabeR 2009, 26; Varga , Berücksichtigung sozialpolitischer Anforderungen nach dem neuen § 97 Abs. 4 S. 2 GWB – europarechtskonform?, VergabeR 2009, 535; Vllink , Die Nachforderung von Nachweisen und Erklärungen – eine Zwischenbilanz fünf Jahre nach ihrer Einführung, VergabeR 2015, 355; Waldmann , Zwischenbilanz: Stand der Reform des Vergaberechts am Ende der 16. Wahlperiode, VergabeR 2010, 298; Werner , Die Verschärfung der Mittelstandsklausel, VergabeR 2008, 262; Weyand , Vergaberecht, Praxiskommentar, 3. Aufl. 2011 sowie 4. Aufl. 2013; Widmann , Vergaberechtsschutz im Unterschwellenbereich, 1. Aufl. 2008 (Dissertation); Ziekow , In-House-Geschäfte – werden die Spielräume enger?, VergabeR 2006, 608; Zielke , Demnächst: Pflicht zur eVergabe – Chancen und mögliche Stolperfallen, VergabeR 2015, 273.
772
Bischof
Grundstze der Vergabe von IT-Leistungen
Rz. 2
I. Grundsätze der Vergabe von IT-Leistungen 1. „Typische“ Leistungsgegenstände bei IT-Vergaben „Den“ typischen Gegenstand der Vergabe von IT-Leistungen gibt es nicht; dazu sind die Be- 1 schaffungen der einzelnen Auftraggeber zu individuell und an deren jeweilige Bedürfnisse angepasst.1 Letztlich lassen sich folgende Konstellationen häufig antreffen: – Beschaffung von Standardsoftware, die ohne weitere Leistungen „out-of-the-box“ eingesetzt werden kann, wie z.B. MS Office Pakete; – Beschaffung von Hardware, wie PC‘s samt Betriebssystemsoftware, Bildschirme, Drucker, Tastatur, Maus u.Ä., die ebenfalls als „Massenware“ nach Lieferung meist von der eigenen IT-Abteilung der Vergabestelle „aufgestellt“ werden; teilweise wird auch der jeweilige Anbieter mit dem „Roll-out“ der Hardware (Auslieferung, Aufbau, Erstinstallation) beauftragt; – Beschaffung von Servern samt dazugehöriger Technik zum Aufbau, Umbau bzw. zur Neugestaltung von Netzwerken, meist verbunden mit entsprechenden Installations- und Implementierungsleistungen des Auftragnehmers; – Beschaffung von Consulting-/Beratungs-/Unterstützungsleistungen bis hin zu Konzept-, Leistungsbeschreibungs-, Pflichtenhefterstellung sowie Erstellung von Machbarkeitsanalysen; – Beschaffung von an die Bedürfnisse des Auftraggebers anzupassender Standardsoftware als „klassisches IT-Projekt“ (z.B. Archivierungslösungen, Klinikinformationssysteme, Radiologieinformationssysteme, Systeme zur Abbildung individueller Geschäftsprozesse der jeweiligen Vergabestelle wie ERP-Systeme u.Ä.); – Letzteres oftmals kombiniert mit der Pflege des neuen Systems; – Beschaffung eines IT-Systems bestehend aus Hard- und Software, in Kombination mit Installations-, Implementierungsleistungen, Migrationsleistungen, Schulung, Pflege, Wartung, sonstigen Dienstleistungen; – Rechenzentrumsleistungen – (sofern für die jeweilige Vergabestelle überhaupt zulässig): Outsourcing einzelner IT-Leistungen bis hin zur Auslagerung der gesamten IT-Infrastruktur inkl. der dazugehörigen Mitarbeiter der IT-Abteilung;2 – ASP, SaaS, Cloud Computing uä. moderne IT-Leistungen. 2. Begriff, Bedeutung und Ziel des Vergaberechts Der Einkauf jedweder der in Rz. 1 genannten IT-Leistungen durch öffentliche Auftraggeber 2 kann nicht wie bei Privatunternehmen dadurch erfolgen, dass bei einem oder mehreren Anbietern Angebote eingeholt werden, verhandelt und letztlich ein Anbieter beauftragt wird. Der öffentliche Auftraggeber muss vielmehr seinen Bedarf öffentlich ausschreiben, einen Wettbewerb unter den Anbietern initiieren, ein transparentes, gleichbehandelndes Verfahren durchführen, in dem aufgrund bekannt zu gebender Kriterien der Anbieter des wirtschaftlichsten Angebots den Auftrag erhält. Die hierfür maßgeblichen Bestimmungen ergeben sich aus dem Vergaberecht, wobei keine Sonderregelungen für die Vergabe von IT-Leistungen existieren.
1 S. zur Einführung in die Vergabe von IT-Leistungen Grtzmacher , ITRB 2002, 236 ff.; Kulartz /Steding , IT-Leistungen. Fehlerfreie Ausschreibungen und rechtssichere Vertragsinhalte. 2 S. zu Outsourcing und Datenschutz A Rz. 438 ff.; s. zum Betriebsübergang C Rz. 86 ff.
Bischof
773
Rz. 3
Vergabe von IT-Leistungen
3 Als Vergaberecht wird die Gesamtheit der Normen bezeichnet, die ein Träger öffentlicher Verwaltung bei der Beschaffung von fachlichen Mitteln und Leistungen, die er zur Erfüllung von Verwaltungsaufgaben benötigt, zu beachten hat.3 Hierzu gehören auch die Rechts- und Verfahrensregeln, nach denen Bieter Rechtsschutz wegen der Verletzung der Verfahrensregeln beim Einkauf von IT-Leistungen suchen können. 4 Öffentliche Aufträge stellen einen bedeutenden Wirtschaftsfaktor dar. Nach Schätzungen der EU-Kommission liegt das Geschäftsvolumen der öffentlichen Aufträge in den Europäischen Gemeinschaften bei einem Wert von jährlich ca. 1 500 Mrd. Euro, was in etwa 16 % des gesamten Bruttoinlandsprodukts der EU darstellt.4 Das Ausmaß grenzüberschreitender Beschaffung bleibt mit knapp 3 % aller Angebote eher bescheiden.5 Für den Einkauf von ITLeistungen stellt der Staat neben Privatunternehmen den größten Auftraggeber dar. 5 Ziel des Vergaberechts ist es, einen freien und offenen Wettbewerb auf den staatlichen Beschaffungsmärkten herzustellen, was den potentiellen Auftragnehmern die Möglichkeit gibt, den Binnenmarkt bestmöglich zu nutzen sowie den Auftraggebern die rationelle Verwendung öffentlicher Mittel (Haushaltsmittel) ermöglicht, um unter einer großen Auswahl wettbewerbsfähiger Angebote den Auftragnehmer auszuwählen, der das wirtschaftlichste Angebot6 abgegeben hat. 3. Vertragsschluss im Vergaberecht 6 Eine der Besonderheiten im Vergaberecht ist die Art und Weise des Vertragsschlusses7: Der Vertrag kommt dadurch zustande, dass der öffentliche Auftraggeber die Bedingungen (fachlich und rechtlich) vorgibt, das Unternehmen ein Angebot auf Basis dieser Bedingungen abgibt, über die i.d.R. nicht verhandelt werden darf (Ausnahme: Verhandlungsverfahren und wettbewerblicher Dialog), und der öffentliche Auftraggeber sodann dem wirtschaftlichsten Angebot (das er anhand veröffentlichter Zuschlagskriterien ermittelt) den Zuschlag erteilt. 7 Mit Zugang dieser Zuschlagserteilung an den Bieter kommt somit der Vertrag zustande. Die Zuschlagserteilung stellt die Annahmeerklärung des öffentlichen Auftraggebers gem. §§ 145 ff. BGB auf das Angebot des Bieters dar. Da die Zuschlagserteilung eine annahmebedürftige Willenserklärung ist, kommt es genau genommen auf den Zugangszeitpunkt an (§ 130 Abs. 1 Satz 1 BGB). Eine Vertragsurkunde im üblichen Sinne, die von beiden Vertragspartnern unterzeichnet wird, ist nicht erforderlich, dient somit eigentlich nur Beweiszwecken.8
II. Die Entwicklung des Vergaberechts 1. Ausgangslage 8 Das Vergaberecht hat sich historisch aus dem Haushaltsrecht entwickelt, blieb daher zunächst Innenrecht der Verwaltung und diente v.a. der wirtschaftlichen und sparsamen Mit-
3 S. BVerfG v. 13.6.2006 – 1 BvR 1160/03. 4 S. Weyand , Praxiskommentar Vergaberecht, 4. Aufl. 2013, einleitend unter Ziff. 2 zur wirtschaftlichen Bedeutung des Vergaberechts, Rz. 19 ff. 5 S. Weyand , Praxiskommentar Vergaberecht, 4. Aufl. 2013, einleitend unter Ziff. 2 zur wirtschaftlichen Bedeutung des Vergaberechts, Rz. 5 ff.; Noch , Vergaberecht Kompakt, 6. Aufl. 2015, Rz. 12. 6 S. zum wirtschaftlichsten Angebot Rz. 326. 7 S. ausführlich hierzu: Portz , in: Daub/Eberstein, VOL/A Kommentar, § 28 Rz. 5 ff.; Noch , in: MüllerWrede, VOL/A Kommentar 2007, § 28 Rz. 11 ff. und 29. 8 S.a. Kramer, Beurkundung von Angebot und Annahme im Vergabeverfahren, VergabeR 2004, 706.
774
Bischof
D Rz. 3
Vergabe von IT-Leistungen
3 Als Vergaberecht wird die Gesamtheit der Normen bezeichnet, die ein Träger öffentlicher Verwaltung bei der Beschaffung von fachlichen Mitteln und Leistungen, die er zur Erfüllung von Verwaltungsaufgaben benötigt, zu beachten hat.3 Hierzu gehören auch die Rechts- und Verfahrensregeln, nach denen Bieter Rechtsschutz wegen der Verletzung der Verfahrensregeln beim Einkauf von IT-Leistungen suchen können. 4 Öffentliche Aufträge stellen einen bedeutenden Wirtschaftsfaktor dar. Nach Schätzungen der EU-Kommission liegt das Geschäftsvolumen der öffentlichen Aufträge in den Europäischen Gemeinschaften bei einem Wert von jährlich ca. 1 500 Mrd. Euro, was in etwa 16 % des gesamten Bruttoinlandsprodukts der EU darstellt.4 Das Ausmaß grenzüberschreitender Beschaffung bleibt mit knapp 3 % aller Angebote eher bescheiden.5 Für den Einkauf von ITLeistungen stellt der Staat neben Privatunternehmen den größten Auftraggeber dar. 5 Ziel des Vergaberechts ist es, einen freien und offenen Wettbewerb auf den staatlichen Beschaffungsmärkten herzustellen, was den potentiellen Auftragnehmern die Möglichkeit gibt, den Binnenmarkt bestmöglich zu nutzen sowie den Auftraggebern die rationelle Verwendung öffentlicher Mittel (Haushaltsmittel) ermöglicht, um unter einer großen Auswahl wettbewerbsfähiger Angebote den Auftragnehmer auszuwählen, der das wirtschaftlichste Angebot6 abgegeben hat. 3. Vertragsschluss im Vergaberecht 6 Eine der Besonderheiten im Vergaberecht ist die Art und Weise des Vertragsschlusses7: Der Vertrag kommt dadurch zustande, dass der öffentliche Auftraggeber die Bedingungen (fachlich und rechtlich) vorgibt, das Unternehmen ein Angebot auf Basis dieser Bedingungen abgibt, über die i.d.R. nicht verhandelt werden darf (Ausnahme: Verhandlungsverfahren und wettbewerblicher Dialog), und der öffentliche Auftraggeber sodann dem wirtschaftlichsten Angebot (das er anhand veröffentlichter Zuschlagskriterien ermittelt) den Zuschlag erteilt. 7 Mit Zugang dieser Zuschlagserteilung an den Bieter kommt somit der Vertrag zustande. Die Zuschlagserteilung stellt die Annahmeerklärung des öffentlichen Auftraggebers gem. §§ 145 ff. BGB auf das Angebot des Bieters dar. Da die Zuschlagserteilung eine annahmebedürftige Willenserklärung ist, kommt es genau genommen auf den Zugangszeitpunkt an (§ 130 Abs. 1 Satz 1 BGB). Eine Vertragsurkunde im üblichen Sinne, die von beiden Vertragspartnern unterzeichnet wird, ist nicht erforderlich, dient somit eigentlich nur Beweiszwecken.8
II. Die Entwicklung des Vergaberechts 1. Ausgangslage 8 Das Vergaberecht hat sich historisch aus dem Haushaltsrecht entwickelt, blieb daher zunächst Innenrecht der Verwaltung und diente v.a. der wirtschaftlichen und sparsamen Mit-
3 S. BVerfG v. 13.6.2006 – 1 BvR 1160/03. 4 S. Weyand, Praxiskommentar Vergaberecht, 4. Aufl. 2013, einleitend unter Ziff. 2 zur wirtschaftlichen Bedeutung des Vergaberechts, Rz. 19 ff. 5 S. Weyand, Praxiskommentar Vergaberecht, 4. Aufl. 2013, einleitend unter Ziff. 2 zur wirtschaftlichen Bedeutung des Vergaberechts, Rz. 5 ff.; Noch, Vergaberecht Kompakt, 6. Aufl. 2015, Rz. 12. 6 S. zum wirtschaftlichsten Angebot Rz. 326. 7 S. ausführlich hierzu: Portz, in: Daub/Eberstein, VOL/A Kommentar, § 28 Rz. 5 ff.; Noch, in: MüllerWrede, VOL/A Kommentar 2007, § 28 Rz. 11 ff. und 29. 8 S.a. Kramer, Beurkundung von Angebot und Annahme im Vergabeverfahren, VergabeR 2004, 706.
774
Bischof
Die Entwicklung des Vergaberechts
Rz. 11
D
telverwendung.9 Als Verdingungsordnungen entstanden zunächst die VOB/A für den Baubereich (1926) und danach die VOL/A für den Dienstleistungs- und Lieferbereich (1936). Der europarechtliche Einfluss begann in den 1970er Jahren und brachte im Laufe der Jahrzehnte einen maßgeblichen Wandel mit sich. Beginnend im Jahre 1971 erfassten die sog. materiellen Vergaberichtlinien der EU sämtliche 9 Bau-, Liefer- und Dienstleistungen oberhalb bestimmter Schwellenwerte (s. hierzu Rz. 81 ff.), die von der öffentlichen Hand in Auftrag gegeben werden. Diese materiellen Vergaberichtlinien wurden ergänzt durch Rechtsmittelrichtlinien, die die prozessualen Mindestanforderungen für Nachprüfungsverfahren bei Beschwerden von Bietern regeln und somit die in den materiellen Vergaberichtlinien festgelegten Rechtspositionen der Bieter und damit die Verpflichtungen der öffentlichen Hand stärken: – Liefer-Koordinierungs-Richtlinie (RL 93/36/EWG – LKR); – Bau-Koordinierungs-Richtlinie (RL 93/37/EWG – BKR); – Dienstleistungs-Richtlinie (RL 92/50/EWG – LKR); – dazugehörig die Rechtsmittel-Richtlinie (RL 89/665/EWG); – Sektoren-Richtlinie zu Liefer-, Bau- und Dienstleistungen im Bereich der Wasser-, Energie-, Verkehrsversorgung (RL 93/38/EWG); – dazugehörig die Rechtsmittel-Richtlinie Sektoren (RL 92/13/EWG). 2. Erstes und Zweites EU-Reformpaket sowie deren Umsetzung in den Jahren 2006 und 2009 I.R.d. sogenannten Legislativpakets der Europäischen Kommission zur Vereinfachung, Mo- 10 dernisierung und Flexibilisierung der vier materiellen EU-Vergaberichtlinien (erstes großes Reformpaket) verabschiedeten das Europäische Parlament und der Rat am 31.3.2004 die Richtlinie 2004/17/EG („SKR“) für Sektorenauftraggeber (Auftraggeber im Bereich Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste) sowie die Richtlinie 2004/18/EG („VKR“) für die klassischen öffentlichen Auftraggeber i.S.v. § 98 Nr. 1–3 GWB. Die Frist für die Umsetzung dieser Richtlinien in den Mitgliedstaaten endete zum 31.1.2006. Deren Umsetzung in deutsches Recht erfolgte (zuletzt mit der Reform im Jahre 2009), wenn auch nicht fristgerecht, in folgenden Iterationsschritten: – ÖPP Beschleunigungsgesetz 2005; – Neufassung der Verdingungsordnungen in 2006: – VOB/A 2006 vom 20.3.2006, BAnz. Nr. 94a v. 18.5.2006; – VOL/A 2006 vom 6.4.2006, BAnz. Nr. 100a v. 30.5.2006; – VOF 2006 vom 16.3.2006, BAnz. Nr. 91a v. 13.5.2006; – Gesetz zur Modernisierung des Vergaberechts vom 20.4.2009, veröffentlicht am 23.4.2009, enthielt Änderungen in GWB und VgV; – Inkrafttreten der so genannten Sektorenverordnung vom 29.9.2009 für die Vergaben so genannter Sektorenauftraggeber; – Verordnung zur Anpassung der Verordnung über die Vergabe öffentlicher Aufträge (Vergabeverordnung – VgV) sowie der Verordnung über die Vergabe von Aufträgen im Bereich
9 Zur historischen Entwicklung im Detail: Dietlein/Fandrey, in: Byok/Jaeger, 3. Aufl. 2011, Einleitung A.
Bischof
775
11
D Rz. 12
Vergabe von IT-Leistungen
des Verkehrs, der Trinkwasserversorgung und der Energieversorgung (Sektorenverordnung – SektVO) vom 7.6.2010; sowie – Neufassung der Vergabe- und Vertragsordnungen in 2009: – VOB/A 2009 vom 31.7.2009, BAnz. Nr. 155 (ber. 2010 Nr. 36); – VOL/A 2009 vom 20.11.2009, BAnz. Nr. 196a v. 29.12.2009 (ber. 2010 S. 755); – VOF 2009 vom 18.11.2009, BAnz. Nr. 185a. – Neuveröffentlichung der VgV am 10.6.2010 – Vergabeverordnung Verteidigung und Sicherheit (VSVgV) vom 12.7.2012. 12
Die Reformierung des vergaberechtlichen Rechtsschutzsystems – in Folge der seit Erlass der früheren Rechtsmittelrichtlinien (s. Rz. 9) an diesen deutlich gewordenen Defizite – stellte neben Erlass von VKR und SKR das zweite große Reformpaket des europäischen Vergaberechts dar. Die Rechtsmittel-Richtlinie10 hatte die Verbesserung der Wirksamkeit der Nachprüfungsverfahren im Bereich des öffentlichen Auftragswesens zum Inhalt. Sie gilt für alle öffentlichen Aufträge, die in den persönlichen und sachlichen Anwendungsbereich der Richtlinien 2004/17/EG (SKR) und 2004/18/EG (VKR) fallen. Der Gegenstand der Richtlinie war die Überarbeitung der bestehenden Rechtsmittel-Richtlinien.11 3. Drittes EU-Reformpaket 2014 sowie deren Umsetzung im Jahre 2016 3.1 Richtlinien-Paket
13
Der Europäische Gesetzgeber hat 2014 mit dem Paket zur Modernisierung des europäischen Vergaberechts ein vollständig überarbeitetes Regelwerk für die Vergabe öffentlicher Aufträge und Konzessionen vorgelegt. Dieses Modernisierungspaket umfasst folgende drei Richtlinien, die zum 17.4.2014 in Kraft getreten sind. – die Richtlinie über die Vergabe öffentlicher Aufträge (RL 2014/24/EU),12 – die Richtlinie über die Vergabe von Aufträgen durch Auftraggeber im Bereich der Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste (Sektoren-Richtlinie, RL 2014/ 25/EU13 und – die neue Richtlinie über die Vergabe von Konzessionen.14
14
Die Richtlinien waren binnen 2 Jahren, also bis zum 18.4.2016 in deutsches Recht (für die Vergabe von Aufträgen oberhalb der Schwellenwerte) umzusetzen. Zur vollumfänglichen Umsetzung der so genannten eVergabe (elektronische Vergabe)15 besteht Aufschub bis zum 18.10.2018 bzw. für Zentrale Beschaffungsstellen16 nur bis zum 18.4.2017 (Art. 90). 10 Richtlinie 2007/66/EG des Europäischen Parlamentes und des Rates vom 11.12.2007, zur Änderung der Richtlinien 89/665/EWG und 92/13/EWG des Rates im Hinblick auf die Verbesserung der Wirksamkeit der Nachprüfungsverfahren bezüglich der Vergabe öffentlicher Aufträge (Rechtsmittelrichtlinien). 11 Diese Richtlinie 2007/66/EG des Europäischen Parlamentes und des Rates vom 11.12.2007 war bis zum 20.12.2009 in den Mitgliedstaaten umzusetzen (Art. 3 der RL). 12 ABl. EU Nr. L 94/65; ersetzt die bisherige Vergabekoordinierungsrichtlinie (VKR) 2004/18/EG. S.a. Gröning, VergabeR 2004, 339. 13 ABl. EU Nr. L 94/243; ersetzt die bisherige Sektorenrichtlinie (SKR) 2004/17/EG. 14 ABL. EU Nr. L 94/1. 15 Es existieren verschiedene Definitionsversuche, was eVergabe bedeutet: Digitalisierung der Beschaffungsprozesse für Vergaben (Bundesregierung); Durchführung der Vergabe öffentlicher Aufträge mit elektronischen Mitteln (Lit.). 16 Zentrale Beschaffungsstellen sind definiert als öffentlicher Auftraggeber, der für Dritte beschafft, d.h. für andere öffentliche Auftraggeber auf Dauer bedarfsdeckend durch Erwerb von Leistung, Durchführung von Vergaben oder Abschluss von Rahmenvereinbarungen tätig wird (= zentrale Beschaffungs-
776
Bischof
Die Entwicklung des Vergaberechts
Rz. 20
D
3.2 Vergaberechtsmodernisierungsesetz (VergModG) Zunächst hatte die Bundesregierung erste Eckpunkte für die Vergaberechtsreform17 ver- 15 öffentlicht, in denen die Umsetzungsstrategie dargestellt wurde. Ziel ist die umfassende Reformierung, Modernisierung und Vereinfachung sowie anwendungsfreundlichere Gestaltung. Es soll mehr Flexibilität bei der Vergabe bestehen. Hierzu soll u.a. die Möglichkeit zur Verhandlung mit den Bietern ausgeweitet werden und der öffentliche Auftraggeber frei zwischen offenem und nichtoffenem Verfahren wählen können. Die Regelungen zur Verfolgung strategischer Ziele (wie umweltbezogene, soziale oder innovative Aspekte) sollen ausgeweitet werden, insb. bei Vorliegen bestimmter Voraussetzungen durch einen pauschalen Verweis auf Gütezeichen/Labels bei Beschreibung der Leistung und bei Festlegung von Zuschlagskriterien. Weiter soll sichergestellt werden, dass die geltenden sozial- und arbeitsrechtlichen Verpflichtungen eingehalten werden, wie u.a. ein bundesweiter gesetzlicher Mindestlohn. Weiter sollen deutlich erleichterte Vergabeverfahren für soziale Dienstleistungen eingeführt 16 werden. Außerdem sollen – wie es die EU-Richtlinien auch ausdrücklich unter Kodifizierung vorliegender EuGH-Rspr. vorsehen – Inhouse-Vergaben ebenso erleichtert werden wie die Anpassung bestehender Verträge. Ziel ist weiterhin, eine mittelstandsfreundliche Vergabe zu gewährleisten. So soll der Vorrang der Losvergabe bestehen bleiben und für geforderte Mindestumsätze eine Höchstgrenze eingeführt werden. Für kleine Unternehmen und Neueinsteiger muss eine reale Chance bestehen, Aufträge zu erhalten. Von wesentlicher Bedeutung ist hierbei, dass es im Bereich der Vergabe von Lieferungen, 17 Leistungen und Dienstleistungen eine neue Vorschriftenstruktur geben soll, wonach die Regelwerke der VOL/A und VOF aufgehoben und inhaltlich in die Vergabeverordnung (VgV) integriert werden sollen. Für die Vergabe von Konzessionen (Bau und Dienstleistungen) soll es eine neue Rechtsverordnung geben. Die EU-Richtlinien sehen zudem die verbindliche Einführung der elektronischen Kom- 18 munikation im Vergabeverfahren vor (eVergabe). So müssen Angebote grds. elektronisch eingereicht werden. Ausnahmen sind abschließend definiert. Bei der Umsetzung soll im Hinblick auf den v.a. bei kommunalen Vergabestellen sowie kleinen und mittleren Unternehmen anfallenden, erheblichen Umstellungsaufwand bei der Umsetzung darauf geachtet werden, dass alle Betroffenen ausreichend Zeit für die notwendigen technischen Anpassungen haben. Daher sollen die betroffenen Vergabestellen die längere Umsetzungsfrist für die Einführung der elektronischen Kommunikation voll ausschöpfen können. I.Ü. werden die rechtlichen Vorgaben zur elektronischen Kommunikation und zum Datenaustausch mithilfe von elektronischen Mitteln für die verschiedenen Leistungsarten einheitlich ausgestaltet. Die Umstellung auf E-Vergabe für Bund, Länder und Kommunen wird eng durch den IT-Planungsrat begleitet. Zu beachten ist, dass die neuen Richtlinien schon früh in der Rspr. als „Orientierungsleitlinien“ erste Beachtung fanden.18
19
Ende April 2015 hatte das Bundesministerium für Wirtschaft und Energie den Referentenent- 20 wurf des Vergaberechtsmodernisierungsgesetzes (VergModG)19 (Bearbeitungsstand 30.4.2015)
tätigkeit, Art. 2 Nr. 14 VRL) und ggf. diese bei deren Beschaffungstätigkeiten unterstützt (Nebenbeschaffungstätigkeit, Art. 2 Nr. 15 VRL). 17 S. http://www.bmwi.de/BMWi/Redaktion/PDF/E/eckpunkte-zur-reform-des-vergaberechts,property=pdf, bereich=bmwi2012,sprache=de,rwb=true.pdf; zur Pressemitteilung vom 7.1.2015: http://www.bmwi. de/DE/Presse/pressemitteilungen,did=677832.html. 18 Vgl. Soudry/Hettich (Hrsg), Das neue Vergaberecht, Vorwort. 19 Abrufbar unter: http://www.bmwi.de/BMWi/Redaktion/PDF/P-R/reform-des-vergaberechts-referen tenentwurf,property=pdf,bereich=bmwi2012,sprache=de,rwb=true.pdf.
Bischof
777
D Rz. 21
Vergabe von IT-Leistungen
vorgelegt. Kern des VergModG ist die komplette Neufassung des Teils 4 des GWB über die Vergabe von öffentlichen Aufträgen und Konzessionen, der nach dem Referentenentwurf nun 90 Paragraphen enthält. Eine Vielzahl von Regelungen aus VgV und den Vergabe- und Vertragsordnungen sind dabei ins GWB „gewandert“, so insb. neu die Regelungen über die Durchführung der Vergabeverfahren. Es sollen die wesentlichen Vorgaben zur Vergabe öffentlicher Aufträge und Konzessionen im GWB geregelt sein, so insb. die allgemeinen Grundsätze des Vergaberechts, den Anwendungsbereich, die Vergabearten, die grundsätzlichen Anforderungen an Eignung und Zuschlag, die Anforderungen an die Selbstreinigung von Unternehmen und die neuen Vorgaben der EU-Vergaberichtlinien für die Kündigung sowie die Änderungen von öffentlichen Aufträgen und Konzessionen während der Vertragslaufzeit. 21
Der Erleichterung der praktischen Anwendung soll es dienen, dass der Ablauf des Vergabeverfahrens von der Leistungsbeschreibung über die Prüfung von Ausschlussgründen, die Eignungsprüfung, den Zuschlag bis hin zu den Bedingungen für die Ausführung des Auftrags erstmals im Gesetz vorgezeichnet wird.20 Aus Stellungnahmen geht hervor, dass begrüßt wird, dass der öffentliche Auftraggeber künftig die freie Wahl zwischen offenem und nichtoffenem Verfahren haben soll.21
22
Das Bundeskabinett hat am 8.7.2015 den vom Bundesministerium für Wirtschaft und Energie vorbereiteten Gesetzesentwurf der Bundesregierung zur Modernisierung des Vergaberechts verabschiedet. Am 17.12.2015 und 18.12.2015 haben Bundestag und Bundesrat das Gesetz zur Modernisierung des Vergaberechts angenommen. Am 18.4.2016 ist das VergModG22 zeitgerecht in Kraft getreten. Vergabeverfahren sind ab diesem Zeitpunkt gemäß der neuen Vorschriften des GWB durchzuführen. 3.3 Mantelverordnung
23
Das VergModG wird durch mehrere Rechtsverordnungen ergänzt, die eine Mantelverordnung zusammenfasst. Diese Mantelverordnung wurde erstmals am 9.11.2015 veröffentlicht.23 Sie wurde am 20.1.2016 von der Bundesregierung beschlossen und am gleichen Tag dem Bundestag vorgelegt. Zwischenzeitlich ist auch die Mantelverordnung bzw. ihre einzelnen Verordnungen in Kraft getreten und ab 18.4.2016 anzuwenden. Die Rechtsverordnungen greifen die allgemeinen Regelungen des VergModG auf und ergänzen diese in zahlreichen Detailfragen. Im Einzelnen handelt es sich um folgende Verordnungen24: – Vergabeverordnung (VgV) in Art. 1 Mantelverordnung, in der die Vergabe von öffentlichen Aufträgen durch öffentliche Auftraggeber näher ausgestaltet wird (sog. „klassische Auftragsvergabe“).
20 So unter einleitend B. des Referentenentwurfs zum VergModG (S. 2). 21 So u.a. die Stellungnahme des DAV durch den Ausschuss VergabeR vom 27.5.2015 (https://anwaltver ein.de/de/newsroom/sn-26-15-durch-den-ausschuss-vergaberecht-zum-referentenentwurf-vom-30-042015-zum-entwurf-eines-gesetzes-zur-modernisierung-des (abgerufen am 4.9.2016); s.a. Stellungnahme der Bundesvereinigung der kommunalen Spitzenverbände vom 26.5.2015 (s. http://www.dstgb.de/ dstgb/Homepage/Aktuelles/Archiv/Archiv%202015/Stellungnahme%3A%20Vergabe%20vereinfachen/ – abgerufen am 4.9.2016), Stellungnahme des Deutschen Industrie- und Handelskammertags vom 26.5.2015 (abrufbar über: http://www.dihk.de/themenfelder/recht-steuern/rechtspolitik/nationale-stel lungnahmen/dihk-positionen-zu-nationalen-gesetzesvorhaben [abgerufen am 31.8.2016]). 22 Gesetz zur Modernisierung des Vergaberechts (VergRModG) vom 17.2.2016, BGBl. 2016 Teil I Nr. 8 vom 23.2.2016. 23 S. unter http://www.bmwi.de/DE/Themen/Wirtschaft/Oeffentliche-Auftraege-und-Vergabe/reform-desvergaberechts.html (abgerufen am 31.8.2016). 24 Vorliegender Beitrag stellt ausschließlich auf die VgV ab und fokussiert auf die europaweite Vergabe von IT-Leistungen oberhalb der Schwellenwerte.
778
Bischof
Die Entwicklung des Vergaberechts
Rz. 27
D
– Sektorenverordnung (SektVO) in Art. 2 Mantelverordnung, die für Vergaben von Aufträgen im Bereich des Verkehrs, der Trinkwasserversorgung und der Energieversorgung durch Sektorenauftraggeber Regelungen trifft. – Konzessionsvergabeverordnung (KonzVgV) in Art. 3 Mantelverordnung, die als neu zu erlassende Rechtsverordnung erstmals umfassende Bestimmungen für Bau- und Dienstleistungskonzessionen enthält. – Vergabestatistikverordnung (VergStatVO) in Art. 4 Mantelverordnung, mit der erstmals eine Statistik über die Vergabe öffentlicher Aufträge und Konzessionen eingeführt wird. Die Art. 5–7 Mantelverordnung enthalten Folgeänderungen in der Vergabeverordnung Verteidigung und Sicherheit (VSVgV) sowie in anderen Rechtstexten und Bestimmungen zum Inkrafttreten/Außerkrafttreten.
24
4. Entwicklungen des nationalen unterschwelligen Vergaberechts Auf Landesebene verstärkt sich seit Jahren der Trend, sekundäre Ziele wie Mittelstandsför- 25 derung, Umweltschutz und Energieeffizienz, Frauen- und Familienförderung, Tariftreue, Mindestvergütung, Innovationsförderung u.Ä. in den landerechtlichen Bestimmungen, insb. Landesvergabegesetzen, zu verankern. Die Regelungen pro Bundesland sind heterogen und bedürfen daher bei nationalen Vergaben unterhalb der Schwellenwerte jeweils einer sorgfältigen Analyse. Es ist geplant, auch die nationalen Bestimmungen zu überarbeiten, die von den EU-Richt- 26 linien 2014 nicht betroffen waren und auch nicht Gegenstand der Vergaberechtsreform 2016 sind. Sinnvoll wäre sicherlich die parallele Überarbeitung zu den EU-Bestimmungen gewesen, um ein eklatantes „Auseinanderklaffen“ nationaler und EU-weiter Bestimmungen zu vermeiden, v.a. im Hinblick darauf, dass – ohne Reformierung auch der nationalen Bestimmungen – strengere Regelungen auf nationaler Ebene als auf EU-Ebene gelten würden und sich insofern „die Welt ins Gegenteil verkehren würde“. Status ist, dass sich auf nationaler Ebene zum 18.4.2016 (mit Ausnahme der VOB/A) keine Änderungen der Unterschwellenregelungen ergeben haben (die VOL/A im 1. Abschnitt gilt nach dem Haushaltsrecht unverändert weiter). Die angekündigte Reform des Unterschwellenvergaberechts war Gegenstand einer Bund- 27 Länder-Arbeitsgruppe. Diese diskutierte, welche Regelungen der neuen VgV und der VOL/A Abschnitt 1 bei der Entwicklung einer Unterschwellenvergabeordnung (so der Arbeitstitel) übernommen werden sollen. Am 31.8.2016 hat das Bundesministerium für Wirtschaft und Energie (BMWi) den Diskussionsentwurf einer Unterschwellenvergabeordnung veröffentlicht, die den 1. Abschnitt der VOL/A ablösen soll. Diese enthält 52 Paragrafen und gleicht die Regelungen des nationalen Vergaberechts in weiten Teilen an die EU-Reform an25. Konsultation und die weitere Abstimmung von Bund und Ländern erfolgt auf Basis dieses Entwurfs. Am 22.9.2016 fand eine Sitzung des Deutschen Vergabe- und Vertragsausschusses für Leistungen (DAL) statt. Am 10.10.2016 fand eine Verbändeanhörung im BWMi statt. Die dortigen Meinungsäußerungen sowie weitere schriftliche Stellungnahmen sollen geprüft und ggf. in den Entwurf eingearbeitet werden. Dann erfolgt eine neue Abstimmung mit den beteiligten Ressorts sowie den Ländern. Nach aktuellem Stand wird eine Veröffentlichung der UVgO im Bundesanzeiger erst 2017 erfolgen.26
25 S. zu einzelnen Regelungen Soudry, Vergabeblog.de vom 01/12/2016, Nr. 28077 und vom 11/12/2016, Nr. 28201. 26 S. hierzu unter Vergabeblog.de sowie unter www.forum-vergabe.de.
Bischof
779
D Rz. 28
Vergabe von IT-Leistungen
III. Aufbau, Struktur und rechtliche Grundlagen des Vergaberechts 1. Einfluss des Europarechts 28
Für das Vergaberecht in seiner heutigen Form ist maßgeblicher Ausgangspunkt das Europarecht, das sich wie folgt untergliedert: – Primäres Europarecht: die Bestimmungen des Vertrags über die Arbeitsweise der Europäischen Union (AEUV); – Sekundäres Europarecht: die Vorschriften der Richtlinien über die Koordinierung der Vergabe öffentlicher Aufträge.
29
Für das Vergaberecht sind aus dem AEUV als zu beachtendes Primärrecht insb. folgende Vorschriften von erheblicher Bedeutung, was sich auch aus Art. 26 Abs. 2 AEUV27 ableitet: – Vorschriften über die Marktfreiheiten, Art. 34, 49, 56 AEUV; – Diskriminierungsverbot, Art. 18 AEUV; – Freier Warenverkehr, Art. 34 AEUV; – Freier Dienstleistungsverkehr, Art. 49, 56 AEUV; – Arbeitnehmerfreizügigkeit, Art. 45 AEUV; – Kapitalverkehrsfreiheit, Art. 63 AEUV.
30
Die Regelungen des AEUV sind direkt anzuwenden, wenn die Richtlinien als Rahmenrecht keine Anwendung finden oder eine Regelungslücke aufweisen. Im Binnenmarkt existiert somit kein europarechtsfreier Raum, selbst wenn z.B. an einer Ausschreibung in einem der Mitgliedstaaten nur Inländer beteiligt sind.28 Die Regelungen finden zudem bei „eindeutig grenzüberschreitendem Interesse“ (Binnenmarktrelevanz)29 am Auftrag auch für Verträge Anwendung, die nicht den EU-Vergabe-RL unterfallen, konkret also bei: – Aufträgen unterhalb der Schwellenwerte30 – vom Anwendungsbereich ganz oder teilweise ausgenommene Aufträgen. 2. Unterscheidung nationales und EU-Vergaberecht
31
Das Vergaberecht ist nicht einheitlich in einem Gesetz, sondern in einer Vielzahl unterschiedlicher Normen auf unterschiedlichen Ebenen geregelt. Insb. muss im Hinblick auf die anzuwendenden Vorschriften sowie die Möglichkeiten des Rechtsschutzes sorgfältig unterschieden werden zwischen dem sog. EU-Vergaberecht und dem nationalen Vergaberecht.
27 Art. 26 Abs. 2 AEUV bestimmt: „Der Binnenmarkt umfasst einen Raum ohne Binnengrenzen, in dem der freie Verkehr von Waren, Personen, Dienstleistungen und Kapital gemäß den Bestimmungen der Verträge gewährleistet wird“. 28 S. EuGH v. 25.4.1996 – C-87/94, Slg. 1996 I, 2043 – Kommission ./. Königreich Belgien – „Wallonische Busse“. 29 Ob Binnenmarktrelevanz gegeben ist, wird immer wieder an folgende Aspekte geknüpft: (1) sehr geringfügige wirtschaftliche Bedeutung, (2) Art des Auftragsgegenstands, (3) Besonderheiten des betreffenden Sektors, (4) geographische Lage des Orts der Leistungserbringung. 30 S. hierzu die Interpretierende Mitteilung der Europäischen Kommission von 2006 zu „Auslegungsfragen in Bezug auf das Unionsrecht, das für die Vergabe öffentlicher Aufträge gilt, die nicht oder nur teilweise unter die Vergaberichtlinie fallen“, ABl. EU Nr. C 179 v. 1.8.2006, S. 2 ff. (Die gegen diese Mitteilung angestrengte Klage der Bundesregierung wurde vom EuG mit Urteil vom 20.5.2010 [T-258/06] abgewiesen, da die Mitteilung keine neuen Verpflichtungen erzeuge, sondern nur an bereits bestehende Verpflichtungen erinnere, wie diese sich nach der Auslegung des Unionsrechts ergeben.).
780
Bischof
Aufbau, Struktur und rechtliche Grundlagen des Vergaberechts
Rz. 37
D
Maßgeblich für diese Unterscheidung ist die Über- bzw. Unterschreitung des so genannten Schwellenwerts (s. zum Schwellenwert im Detail unter Rz. 81 ff.). Oftmals wird dieser Betrag – auch bei der Vergabe von IT-Leistungen – nicht überschritten 32 werden. Gerade bei Beschaffungen kleinerer Gemeinden oder bei Beschaffungen in eng abgegrenzten Einsatzgebieten kann der Auftragswert unter diesem Schwellenwert bleiben (auch bei Beschaffung eines IT-Systems) und damit der nationalen Vergabe unterliegen. Bei Beschaffungen von Bund und Ländern, v.a. übergeordneter Behörden, die für ihre nach- 33 rangigen Dienststellen mitbeschaffen oder beim Einkauf durch zentrale Beschaffungsstellen jedoch wird der Schwellenwert meist sogar weit überschritten. Dies liegt auch daran, dass nicht nur der Kauf von Soft- und/oder Hardware ausgeschrieben wird, sondern dass vielmehr eine Vielzahl weiterer Leistungen wie Konzepterstellungen, Migrationsleistungen, Schulung bis hin zur Pflege/Wartung ebenfalls Vertragsgegenstand werden sollen. Der Fokus nachfolgender Ausführungen liegt dennoch, v.a. wegen der wesentlich stärkeren Rechtsschutzmöglichkeiten, auf den die Schwellenwerte übersteigenden EU-Vergaben.
34
3. Nationales Vergaberecht unterhalb der Schwellenwerte Ein bundeseinheitliches Vergabegesetz gibt es nicht. Vielmehr ist auf die Haushaltsordnungen abzustellen, die wiederum allgemeine Regelungen enthalten, auf bestimmte Vorschriften verweisen bzw. im Erlasswege konkretisiert werden. Hier muss im jeweiligen Bundesland eine konkrete Prüfung erfolgen. Des weiteren haben die meisten Bundesländer ein Landesvergabegesetz eingeführt, das es ebenfalls zu beachten gilt.
35
Im Überblick lassen sich auf nationaler Ebene die einschlägigen Rechtsgrundlagen nach derzeitiger Rechtslage bei Drucklegung wie folgt darstellen:
36
– Haushaltsrecht: §§ 7 HGrG, 7, 55 BHO, 55 LHO, 29 ff. GemHVO – Landesvergabesetze, Erlasse, Verordnungen u.Ä. – Bauleistungen: VOB/A, Abschnitt 1 („Basisparagraphen“) – Liefer-/Dienstleistungen/sonstige Leistungen: VOL/A, Abschnitt 1 („Basisparagraphen“). Als wesentliche Inhalte/Zielrichtungen der Landesvergabegesetze lassen sich meist feststellen31: – Ausweitung des Vergaberechts auf den Unterschwellenbereich – Mindestvergütung und Tariftreue – Gleichstellung von Leihbeschäftigten – Umweltschutz – Energieeffizienz – Mindeststandards der ILO-Kernarbeitsnormen – Rechtsschutz unterhalb der Schwellenwerte32 – Ausweitung der Transparenzvorgaben.
31 Zu Beginn der Entwicklung des Vergaberechts wurden solche Kriterien meist als vergabefremd und damit unzulässig angesehen. Dies zeigt, wie sich das Rad – dank politischer Einflüsse – gewandelt hat. 32 Allerdings ohne dass eine effektive Durchsetzung gewährleistet würde.
Bischof
781
37
D Rz. 38
Vergabe von IT-Leistungen
4. EU-Vergaberecht oberhalb der Schwellenwerte 38
Die zu beachtenden Rechtsgrundlagen auf EU-Ebene lassen sich hierarchisch wie folgt darstellen: Kaskadenprinzip (Stand vor Reform zum 18.4.2016)
Vergaberichtlinien & Rechtsmittelrichtlinie
Gesetz gegen Wettbewerbsbeschränkungen (GWB)
782
Europäisches Primärrecht/ Grundfreiheiten
Europäisches Sekundärrecht (z.B. VO 1370, BADV)
Länderrecht (insbesondere Landesvergabegesetze und sonstige Landesgesetze)
Vergabeverordnung (VgV)
Sektorenverordnung (SektVO)
Vergabeverordnung Verteidigung und Sicherheit (VSVgV)
Bauleistungen VOB (1./2. Abschnitt)
Dienst- und Lieferleistungen VOL/A (1./2. Abschnitt)
Freiberufliche Dienstleistungen VOF
Bischof
Hilfreiche Dokumente bei der Vergabe von IT-Leistungen
D
Rz. 42
Kaskadenprinzip (Stand nach Reform ab 18.4.2016)
39
Das Kaskadensystem EU-VO EU-Primärrecht
Gesetz gegen Wettbewerbsbeschränkung (GWB) §§ 97 ff.
SektVO
VSVgV
Landesvergabegesetze
Vergabeverordnung (VgV)
VOB/A
VOL/A
1. Abschnitt Nationale Vergabe
1. Abschnitt Nationale Vergabe
2. Abschnitt EU-Vergabe
3. Abschnitt EU-Vergabe VS
Diese Vorschriften sind in der dargestellten Reihenfolge zu beachten (sog. Kaskadenprinzip). In aller Regel erfolgt die Vergabe von IT-Leistungen auf EU-Ebene nach den Vorschriften der VgV, die daher den Ausführungen in diesem Kapitel zugrunde gelegt werden.
40
IV. Hilfreiche Dokumente bei der Vergabe von IT-Leistungen Folgende Unterlagen sind für alle an einer Vergabe Beteiligten hilfreich bzw. nützlich. Teil- 41 weise wird deren zwingende Beachtung in der Praxis vorgesehen, obwohl den Dokumenten selbst kein zwingender Charakter zukommt. Letztlich handelt es sich überwiegend um Empfehlungen des Beauftragten der Bundesregierung für Informationstechnik33: 1. UfAB VI Die UfAB VI ist eine Unterlage für die Ausschreibung und Bewertung von IT-Leistungen.34 Sie soll es ermöglichen, auf der Grundlage der vergaberechtlichen Bestimmungen des nationalen Vergaberechts sowie der maßgeblichen EU-Richtlinien die
33 Sämtliche der nachgenannten Unterlagen stehen zum Download bereit unter www.cio.bund.de. 34 Derzeit Version 1.0 (Stand: 30.4.2015), 372 Seiten.
Bischof
783
42
Hilfreiche Dokumente bei der Vergabe von IT-Leistungen
D
Rz. 42
Kaskadenprinzip (Stand nach Reform ab 18.4.2016)
39
Das Kaskadensystem EU-VO EU-Primärrecht
Gesetz gegen Wettbewerbsbeschränkung (GWB) §§ 97 ff.
SektVO
VSVgV
Landesvergabegesetze
Vergabeverordnung (VgV)
VOB/A
VOL/A
1. Abschnitt Nationale Vergabe
1. Abschnitt Nationale Vergabe
2. Abschnitt EU-Vergabe
3. Abschnitt EU-Vergabe VS
Diese Vorschriften sind in der dargestellten Reihenfolge zu beachten (sog. Kaskadenprinzip). In aller Regel erfolgt die Vergabe von IT-Leistungen auf EU-Ebene nach den Vorschriften der VgV, die daher den Ausführungen in diesem Kapitel zugrunde gelegt werden.
40
IV. Hilfreiche Dokumente bei der Vergabe von IT-Leistungen Folgende Unterlagen sind für alle an einer Vergabe Beteiligten hilfreich bzw. nützlich. Teil- 41 weise wird deren zwingende Beachtung in der Praxis vorgesehen, obwohl den Dokumenten selbst kein zwingender Charakter zukommt. Letztlich handelt es sich überwiegend um Empfehlungen des Beauftragten der Bundesregierung für Informationstechnik33: 1. UfAB VI Die UfAB VI ist eine Unterlage für die Ausschreibung und Bewertung von IT-Leistungen.34 Sie soll es ermöglichen, auf der Grundlage der vergaberechtlichen Bestimmungen des nationalen Vergaberechts sowie der maßgeblichen EU-Richtlinien die
33 Sämtliche der nachgenannten Unterlagen stehen zum Download bereit unter www.cio.bund.de. 34 Derzeit Version 1.0 (Stand: 30.4.2015), 372 Seiten.
Bischof
783
42
D Rz. 43
Vergabe von IT-Leistungen
– Vergabeunterlagen eindeutig und vollständig zu erstellen sowie – Vergabeverfahren rechtskonform und zielführend zu gestalten. Die aktuellen UfAB VI stellen noch auf die zum 18.4.2016 außer Kraft getretene EU-Richtlinie 2004/18/EG ab und bedürfen derzeit der Überarbeitung im Hinblick auf die aktuellen EU-Richtlinienen sowie die erfolgte Umsetzung in GWB und VgV. 43
Ergänzend stehen folgende weiteren Dokumente zur Verfügung: – UfAB VI Bewertungsmatrix (einfache, erweiterte und gewichtete Bewertungsmethoden) – Mustervereinbarung Auftragsdatenverarbeitung (als Anlage für Verträge, wenn personenbezogene Daten im Auftrag verarbeitet werden sollen bzw. die Möglichkeit einer solchen „AuftragsDV“ denkbar ist). Unberücksichtigt ist in diesem Muster noch die DS-GVO. 2. SAGA
44 Unter SAGA sind „Standards und Architekturen für E-Government-Anwendungen“ (SAGA)35 zu verstehen. Diese sind eine Zusammenstellung von Referenzen auf Spezifikationen und Methoden für Software-Systeme der öffentlichen Verwaltung. Schwerpunktfelder von SAGA 5 sind Kommunikationsschnittstellen, Datenaustauschformate und Standards der ITSicherheit. 45
Die SAGA-Version de.bund 5.0 besteht aus folgenden Modulen: – SAGA-Modul Grundlagen de.bund 5.1.0 – SAGA-Modul Konformität de.bund 5.1.0 – SAGA-Modul Technische Spezifikationen de.bund 5.0.0
46
SAGA ist in der Bundesverwaltung verbindlich zu verwenden. Eine pauschale Forderung nach SAGA-Konformität sollte nicht erfolgen (wäre auch nicht zulässig) aufgrund der Kompelxität des Regelwerks. Als Bestandteil einer Ausschreibung sollten vielmehr konkrete Anforderungen in Bezug auf SAGA aufgenommen werden. 3. WiBe
47
WiBe sind Empfehlungen des Bundesministeriums des Inneren zur Durchführung von Wirtschaftlichkeitsbetrachtungen in der Bundesverwaltung, insb. beim Einsatz von IT, Version 4.1 (2007), sowie das „Konzept zur Durchführung von Wirtschaftlichkeitsbetrachtungen in der Bundesverwaltung, insb. beim Einsatz von IT“ (WiBe, Version 5.0).36
48
Bedeutung erlangt die WiBe im Hinblick auf das Haushaltsrecht: § 7 Bundeshaushaltsordnung (BHO) und die hierzu erlassenen Verwaltungsvorschriften schreiben vor, dass für alle finanzwirksamen Maßnahmen in der Bundesverwaltung angemessene Wirtschaftlichkeitsbetrachtungen durchgeführt werden müssen.
49
Interessant sind auch die Ausführungen „Empfehlung des Bundesrechnungshof zu Miete und Leasing von IT“ (Stand 2007): Danach sei grds. der Kauf vorzuziehen, da dies i.d.R. die günstigere Variante sei. Ob diese Aussage im Jahre 2016/2017 noch von Bestand ist, darf durchaus bezweifelt werden, auch im Hinblick auf die Tendenz der IT-Branche, zu Mietmodellen, Cloud-Lösungen u.Ä. zu wechseln.
35 Derzeit in der Version 5.0 (2011). 36 Anlage zum Beschluss Nr. 2015/3 des Rates der IT-Beauftragten der Ressorts v. 19.2.2015.
784
Bischof
Die allgemeinen Grundstze des Vergaberechts (§ 97 GWB)
Rz. 53
D
4. Migrationsleitfaden Der Leitfaden für die Migration der Basissoftwarekomponenten auf Server- und Arbeitsplatz- 50 Systemen37 liefert einen guten Überblick über wichtige Aspekte von Software-Migrationen sowie eine praktische Hilfe für deren Planung und Durchführung. Ergänzend sind folgende Dokumente vorhanden: – Wirtschaftliche Aspekte von Software-Migrationen38 – Rechtliche Aspekte der Nutzung, Verbreitung und Weiterentwicklung von Open-SourceSoftware39 5. Weitere Dokumente Hilfreich sind zudem folgende Unterlagen, die unter dem Stichwort „Architekturen und Standards“ auf www.cio.bund.de zu finden sind:
51
– Architekturmanagement – Daten- und Prozessmodellierung – Offene Dokumentenformate – V-Modell XT – V-Modell XT Bund – Organisationskonzept E-Verwaltung – Styleguide der Bundesregierung – S-O-S-Methode© für Großprojekte
V. Die allgemeinen Grundsätze des Vergaberechts (§ 97 GWB) Die wesentlichen im Vergaberecht grds. zu berücksichtigenden Säulen und damit die Grundprinzipien des Vergaberechts bestimmt § 97 Abs. 1–4 und § 122 GWB wie folgt:
52
– Wettbewerbsgrundsatz – Diskriminierungsverbot und Gleichbehandlungsgebot – Transparenzgebot – Berücksichtigung mittelständischer Interessen – Prinzip der Wirtschaftlichkeit und der Verhältnismäßigkeit – Vergabe an geeignete Unternehmen (§ 122 GWB).40 Hinzugekommen ist die Einbeziehung strategischer Ziele in § 97 Abs. 3 GWB, wonach Aspek- 53 te der Qualität und der Innovation sowie soziale und umweltbezogene Aspekte nach Maßgabe von Teil 4 (Vergabe von öffentlichen Aufträgen und Konzessionen) berücksicht werden. Dies ist auf die Stärkung der Einbeziehung strategischer Ziele bei der Beschaffung durch die Richtlinien 2014/23/EU, 2014/24/EU und 2014/25/EU zurückzuführen. In jeder Phase eines Verfah37 38 39 40
Derzeit Version 4.0, Stand 3/2012. Version 4.0, Stand 3/2012. Version 4.2, Stand 3/2010. S. hierzu Kulartz/Kus/Portz (Hrsg.), GWB-VergabeR, 3. Aufl. 2014, § 97 GWB Rz. 4 ff.; Lux, in: MüllerWrede, VOL/A Kommentar, 4. Aufl. 2014; so auch Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 2. Aufl. 2007, Einleitung Rz. 12 ff.; Eberstein, in: Daub/Eberstein, VOL/A Kommentar, Einführung Rz. 64; Unterlage für die Ausschreibung und Bewertung von IT-Leistungen (UfAB IV Version 1.0, 11/2006).
Bischof
785
Die allgemeinen Grundstze des Vergaberechts (§ 97 GWB)
Rz. 53
D
4. Migrationsleitfaden Der Leitfaden für die Migration der Basissoftwarekomponenten auf Server- und Arbeitsplatz- 50 Systemen37 liefert einen guten Überblick über wichtige Aspekte von Software-Migrationen sowie eine praktische Hilfe für deren Planung und Durchführung. Ergänzend sind folgende Dokumente vorhanden: – Wirtschaftliche Aspekte von Software-Migrationen38 – Rechtliche Aspekte der Nutzung, Verbreitung und Weiterentwicklung von Open-SourceSoftware39 5. Weitere Dokumente Hilfreich sind zudem folgende Unterlagen, die unter dem Stichwort „Architekturen und Standards“ auf www.cio.bund.de zu finden sind:
51
– Architekturmanagement – Daten- und Prozessmodellierung – Offene Dokumentenformate – V-Modell XT – V-Modell XT Bund – Organisationskonzept E-Verwaltung – Styleguide der Bundesregierung – S-O-S-Methode© für Großprojekte
V. Die allgemeinen Grundsätze des Vergaberechts (§ 97 GWB) Die wesentlichen im Vergaberecht grds. zu berücksichtigenden Säulen und damit die Grundprinzipien des Vergaberechts bestimmt § 97 Abs. 1–4 und § 122 GWB wie folgt:
52
– Wettbewerbsgrundsatz – Diskriminierungsverbot und Gleichbehandlungsgebot – Transparenzgebot – Berücksichtigung mittelständischer Interessen – Prinzip der Wirtschaftlichkeit und der Verhältnismäßigkeit – Vergabe an geeignete Unternehmen (§ 122 GWB).40 Hinzugekommen ist die Einbeziehung strategischer Ziele in § 97 Abs. 3 GWB, wonach Aspek- 53 te der Qualität und der Innovation sowie soziale und umweltbezogene Aspekte nach Maßgabe von Teil 4 (Vergabe von öffentlichen Aufträgen und Konzessionen) berücksicht werden. Dies ist auf die Stärkung der Einbeziehung strategischer Ziele bei der Beschaffung durch die Richtlinien 2014/23/EU, 2014/24/EU und 2014/25/EU zurückzuführen. In jeder Phase eines Verfah37 38 39 40
Derzeit Version 4.0, Stand 3/2012. Version 4.0, Stand 3/2012. Version 4.2, Stand 3/2010. S. hierzu Kulartz/Kus/Portz (Hrsg.), GWB-VergabeR, 3. Aufl. 2014, § 97 GWB Rz. 4 ff.; Lux, in: MüllerWrede, VOL/A Kommentar, 4. Aufl. 2014; so auch Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 2. Aufl. 2007, Einleitung Rz. 12 ff.; Eberstein, in: Daub/Eberstein, VOL/A Kommentar, Einführung Rz. 64; Unterlage für die Ausschreibung und Bewertung von IT-Leistungen (UfAB IV Version 1.0, 11/2006).
Bischof
785
D Rz. 54
Vergabe von IT-Leistungen
rens, von der Definition der Leistung über die Festlegung von Eignungs- und Zuschlagskriterien bis hin zur Vorgabe von Ausführungsbedingungen, können qualitative, soziale, umweltbezogene oder innovative (nachhaltige) Aspekte einbezogen werden. Mit Blick auf die Beschaffung energieverbrauchsrelevanter Waren oder die Berücksichtigung der Belange von Menschen mit Behinderung bei der Definition der Leistung sind vom öffentlichen Auftraggeber sogar zwingende Vorgaben zu machen. Die konkrete Ausgestaltung der Möglichkeiten zur Einbeziehung strategischer Ziele erfolgt bei den jeweiligen gesetzlichen Einzelvorschriften sowie in den Rechtsverordnungen, also u.a. VgV. 54
Diese Vergaberechtsgrundsätze sind unabhängig vom anwendbaren Vergabeverfahren und auch weitestgehend unabhängig davon, ob die Vergabe ober- oder unterhalb der Schwellenwerte stattfindet, anzuwenden. Sie sind vom Anspruch der Bieter auf Einhaltung der Bestimmungen des Vergaberechts i.S. eines effektiven Rechtsschutzes gem. § 97 Abs. 6 GWB umfasst.41
55
Die Grundsätze des Wettbewerbs und der Gleichheit im Vergabeverfahren bedingen sich gegenseitig. Der Grundsatz der Transparenz des Vergabeverfahrens gegenüber den Verfahrensbeteiligten gewährleistet die Einhaltung von Wettbewerb und Gleichbehandlung. Der Grundsatz des Wettbewerbs zwischen den Bietern wiederum ist durch den Grundsatz der Gleichbehandlung begrenzt: So sind Nachverhandlungen mit einzelnen Bietern sowie das Nachschieben von Angeboten grds. verboten. Das Transparenzgebot kann durchaus mit dem Wettbewerbsgrundsatz kollidieren, da im Vergaberecht auch der Grundsatz des Geheimwettbewerbs gilt.42 1. Wettbewerbsgrundsatz
56
Die wettbewerbliche Vergabe ist das tragende Prinzip und das zentrale Element bei der Beschaffungstätigkeit der öffentlichen Hand.43 Der Schutz der wettbewerblichen Vergabe ist daher denkbar weit und umfassend zu verstehen.44 Das Wettbewerbsgebot geht also weiter als nur zu fordern, dass überhaupt ein Wettbewerb besteht. Vielmehr wirkt sich dieser Grundsatz auch auf die Durchführung der Vergabeverfahren aus: Der Wettbewerbsgrundsatz verlangt, in einem möglichst formalisierten Verfahren möglichst vielen Bietern die Gelegenheit zu geben, ihre Leistungen anzubieten. Weiter müssen die Vergabeunterlagen so gestaltet sein, dass es überhaupt einen offenen Wettbewerb geben kann. Dementsprechend dürfen bestimmte Produkte/Hersteller nur ausnahmsweise vorgeschrieben werden, wenn es dafür einen sachlichen Grund gibt.
57
Der öffentliche Auftraggeber ist zudem verpflichtet, wettbewerbsbeschränkende und unlautere Verhaltensweisen zu bekämpfen. Darunter sind ganz allg. Verhaltensweisen der Bieter zu verstehen, die den Wettbewerb beeinträchtigen. Gleiches gilt aber auch für das Verhalten des öffentlichen Auftraggebers selbst. Der Begriff ist weit auszulegen.
58
Unter § 97 Abs. 1 GWB fallen beispielsweise45 – unlautere Handlungsweisen im engeren Sinne, die gegen die guten Sitten verstoßen und damit § 1 UWG verletzen,
41 S. Dreher, in: Dreher/Stockmann, Kartellvergaberecht, § 97 GWB Rz. 4. 42 S. Dreher, in: Dreher/Stockmann, Kartellvergaberecht, § 97 GWB Rz. 11; s.a. OLG Düsseldorf v. 16.9.2003 – Verg 52/03 WuW/E Verg 879, 880: „Wesentliches und unverzichtbares Kennzeichen einer Auftragsvergabe im Wettbewerb ist die Gewährleistung eines Geheimwettbewerbs zwischen den an der Ausschreibung teilnehmenden Bietern.“ 43 S. ausführlich Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 10 ff. 44 S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 10 ff. 45 S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 16 sowie Rz. 50 ff. mit ausführlichen Rechtsprechungs- und Literaturnachweisen.
786
Bischof
Die allgemeinen Grundstze des Vergaberechts (§ 97 GWB)
Rz. 63
D
– Wettbewerbshandlungen, die gegen Sondervorschriften des UWG verstoßen, – Wettbewerbshandlungen, die gegen Vorschriften anderer Gesetze verstoßen sowie – Verhaltensweisen, die den ordentlichen Gepflogenheiten in Industrie, Handel und Handwerk zuwiderlaufen,46 wie z.B. irreführende Angaben gegenüber der Vergabestelle. Wettbewerbsbeschränkende Absprachen zwischen Bietern stellen schwere Verfehlungen dar 59 und führen zum Ausschluss aus dem Vergabeverfahren (vgl. § 16 Abs. 3 lit. f VOL/A bzw. § 124 Abs. 1 Nr. 4 GWB). Erforderlich ist hierbei der konkrete Nachweis einer derartigen, getroffenen Abrede in Bezug auf die konkrete Vergabe i.S. und mit dem Zweck einer unzulässigen Wettbewerbsbeschränkung. Die Anforderungen sind anerkanntermaßen hoch.47 2. Transparenzgebot Das Transparenzgebot (§ 97 Abs. 1 GWB)48 fordert eine transparente Verfahrensweise, um die 60 Einhaltung vom Wettbewerbs- und Gleichbehandlungsgrundsatz zu sichern. Transparenz sorgt für Vertrauen bei den Bewerbern/Bietern und für Überschaubarkeit und Nachvollziehbarkeit der getroffenen Entscheidungen in Abgrenzung zur Willkür. Aus diesem Grundsatz ergeben sich die Dokumentations-, Informations und Veröffentlichungspflichten. So fordert das Transparenzgebot eine möglichst umfangreiche Information der Bieter und eine nachvollziehbare Gestaltung des Vergabeverfahrens. Das Gebot wird u.a. gewährleistet durch die Einhaltung entsprechender Bekanntmachungs- 61 vorschriften sowie eine transparente Gestaltung der Vergabeunterlagen, was bedeutet, dass diese so eindeutig sein müssen, dass alle Bieter diese gleichermaßen verstehen können. Hierher gehört auch die Verpflichtung der öffentlichen Hand, die einzelnen Verfahrensschritte, insb. die getroffenen Entscheidungen, zeitnah und nachvollziehbar zu dokumentieren. Hierzu hat sich eine Rspr. entwickelt, die weit über den Wortlaut der bisherigen Regelung der § 20, § 24 EG VOL/A bzw. nun von § 6 VgV zur Dokumentation hinausgeht.49 Zu beachten ist v.a., dass die Dokumentationspflicht, die das Transparenzgebot letztlich konkretisiert, für alle Verfahrensarten, und zwar von Anfang des Verfahrens an, gilt und zur fortlaufenden, zeitnahen Dokkumentation verpflichtet. Auch muss erkennbar sein, wer wann welche einzelnen Entscheidungen getroffen hat. Dokumentationsmängel führen dazu, dass das Vergabeverfahren ab dem Zeitpunkt, in dem die Dokumentation unzureichend ist, fehlerbehaftet ist.50 Gerade im Rahmen eines Verhandlungsverfahrens (s. Rz. 200 ff., 320 ff.), in welchem nicht nur weniger formale Vorgaben bestehen, sondern auch Inhalte verändert und verhandelt werden können, ist die Dokumentation als Basisnachweis für die Einhaltung des Transparenzgebots von außerordentlicher Bedeutung.
62
Denn nur auf dieser Grundlage kann ein Bieter die Wertung seines Angebots nachvollziehen 63 und mögliche Rechtsverletzungen erkennen. Nur auf einer solchen Basis ist ein rechtssicheres Nachprüfungsverfahren51 überhaupt durchführbar; Mängel der Dokumentation gehen dabei zulasten des öffentlichen Auftraggebers. Allein daher ist auf die Dokumentation ein besonderes Augenmerk zu legen: Gesprächs- und Verhandlungsprotokolle erfordern große 46 S. 1. VK Sachsen, Beschl. v. 19.5.2009 – 1/SVK/008-09; VK Südbayern, Beschl. v. 11.8.2005 – 35-07/05. 47 S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 25 ff. m.w.N. zur konkreten Nachweispflicht. 48 S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 219 ff. 49 S. den ausführlichen Rechtsprechungsnachweis bei Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 220, 221 ff., 226 ff. 50 Vgl. VK Halle, Beschl. v. 22.2.2013 – 1 VK LSA 21/12 zur Wiederholung des Vergabeverfahrens ab dem Zeitpunkt, in dem die Dokumentation unzureichend ist. 51 S. zum Rechtsschutz im Nachprüfungsverfahren zusammenfassend unter Rz. 413 ff.
Bischof
787
D Rz. 64
Vergabe von IT-Leistungen
Sorgfalt und sind sämtlichen Beteiligten zur Kenntnis zu geben, damit diese die Möglichkeit haben, die Dokumentationen zu korrigieren oder mit eigenen Darstellungen zu ergänzen.52 In der Praxis ist es daher zu empfehlen, Gespräche und Verhandlungen mit konkreten Frageschemata, Tagesordnungen u.Ä. vorzubereiten, um die Vergleichbarkeit der Erörterungen von Angeboten zu unterstützen.53 3. Diskriminierungsverbot/Gleichbehandlungsgebot 64
Der verfassungsrechtlich verankerte Gleichheitsgrundsatz (Art. 3 GG) ist seit jeher elementares Prinzip des deutschen Vergaberechts und hat in § 97 Abs. 2 GWB eine spezifische gesetzliche und vergaberechtliche Normierung als Gleichbehandlungsgebot/Diskriminierungsverbot54 erfahren. Er ist in allen Phasen des Vergabeverfahrens zu beachten (also von der Vorbereitung bis zur Beendigung) und dient v.a. dazu, die Vergabeentscheidung im Interesse eines funktionierenden Wettbewerbs auf willkürfreie, sachliche Erwägungen zu stützen.55 Das Gleichbehandlungsgebot steht in engem Zshg. mit dem Wettbewerbsgebot, denn: nur unter Gleichen kann Wettbewerb herrschen.
65
Letztlich verbietet der Gleichbehandlungsgrundsatz die (unmittelbare und mittelbare) Diskriminierung von Unternehmen bei der Auftragsvergabe. Alle Bieter sind gleich zu behandeln bzw. nicht ohne sachlichen Grund unterschiedlich zu behandeln.
66
Das Gleichbehandlungsgebot führt aber nicht zu einer Pflicht der Vergabestelle, bestehende Wettbewerbsvorteile und -nachteile potentieller Bieter durch die Gestaltung der Vergabeunterlagen „auszugleichen“.56
67
Als besonders bedeutsame Beispiele aus der Rspr., die das Gleichbehandlungsgebot prägen, sind zu nennen57: – Unzulässigkeit der ausschließlichen Berücksichtigung örtlicher Unternehmen („vergabefremdes Auswahlkriterium“);58 – Bindung der Vergabestelle an die bekannt gemachten Eignungskriterien;59 – Verpflichtung zur Angabe von Zuschlagskriterien und der Gewichtung, falls eine solche vorgenommen wurde;60 – Verpflichtung der Vergabestelle, im Verhandlungsverfahren mit mehreren Bietern allen Bietern die gleichen Informationen zukommen zu lassen und ihnen die Chance zu geben, innerhalb gleicher Fristen und zu gleichen Anforderungen Angebote abzugeben.61
52 S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 226 ff. umfassend zur Dokumentationspflicht sowie Rz. 363 ff. zur Pflicht zur gleichen Informationsverschaffung für alle Bieter, jeweils m.w.N. und Beispielen aus der Rspr. 53 S.a. VK Arnsberg, Beschl. v. 1.9.2004 – VK 2-16/2004. 54 S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 369 ff. 55 S. OLG Saarbrücken v. 29.5.2002 – 5 Verg 1/01; VK Bdb., Beschl. v. 19.3.2004 – VK 86/03; Beschl. v. 8.12.2003 – VK 58/04. 56 S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 379 mit Verweis auf BayObLG v. 5.11.2002 – Verg 22/02. 57 S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 384 ff., 391 ff. mit weiteren ausführlichen Beispielen. 58 S. 3. VK Bund, Beschl. v. 12.11.2009 – VK 3-208/09; OLG Düsseldorf v. 26.7.2002 – Verg 28/02; s.a. Müller-Wrede, VergabeR 2005, 32. 59 S. OLG Düsseldorf v. 25.11.2002 – Verg 56/02; v. 24.6.2002 – Verg 26/02. 60 S. EuGH v. 12.12.2002 – C-470/99 – Universale-Bau. S.a. § 8 Abs. 1 lit. b, § 12 Abs. 2 lit. n VOL/A bzw. § 10 EG Abs. 2 lit. c VOL/A. 61 S. 1. VK Sachsen, Beschl. v. 13.5.2002 – 1/SVK/029-02.
788
Bischof
Die allgemeinen Grundstze des Vergaberechts (§ 97 GWB)
Rz. 72
D
4. Vertraulichkeitsgebot Im Vergaberecht gilt – auch ohne ausdrückliche Nennung im GWB – ein Vertraulichkeits- 68 gebot62 hinsichtlich aller i.R.d. Verfahrens erhaltenen Informationen. Welche Informationen der Vertraulichkeit unterliegen und auf welche Art und Weise diese gesichert wird, liegt im pflichtgemäß auszuübenden Ermessen der Beteiligten eines Vergabeverfahrens. Im Hinblick auf das im Rahmen eines Nachprüfungsverfahrens gem. § 165 GWB bestehende Recht zur Einsichtnahme in die Vergabeakten der Vergabestelle (s.a. Rz. 473), ist allen Bietern zu empfehlen, bereits im Vergabeverfahren bestehende Betriebs- oder Geschäftsgeheimnisse entsprechend zu kennzeichnen, da diese gekennzeichneten Informationen gem. § 165 Abs. 3 GWB nicht der Akteneinsicht unterliegen. In aller Regel werden IT-Unternehmen ihren Lösungsansatz sowie die preisliche Gestaltung schützen. Viele Anbieter gehen sogar so weit, ihr gesamtes Angebot entsprechend zu kennzeichnen, um der Konkurrenz dadurch auch im Wege der Akteneinsicht keinerlei Informationen (weder zu Formalia, Struktur und Inhalt des Angebots) zukommen zu lassen.
69
5. Gebot der Berücksichtigung mittelständischer Interessen Zum Gebot der Berücksichtigung mittelständischer Interessen63 wird in § 97 Abs. 4 GWB 70 bestimmt, dass die Berücksichtigung dieser Interessen im Wesentlichen durch Teilung der Aufträge in Fach- und Teillose erfolgen soll. Eine generelle Privilegierung mittelständischer Unternehmen bei der Auftragsvergabe wird damit jedoch nicht gestattet.64 Die Vorgabe in § 97 Abs. 4 GWB und der darin normierte Vorrang der Losvergabe65 ist jedoch 71 nicht so zu verstehen, dass der Mittelstand nur durch die Bildung von Losen gefördert werden kann und muss. Es kommen auch andere Maßnahmen in Betracht, wie z.B. – die Zulassung von Bietergemeinschaften; – die Loslimitierung, z.B. durch Vorgabe, dass Bieter nur auf eine bestimmte Anzahl von Losen anbieten dürfen (sog. Angebotslimitierung) oder dass nur eine bestimmte Anzahl von Losen an einen Bieter gehen, der aber auf alle Lose anbieten darf (sog. Zuschlagslimitierung);66 – Vorgaben im Hinblick auf die Erteilung von Unteraufträgen. Der Auftraggeber hat bei seiner Entscheidung, ob er eine Los- oder Gesamtvergabe aus- 72 schreibt, zu erwägen, ob der Fach- oder Teillosvergabe67 keine ernsthaften wirtschaftlichen oder technischen Belange entgegenstehen.68 Die Entscheidung gegen eine Losvergabe ist zu begründen und diese Entscheidung in der Vergabeakte zu dokumentieren. Diese Entscheidung ist – im Hinblick auf das dem Auftraggeber zustehende umfassende Leistungsbestimmungsrecht – nur darauf zu prüfen, ob sie auf einer vollständigen und zutreffenden Tatsachengrundlage beruht sowie aus vernünftigen Erwägungen heraus und im Ergebnis vertretbar getroffen wurde. Gefordert wird weder eine marktunübliche Trennung von Aufträgen noch eine unwirtschaftliche Zersplitterung des Auftrags.69 62 63 64 65 66
S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 393 ff. m.w.N. S. Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 268 ff. S. Reidt/Stickler/Glahs, Vergaberecht Kommentar 2003, § 97 GWB Rz. 13. S. Noch, Vergaberecht kompakt 7. Aufl. 2016, Rz. 435 ff. S. hierzu Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 560 ff. m.w.N.; s.a. OLG Düsseldorf, Beschl. v. 14.11.2012 – VII-Verg 28/12; Burgi, NZBau 2006, 693 ff. 67 S. zur Begriffsbestimmung Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 512 ff. 68 S. OLG Düsseldorf v. 8.9.2004 – VII – Verg 38/04; 1. VK Bund Beschl. v. 1.2.2001 – VK 1-1/01. S.a. § 5 VOL/A. 69 S. VK Bund, Beschl. v. 27.8.2012 – VK 2-65/12; OLG Düsseldorf v. 25.4.2012 – VII-Verg 100/11.
Bischof
789
D Rz. 73 73
Vergabe von IT-Leistungen
Für eine Gesamtvergabe70 können folgende Punkte sprechen, die im jeweiligen Einzelfall konkret darzulegen sind: – Vermeidung von Schnittstellenrisiken – Erfordernis einer einheitlichen Systematik – Kompatibilitäts-Erfordernisse – Vermeidung von Splitterlosen.
74
In der Praxis der Vergabe von IT-Leistungen findet sich eine Losbildung v.a. im Zshg. mit der Ausschreibung von Hardware, wenn PC‘s, Bildschirme, Tastaturen, Mäuse, Drucker u.Ä. beschafft werden. Bei der Ausschreibung komplexer IT-Projekte bzw. von Systemverträgen hingegen wird in aller Regel aufgrund der bestehenden technischen und wirtschaftlichen Zusammenhänge die Gesamtvergabe bevorzugt. Mittelständische Interessen werden hierbei durch die Berücksichtigung von Bietergemeinschaften sowie die Möglichkeit der Beauftragung von Subunternehmern berücksichtigt. 6. Vergabe an geeignete Unternehmen, Prinzip der Wirtschaftlichkeit, Verhältnismäßigkeitsgrundsatz
75
Nun werden ausdrücklich in § 97 Abs. 1 GWB als Grundsätze auch Wirtschaftlichkeit und Verhältnismäßigkeit genannt. Der Grundsatz der Wirtschaftlichkeit (bis zur Vergaberechtsreform verteilt auf zahlreiche Vorschriften des GWB) wird nun als allgemeiner Grundsatz hervorgehoben (wie dies auch die 3 EU-Richtlinien 2014 tun).
76
Das Gebot der Wirtschaftlichkeit bedeutet einerseits, dass der Auftraggeber nicht gezwungen werden kann, gegen seinen Willen unwirtschaftlich zu handeln. So können z.B. im ITK-Bereich Umstellungskosten bei der Angebotswertung berücksichtigt werden.71 Es kann sogar sein, dass der Umstand, dass die Beschaffung nur mit einem Unternehmen wirtschaftlich realisiert werden kann, dazu führt, dass auf ein wettbewerbliches offenes Verfahren verzichtet werden kann, wobei an die Dokumentation hier hohe Anforderungen gestellt werden.
77
Andererseits bedeutet es auch, dass der Zuschlag auf das wirtschaftlichste Angebot zu erfolgen hat. Die Entscheidung, anhand welcher Zuschlagskriterien diese Ermittlung erfolgt, obliegt dem Auftraggeber.
78
Der Verhältnismäßigkeitsgrundsatz war bislang ein ungeschriebenes Prinzip, das mit der anstehenden Vergaberechtsreform Einzug ins GWB erhält. § 97 Abs. 1 GWB lautet nun: „Öffentliche Aufträge und Konzessionen werden im Wettbewerb und im Wege transparenter Verfahren vergeben. Dabei werden die Grundsätze der Wirtschaftlichkeit und der Verhältnismäßigkeit gewahrt.“ Die Ergänzung bedeutet keine inhaltliche Änderung, sondern letztlich die Umsetzung der Anforderungen aus den EU-Richtlinien. Die Verhältnismäßigkeitsprüfung erfolgt nach folgenden bekannten Prüfungsschritten: Ein legitimes Ziel muss durch die Maßnahme erreicht werden können (Geeignetheit), es darf hierfür kein milders Mittel geben (Erforderlichkeit) und die Einschränkung darf nicht außer Verhältnis zur Bedeutung des Allgemeininteresses stehen (Angemessenheit/Verhältnismäßigkeit im engeren Sinne).72 Die Gesetzesbegründung betont in ihrer Anmerkung zu § 97 Abs. 1 GWB ausdrücklich, dass 70 S. aber auch VK Bund, Beschl. v. 9.5.2014 – VK 1-26/14: „Der mit einer Fachlosvergabe allgemein verbundene Ausschreibungs-, Prüfungs- und Koordinierungsaufwand sowie ein höherer Aufwand bei Gewährleistungen können eine Gesamtvergabe für sich allein nicht rechtfertigen, weil es sich dabei um einen Fachlosvergaben immanenten und damit typischerweise verbundenen Mehraufwand handelt, der nach dem Zweck des Gesetzes grds. in Kauf zu nehmen ist. 71 S. Opitz, CR 2014, 281 ff. 72 Vgl. aus europarechtlicher Sicht: EuGH v. 15.5.1986 – 222/84, Slg. 1986, 165 – Johnston; v. 13.7.2000 – C-423/98 – Albore; v. 1.2.2001 – C-108/96, Dennis Max Quen u.a.
790
Bischof
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
D
Rz. 81
durch die klarstellende Aufnahme des Verhältnismäßigkeitsgrundsatzes mit Blick auf die Anforderungen an das Vergabeverfahren das umfassende Leistungsbestimmungsrecht des öffentlichen Auftraggebers nicht angetastet wird; dieser bestimmt auch weiterhin selbst, welche konkrete Leistung seinem Beschaffungsbedarf am besten entspricht. Zu den wesentlichen Grundsätzen der Vergabe gehört auch, dass die Aufträge an fachkundi- 79 ge und leistungsfähige (geeignete) Unternehmen vergeben werden, die nicht nach den §§ 123, 124 GWB auszuschließen sind. (s. Rz. 232 ff.).73
VI. Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe) 1. Übersicht Kriterien der §§ 97 ff. GWB Ein Auftraggeber ist verpflichtet, anhand der Kriterien der §§ 97 ff. GWB festzustellen, ob die Beschaffung der konkreten IT-Leistungen dem Regime des Vergaberechts unterliegt.74 Dies ist anhand folgender Kriterien zu bestimmen:
80
1. Nationales oder EU-Vergaberecht: Überschreitung der Schwellenwerte (§ 106 GWB)75 2. Keine Bereichsausnahme (u.a. allgemeine Ausnahmen gemäß § 107 GWB sowie die besonderen Ausnahmen in §§ 116, 117 GWB oder §§ 138 ff. GWB). 3. Öffentlicher Auftraggeber i.S.d. § 99 GWB: – Kein Inhouse-Geschäft – Kein Instate-Geschäft 4. Geplante Beschaffung ist eine finanzwirksame Maßnahme gem. § 55 BHO76 5. Beschaffung von Waren, Bau- oder Dienstleistungen i.S.v. § 97 Abs. 1 i.V.m. § 103 GWB 6. Entgeltlicher Vertrag i.S.d. § 103 Abs. 1 GWB 7. Vertrag mit einem Unternehmen i.S.d. § 103 Abs. 1 GWB 8. Beschaffungsmaßnahme am Markt. 2. Schwellenwerte und Wertgrenzen 2.1 EU-Schwellenwerte Die sachlichen Voraussetzungen ergeben sich aus § 106 GWB,77 in dem geregelt ist, dass 81 nur bei Überschreitung der festgelegten EU-Schwellenwerte das EU-Vergaberecht zur Anwendung gelangt.78 Die Schwellenwerte sind nicht in der Regelung selbst enthalten, sodass keine regelmäßige Anpassung des Gesetzestextes notwendig ist. Es erfolgt in § 106 Abs. 2 Nr. 1–4 GWB eine dynamische Verweisung auf die in den jeweiligen Artikeln der maßgeblichen EU-Richtlinien geregelten Schwellenwerte in der jeweils geltenden Fassung. Maßgeblich für die Vergabe von IT-Leistungen ist, abgesehen von den Sondervorschriften für den Sektorenbereich, für den Bereich Verteidigung und Sicherheit, oberste und obere Bundes73 S. hierzu ausführlich Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 684 ff. zu Eignungskriterien und Rz. 806 ff. zur Eignungsprüfung; s. zum wirtschaftlichsten Angebot Rz. 1123 ff. 74 S. hierzu ausführlich Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, Kommentierung zu §§ 97–99 GWB; s.a. Bischof, in: Schneider/Graf von Westphalen, Kap. N. Rz. 29 ff. 75 S. zu den Rechtsgrundlagen Rz. 38 ff.; zu den Schwellenwerten nachfolgend Rz. 81 ff. 76 Neben der BHO sind zudem auch die jeweiligen landesrechtlichen Haushaltsvorschriften zu beachten (z.B. Art. 55 HO Bay). 77 Im Sektorenbereich: §§ 1, 2 SektVO; im Bereich Verteidigung/Sicherheit: §§ 1, 3 VSVgV. 78 S. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 364 ff.
Bischof
791
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
D
Rz. 81
durch die klarstellende Aufnahme des Verhältnismäßigkeitsgrundsatzes mit Blick auf die Anforderungen an das Vergabeverfahren das umfassende Leistungsbestimmungsrecht des öffentlichen Auftraggebers nicht angetastet wird; dieser bestimmt auch weiterhin selbst, welche konkrete Leistung seinem Beschaffungsbedarf am besten entspricht. Zu den wesentlichen Grundsätzen der Vergabe gehört auch, dass die Aufträge an fachkundi- 79 ge und leistungsfähige (geeignete) Unternehmen vergeben werden, die nicht nach den §§ 123, 124 GWB auszuschließen sind. (s. Rz. 232 ff.).73
VI. Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe) 1. Übersicht Kriterien der §§ 97 ff. GWB Ein Auftraggeber ist verpflichtet, anhand der Kriterien der §§ 97 ff. GWB festzustellen, ob die Beschaffung der konkreten IT-Leistungen dem Regime des Vergaberechts unterliegt.74 Dies ist anhand folgender Kriterien zu bestimmen:
80
1. Nationales oder EU-Vergaberecht: Überschreitung der Schwellenwerte (§ 106 GWB)75 2. Keine Bereichsausnahme (u.a. allgemeine Ausnahmen gemäß § 107 GWB sowie die besonderen Ausnahmen in §§ 116, 117 GWB oder §§ 138 ff. GWB). 3. Öffentlicher Auftraggeber i.S.d. § 99 GWB: – Kein Inhouse-Geschäft – Kein Instate-Geschäft 4. Geplante Beschaffung ist eine finanzwirksame Maßnahme gem. § 55 BHO76 5. Beschaffung von Waren, Bau- oder Dienstleistungen i.S.v. § 97 Abs. 1 i.V.m. § 103 GWB 6. Entgeltlicher Vertrag i.S.d. § 103 Abs. 1 GWB 7. Vertrag mit einem Unternehmen i.S.d. § 103 Abs. 1 GWB 8. Beschaffungsmaßnahme am Markt. 2. Schwellenwerte und Wertgrenzen 2.1 EU-Schwellenwerte Die sachlichen Voraussetzungen ergeben sich aus § 106 GWB,77 in dem geregelt ist, dass 81 nur bei Überschreitung der festgelegten EU-Schwellenwerte das EU-Vergaberecht zur Anwendung gelangt.78 Die Schwellenwerte sind nicht in der Regelung selbst enthalten, sodass keine regelmäßige Anpassung des Gesetzestextes notwendig ist. Es erfolgt in § 106 Abs. 2 Nr. 1–4 GWB eine dynamische Verweisung auf die in den jeweiligen Artikeln der maßgeblichen EU-Richtlinien geregelten Schwellenwerte in der jeweils geltenden Fassung. Maßgeblich für die Vergabe von IT-Leistungen ist, abgesehen von den Sondervorschriften für den Sektorenbereich, für den Bereich Verteidigung und Sicherheit, oberste und obere Bundes73 S. hierzu ausführlich Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 97 GWB Rz. 684 ff. zu Eignungskriterien und Rz. 806 ff. zur Eignungsprüfung; s. zum wirtschaftlichsten Angebot Rz. 1123 ff. 74 S. hierzu ausführlich Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, Kommentierung zu §§ 97–99 GWB; s.a. Bischof, in: Schneider/Graf von Westphalen, Kap. N. Rz. 29 ff. 75 S. zu den Rechtsgrundlagen Rz. 38 ff.; zu den Schwellenwerten nachfolgend Rz. 81 ff. 76 Neben der BHO sind zudem auch die jeweiligen landesrechtlichen Haushaltsvorschriften zu beachten (z.B. Art. 55 HO Bay). 77 Im Sektorenbereich: §§ 1, 2 SektVO; im Bereich Verteidigung/Sicherheit: §§ 1, 3 VSVgV. 78 S. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 364 ff.
Bischof
791
D Rz. 82
Vergabe von IT-Leistungen
behörden und bei der Vergabe von Losen, ein Mindestauftragswert (ohne Umsatzsteuer) in Höhe von derzeit 209.000 Euro.79 82
Der öffentliche Auftraggeber ist gehalten, diesen Auftragswert gem. § 3 VgV realistisch zu schätzen („seriöse Prognose“). Die schlichte „Behauptung“, dass die Vergabe voraussichtlich über dem Schwellenwert liegt, genügt den Anforderungen des Vergaberechts nicht. Er muss möglichst genau kalkulieren und dabei Vergleichswerte berücksichtigen.80 Maßgebend ist der Verkehrs- oder Marktwert, zu dem die ausgeschriebene Leistung zum maßgeblichen Zeitpunkt am Markt zu erhalten ist.81
83
Als zulässig wird bei pflichtgemäßer Schätzung des Basiswerts ein Schätzungsspielraum von plus/minus 10 % erachtet. Diese Informationen erhält der öffentliche Auftraggeber am besten im Rahmen einer von ihm durchgeführten Markterkundung (vgl. § 28 VgV). Hält sich der Auftraggeber an diesen vorgegebenen Rahmen, steht ihm ein Beurteilungsspielraum zu, der von den Nachprüfungsstellen nicht hinterfragt werden kann, sondern hingenommen werden muss.82 2.2 Schätzung des Auftragswerts gemäß § 3 VgV
84
Maßgeblicher Zeitpunkt für die Schätzung des Auftragswertes ist gem. § 3 Abs. 3 VgV der Tag der Absendung der Bekanntmachung der beabsichtigten Auftragsvergabe oder die sonstige Einleitung des Vergabeverfahrens (s. zur Vergabebekanntmachung Rz. 229 ff.). Bei der Schätzung des Auftragswertes ist von der geschätzten Gesamtvergütung (ohne Umsatzsteuer) für die vorgesehene Leistung einschließlich etwaiger Optionen oder Vertragsverlängerungen sowie einschließlich etwaiger Prämien oder Zahlungen an Bewerber oder Bieter auszugehen, § 3 Abs. 1 VgV.
85
Dem Auftraggeber ist es insb. nicht erlaubt, den Wert eines Auftrags so zu schätzen oder so aufzuteilen, um ihn bewusst der Anwendung der Vergaberechtsbestimmungen zu entziehen (Verbot der Umgehung des Vergaberechts, § 3 Abs. 2 VgV).
86
Bei Aufträgen über Liefer- oder Dienstleistungen, für die kein Gesamtpreis angegeben wird, ist Berechnungsgrundlage für den geschätzten Auftragswert gem. § 3 Abs. 11 VgV: – Bei zeitlich begrenzten Aufträgen mit einer Laufzeit von bis zu 48 Monaten der Gesamtwert für die Laufzeit dieser Aufträge. – Bei Aufträgen mit unbestimmter Laufzeit oder mit einer Laufzeit von mehr als 48 Monaten der 48fache Monatswert.
87
Wenn die Vergabe nach Losen83 erfolgen soll, so sind gem. § 3 Abs. 7 VgV bei der Schätzung des Auftragswerts alle Lose zu berücksichtigen und somit die Werte der einzelnen Lose zusammenzurechnen, auch wenn der zu vergebende Auftrag aus mehreren Losen besteht, für die jeweils ein gesonderter Auftrag vergeben wird. Bei reinen Lieferaufträgen gilt dies jedoch nur für Lose bzgl. gleichartiger Lieferungen, § 3 Abs. 8 VgV.
79 Die EU-Schwellenwerte werden von der Kommission alle zwei Jahre geprüft und durch Verordnung geändert. Diese Änderungen hat die Kommission in drei Verordnungen vorgenommen und für die Richtlinien 2004/17/EG, 2004/18/EG und 2009/81/EG neue Schwellenwerte festgelegt (Verordnungen (EU) 2015/2340), (EU) 2015/2341) und (EU) 2015/2342) vom 15.12.2015). Die übrigen Schwellenwerte (je ohne Ust) sind: Bauleistungen: 5.225.000 Euro; Oberste/obere Bundesbehörden: 135.000 Euro; Sektoren: 418.000 Euro; Verteidigung/Sicherheit 414.000 Euro. Die nächste Änderung steht zum 1.1.2018 an. 80 S. Reidt/Stickler/Glahs, Vergaberecht Kommentar, § 3 Rz. 1 ff., 6 ff. 81 S. Reidt/Stickler/Glahs, Vergaberecht Kommentar, § 3 Rz. 6 ff. 82 S. Reidt/Stickler/Glahs, Vergaberecht Kommentar, § 3 Rz. 8. 83 Lose entstehen durch die Teilung der Aufträge in Fach- und Teillose (s. hierzu als Ausfluss der Berücksichtigung mittelständischer Interessen unter Rz. 70 ff.).
792
Bischof
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
Rz. 93
D
Werden Optionsrechte vorgesehen, insb. das Recht des Auftraggebers, von einem Unterneh- 88 mer eine Leistung zu schon in der Vergabe festliegenden Konditionen zu verlangen, ist der Auftragswert unter Einbeziehung des Werts des Optionsrechts zu berechnen, § 3 Abs. 1 Satz 2 VgV. Ebenso sind auch etwaige Vertragsverlängerungen zu berücksichtigen. Wird ein Rahmenvertrag/eine Rahmenvereinbarung (vgl. §§ § 103 Abs. 5 GWB, § 21 VgV) und Rz. 148 ff.) ausgeschrieben, so ist auf den geschätzten Höchstwert aller für diesen Zeitraum geplanten Aufträge abzustellen, § 3 Abs. 4 VgV.
89
Projiziert auf die Vergabe von IT-Leistungen bedeutet dies, dass bei Vergabe komplexer IT- 90 Leistungen, d.h. aus verschiedenen einzelnen Leistungen bestehenden Projekten, für die Kostenschätzung die Summe der maßgeblichen Marktpreise von sämtlichen nachgefragten Einzelleistungen maßgeblich ist. So wäre beispielsweise bei Abschluss eines EVB-IT Systemvertrags der Auftragswert zu ermitteln aus den Einzelwerten folgender Leistungen: – Lieferung/Überlassung der Hard- und/oder Software, – sonstigen zu erbringenden Leistungen (Customizing/Parametrisierung/Anpassung, Ergänzung/Änderung der Software, Implementierungs-/Integrations-/Migrationsleistungen, Schulung, Wartung/Pflegel, sonstige Dienstleistungen). 2.3 Nationale Wertgrenzen Die unter Rz. 81 genannten EU-Schwellenwerte sind nicht zu verwechseln mit den nationa- 91 len „Schwellenwerten“/Wertgrenzen. Gemeint sind damit die Wertgrenzen auf nationaler Ebene, die – je nach ausschreibendem öffentlichem Auftraggeber – für die Verpflichtung zur Durchführung von nationalen Ausschreibungen (derzeit noch nach dem 1. Abschnitt der VOL/A) maßgeblich sind. Gem. § 3 Abs. 5 lit. i VOL/A sind freihändige Vergaben dann zugelassen, wenn sie durch Ausführungsbestimmungen von einem Bundes- oder Landesminister bis zu einem bestimmten Höchstwert zugelassen sind. Diese zugelassenen Höchstwerte werden auch als „nationale Schwellenwerte“ bzw. besser als Wertgrenzen bezeichnet.
92
Auf Bundesebene haben die jeweils zuständigen Bundesministerien derzeit keine besonderen Wertgrenzen bekannt gegeben. Die Rechtslage zu den nationalen Wertgrenzen (in Bezug auf die VOL/A) in den einzelnen Ländern sollte stets aktuell ermittelt werden (s. hierzu am besten auf den Homepages der Auftragsberatungsstellen des jeweiligen Landes).84 Beispielhaft seien hier zwei Bundesländer erwähnt:
93
– Bayern: Aktuell85 gilt Folgendes, ohne dass ein Datum für das Außerkrafttreten genannt wurde: – Beschaffungsstellen des Landes sind zur freihändigen Vergabe bis 25.000 Euro berechtigt. Nach erteiltem Auftrag besteht Veröffentlichungspflicht auf www.vergabe. bayern.de oder auf www.auftraege.bayern.de. – Kommunen sind zur freihändigen Vergabe bis 30.000 Euro und zur beschränkten Ausschreibung bis 100.000 Euro berechtigt. Es hat eine Ex-ante-Veröffentlichung bei Inanspruchnahme der Wertgrenzenregelung auf der Zentralen Vergabeplattform Bayern (BayVeBe) ab 25.000 Euro zu erfolgen; über 75.000 Euro beträgt die Wartefrist 7 Tage (nur im kommunalen Bereich).
84 Eine Übersicht mit Stand 31.1.2016 (seitdem nicht mehr aktualisiert) findet sich unter https://www.abs thessen.de/pdf/Wertgrenzen_Bund_%20Bundesl%C3%A4nder_2016.pdf (abgerufen am 4.9.2016). 85 Bekanntmachung des Staatsministeriums des Inneren v. 20.12.2011; http://www.innenministerium. bayern.de/assets/stmi/buw/bauthemen/iiz5_vergabe_kommunal_hinweise_rs_20111220.pdf.
Bischof
793
D Rz. 94
Vergabe von IT-Leistungen
– Nordrhein-Westfalen86: Für Kommunen gilt seit dem 1.1.2012 unbefristet ein Wert von 100.000 Euro für freihändige Vergabe und Beschränkte Ausschreibung.87 Für Auftraggeber des Landes hingegen ist freihändige Vergabe lediglich bis zu einem Wert von 15.000 Euro zulässig, bei beschränkter Ausschreibung gilt ein Wert von 50.000 Euro ohne Teilnahmewettbewerb und ein Wert von bis zu 100.000 Euro bei beschränkter Ausschreibung.88 2.4 Direktkauf gem. § 3 Abs. 6 VOL/A (national) 94
Streng dogmatisch betrachtet, handelt es sich hierbei nicht um einen eigentlichen Schwellenwert im vorstehend dargestellten Sinne. Vielmehr zielt der so genannte Direktkauf darauf ab, dass eine Beschaffung ohne Vergabeverfahren stattfinden kann. § 3 Abs. 6 VOL/A stellt dabei auf einen Auftragswert von 500 Euro (ohne Umsatzsteuer) ab. Lediglich die Haushaltsgrundsätze der Wirtschaftlichkeit und Sparsamkeit sind zu beachten. 3. Bereichsausnahmen
95 Das EU-Vergaberecht gilt u.a. nicht für folgende Bereiche89: a) Arbeitsverträge (§ 107 Abs. 1 Nr. 3 GWB) b) Schiedsgerichts- und Schlichtungsleistungen (§ 107 Abs. 1 Nr. 1 GWB) c) Forschungs- und Entwicklungsverträge, wenn ihre Ergebnisse ausschließlich Eigentum90 des Auftraggebers für seinen Gebrauch bei der Ausübung seiner eigenen Tätigkeit werden und die Dienstleistung vollständig durch den Auftraggeber vergütet wird (§ 116 Abs. 1 Nr. 2 GWB) d) Grundstückserwerb/-miete (§ 107 Abs. 1 Nr. 2 GWB) e) Bei Gefährdung von Sicherheitsinteressen der Bundesrepublik Deutschland, insb. bei IT-/ ITK- Beschaffungen (§ 107 Abs. 2 GWB) f) Bestimmte Leistungen im Telekommunikationsbereich (§ 116 Abs. 2 GWB) g) Weitere Ausnahmen (insb. §§ 116, 117, §§ 137–140, § 145 GWB), v.a. im Sektorenbereich und in den Bereichen Verteidigung und Sicherheit. 4. Der öffentliche Auftraggeber i.S.d. §§ 98, 99 GWB 4.1 Einleitung 96
Im GWB wird nun zwischen verschiedenen Arten von Auftraggebern unterschieden, nachdem für diese auch unterschiedliche Regelungen zur Anwendung gebracht werden.91 So bestimmt § 98 GWB den Auftraggeber wie folgt: „Auftraggeber im Sinne dieses Teils sind öffentliche Auftraggeber im Sinne des § 99, Sektorenauftraggeber im Sinne des § 100 und Konzessionsgeber im Sinne des § 101 GWB.“
Das Kapitel fokussiert auf diesen Begriff des öffentlichen Auftraggebers, da weder Sektorrenrecht noch Konzessionsrecht Gegenstand des Beitrags ist. 86 87 88 89
S. Gemeinsamer Runderlass der Ministerien vom 3.2.2009, MBl. S. 74. Vergabegrundsätze für Gemeinden nach § 25 GemHVO NRW (Kommunale Vergabegrundsätze). S. RdErl. des Ministeriums für Inneres und Kommunales, 34-48.7.01/169/11 v. 6.12.2012. Hinsichtlich dieser Regelungen wird auf die einschlägige Kommentarliteratur und Rspr. verwiesen.S.a. Noch, Vergaberecht kompakt, z. Aufl. 2016, Rz. 374 ff. 90 Ergebnisse können auch immaterielle Reche sein, die dem Auftraggeber dann „ausschließlich gehören“, wenn ihm an den Ergebnissen ein ausschließliches (Nutzungs-)Recht eingeräumt wird; vgl. hierzu BayObLG, Beschl. v. 27.2.1003 – Verg 25/02, NZBau 2003, 634 ff.; Antweiler, in: Ziekow/Völlink, Vergaberecht, 2011, § 100 GWB Rz. 62. 91 S. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 55 ff.
794
Bischof
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
Rz. 101
D
4.2 Grundsatz Öffentliche Auftraggeber i.S.v. § 99 GWB haben die Vorschriften des Vergaberechts zu beachten (persönlicher Anwendungsbereich). Hierbei ist zu beachten, dass § 99 GWB den Begriff des öffentlichen Auftraggebers funktional und nicht wie im klassischen Sinne institutionell bestimmt. Entscheidend ist nach diesem funktionalen Auftraggeberbegriff allein, ob die auf dem Markt auftretende Einheit staatliche Funktionen wahrnimmt oder nicht. Der Staat kann sich daher dem Vergaberecht nicht dadurch entziehen, dass er seinen Handelnden eine private Rechtsform (GmbH, AG o.Ä.) verleiht. Eine „Flucht ins Privatrecht“ akzeptiert auch das Vergaberecht nicht. Dennoch sind sich noch immer zahlreiche staatliche Unternehmen nicht bewusst, dass sie öffentliche Auftraggeber i.S.d. § 99 GWB sind und damit dem Vergaberechtsregime unterliegen.
97
4.3 Exkurs: Bestimmung auf nationaler Ebene Unterhalb der Schwellenwerte kommt es allein auf das Budgetrecht an. Von einzelnen Aus- 98 nahmen abgesehen, müssen alle staatlichen Institutionen, die öffentliches Haushaltsrecht anwenden müssen, auch die Vergaberegelungen anwenden. Das sind die institutionell bestimmten öffentlichen Auftraggeber im „klassischen Sinne“: der Staat mit seinen Gebietskörperschaften und sonstigen Körperschaften, Anstalten und Einrichtungen des öffentlichen Rechts. Ausgangspunkt sind die § 55 BHO/LHO und die entsprechenden Vorschriften der Gemeindehaushaltsverordnungen der Länder. Institutionen, deren geltende Haushaltsregeln § 55 BHO/LHO nicht für anwendbar erklären, müssen hingegen auf nationaler Ebene die Vergaberegeln nicht beachten.
99
Für Private, natürliche Personen und juristische Personen des Privatrechts sind die Vergabe- 100 regeln nur dann anwendbar, wenn ihnen die Anwendungspflicht durch besonderen Akt (wie Zuwendungsvertrag oder -bescheid) im Einzelfall auferlegt ist. 4.4 Der abschließende Katalog des § 99 GWB auf EU-Ebene § 99 GWB orientiert sich im Wesentlichen an § 57a Abs. 1 HGrG92 und sieht in seinen Nr. 1–6 folgenden Katalog an öffentlichen Auftraggebern vor93: a) Klassische öffentliche Auftraggeber: Gebietskörperschaften und deren Sondervermögen (§ 99 Nr. 1 GWB): Bund, Länder und Kommunen (Landkreise, Städte und Gemeinden) mit ihren öffentlich-rechtlichen Sondervermögen. – Sondervermögen in diesem Sinne sind auf kommunaler Ebene insb. auch die Eigenbetriebe, Regiebetriebe der Kommunen, nicht rechtsfähige Stiftungen und Sondervermögen der Länder (etwa deren Bau- und Liegenschaftsbetriebe). b) Funktionale öffentliche Auftraggeber: Andere juristische Personen des öffentlichen und privaten Rechts, die zu dem besonderen Zweck gegründet wurden, im Allgemeininteresse liegende Aufgaben nichtgewerblicher Art zu erfüllen, wenn Gebietskörperschaften sie überwiegend finanzieren oder über ihre Leitung die Aufsicht ausüben (sog. öffentliche Unternehmen), sowie die Verbände dieser juristischen Personen (§ 99 Nr. 2 und Nr. 3 GWB). – Diese Abgrenzung ist nicht immer einfach, v.a., da immer mehr öffentliche Aufgaben in der Form des Privatrechts ausgeführt werden und die öffentliche Hand zunehmend 92 Haushaltsgrundsätzegesetz (v. 19.8.1969 – BGBl. I S. 1273), zuletzt geändert durch Art. 123 der Verordnung v. 31.10.2006 – BGBl. I S. 2407. 93 S. Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 2007, § 1 a Rz. 6 ff.; Müller, in: Daub/Eberstein, VOL/A Kommentar, 2000, § 1a Rz. 8 ff.; Reidt/Stickler/Glahs, Vergaberecht Kommentar, § 98 GWB. Dreher/Stockmann, Auszug aus Immenga/Mestmäcker, Wettbewerbsrecht, § 98 GWB; Weyand, Vergaberecht, Teil 1, Kap. 7 (zu § 98 GWB) Rz. 830 ff.
Bischof
795
101
D Rz. 102
Vergabe von IT-Leistungen
über Tochtergesellschaften selbst am Wettbewerb teilnimmt. Zudem lässt sich auch über das, was staatliche Aufgabe ist, schon immer trefflich streiten. Bei eindeutiger Gewinnerzielungsabsicht würde man zwar regelmäßig die Tätigkeit im Allgemeininteresse ablehnen. Nach der Rspr. des EuGH94 kommt es jedoch primär auf den Gründungszweck an, selbst wenn dann tatsächlich gewerbliche Zwecke verfolgt werden, sodass das Vergaberecht umfassend anzuwenden ist. – Häufig wird in der Praxis übersehen, dass öffentliche Auftraggeber auch staatlich beherrschte, öffentliche Aufgaben erfüllende Einrichtungen in der Form des Privatrechts sind. – Eine Beherrschung ist immer dann anzunehmen, wenn eine überwiegende Finanzierung durch eine oder mehrere Gebietskörperschaften vorliegt (unwiderlegbare Vermutung bei einer Kapitalbeteiligung von mehr als 50 %). – Beherrschung liegt auch dann vor, wenn zwar private Finanzierung besteht, aber die Geschäftsführungsorgane entweder mehrheitlich (d.h. zu mehr als 50 %) von Gebietskörperschaften bestimmt oder auf andere Art und Weise kontrolliert werden. Darunter werden so ziemlich alle „Stadtwerke GmbH“, Wirtschaftsförderungsgesellschaften und Messegesellschaften fallen. – Schwierigkeiten ergeben sich hinsichtlich des Merkmals „staatliche Beherrschung“ oftmals bei Anstalten, Stiftungen und Körperschaften des öffentlichen Rechts mit eigener von Gebietskörperschaften unabhängiger Rechtspersönlichkeit, Industrie- und Handelskammern, Ärztekammern, Sparkassen, öffentlichen Banken. Von den Gerichten wird meist die pure Rechtsaufsicht als ausreichend für die staatliche Beeinflussungsmöglichkeit angesehen. – Die überwiegende Zahl der Verbände liegt im Kommunalbereich, so etwa Wasserversorgungs-, Abwasser-, Müllbeseitigungs- oder Planungsverbände. c) Subventionierte natürliche oder juristische Personen des Privatrechts (§ 98 Nr. 4 GWB). 5. Geplante Beschaffung ist eine finanzwirksame Maßnahme gem. § 55 BHO/LHO 102 Die hierbei zu beachtende Fragestellung lautet: „Ergibt die Wirtschaftlichkeitsbetrachtung, dass die Maßnahme wirtschaftlich sinnvoll und haushaltsrechtlich tragbar ist?“ 103 Die Verpflichtung zur Durchführung einer Wirtschaftlichkeitsanalyse ergibt sich aus § 7 Abs. 2 BHO/LHO. Eine solche verursacht durchaus erheblichen Aufwand. Als Grundlage bzw. Hilfestellung kann das auf www.cio.bund.de veröffentlichte „Konzept zur Durchführung von Wirtschaftlichkeitsbetrachtungen in der Bundesverwaltung, insb. beim Einsatz von IT“ (WiBe, Version 5.0)95 sowie die Empfehlung des Bundesministeriums des Inneren (WiBe Fachkonzept IT 4.1-2007) dienen. Insb. müssen von der öffentlichen Hand die haushaltsrechtlichen Vorgaben gelöst werden: Alle notwendigen Schritte müssen eingeleitet werden, damit die erforderlichen Haushaltsmittel für die geplante Beschaffung zur Verfügung stehen. 104 IT-Projekte erscheinen immer finanzwirksam, auch wenn einzelne Komponenten „kostenlos“ zu sein scheinen (z.B. Open Source Produkte)96 und IT-Projekte stets die Gefahr der „Kostenexplosion“ in sich tragen.
94 Zu EuGH „Österreichische Staatsdruckerei“ s. Riedl, in: Heiermann/Riedl/Rusam, VOB/A, Einl. Rz. 2; Ingenstau/Korbion, VOB/A, Einl. Rz. 18; Boesen, Vergaberecht, Einl. Rz. 141; a.A. Bechtold, Vor § 97 Rz. 18. 95 Anlage zum Beschluss Nr. 2015/3 des Rates der IT-Beauftragten der Ressorts vom 19.2.2015. 96 S. Heckmann, CR 2004, 401 ff. S.a. Rechtliche Aspekte der Nutzung, Verbreitung und Weiterentwicklung von Open-Source-Software (Version 4.2, Stand 3/2010) unter www.cio.bund.de.
796
Bischof
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
Rz. 112
D
6. Beschaffung von Waren, Bau- oder Dienstleistungen i.S.v. § 103 GWB Das Vergaberichtlinienpaket 2009 sah – anders als zuvor – keine Aufspaltung mehr nach der Auftragsart bzw. der zu beschaffenden Leistung vor. Die VKR enthielt Vorgaben für Bau-, Liefer- und Dienstleistungsaufträge. Gleiches gilt auch grds. für die neuen Vergaberichtlinien 2014. Das deutsche Vergaberecht hat diese Differenzierung dennoch beibehalten. In § 103 Abs. 2–4 GWB befinden sich die Legaldefinitionen der verschiedenen Auftragsarten.97
105
IT-Projekte werden daher aus vergaberechtlicher Sicht meist als Warenlieferung und Dienstleistung, also als typengemischte Verträge eingeordnet. Eine „scharfe“ zivilrechtliche dogmatische Einordnung in die Vertragstypen des BGB wird hier nicht gefordert (s. zur vertragstypologischen Einordnung der IT-Verträge M Rz. 85 ff.). Gem. § 110 GWB werden öffentliche Aufträge, die verschiedene Leistungen wie Liefer-, Bau- oder Dienstleistungen zum Gegenstand haben, nach den Vorschriften vergeben, denen der Hauptgegenstand des Auftrags zuzuordnen ist. Nach altem Recht war noch der Schwerpunkt der Leistung gemessen am Auftragswert maßgeblich.
106
Rahmenvereinbarungen sowie Vertragsänderungen/-verlängerungen bedürfen als Sonderthemen einer gesonderten Betrachtung (s. Rz. 134 ff.). 6.1 Lieferleistungen Gem. § 103 Abs. 2 GWB sind Lieferaufträge Verträge zur Beschaffung von Waren, die insb. Kauf, Ratenkauf, Leasing, Miete oder Pacht mit oder ohne Kaufoption betreffen. Nebenleistungen können auch umfasst sein.
107
Unter Waren sind alle beweglichen, körperlichen Sachen des Handelsverkehrs zu verstehen 108 sowie elektrischer Strom, Gas, Wasser, Fernwärme und Software. Die Lieferung von Standardsoftware ist damit eindeutig eine Lieferung i.S.v. § 103 Abs. 2 GWB. Auch die notwendige Parametrisierungsleistung sowie die Einweisung in die Software dürften als zur Lieferleistung zugehörig anzusehen sein. 6.2 Dienstleistungen Dienstleistungen sind die Verträge über die Erbringung von Leistungen, die weder Lieferleis- 109 tungen (§ 103 Abs. 2 GWB) noch Bauleistungen (§ 103 Abs. 3 GWB) sind. Die früher notwendige Abgrenzung zu Leistungen nach VOF (Vergabe- und Vertragsordnung für freiberufliche Leistungen) ist aufgrund des Wegfalls der VOF und Integration der Regelungen in die VgV nun nicht mehr erforderlich.
110
6.3 Gemischte Verträge Die reine Lieferung mit kleineren Zusatzleistungen wird aber gerade komplexen IT-Projekten nicht gerecht, wenn über die Lieferung vorhandener Standard-Software hinaus eine Vielzahl weiterer Leistungen zu erbringen ist (wie u.a. Änderung, Ergänzung, Anpassung der Software, Pflege, Schulung etc.).
111
Bei solchen gemischten Verträgen, deren Leistungsinhalt sowohl aus Lieferungen als auch 112 aus Dienstleistungen besteht, ist zu prüfen, ob der Hauptgegenstand des Auftrags der Lieferoder Dienstleistung zuzuordnen ist (§ 110 Abs. 1 GWB). Diese Zuordnung entscheidet über die dann anwendbaren Vorschriften. Gemäß § 110 Abs. 2 Nr. 2 GWB wird der Hauptgegenstand des Auftrags, die teils aus Liefer- und teils aus Dienstleistungen bestehen, danach be97 S. hierzu auch die Kommentierung bei Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 99 GWB, Rz. 88 ff.
Bischof
797
D Rz. 113
Vergabe von IT-Leistungen
stimmt, welcher geschätzte Wert der jeweiligen Liefer – oder Dienstelstungen am höchsten ist. 7. Entgeltlicher Vertrag i.S.d. § 103 Abs. 1 GWB 113 Das Merkmal der Entgeltlichkeit des Vertrages98 bezieht sich nach der Rspr. des EuGH99 darauf, dass eine Gegenleistung durch die öffentliche Verwaltung für die Ausführung der Leistungen versprochen werden muss. Eine Legaldefinition des Begriffs ist jedoch bislang weder den europäischen Richtlinien noch der Rspr. des EuGH zu entnehmen, der sich nur zu einzelnen Aspekten des Entgeltlichkeitsbegriffs geäußert hat. 114 In Rspr. und Lit. wird teils ein enger Entgeltbegriff vertreten: Es wird auf die Vergütungsform abgestellt und ausgeführt, dass nur Geldleistungen und nicht bloß geldwerte Leistungen als entgeltlich i.S.v. § 103 Abs. 1 GWB qualifiziert werden können.100 Weiter wird vertreten, eine Entgeltlichkeit könne nur bejaht werden, wenn der öffentliche Auftraggeber Verbindlichkeiten mit Haushaltsmitteln erfülle.101 115 Die Spruchpraxis der Vergabekammern und Oberlandesgerichte geht jedoch durchgängig von einem weiten Entgeltbegriff aus, so u.a.: – Jede Art von Vergütung, die einen geldwerten Vorteil bedeutet; eine Gewinnerzielung ist nicht erforderlich;102 – der Gegenleistung des öffentlichen Auftraggebers für die vom Unternehmer erbrachte Leistung muss lediglich Geldwert zukommen; eine Geldleistung ist nicht erforderlich;103 – jede Art von Vergütung, die einen Geldwert haben kann; Voraussetzung ist demnach ein gegenseitiger Vertrag, der typischerweise auf den Austausch der beiderseitigen Leistungen gerichtet ist;104 – mittelbare Zuwendungen können ausreichen.105 116 Ein entgeltlicher Vertrag, also ein Vertrag mit geldwertem Vorteil als Gegenleistung, bereitet i.d.R. bei der Vergabe von IT-Leistungen in der Praxis kein Problem. 117 Zu denken ist jedoch an den Bezug von Open Source-Produkten, da hierfür i.d.R. kein „Entgelt“ verlangt wird bzw. werden darf (u.a. Regelung der GPL sowie anderer OSS-Lizenzen). Zu beachten ist jedoch, dass eine Gesamtwirtschaftlichkeitsbetrachtung stattfinden sollte (bzw. muss), sodass auch Folgekosten (wie Pflege, Support u.a.) sowie etwaige Haftungsrisiken aufgrund ausgeschlossener bzw. stark eingeschränkter „Gewährleistung“ berücksichtigt werden müssen. Letztlich wird man daher auch hier eine Entgeltlichkeit zu bejahen haben.106
98 S. u.a. Goodarzi, in: Lehmann/Meents, Kapitel 24, v.a. Rz. 30 ff.; Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, § 99 GWB Rz. 43 ff. 99 S. EuGH v. 12.7.2001 – C-399/98, VergabeR 2001, 380 – „Stadt Mailand“. 100 S. Werner/Köster, NZBau 2003, 420. 101 S. Rindtorff/Gabriel, VergabeR 2004, 16; ähnlich OLG Düsseldorf v. 28.4.2004 – VII-Verg 2/04, VergabeR 2004, 624 – „DSD“. 102 OLG Naumburg v. 3.11.2005 – 1 Verg 9/05, NZBau 2006, 58. 103 BayObLG v. 27.2.2003 – Verg 1/03, VergabeR 2003, 329. 104 OLG Düsseldorf v. 22.9.2004 – VII Verg 44/04; v. 8.9.2004 – VII Verg 35/04; und OLG Düsseldorf v. 5.5.2004 – VII Verg 78/03, VergabeR 2004, 619. 105 EuGH v. 12.7.2001 – C-399/98, VergabeR 2001, 380 – „Stadt Mailand“; v. 18.11.2004 – C-126/03, VergabeR 2005, 57 – „Heizkraftwerk München“. 106 S. Heckmann, CR 2004, 401. S. zu Open Source auch G Rz. 497 ff., V Rz. 61 ff.
798
Bischof
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
Rz. 122
D
8. Vertrag mit einem Unternehmen i.S.d. § 103 GWB 8.1 Grundsatz Die Anwendbarkeit des Vergaberechts setzt weiter voraus, dass der öffentliche Auftraggeber 118 einen Vertrag mit einem „Unternehmen“ schließt.107 Der Begriff des Unternehmens bezeichnet einen Rechtsträger, gleich welcher Rechtsform, der sich wirtschaftlich betätigt. Der Unternehmensbegriff ist weit auszulegen. Es kann sich um natürliche oder juristische Personen handeln, die selbst Arbeiten ausführen, aber auch um ein solches Unternehmen, das auf fremde Fachkräfte oder fachliche Einrichtungen zurückgreift oder auch eine Gruppe von Unternehmen gleicher Rechtsform. Unproblematisch ist diese Einordnung, wenn es sich um ein vom Auftraggeber verschiedenes Unternehmen handelt. Kernproblem in diesem Zshg. bildet die Frage, ob und inwieweit Untergliederungen der öf- 119 fentlichen Hand als Unternehmen qualifiziert werden können. Die wesentlichen Kernfragen sind hierbei: – Können öffentliche Unternehmen als Bieter in Vergabeverfahren auftreten (auch wenn sie öffentlich subventioniert sind)? – Unterliegen Auftragsübertragungen im Rahmen kommunaler Zusammenarbeit dem Vergaberecht? – Unter welchen Umständen sind so genannte Inhouse-Vergaben privilegiert? 8.2 Inhouse-Geschäfte § 103 Abs. 1 GWB erfordert einen Vertrag zwischen öffentlichen Auftraggebern und Unter- 120 nehmen.108 Vom Wortlaut her ist somit eine rechtliche Verschiedenheit von Auftraggeber und Auftragnehmer erforderlich. Vergaberechtlich sind jedoch solche Leistungen nicht erfasst, die von der öffentlichen Hand unmittelbar im Regie- oder Eigenbetrieb109 erbracht werden („echte“ Inhouse-Geschäfte).110 Hierbei handelt es sich regelmäßig um unselbständige Verwaltungseinheiten ohne eigene Rechtspersönlichkeit. Sie sind daher mit dem öffentlichen Auftraggeber rechtlich identisch und die Aufgabenübertragung verlässt nicht den Bereich des öffentlichen Sektors. Die Gründung solcher Regie- und Eigenbetriebe, z.B. zum Betrieb eines Rechenzentrums für eine größere Behörde, sind vergaberechtlich unbeachtlich. Vergaberechtlich problematisch sind jedoch die Fälle, in denen der Auftrag an eine eigen- 121 ständige juristische Person vergeben wird, die vom öffentlichen Auftraggeber nicht vollständig „beherrscht“ wird („unechte Inhouse-Geschäfte“).111 Wann ein solches vorliegt bzw. nicht vorliegt, hat der EuGH über mehrere Jahre hinweg in 122 zahlreichen E. bestimmt. Den Ausgangspunkt der Diskussion stellt die Teckal-E. des EuGH112 dar. Mit dieser hat der EuGH die vergaberechtliche Unbeachtlichkeit anerkannt, wenn trotz unterschiedlicher juristischer Rechtspersönlichkeiten folgende Kriterien kumulativ erfüllt werden:
107 S. Weyand, Vergaberecht, Praxiskommentar, § 99 GWB Rz. 960 ff. mit zahlreichen Beispielen. 108 S. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 288 ff.; Weyand, Vergaberecht, Praxiskommentar, § 99 GWB Rz. 981 ff.; Goodarzi, in: Lehmann/Meents, Kap. 24 v.a. Rz. 35 ff. 109 Regie- und Eigenbetriebe sind unselbständige Verwaltungseinheiten ohne eigene Rechtspersönlichkeit. 110 S. Konstas, Das vergaberechtliche Inhouse-Geschäft (Dissertation), 2004; Ziekow, VergabeR 2006, 608; Frenz, VergabeR 2007, 304. S. zum GWB-Entwurf und den Neuregelungen: von dem Bussche, VergabeR 2008, 881; s. a. Byok, NJW 2010, 817; Greb, VergabeR 2015, 289. 111 S. hierzu Rz. 122 ff. 112 EuGH v. 18.11.1999 – C-107/98 – Teckal.
Bischof
799
D Rz. 123
Vergabe von IT-Leistungen
– Wirtschaftliche Identität zwischen Auftraggeber und Auftragnehmer (öffentlicher Auftraggeber ist an einem rechtlich selbständigen Auftragnehmer beteiligt („Beteiligungskriterium“) – Gebietskörperschaft übt über diese juristische Person eine Kontrolle aus „wie über ihre eigenen Dienststellen“ („Kontrollkriterium“) und – die juristische Person verrichtet ihre Tätigkeit im Wesentlichen für die Gebietskörperschaft oder diejenige, die ihre Anteile innehat („Wesentlichkeitskriterium“). 123 Die „Teckal-Kriterien“ hat der EuGH sodann mit den nachfolgend dargestellten E. konkretisiert: a) Mit seinem neuen Urteil113 („Stadt Halle“) legt der EuGH anhand des Beispiels einer gemischtwirtschaftlichen Beteiligungsgesellschaft dar, wie er die erste Voraussetzung versteht: „Eine Kontrolle wie über eine eigene Dienststelle ist nur dann gegeben, wenn der Auftragnehmer vollständig von der öffentlichen Hand gehalten wird. Schon eine minimale private Beteiligung schließt es aus, dass eine Kontrolle wie über eine eigene Dienststelle angenommen wird.“
Dieses Urteil stellt klar, dass jedwede Beteiligung eines Privaten an einem Auftragnehmer die Annahme eines vergaberechtsfreien In-House-Geschäfts ausschließt. b) Nach dem Urteil des EuGH „Parking Brixen“114 ist eine Inhouse-Vergabe auch an ein 100 % öffentliches Unternehmen nicht möglich, wenn das Unternehmen eine „Marktausrichtung“ erreicht hat, die eine Kontrolle wie über eine eigene Dienststelle nicht erlaubt. Die auftraggebende Stelle muss auf die Entscheidungen des Auftragnehmers einwirken und dabei sowohl die strategischen wie auch die wichtigen operativen Entscheidungen beeinflussen können; nur dann kann von einer Kontrolle des öffentlichen Auftraggebers gesprochen werden, die ein In-House-Geschäft zulässt. c) Mit der E. „Carbotermo“ hat der EuGH115 erstmals nähere Hinweise zum Tätigkeitskriterium gegeben. Der EuGH berücksichtigt bei der Beurteilung der Frage, ob ein Unternehmen seine Tätigkeit im Wesentlichen für die Körperschaft verrichtet, die seine Anteile innehat, alle Tätigkeiten, die dieses Unternehmen aufgrund einer Vergabe durch den öffentlichen Auftraggeber verrichtet, unabhängig davon, wer diese Tätigkeit vergütet, sei es der öffentliche Auftraggeber selbst oder der Nutzer der erbrachten Dienstleistungen. Es kommt dabei nicht darauf an, in welchem Gebiet diese Tätigkeit ausgeübt wird. Das kontrollierte Unternehmen muss hauptsächlich für den Auftraggeber tätig sein: jede andere Tätigkeit darf nur rein nebensächlich sein. 124 Erstmals enthalten die europäischen Richtlinien 2014 (so u.a. Art. 12 VRL) und nunmehr § 108 GWB Regelungen zu den Voraussetzungen und der Reichweite vergaberechtsfreier Aufträge zwischen Einrichtungen des öffentlichen Sektors. Die vorgenannte vertikale Zusammenarbeit wird dabei anhand der vom EuGH entwickelten Kriterien in der Richtlinie berücksichtigt. 125 Klargestellt wird dabei zum Kontrollkriterium, dass eine ausreichende Kontrolle auch dann möglich ist, wenn diese über zwischengeschaltete Gesellschaften in einer ununterbrochenen Weisungskette vermittelt wird, was die in Stadtwerke-Konzernen häufig anzutreffenden „Mutter-Tochter-Enkel-Konstellationen“ unproblematisch ermöglicht, sofern nicht andere Gründe einer Kontrolle entgegenstehen (§ 108 Abs. 1 Nr. 2 GWB).
113 EuGH v. 11.1.2005 – C-26/03 – Stadt Halle; s.a. OLG Koblenz v. 15.12.2004, BauRB 2005, 110 ff. 114 EuGH v. 13.10.2005 – C-458/03 – Parking Brixen. 115 EuGH v. 11.5.2006 – C-340/04 – Carbotermo.
800
Bischof
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
Rz. 133
D
Ein solcher Grund kann die Zwischenschaltung einer Aktiengesellschaft sein. Die VRL äußert sich zur AG nicht, sodass ggf. die Zwischenschaltung einer AG dann möglich ist, wenn diese die Rechtsform einer SE (Societas Europeae) annimmt oder aber über Gewinnabführungs- und Beherrschungsverträge eine entsprechende Kontrolle entsteht.
126
In Bezug auf das Wesentlichkeitskriterium wird klargestellt, dass mehr als 80 % der Tätigkeit des Auftragnehmers der Ausführung von Aufgaben dienen muss, mit denen er vom Auftraggeber betraut wurde. Der Drittgeschäftsanteil muss also eindeutig unter 20 % liegen. (vgl. § 108 Abs. 1 Nr. 2 GWB)
127
In Bezug auf das Beteiligungskriterium, das bislang jedwede Beteiligung Privater ausschloss, wird nunmehr erstmals eine eng umrissene Ausnahme geregelt. Private Kapitalbeteiligungen sind dann unschädlich, wenn mit ihnen weder eine Beherrschung noch eine Sperrminorität oder eine Möglichkeit der maßgeblichen Einflussnahme einhergeht und sie durch nationale gesetzliche Bestimmungen vorgeschrieben ist (vgl. § 108 Abs. 1 Nr. 3 GWB).
128
Zudem werden durch die VRL folgende (bislang ungeklärte) Konstellationen ausdrücklich für zulässig erachtet und in § 108 GWB geregelt:
129
– Bottom-up-Verträge: Vergabe von Aufträgen von der beherrschten Tochter an die beherrschende Mutter (Art. 12 Abs. 2 VRL, § 108 Abs. 3 GWB). – „Horizontale“ Inhouse-Geschäfte: Verträge zwischen Tochtergesellschaften desselben öffentlichen Auftraggebers (§ 108 Abs. 3 GWB). – Gemeinsame Ausübung der Kontrolle mit anderen öffentlichen Auftraggebern (§ 108 Abs. 4, 5 GWB).116 9. Beschaffungsmaßnahme am Markt? Hier hat eine Abgrenzung zum Akt staatlicher Organisation zu erfolgen: Es stellt sich die 130 Frage, ob ein so genanntes „Instate“-Geschäft vorliegt oder ob eine Wettbewerbssituation besteht. Kooperationen innerhalb der öffentlichen Hand werden oft als Public Public Partnership oder 131 ÖÖP – Öffentlich-öffentliche Partnerschaft zusammengefasst. Weisen solche Kooperationen einen Beschaffungsbezug auf, werden sie auch als Instate-Geschäfte bezeichnet. Umstritten war bislang, ob die Zusammenarbeit der öffentlichen Hand auch vergaberechtsfrei bleibt, wenn es eine Monopolstellung des Auftragnehmers nicht gibt, es also um einen Leistungsaustausch zwischen der öffentlichen Hand geht, der bei einer Aufgabenverlagerung auf einen Privaten eindeutig als öffentlicher Auftrag angesehen würde. Die Frage stellt sich insb. bei der Zusammenarbeit mit Auftragnehmern in der Rechtsform sonstiger juristischer Personen des öffentlichen Rechts, die mit dem Auftraggeber nicht verbunden sind, wie z.B. ÖÖP oder kommunale Kooperationsvereinbarungen.
132
Nunmehr findet sich mit Umsetzung der Vergaberechtsreform in § 108 Abs. 6 GWB eine klare Regelung, unter welchen Voraussetzungen das Vergaberecht nicht anzuwenden ist:
133
Demnach ist das Vergaberecht nicht anzuwenden auf Verträge, die zwischen zwei oder mehreren öffentlichen Auftraggebern i.S.d. § 99 Nr. 1 bis 3 GWB geschlossen werden, wenn 1. der Vertrag eine Zusammenarbeit zwischen den beteiligten öffentlichen Auftraggebern begründet oder erfüllt, um sicherzustellen, dass die von ihnen zu erbringenden öffentlichen Dienstleistungen im Hinblick auf die Erreichung gemeinsamer Ziele ausgeführt werden, 116 Losch, VergabeR 2016, 541; Müller-Wrede, VergabeR 2016, 292; Holmann, VergabeR 2016, 189; Greb, VergabeR 2015, 289; Dabringhausen, VergabeR 2014, 512.
Bischof
801
D Rz. 134
Vergabe von IT-Leistungen
2. die Durchführung der Zusammenarbeit nach Nr. 1 ausschließlich durch Überlegungen im Zshg. mit dem öffentlichen Interesse bestimmt wird und 3. die öffentlichen Auftraggeber auf dem Markt weniger als 20 % der Tätigkeiten erbringen, die durch die Zusammenarbeit nach Nr. 1 erfasst sind. 10. Sonderthemen 10.1 Vertragsverlängerungen/Vertragserweiterungen nach altem Recht 134 Viele öffentliche Auftraggeber übersehen im Zshg. mit dem sich im Laufe von vielen IT-Projekten typischerweise ergebenden Änderungsbedarf sowie bei geplanter Verlängerung bestehender Pflege-/Wartungsverträge, dass die Anwendbarkeit des Vergaberechts für diese Änderungen oder Verlängerungen nicht allein deswegen ausgeschlossen ist, nur weil der „Basis-Vertrag“ im Rahmen einer Ausschreibung geschlossen wurde. Es muss vielmehr geprüft werden, ob derartige Vorgänge als (neue) Auftragsvergabe i.S.v. § 103 Abs. 1 GWB zu betrachten sind. Die gleiche Frage stellt sich auch, wenn sich der Auftraggeber Optionsrechte ausbedungen hat und er von diesen Gebrauch machen möchte. Offen ist unter den bis zur Umsetzung der Vergaberechtsreform geltenden Regelungen die Frage, ob derartige Vorgänge als neuer Auftrag i.S.v. § 103 Abs. 1 GWB zu betrachten sind. 135 Nicht jede Vertragsänderung, die i.Ü. in einem bestimmten Umfang nachträglich auch verlangt werden kann (vgl. § 2 VOL/B), vermag einen neuen Vergabevorgang, der wieder dem Vergaberecht unterliegt, zu begründen. Die Rspr. stellt die Pflicht zur erneuten öffentlichen Ausschreibung dann auf, wenn es sich um Modifikationen mit erheblichem Charakter handelt. 136 Das OLG Düsseldorf117 hat hierzu u.a. ausgeführt: „… Bei so genannten Anpassungen oder Änderungen schon bestehender Vertragsbeziehungen ist daher zu beurteilen, ob die die Anpassung oder Abänderung ausmachenden vertraglichen Regelungen in ihren wirtschaftlichen Auswirkungen bei wertender Gesamtbetrachtung einer neuen Vergabe gleichkommen.“
137 Das LG Frankfurt/M.118 hingegen hält diese Anknüpfung für „wenig hilfreich“ und knüpft selbst stattdessen an die Wettbewerbsrelevanz der Änderung an: „Nach Ansicht des Gerichts darf für Vertragsänderungen, deren Gegenstand für den Bieterwettbewerb keine spürbare Bedeutung gehabt haben, da diese Punkte im Wettbewerb keine werbende Bedeutung hatten und für die Kalkulation des Angebotes unerheblich waren, kein neuer Wettbewerb gefordert werden.“
138 Immer ist daher die wertende Betrachtung vorzunehmen, ob die Vertragsänderung hinsichtlich ihres Umfangs und ihrer Wirkungen dem Abschluss eines neuen Vertrages gleichsteht. 139 Grds. ist die Verlängerung eines bestehenden, ggf. befristeten Vertrages119 in aller Regel einem Neuabschluss gleichzusetzen. Nach allgemeiner Auffassung liegt daher ein öffentlicher Auftrag vor, der somit als neuer Beschaffungsvorgang dem Vergaberecht unterliegt. 140 Aber nicht jede Vertragsverlängerung steht dem Neuabschluss gleich: – Keine Neuausschreibungspflicht besteht, wenn die Verlängerung in dem Vertrag bereits vorgesehen und als Vertragsklausel i.R.d. diesem Vertrag zugrunde liegenden Ausschreibung bekannt gemacht worden war.120 117 118 119 120
802
S. OLG Düsseldorf v. 20.6.2001 – Verg 3/01, VergabeR 2001, 329. S. LG Frankfurt/M., Beschl. v. 28.1.2008 – 2-40 201/06 – VergabeR 2008, 513. S. u.a. Gruneberg, VergabeR 2005, 171; Braun, VergabeR 2005, 586. Vgl. OLG Celle v. 4.5.2001 – 13 Verg 5/00; VK Hamburg v. 27.4.2006 – VgK FB 2/06.
Bischof
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
Rz. 145
D
– Entsprechendes gilt auch für Verlängerungsoptionen: Soweit diese bereits bei der ursprünglichen Ausschreibung vorgesehen waren, stellt ihre Ausübung keinen vergaberechtlich relevanten Vorgang dar. – Sieht ein befristeter Vertrag vor, dass er sich automatisch um einen bestimmten Zeitraum verlängert, wenn er nicht durch einen der Vertragspartner gekündigt wird, handelt es sich bei der Nichtausübung des Kündigungsrechts ebenfalls nicht um einen dem Vergaberecht unterliegenden Vorgang, da die Verlängerung der Laufzeit im bereits ausgeschriebenen Vertrag bereits vorgesehen war. – Dies gilt jedoch nicht, wenn vorgesehen ist, dass dann anstelle des nicht gekündigten Vertrags ein neuer Vertrag tritt, der noch zu vereinbaren ist. Darin liegt ein neuer vergaberechtlich relevanter Beschaffungsvorgang.121 Als zulässige Sonderfälle, bei denen keine neue Ausschreibungspflicht entsteht, dürften nur geringfügige Verlängerungen anzusehen sein, sowie ggf. Fälle einer interimsweisen Vergabe zur Überbrückung von Versorgungslücken aufgrund eines sich verzögernden Vergabeverfahrens.
141
Ein Änderungsvertrag, wonach ein Auftrag um weitere fünf Jahre verlängert wird und der 142 gleichzeitig den Auftragsgegenstand in erheblicher Weise, z.B. hinsichtlich des Umfangs der übertragenen Dienstleistungen sowie der Höhe der hierfür zu zahlenden Entgelte, verändert, unterfällt jedoch dem Vergaberecht.122 Hierbei ist dann zu prüfen, ob die einschlägige Verdingungsordnung für diese weitere, zusätzliche Beauftragung ggf. Ausnahmeregelungen hinsichtlich der Verfahrensart enthält, sodass dem bisherigen Auftragnehmer der Auftrag erteilt werden kann. Nach der Rspr. des EuGH123 kann die Änderung des ursprünglichen Auftrags als wesentlich angesehen werden, wenn sie den Auftrag in großem Umfang auf ursprünglich nicht vorgesehene Dienstleistungen erweitert. Der EuGH hat dabei keine qualitative Grenze genannt, wann ein solcher „großer Umfang“ erreicht sei, aber Kriterien für die Prüfung genannt. Maßgeblich sind demnach:
143
a) die Wesentlichkeit der Änderung b) die Wettbewerbsrelevanz der zu prüfenden Änderung. Wesentlich ist eine Änderung, und damit ausschreibungspflichtig, wenn
144
– Bedingungen eingeführt werden, die die Zulassung anderer Bieter oder die Annahme eines anderen als des angenommenen Angebots erlaubt hätten, wenn sie bereits Gegenstand des ursprünglichen Vergabeverfahrens gewesen wären („bietermarktrelevante Änderungen“; – durch Vertragsänderung der Auftrag in einem nicht unerheblichen Umfang auf eine ursprünglich nicht vorgesehene Leistung erweitert wird („wesentliche Auftragserweiterungen“); – durch Vertragsänderung das wirtschaftliche Gleichgewicht in einer ursprünglich nicht vorgesehenen Weise zugunsten des Auftragnehmers verändert wird („wesentliche Inhaltsänderungen zugunsten des Auftragnehmers“). Nicht unter das Vergaberecht wird es fallen, wenn lediglich abwicklungsorientierte Vertragsbestimmungen geänderten Umständen angepasst werden.
121 Vgl. hierzu Reidt/Stickler/Glahs, VergabeR Kommentar, § 99 GWB Ziff. 4b m.w.N. 122 Vgl. OLG Düsseldorf v. 14.2.2001 – Verg 13/00. 123 EuGH v. 19.6.2008 – C-454/06 – pressetext (insb. Rz. 34 ff.).
Bischof
803
145
D Rz. 146
Vergabe von IT-Leistungen
10.2 Vertragsverlängerungen/Vertragserweiterungen nach Vergaberechtsreform 146 Die neue EU-Richtlinie 2014/24/EU (hier Art. 72 VRL) enthält eine sehr detaillierte Neuregelung zum Umgang mit Vertragsänderungen, die während der Vertragslaufzeit vorgenommen werden, unter Berücksichtigung der vom EuGH entwickelten Grundsätze. Mit Umsetzung der VRL wurde § 132 GWB geschaffen, der sich mit Auftragsänderungen während der Vertragslaufzeit befasst und auf den Bestimmungen von Art. 72 VRL basiert.124 So sind u.a. folgende Konstellationen einer nicht dem Vergaberecht unterfallenden Vertragsänderung vorgesehen: a) Die Möglichkeit der Änderung ist bereits im ursprünglichen Vertrag in Form von klar, präzise und eindeutig formulierten Überprüfungsklausen oder Optionen vorgesehen (Art. 72 Abs. 1 Satz 1 lit. a VRL). Änderung ist dabei der Oberbegriff für jede Art von Vertragsmodifikation und umfasst damit auch die besonders praxisrelevanten Fälle von Vertragsverlängerungen. Die nachträgliche Änderung muss im ursprünglichen Vertrag bereits hinreichend bestimmt geregelt sein, wobei an das Maß der Bestimmtheit keine unmöglichen Anforderungen gestellt werden dürfen. Allerdings darf der Gesamtcharakter des Auftrags nicht verändert werden, was wohl anhand der Hauptleistungspflichten festzustellen ist. Ähnlich formuliert dies auch § 132 Abs. 2 Nr. 1 GWB). b) Der ursprüngliche Auftrag darf mit dem bisherigen Auftragnehmer erweitert werden, wenn sich während der Vertragslaufzeit ein Bedarf an zusätzlichen Leistungen herausstellt und der Einsatz von Leistungen/Waren von einem anderen Auftragnehmer wegen der Unvereinbarkeit mit den durch die erste Auftragsvergabe bereits beschafften Leistungen nicht möglich ist, und wenn die Preiserhöhung infolge der zusätzlichen Leistungen nicht mehr als 50 % des ursprünglichen Auftrags beträgt (Art. 72 Abs. 1 Satz 1 lit. b VRL). Umfasst sind v.a. Erweiterungen der Stückzahl bzw. des Gesamtumfangs. Die zusätzlichen Leistungen müssen für die Durchführung des ursprünglichen Auftrags tatsächlich erforderlich sein (funktionaler Zusammenhang). Die Regelung soll wohl Fälle relativer und absoluter Inkompatibilität abdecken, also Fälle der Unvereinbarkeit aus wirtschaftlichen Gründen (relativ) oder aus technischen Gründen (absolut). Zulässig sind Vertragsänderungen zudem aufgrund von Umständen, die ein seiner Sorgfaltspflicht nachkommender öffentlicher Auftraggeber nicht vorhersehen konnte. Nur solche Umstände sind nicht vorhersehbar, die auch bei einer nach vernünftigem Ermessen sorgfältigen Vorbereitung der ursprünglichen Zuschlagserteilung unter Berücksichtigung der zur Verfügung stehenden Mittel, Art und Merkmale des Projekts, der bewährten Praxis im betroffenen Bereich und der Anforderung, ein angemessenes Verhältnis zwischen den bei der Vorbereitung des Zuschlags eingesetzten Ressourcen und dem absehbaren Nutzen zu gewährleisten, nicht hätten vorausgesagt werden können („objektivierter Sorgfaltsmaßstab“). Zudem darf der Gesamtcharakter des Vertrags nicht berührt werden und die infolge der Auftragsänderung eintretende Preiserhöhung darf 50 % des ursprünglichen Auftragswerts nicht übersteigen. Ähnlich formuliert dies auch § 132 Abs. 2 Nr. 2 GWB. c) § 132 Abs. 2 Nr. 3 GWB bestimmt, dass auch solche Änderungen zulässig sind, die aufgrund von Umständen erforderlich geworden sind, die der öffentliche Auftraggeber im Rahmen seiner Sorgfaltspflicht nicht vorhersehen konnte und sich auf aufgrund der Änderung des Gesamtcharakters des Auftrags nicht verändert hat.
124 S. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 482 ff.; Kulartz/Kus/Portz/Prieß, Kommentar zum GWB-Vergaberecht, 4. Aufl. 2016, § 132 GWB Rz. 19 ff. (Checkliste in Rz. 20).
804
Bischof
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
Rz. 147
D
d) Der Wechsel des Auftragnehmers ist als Auftragsänderung in einer der folgenden drei Konstellationen ohne Ausschreibung zulässig (Art. 72 Abs. 1 Satz 1 lit. d VRL): – Der Wechsel war bereits in Form eindeutig formulierter Überprüfungsklauseln oder Optionen in den ursprünglichen Auftragsunterlagen vorgesehen. Die Bedingungen des Wechsels müssen also konkret genannt sein. – Der Wechsel erfolgt infolge von strukturellen Änderungen des Auftragnehmers (wie z.B. Übernahme, Fusion/Verschmelzung, Erwerb, Insolvenz), wobei der neue Vertragspartner die ursprünglich festgelegten qualitativen Eignungskriterien erfüllen muss. Es darf i.Ü. keine weitere wesentliche Änderung des Auftrags erfolgen und die Umstrukturierung darf nicht dem Zwecke der Umgehung des Vergaberechts dienen. – Der Auftraggeber übernimmt die Verpflichtungen des Auftragnehmers gegenüber dessen Unterauftragnehmer und leistet direkt an diesen. Ähnlich formuliert dies auch § 132 Abs. 2 Nr. 4 GWB. e) Art. 72 Abs. 1 Satz 1 lit. e VRL enthält als Auffangtatbestand die Regelung, dass solche Auftragsänderungen keine Ausschreibungspflicht auslösen, die nicht wesentlich sind. § 132 GWB geht hier einen anderen Weg und stellt in § 132 Abs. 1 Satz 1 GWB fest, dass wesentliche Änderungen eines öffentlichen Auftrags während dessen Vertragslaufzeit ein neues Vergabeverfahren erfordern. Wesentliche Änderungen liegen grds. dann vor, wenn sich der Auftrag infolge der Änderung während der Vertragslaufzeit erheblich von dem ursprünglich vergebenen Auftrag unterscheidet (§ 132 Abs. 1 Satz 2 GWB). Eine wesentliche Änderung liegt v.a. vor, wenn 1. mit der Änderung Bedingungen eingeführt werden, die, wenn sie für das ursprüngliche Vergabeverfahren gegolten hätten, a) die Zulassung anderer Bewerber oder Bieter ermöglicht hätten, b) die Annahme eines anderen Angebots ermöglicht hätten oder c) das Interesse weiterer Teilnehmer am Vergabeverfahren geweckt hätten, 2. mit der Änderung das wirtschaftliche Gleichgewicht des öffentlichen Auftrags zugunsten des Auftragnehmers in einer Weise verschoben wird, die im ursprünglichen Auftrag nicht vorgesehen war, 3. mit der Änderung der Umfang des öffentlichen Auftrags erheblich ausgeweitet wird oder 4. ein neuer Auftragnehmer den Auftragnehmer in anderen als den in Abs. 2 Satz 1 Nr. 4 vorgesehenen Fällen ersetzt (§ 132 Abs. 1 Satz 3 GWB). f) Weiter sind gem. Art 72 Abs. 2 VRL künftig Änderungen ausgenommen, losgelöst von vorgenannten Fallgruppen, deren Auftragswertänderungen als geringfügig qualifiziert wer-den können. Hierbei gilt eine doppelte Wertgrenze. Eine Neuausschreibung ist dann nicht erforderlich, wenn der Wert der Änderung weder den für eine europaweite Vergabe relevanten Schwellenwert überschreitet, noch 10 % des ursprünglichen Auftragswerts bei Liefer- und Dienstleistungsaufträgen (15 % bei Bauaufträgen) übersteigt. Auch darf sich der Gesamtcharakter des Auftrags nicht ändern. Ähnlich formuliert dies auch § 132 Abs. 3 GWB. Liegt keine der obigen Ausnahmekonstellationen vor, nehmen also die Vertragspartner eine 147 wesentliche Vertragsänderung ohne Durchführung eines Ausschreibungsverfahrens vor, liegt eine unzulässige de-facto-Vergabe vor (s. i.Ü. unter Rz. 224 ff.).
Bischof
805
D Rz. 148
Vergabe von IT-Leistungen
10.3 Rahmenvereinbarungen 10.3.1 Vergaberechtliche Ausgangslage 148 Auch Rahmenvereinbarungen125 stellen öffentliche Aufträge dar, die grds. ausgeschrieben werden müssen. Hinter einem Rahmenvertrag kann sich jeder Vertragstyp verbergen. Die Beschaffung erfolgt nach den anwendbaren Vergabevorschriften im jeweils zulässigen Verfahren. Rahmenvereinbarungen empfehlen sich v. a. bei wiederkehrenden Beschaffungen, insb. bei der Beschaffung von Hardware sowie auch Standardsoftware. Der sukzessive Beschaffungsbedarf wird dabei in einer einzigen Ausschreibung, nämlich der Ausschreibung der Rahmenvereinbarung, zusammengefasst. Die Rahmenvereinbarung stellt – wie der Name besagt – nur den Rahmen der Beschaffung darf. Für die konkrete Lieferung wird sodann in einer weiteren Stufe ein Einzelauftrag erteilt. Folgende Anwendungsbereiche sind in der Praxis typisch: – Wiederkehrende Beschaffungsmaßnahmen v.a. im Bereich von Massenwaren und Massendienstleistungen: – Komplexe Beschaffungsvorhaben, insb. bei kurzen Produkt-/Innovationszyklen. – Angebotsbündelung aufseiten der Auftraggeber (so z.B. durch zentrale Beschaffungsstellen). 10.3.2 Definition 149 § 103 Abs. 5 GWB enthält folgende Definition: „Rahmenvereinbarungen sind Vereinbarungen zwischen einem oder mehreren öffentlichen Auftraggebern oder Sektorenauftraggebern und einem oder mehreren Unternehmen, die dazu dienen, die Bedingungen für die öffentlichen Aufträge, die während eines bestimmten Zeitraums vergeben werden sollen, festzulegen, insbesondere in Bezug auf den Preis. Für die Vergabe von Rahmenvereinbarungen gelten, soweit nichts anderes bestimmt ist, dieselben Vorschriften wie für die Vergabe entsprechender öffentlicher Aufträge.“
150 Die Rahmenvereinbarungen legen somit nur Bedingungen für noch abzuschließende Einzelverträge fest. 151 Gemäß § 21 Abs. 1 Satz 1 VgV erfolgt der Abschluss einer Rahmenvereinbarung im Wege einer nach dieser Verordnung anwendbaren Verfahrensart. Das in Aussicht genommene Auftragsvolumen ist so genau wie möglich zu ermitteln und bekannt zu geben, braucht aber nicht abschließend festgelegt zu werden (§ 21 Abs. 1 Satz 2 VgV). Eine Rahmenvereinbarung darf nicht missbräuchlich oder in einer Art angewendet werden, die den Wettbewerb behindert, einschränkt oder verfälscht (§ 21 Abs. 1 Satz 3 VgV).126 10.3.3 Bindungsgrad 152 Vorschriften zur rechtlichen Ausgestaltung der Rahmenvereinbarungen finden sich nicht. Diese wird insb. durch den Bindungsgrad der Vertragspartner vorgegeben. Im Wesentlichen lassen sich drei rechtliche Gestaltungsmöglichkeiten unterscheiden: – Einseitig verbindliche Rahmenvereinbarung: Diese Ausgestaltung stellt in der Praxis den Regelfall dar. Es besteht keinerlei Verpflichtung des Auftraggebers zur Inanspruchnahme
125 S. Gröning, VergabeR 2005, 156; Haak/Degen, VergabeR 2005, 164; Knauff, VergabeR 2006, 24; Bischof, ITRB 2007, 134. Grundlagen im EU-Recht: Art. 1 Abs. 5, 32 VKR; Erläuterung der Europäischen Kommission zu Rahmenvereinbarungen (CC/2005/03_rev1 vom 14.7.2005). 126 Noch leitet hieraus auch das Exklusivitätsprinzip für Rahmenvereinbarungen ab, d.h. dass es nicht zulässig ist, mehrere Rahmenvereinbarungen über das gleiche Produkt zu schließen, s. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 664.
806
Bischof
Ausschreibungspflicht bei Vergabe von IT-Leistungen (EU-Vergabe)
Rz. 156
D
der vorgehaltenen Leistungen. Nur das Unternehmen ist ohne korrespondierenden Anspruch auf Beauftragung zur Erbringung der Leistungen auf Abruf verpflichtet. – Beidseitig verbindliche Rahmenvereinbarung: In dieser Konstellation sind beide Vertragspartner rechtlich gebunden. Der Auftraggeber ist verpflichtet, die Einzelaufträge aus der Rahmenvereinbarung zu erteilen. Das Unternehmen schuldet die Leistungserbringung auf Abruf. Diese Gestaltung stellt in der Praxis eher die Ausnahme dar. Als Variante tritt die Vereinbarung einer Mindestabnahmepflicht des Auftraggebers auf, was ggf. sogar nach § 8 Nr. 1 Abs. 3 VOL/A 2006 geboten war, um ungewöhnliche Wagnisse des Bieters zu kompensieren. Die VgVenthält zwar keine ausdrückliche Regelung mehr zum Verbot, dem Bieter ungewöhnliche Wagnisse aufzubürden. Eine Verpflichtung, dem Bieter keine von ihm nicht beeinflussbaren und hinsichtlich Preis und Fristen schätzbaren Leistungspflichten abzuverlangen, dürfte sich jedoch bereits aus allgemeinen Grundsätzen ergeben, zumal bei solchen Verfahren, in denen mit dem Bieter nicht verhandelt werden darf. – Beidseitig unverbindliche Rahmenvereinbarung: Hier ist weder der Auftraggeber zum Abruf verpflichtet noch der Auftragnehmer zur Leistungserbringung bei Abruf. Der praktische Nutzen solcher Gestaltungen ist nur gering, da beiderseits keine verlässlichen Bindungen vorliegen. Allenfalls ist diese Ausgestaltung bei Abschluss einer Rahmenvereinbarung mit mehreren Unternehmen ratsam, um bei Verweigerung der Leistung durch ein Unternehmen weitere Alternativen zu haben. 10.3.4 Wesentlicher Inhalt Im Hinblick auf das Erfordernis einer eindeutigen und erschöpfenden Leistungsbeschrei- 153 bung (§ 121 Abs. 1 GWB, § 31 VgV) muss der wesentliche Inhalt der abzuschließenden Rahmenvereinbarung ersichtlich sein.127 Denn nur dann kann ein Unternehmen eine vernünftige Kalkulation durchführen und ein Angebot abgeben. Das bedeutet, dass schon in den Vergabeunterlagen (§ 29 VgV) der zu erwartende Bedarf des öffentlichen Auftraggebers so konkret wie möglich anzugeben ist. Dies bezieht sich v.a. auf den in Aussicht genommenen Preis, den Leistungszeitraum sowie das in Aussicht genommene Auftragsvolumen. Schließlich ist die Rahmenvereinbarung keine unbestimmte Abmachung, sondern vielmehr 154 die verbindliche Grundlage eines späteren Abrufs mittels Vergabe von Einzelaufträgen. Sämtliche Details der Einzelaufträge müssen jedoch nicht bereits in der Rahmenvereinbarung enthalten sein. Es muss jedoch bei Gestaltung der Rahmenvereinbarung überlegt und hinterfragt werden, welche Bedingungen tatsächlich offen gelassen werden können. Gerade die preisliche Gestaltung sollte zumindest im Hinblick auf die wesentlichen Eckpunkte fest vereinbart werden, also z.B. v.a. hinsichtlich der Höhe von Stundensätzen. In den UfAB VI, Version 1.0 wird in Übereinstimmung mit den Empfehlungen der EU-Kommission128 empfohlen, das Auftragsvolumen ggf. durch folgende Angaben festzulegen:
155
– Verbindliche Mindestabnahmemenge; – Geschätzte Abnahmemenge (wenn Mindestabnahmemenge nicht benennbar sein sollte); – Optionale Höchstmenge. Die maximale Laufzeit einer Rahmenvereinbarung beträgt vier Jahre, es sei denn, es liegt ein im Gegenstand der Rahmenvereinbarung begründeter Sonderfall vor, § 21 Abs. 6 VgV. Im Bereich der Informationstechnologie wird es einer besonderen Abwägung im jeweiligen Einzelfall bedürfen, ob der gesamte Zeitrahmen überhaupt ausgeschöpft oder gar überschritten werden soll. Gerade die hohe Innovationsgeschwindigkeit und das damit verbundene Be127 VK Bund, Beschl. v. 21.8.2013 – VK 1-67/13. 128 GD Binnenmarkt und Dienstleistungen – Öffentliche Auftragsvergabe – am 27.7.2005 in Brüssel (vgl. BMWA I B 3 – 26 05 00/27).
Bischof
807
156
D Rz. 157
Vergabe von IT-Leistungen
dürfnis, nicht stets hinter dem aktuellen Stand der Technik zurückzubleiben, werden eher dazu führen, den Höchstrahmen zu unterschreiten. Soll der Zeitrahmen ausgeschöpft werden, sollte – soweit möglich – über die vertragliche Gestaltung eine Anpassung an den aktuellen Stand der Technik erreicht werden. 10.3.5 Rahmenvereinbarung mit einem oder mehreren Unternehmen 157 Aus der Rahmenvereinbarung muss sich auch ergeben, ob diese letztlich mit einem oder mehreren Unternehmen abgeschlossen werden soll, da dies auch die Vergabe der Einzelaufträge maßgeblich beeinflusst. Die Vergabe der einzelnen Aufträge erfolgt nach unterschiedlichen Verfahrensweisen, abhängig davon, ob die Rahmenvereinbarung mit einem oder mehreren Unternehmen geschlossen werden soll (vgl. auf EU-Ebene: § 21 Abs. 2 bis 5 VgV; auf nationaler Ebene lässt § 4 VOL/A den Ablauf weitgehend offen). 10.3.6 Zweistufiger Beschaffungsvorgang 158 Vergaberechtlich ist zwischen dem Verfahren, das zum Abschluss der Rahmenvereinbarung führt, und der Vergabe der auf der Rahmenvereinbarung basierenden Einzelaufträge zu unterscheiden („zwei Verfahrensstufen“). Der Abschluss der Rahmenvereinbarung dient auf der ersten Stufe dazu, die Bedingungen für Aufträge festzulegen (insb. Preis und Umfang), die von einem oder mehreren Auftraggebern im Lauf eines bestimmten Zeitraums vergeben werden sollen. Weitere Details und Einzelheiten werden bei Vergabe der Einzelaufträge als zweiter Stufe festgelegt, wobei in der Praxis häufig auch erst dort Preis und Umfang abschließend vereinbart werden. Der Abruf aus der Rahmenvereinbarung (= Vergabe von Einzelaufträgen) darf nur erfolgen zwischen den Auftraggebern, die ihren voraussichtlichen Bedarf für das Vergabeverfahren angemeldet haben und den Unternehmen, mit denen die Rahmenvereinbarung geschlossen wurde (§ 21 Abs. 2 VgV). 159 Bei Vergabe der Einzelaufträge ist weiter danach zu differenzieren, ob die Rahmenvereinbarung mit einem oder mehreren Unternehmen abgeschlossen wurde. Hierbei ist auch die Detailgenauigkeit der Rahmenvereinbarung von erheblicher Bedeutung. Wurde die Rahmenvereinbarung mit einem Unternehmen getroffen, so erfolgt die Einzelbeauftragung gemäß der Bestimmungen der Rahmenvereinbarung (§ 21 Abs. 3 VgV). Bei einer mit mehreren Unternehmen abgeschlossenen Rahmenvereinbarung, erfolgt für die Vergabe der Einzelaufträge letztlich ein nachgelagerter Wettbewerb. Das einzuhaltende Verfahren ist in § 21 Abs. 4 und 5 VgV beschrieben. Auch hier erfolgt die Vergabe auf das wirtschaftlichste Angebot für den jeweiligen Einzelauftrag. Zur Bestimmung der zutreffenden Verfahrensart für die Vergabe von Rahmenvereinbarungen gelten die allgemeinen Regelungen, d.h. die Vergabe einer Rahmenvereinbarung stellte keine eigenständige Vergabeart dar. Die Vergabe auf EU-Ebene erfolgt somit im Offenen oder Nichtoffenen Verfahren oder im Verhandlungsverfahren oder per wettbewerblichem Dialog.
VII. Vergabeverfahren nach VgV 160 Die VOL/A enthielt eine klare Trennung zwischen den Regelungen, die für nationale Vergaben gelten, und solchen, die nur für die EU-weiten, also oberschwelligen, Vergaben anzuwenden waren: – Abschnitt 1 gilt nach wie vor ausschließlich und abschließend für die Vergaben nach nationalem Recht, die die Schwellenwerte aus § 2 VgV nicht überschreiten.
808
Bischof
D Rz. 157
Vergabe von IT-Leistungen
dürfnis, nicht stets hinter dem aktuellen Stand der Technik zurückzubleiben, werden eher dazu führen, den Höchstrahmen zu unterschreiten. Soll der Zeitrahmen ausgeschöpft werden, sollte – soweit möglich – über die vertragliche Gestaltung eine Anpassung an den aktuellen Stand der Technik erreicht werden. 10.3.5 Rahmenvereinbarung mit einem oder mehreren Unternehmen 157 Aus der Rahmenvereinbarung muss sich auch ergeben, ob diese letztlich mit einem oder mehreren Unternehmen abgeschlossen werden soll, da dies auch die Vergabe der Einzelaufträge maßgeblich beeinflusst. Die Vergabe der einzelnen Aufträge erfolgt nach unterschiedlichen Verfahrensweisen, abhängig davon, ob die Rahmenvereinbarung mit einem oder mehreren Unternehmen geschlossen werden soll (vgl. auf EU-Ebene: § 21 Abs. 2 bis 5 VgV; auf nationaler Ebene lässt § 4 VOL/A den Ablauf weitgehend offen). 10.3.6 Zweistufiger Beschaffungsvorgang 158 Vergaberechtlich ist zwischen dem Verfahren, das zum Abschluss der Rahmenvereinbarung führt, und der Vergabe der auf der Rahmenvereinbarung basierenden Einzelaufträge zu unterscheiden („zwei Verfahrensstufen“). Der Abschluss der Rahmenvereinbarung dient auf der ersten Stufe dazu, die Bedingungen für Aufträge festzulegen (insb. Preis und Umfang), die von einem oder mehreren Auftraggebern im Lauf eines bestimmten Zeitraums vergeben werden sollen. Weitere Details und Einzelheiten werden bei Vergabe der Einzelaufträge als zweiter Stufe festgelegt, wobei in der Praxis häufig auch erst dort Preis und Umfang abschließend vereinbart werden. Der Abruf aus der Rahmenvereinbarung (= Vergabe von Einzelaufträgen) darf nur erfolgen zwischen den Auftraggebern, die ihren voraussichtlichen Bedarf für das Vergabeverfahren angemeldet haben und den Unternehmen, mit denen die Rahmenvereinbarung geschlossen wurde (§ 21 Abs. 2 VgV). 159 Bei Vergabe der Einzelaufträge ist weiter danach zu differenzieren, ob die Rahmenvereinbarung mit einem oder mehreren Unternehmen abgeschlossen wurde. Hierbei ist auch die Detailgenauigkeit der Rahmenvereinbarung von erheblicher Bedeutung. Wurde die Rahmenvereinbarung mit einem Unternehmen getroffen, so erfolgt die Einzelbeauftragung gemäß der Bestimmungen der Rahmenvereinbarung (§ 21 Abs. 3 VgV). Bei einer mit mehreren Unternehmen abgeschlossenen Rahmenvereinbarung, erfolgt für die Vergabe der Einzelaufträge letztlich ein nachgelagerter Wettbewerb. Das einzuhaltende Verfahren ist in § 21 Abs. 4 und 5 VgV beschrieben. Auch hier erfolgt die Vergabe auf das wirtschaftlichste Angebot für den jeweiligen Einzelauftrag. Zur Bestimmung der zutreffenden Verfahrensart für die Vergabe von Rahmenvereinbarungen gelten die allgemeinen Regelungen, d.h. die Vergabe einer Rahmenvereinbarung stellte keine eigenständige Vergabeart dar. Die Vergabe auf EU-Ebene erfolgt somit im Offenen oder Nichtoffenen Verfahren oder im Verhandlungsverfahren oder per wettbewerblichem Dialog.
VII. Vergabeverfahren nach VgV 160 Die VOL/A enthielt eine klare Trennung zwischen den Regelungen, die für nationale Vergaben gelten, und solchen, die nur für die EU-weiten, also oberschwelligen, Vergaben anzuwenden waren: – Abschnitt 1 gilt nach wie vor ausschließlich und abschließend für die Vergaben nach nationalem Recht, die die Schwellenwerte aus § 2 VgV nicht überschreiten.
808
Bischof
Vergabeverfahren nach VgV
Rz. 165
D
– Abschnitt 2 (mit dem Zusatz „EG“, bei jedem Paragraphen) galt ausschließlich und abschließend für die Vergaben nach EU-Recht, die die Schwellenwerte überschreiten.129 Mit Vergaberechtsreform und Inkrafttreten der neuen Bestimmungen zum 18.4.2016) ist die VOL/A in ihrem 2. Abschnitt entfallen und die Regelungen zur Vergabe sind nunmehr sowohl im GWB als auch in der VgV enthalten (s. Rz. 15 zum VergModG und Rz. 23 ff. zur Mantelverordnung und deren Inhalt).
161
Für die Sektorenauftraggeber gelten ausschließlich die Bestimmungen der SektVO, keine Regelungen aus der VgV. Für Aufträge im Bereich Verteidigung und Sicherheit gelten ausschließlich die Regelungen der VSVgV.
162
1. Vorbereitung eines Vergabeverfahrens nach VgV Der öffentliche Auftraggeber sollte der Vorbereitung des Vergabeverfahrens besondere Auf- 163 merksamkeit schenken, denn: Je besser die Vorbereitung, desto besser die Ergebnisse. Ein hoher Vorbereitungsaufwand schafft die zuverlässige Basis einer Vergabe, erleichtert später die Prüfung und Wertung der Angebote, sorgt bereits innerhalb der Organisation des Auftraggebers für die notwendige Akzeptanz und schützt aufgrund gut dokumentierter „Aktenlage“ auch i.R.v. Nachprüfungsverfahren. 1.1 Anlegung einer Vergabeakte, Dokumentation und Vergabevermerk Der öffentliche Auftraggeber ist gem. § 8 VgV (bzw. national § 20 VOL/A) verpflichtet, von 164 Anfang an eine geeignete und v.a. vollständige Dokumentation des gesamten Vergabeverfahrens in einer Vergabeakte zu führen. Diese ist auch – im Falle eines Nachprüfungsverfahrens – der Vergabekammer vorzulegen. Mit der Dokumentation soll das gesamte Vergabeverfahren, d.h. die einzelnen Stufen des Verfahrens, die einzelnen Maßnahmen sowie die Begründung der einzelnen Entscheidungen transparent und nachvollziehbar dargestellt werden.130 Gem. § 8 Abs. 2 VgV (ähnlich § 20 VOL/A) umfasst der Vergabevermerk mindestens folgen- 165 de Angaben: a) den Namen und die Anschrift des öffentlichen Auftraggebers, Gegenstand und Wert des Auftrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems, b) die Namen der berücksichtigten Bewerber oder Bieter und die Gründe für ihre Auswahl, c) die Namen der nicht berücksichtigten Bewerber oder Bieter und die Gründe für ihre Nichtberücksichtigung, d) die Gründe für die Ablehnung von Angeboten, die für ungewöhnlich niedrig befunden wurden, e) den Namen des erfolgreichen Bieters und die Gründe für die Auswahl seines Angebots sowie – falls bekannt – den Anteil am Auftrag oder an der Rahmenvereinbarung, den der Zuschlagsempfänger an Dritte weiterzugeben beabsichtigt, und ggf., soweit zu jenem Zeitpunkt bekannt, den Namen der Unterauftragnehmer der Hauptauftragnehmer f) bei Verhandlungsverfahren und wettbewerblichen Dialogen die in § 14 Abs. 3 VgV genannten Umstände, die die Anwendung dieser Verfahren rechtfertigen, g) bei Verhandlungsverfahren ohne vorherigem Teilnahmewettbewerb die in § 14 Abs. 4 VgV genannten Umstände, die die Anwendung dieses Verfahrens rechtfertigen
129 S. hierzu ausführlich Weyand, Vergaberecht, Praxiskommentar, 4. Aufl. 2013, Kommentierung zu §§ 97–99 GWB; s.a. Bischof, in: Schneider/Graf von Westphalen, Kap. N Rz. 76 ff. 130 S. a. Diehl, in: Müller-Wrede, VOL/A-Kommentar, 4. Aufl. 2014, § 24 EG Rz. 43 ff., 31 ff.
Bischof
809
D Rz. 166
Vergabe von IT-Leistungen
h) ggf. die Gründe, aus denen die Auftraggeber auf die Vergabe eines Auftrags, den Abschluss einer Rahmenvereinbarung oder die Einrichtung eines dynamischen Beschaffungssystems verzichtet haben, i) ggf. die Gründe, aus denen andere als elekronische Mittel für die Einreichung der Angebote verwendet wurden; j) ggf. Angaben zu aufgedeckten Interessenkonflikten und getroffenen Abhilfemaßnahmen, k) die Gründe, aufgrund derer mehrere Teil- oder Fachlose zusammen vergeben werden sollen, l) ggf. die Gründe für die Nichtangabe der Gewichtung der Zuschlagskriterien. 1.2 Beschaffungsbedarf 166 Üblicherweise geht es darum, zunächst die so genannte „Verfahrens- und Beschaffungsidee“ darzulegen, die zur Initiierung der Beschaffungsmaßnahme geführt hat. Dies entspricht der „Erstellung einer Problembeschreibung“, die v.a. auf folgende Aspekte eingehen sollte: – auslösende Momente für das Vorhaben – bereits erkannte Schwachstellen – Randbedingungen – finanziell – gesetzlich – personell. 167 Von besonderer Bedeutung ist dabei, dass der öffentliche Auftraggeber ein weitgehendes, der Vergabe vorgelagertes Leistungsbestimmungsrecht hat.131 Er ist frei darin, seinen Beschaffungsbedarf zu definieren und zu bemessen; gerade Technologieentscheidungen stehen ihm grds. frei.132 Die Festlegung des Bedarfs ist gerichtlich nur eingeschränkt auf Vertretbarkeit und Willkürfreiheit überprüfbar.133 Hierbei muss er jedoch bzw. lediglich die Grundsätze der Nichtdiskriminierung und des Wettbewerbs i.S.d. § 97 GWB beachten. Eine zielgerichtete Verengung des Wettbewerbs darf ohne ausreichenden Rechtfertigungsgrund nicht erfolgen. Die Ausschreibung muss dann auch ernsthaft verfolgt werden und nicht für vergabefremde Zwecke (wie zur Markterkundung) erfolgen. Das OLG Düsseldorf134 fasst dies zurecht wie folgt zusammen: „… (2) Das Vergaberecht regelt die Art und Weise der Beschaffung und nicht, was der öffentliche Auftraggeber beschafft. (3) Die vergaberechtlichen Grenzen der Bestimmungsfreiheit sind eingehalte, wenn die Bestimmung durch den Auftragsgegenstand sachlich gerechtfertigt ist, vom Auftrag-
131 S. OLG Düsseldorf, Beschl. v. 22.10.2009 – VII-Verg 25/09; OLG Naumburg, Beschl. v. 5.12.2008 – 1 Verg 9/08. 132 S. OLG Düsseldorf, Beschl. v. 14.4.2005 – VII Verg 93/04 (Ls. 1) – s. unter www.justiz.nrw.de, Bibliothek/nrwe2/index.plp.: „Die Entscheidung, welcher Gegenstand oder welche Leistung mit welcher Beschaffenheit und mit welchen Eigenschaften im Vergabeweg beschafft werden soll, obliegt dem öffentlichen Auftraggeber.“ Weiter wird ausgeführt, dass dem Auftraggeber ein Beurteilungsermessen zusteht, dessen Ausübung im Ergebnis nur darauf kontrolliert werden kann, ob seine Entscheidung sachlich vertretbar ist. S. hierzu auch Opitz, BauR 2000, 1564 ff. 133 OLG Düsseldorf, Beschl. v. 25.4.2012 – VII-Verg 100/11; OLG Karlsruhe, Beschl. v. 6.4.2011 – 15 Verg 3/11; OLG Düsseldorf, Beschl. v. 14.4.2005 – VII-Verg 93/04; ähnlich auch OLG Koblenz, Beschl. v. 5.9.2002 – 1 Verg 2/02. 134 OLG Düsseldorf, Beschl. v. 22.5.2013 – VII-Verg 16/12, (Ls. 2 und 3); so ebenfalls OLG Düsseldorf, Beschl. v. 12.2.2014 – VII-Verg 29/13.
810
Bischof
Vergabeverfahren nach VgV
Rz. 171
D
geber dafür tatsächlich vorhandene nachvollziehbare objektive und auftragsbezogene Gründe angegeben worden sind und die Bestimmung andere Wirtschaftsteilnehmer nicht diskriminiert.“
1.3 Markterkundung Ein öffentlicher Auftraggeber war gem. § 4 Nr. 1 VOL/A a.F. verpflichtet, bei Abweichung 168 vom Offenen Verfahren vor Beginn des Vergabeverfahrens eine Markterkundung durchzuführen bzw. eine Marktübersicht zu erstellen. Zum einen ist die Regelung des § 4 Nr. 1 VOL/A längst entfallen und zum anderen hat der öffentliche Auftraggeber nunmehr die freie Wahl zwischen offenem und nicht offenem Verfaren. Eine Markterkundung wird der öffentliche Auftraggeber sinnvollerweise im Hinblick auf die Ausnahmebestimmungen bei den Verfahrensarten (s. Rz. 181 ff.) durchführen, da diese meist eine Marktkenntnis des öffentlichen Auftraggebers erfordern, die dieser sich eigenständig verschaffen muss, um die Ausnahmevorschriften auch begründen zu können. Ebenso notwendig erscheint eine Markterkundung, um den Auftragswert seriös schätzen und damit die Über- oder Unterschreitung der Schwellenwerte beurteilen zu können. Um die Markterkundung durchzuführen, können z.B. als Informationsquellen genutzt werden:
169
– Fachzeitschriften, Informationen aus dem Internet – Veröffentlichungen, – Messen, Ausstellungen (wie z.B. Cebit, Systems, besondere Fachmessen für bestimmte Branchen u.Ä.), – Anbieterinformationen/-präsentationen, – Anfragen bei anderen öffentlichen Auftraggebern, – Anfragen bei Fachleuten, – Voranfragen bei Firmen etc. Die Ergebnisse sind schriftlich darzustellen, woraus die auf dem Markt befindlichen Anbieter samt Kurzdarstellung des jeweiligen Produktes unter Angabe der Quellen, aus denen diese Informationen gewonnen wurden, deutlich werden sollen. Ein „Ranking“ darf sich aus einer solchen Übersicht jedoch keinesfalls ergeben, da dies weit über die Zielsetzung der Markterkundung hinausgeht und bereits eine Bewertung vorwegnimmt, die dem eigentlichen „öffentlichen Teil“ des Vergabeverfahrens vorbehalten ist. Eine bloße Ausforschung des Marktes ist nicht zulässig.135 So bestimmt § 28 Abs. 2 VgV, dass die Durchführung eines Vergabeverfahrens lediglich zur Markterkundung und zum Zwecke der Kosten-/Preisermittlung unzulässig ist.
170
1.4 Sicherstellung der Finanzierung und ggf. Genehmigung Ein Vergabeverfahren darf nicht eingeleitet werden, wenn die Finanzfrage ungeklärt ist und 171 damit die Frage des Zuschlags davon abhängig wäre, ob der Auftraggeber sich die Vergabe „leisten“ kann. Das Vorhandensein ausreichender Finanzmittel sollte sorgfältig dokumentiert werden. Sind ausreichende Finanzmittel nicht vorhanden, sondern von einer Dritt-Finanzierung (z.B. Fördermittel, Zuschüsse etc.) abhängig, sollte der öffentliche Auftraggeber als Vergabestelle sich um feste Finanzierungszusagen bemühen und diese sorgfältig aufbewahren. Nur so könnte die Vergabestelle z.B. bei ausbleibender Finanzierung trotz Zusage beweisen, dass dies einen Grund für eine Aufhebung des Vergabeverfahrens darstellt, da die Ursache nicht bei der Vergabestelle zu suchen ist (vgl. § 63 VgV bzw. national § 17 135 S. u.a. BayObLG, Beschl. v. 28.5.2003 – Verg 7/03.
Bischof
811
D Rz. 172
Vergabe von IT-Leistungen
VOL/A).136 Nicht erforderlich ist aber, dass bereits zum Zeitpunkt der Vergabebekanntmachung die Haushaltsmittel bereitgestellt sind.137 1.5 Externe Unterstützung des Auftraggebers: Interessenkonflikte gemäß § 6 VgV und Projektantenproblematik gemäß § 7 VgV 172 Der öffentliche Auftraggeber hat teilweise nicht das erforderliche Know-how in Bezug auf die konkrete Beschreibung der zu vergebenden IT-Leistungen, auf das Vergaberecht sowie auch die vertragliche Gestaltung. Er bedarf dann bereits frühzeitig externer Unterstützung. 173 Diese Notwendigkeit der Beiziehung externen Sachverstands mit entsprechenden Unterstützungsleistungen kann zu unterschiedlichen Zeitpunkten auftreten: – bei der Vorbereitung der Vergabe, – bei der Durchführung der Vergabe. 174 Diese Phasen sind klar voneinander abzugrenzen, da jeweils unterschiedliche Vorschriften diese Unterstützungsleistungen Externer sowie deren etwaige spätere Beteiligung im Vergabeverfahren beurteilen: – Vorbereitung und spätere Beteiligung: § 7 VgV: „Hat ein Unternehmen oder ein mit ihm in Verbindung stehendes Unternehmen den öffentlichen Auftraggeber beraten oder war auf andere Art und Weise an der Vorbereitung des Vergabeverfahrens beteiligt (vorbefasstes Unternehmen), so ergreift der öffentliche Auftraggeber angemessene Maßnahmen, um sicherzustellen, dass der Wettbewerb durch die Teilnahme dieses Unternehmens nicht verzerrt wird.“ – Befassung während der Vergabe: § 6 VgV. 175 Projektanten: Die Beteiligung von externen Beratern i.R.d. Vorbereitung eines Vergabeverfahrens hatte vor Einführung einer vergaberechtlichen Bestimmung (zunächst durch § 6 VOL/A bzw. § 6 EG VOL/A a.F.) in der Rspr. meist dazu geführt, dass aufgrund des vorhandenen Wissensvorsprungs diese Berater selbst nicht als Bieter im Vergabeverfahren auftreten dürfen. Dies auch, obwohl es kein absolutes Verbot gibt, dass sich Projektanten an nachfolgenden Ausschreibungen beteiligen.138 Dies wurde damit begründet, dass die Vorbefassung tendenziell ein überlegenes Wissen vermittelt und so den Wettbewerb verzerrt. Denn der Projektant hat seinen Konkurrenten die Kenntnis von Einzelheiten des Auftragsgegenstandes, insb. von preisbildenden Faktoren voraus. Dieser Informationsvorsprung verbessert – zumindest potentiell – seine Wettbewerbsposition. Dies lässt sich nicht in Einklang mit den Prinzipien der Gleichbehandlung, der Transparenz und der wettbewerblichen Vergabe (vgl. § 97 Abs. 1 und 2 GWB) bringen. 176 Auch kann eine Benachteiligung der Konkurrenten darin liegen, dass der Projektant bei seinen unterstützenden, vorbereitenden Arbeiten die Bedingungen für den Auftrag – evtl. auch unbeabsichtigt – in einem für ihn selbst günstigen Sinne beeinflusst hat.139 Gerade wenn der Projektant bei der Erstellung der Leistungsbeschreibung beteiligt war oder die Leistungsbeschreibung auf Vorleistungen des Projektanten zurückgreift, muss strikt darauf geachtet
136 S. Noch, in: Müller-Wrede, VOL/A Kommentar 2001, § 16 Rz. 12 ff. S. aber zur Zulässigkeit der Ausschreibung bei ungesicherter Finanzierung in eng begrenzten Ausnahmefällen (damit kein Aufhebungsgrund) in eng begrenzten Ausnahmefällen, Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 20 EG Rz. 43 ff. 137 S. Noch, Vergaberecht kompakt 7. Aufl. 2016, Rz. 103 ff.; Eberstein, in: Daub/Eberstein, VOL/A Kommentar, § 16 Rz. 6. 138 S. Reuber, VergabeR 2005, 271. 139 So z.B. noch OLG Düsseldorf, Beschl. v. 16.10.2003 – VII-Verg 57/03.
812
Bischof
Vergabeverfahren nach VgV
Rz. 181
D
werden, dass die Vorschriften zur Produktneutralität der Leistungsbeschreibung (§ 31 Abs. 6 VgV) eingehalten werden. Die Regelung des § 7 VgV (bzw. national des § 6 Abs. 6 VOL/A) sieht nun ausdrücklich vor, 177 dass auch, wer vor Einleitung des Vergabeverfahrens den Auftraggeber beraten oder sonst unterstützt hat, im Vergabeverfahren als Bieter zugelassen werden kann, wenn der Auftraggeber dafür sorgt, dass der Wettbewerb nicht verfälscht wird.140 Erst wenn dies nicht gelingt, muss der Bewerber/Bieter vom Vergabeverfahren ausgeschlossen werden (Ausschluss als ultima ratio). Jedoch ist die Zulassung eines Projektanten – bei eventuellen Rügen der Konkurrenz – i.d.R. 178 ein Beweisproblem, denn: Der Auftraggeber trägt die Beweislast dafür, dass der Wettbewerb durch die Teilnahme des Projektanten nicht verfälscht wird. Dieser Beweis ist schwer zu führen und kann wohl nur durch eine umfassende Informationsweitergabe in den Vergabeunterlagen gelöst werden.141 Zudem sind Fristen am Maßstab der unbefassten Bewerber/Bieter festzulegen und nicht am Kenntnisstand des Projektanten zu messen. Befassung während des Vergabeverfahrens: § 6 VgV regelt die Neutralitätspflicht des Auf- 179 traggebers. Aufseiten des Auftraggebers dürfen keine natürlichen Personen beteiligt sein, bei denen ein Interessenkonflikt besteht. Ein Interessenkonflikt besteht für Personen, die an der Durchführung des Vergabeverfahrens beteiligt sind oder Einfluss auf den Ausgang eines Vergabeverfahrens nehmen können und die ein direktes oder indirektes finanzielles, wirtschaftliches oder persönliches Interesse haben, das ihre Unparteilichkeit und Unabhängigkeit i.R.d. Vergabeverfahrens beeinträchtigen könnte (§ 6 Abs. 2 VgV). § 6 Abs. 1 Nr. 3 VgV stellt lediglich widerlegbare Vermutungen eines Interessenkonfliktes auf, wenn die in Abs. 1 genannten Personen
180
1. Bewerber oder Bieter sind, 2. einen Bewerber oder Bieter beraten oder sonst unterstützen oder als gesetzliche Vertreter oder nur in dem Vergabeverfahren vertreten, 3. beschäftigt oder tätig sind a) bei einem Bewerber oder Bieter gegen Entgelt oder bei ihm als Mitglied des Vorstandes, Aufsichtsrates oder gleichartigen Organs oder b) für ein in das Vergabeverfahren eingeschaltetes Unternehmen, wenn dieses Unternehmen zugleich geschäftliche Beziehungen zum öffentlichen Auftraggeber und zum Bewerber oder Bieter hat. 2. Verfahrensarten: Anwendungsbereich und Fristen 2.1 Einführung Die Festlegung der zutreffenden Verfahrensart ist entscheidend dafür, nach welchen Regeln 181 ein Vergabeverfahren abzulaufen hat.142 Die diesbezügliche Entscheidung stellt oftmals in der Praxis der IT-Ausschreibungen eine der wesentlichen Herausforderungen dar. Da der öffentliche Auftraggeber im Falle einer Nachprüfung und entsprechenden Rüge die Beweislast dafür 140 Damit wird auch die Rspr. des EuGH zur Projektantenproblematik umgesetzt: EuGH v. 3.3.2005 – C-21-03 und C-34-03, NZBau 2005, 351 – „Fabricom“. S. Ohle/von dem Bussche, CR 2004, 791 ff. zum Risiko des Ausschlusses und zu geeigneten Gegenmaßnahmen für Auftraggeber und Auftragnehmer. S.a. Bischof/Stoye, MMR 2006, 137 ff. 141 Vgl. zu einem gelungenen Beweis: OLG Düsseldorf v. 25.10.2005 – VII-Verg 67/05, VergabeR 2006, 137. 142 S. Überblick bei Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 512 ff.; zu einer Übesicht der Fristen im Oberschwellenbereich Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 892 ff.
Bischof
813
D Rz. 182
Vergabe von IT-Leistungen
trägt, die Verfahrensart zutreffend ausgewählt zu haben, ist auf eine aktenkundig zu machende Begründung besondere Sorgfalt zu verwenden (§ 8 VgV, national § 20 VOL/A). 182 Auf nationaler Ebene stehen folgende Verfahrensarten zur Verfügung (vgl. § 3 VOL/A): – Öffentliche Ausschreibung – Beschränkte Ausschreibung mit/ohne Teilnahmewettbewerb – Freihändige Vergabe – Direktkauf. 183 Als Vergabeverfahren stehen auf EU-Ebene nach den Bestimmungen von § 119 GWB i.V.m. §§ 15 bis 19 VgV143 folgende fünf Arten zur Verfügung, die in einer gewissen Hierarchie zueinander stehen. Vorrang hatte bislang das offene Verfahren, wobei mit Umsetzung der Vergaberechtsreform in 2016 der Vorrang des offenen Verfahrens aufgegeben wurde. So sehen Art. 26 Abs. 2 RL 2014/24/EU sowie § 119 Abs. 2 Satz 1 GWB, § 14 Abs. 2 Satz 1 VgV vor, dass der öffentliche Auftraggeber frei zwischen offenem und nicht offenem Verfahren wählen darf. Lediglich die anderen Verfahrensarten stehen nur unter den ausdrücklich geregelten Voraussetzungen zur Verfügung, § 14 Abs. 2 Satz 2 VgV.144 – Offenes Verfahren: Es ist gekennzeichnet durch strikte Form- und Fristvorgaben, stark formalisiert und erlaubt keine Verhandlungen mit den Bietern. Der Bewerberkreis ist unbeschränkt. – Nicht offenes Verfahren: Das Verfahren bietet gegenüber dem offenen Verfahren Formund Fristerleichterungen. Der Bewerberkreis ist noch unbeschränkt; durch den vorgeschalteten Teilnahmewettbewerb wird der Kreis der Bieter anhand von Eignungskriterien eingeschränkt und nur dieser beschränkte Kreis zur Abgabe eines Angebots aufgefordert. Auch hier herrscht Verhandlungsverbot. – Verhandlungsverfahren: Es darf nur unter engen Voraussetzungen angewandt werden und soll nach dem Willen des Gesetzgebers die absolute Ausnahme darstellen (§ 14 Abs. 3 und 4 VgV). Zudem wird noch unterschieden, ob eine Vergabebekanntmachung veröffentlicht wird (§ 14 Abs. 3 VgV) oder nicht (§ 14 Abs. 4 VgV). Verhandlungen sind hier ausdrücklich zulässig und gewünscht. Die sukzessive Beschränkung der Bieteranzahl ist grds. möglich. – Wettbewerblicher Dialog: Er darf unter der Voraussetzung des § 14 Abs. 3 (wie das Verhandlungsverfahren mit Teilnahmewettbewerb) angewandt werden. Hierbei handelt es sich um ein Vergabeverfahren mit vorgeschaltetem Teilnahmewettbewerb, das die Vergabe in drei Phasen vorsieht und in dem über alle Einzelheiten des Auftrags verhandelt werden darf. – Phase 1: Teilnahmewettbewerb, in dem die konkreten Teilnehmer am Vergabeverfahren aus dem unbeschränkten Kreis der Bewerber ausgewählt werden. – Phase 2: Dialogphase, in der mit den Teilnehmern deren Lösungsvorschläge diskutiert werden sowie die Optimierung der angebotenen Lösungen erarbeitet wird (eine Leistungsbeschreibung des öffentlichen Auftraggebers ist nicht vorhanden). – Phase 3: Bietphase, in der die optimierte Lösung ausgeschrieben und der Zuschlag unter den verbliebenen Teilnehmern – grds. ohne weitere Verhandlungen – erteilt wird. – Innovationspartnerschaft: Verfahren zur Entwicklung innovativer, noch nicht auf dem Markt verfügbarer Liefer-, Bau- oder Dienstleistungen und zum anschließenden Erwerb
143 Die VOF sah dagegen nur das Verhandlungsverfahren (mit oder ohne vorheriger Vergabebekanntmachung) vor (§ 5 VOF). Mit Umsetzung der Vergaberechtsreform ist die VOF entfallen. 144 Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 454 ff.
814
Bischof
Vergabeverfahren nach VgV
Rz. 189
D
der daraus hervorgehenden Leistungen. Nach einem Teilnahmewettbewerb verhandelt der öffentliche Auftraggeber in mehreren Phasen mit den ausgewählten Unternehmen über die Erst- und Folgeangebote. Die Innovationspartnerschaft stützt sich im im Kern auf die Verfahrensregeln, die für das Verhandlungsverfahren gelten, da dies für den Vergleich von Angeboten für innovative Lösungen am besten geeignet sei, wobei die Auftragsvergabe auf der Grundlage des besten Preis-/Leistungsverhältnisses erfolgt. In welchem Verhältnis das Verhandlungsverfahren zum wettbewerblichen Dialog steht, war vor Vergaberechtsreform wohl wie folgt zu beantworten:
184
Weder aus der VKR (und auch nicht aus der RL 2014/24/EU) noch aus § 101 GWB kann ein 185 Hinweis entnommen werden, dass Verhandlungsverfahren und wettbewerblicher Dialog in einem Vorrangs-/Nachrangsverhältnis zueinander stehen. Weder ist das Verhandlungsverfahren zum wettbewerblichen Dialog vorrangig noch umgekehrt. Vielmehr sind beide Verfahren je nach ihren normierten Voraussetzungen – und damit aber nachrangig gegenüber Offenem und Nichtoffenem Verfahren – unabhängig voneinander zulässig. Dies kann im Einzelfall auch zu Überschneidungen, also zur doppelten Zulässigkeit führen. Dem öffentlichen Auftraggeber steht dann ein Wahlrecht zwischen den beiden zulässigen Verfahrensarten zu. Der wettbewerbliche Dialog kombiniert Elemente des Verhandlungs- und Ausschreibungsverfahrens und ist folglich keine besonders strukturierte, spezielle Form des Verhandlungsverfahrens.145 Nachdem die Voraussetzungen von Verhandlungsverfahren mit Teilnahmewettbewerb und Wettbewerblichem Dialog nun identisch sind (§ 14 Abs. 3 VgV), stehen die Verfahrensarten jetzt eindeutig gleichberechtigt nebeneinander.
186
Der Wahl des zutreffenden Vergabeverfahrens ist eine der schwierigsten Entscheidungen bei der Vergabe von IT-Leistungen, insb. da das Vorliegen der Voraussetzungen für andere Verfahrensarten als offenes bzw. nicht offenes Verfahren aktenkundig gemacht werden muss (§§ 8, 14 Abs. 2 VgV).
187
Die vergaberechtliche Praxis zeigt, dass bei Beschaffungen, bei denen es nicht schlicht um 188 den bloßen Einkauf von Standardprodukten (wie z.B. PC‘s, Laptops, Standardsoftware wie MS Office u.Ä.) geht, sondern bei denen vielmehr komplexe IT-Leistungen vielfältigster Art vom künftigen Auftragnehmer erbracht werden sollen, der öffentliche Auftraggeber meist Verhandlungsbedarf sieht und diesen auch benötigt. Dies ist oftmals darin begründet, dass die Leistungen nicht eindeutig und erschöpfend beschreibbar sind und den Bietern auch keine abschließende Preisgestaltung möglich ist. In diesen Fällen wird der öffentliche Auftraggeber sorgfältig und ausführlich die Anwendung des Verhandlungsverfahrens begründen müssen. I.d.R. ist dies auch i.S. der künftigen Auftragnehmer, da auch diese entsprechenden Verhandlungsbedarf – in fachlicher wie rechtlicher Hinsicht – sehen. Der öffentliche Auftraggeber trägt die Darlegungs- und Beweislast für das Vorliegen der Voraussetzungen für die Voraussetzungen der anderen Verfahrensarten als offenes/nicht offenes Verfahren. Die Voraussetzungen werden in aller Regel streng und eng ausgelegt, insb. wenn es um die Begründung von Verhandlungsverfahren geht. Nur in wenigen Fällen wurden von nationalen Gerichten oder vom EuGH die von den öffentlichen Auftraggebern vorgebrachten Begründungen anerkannt.
145 S. zum Vergleich zwischen Verhandlungsverfahren und wettbewerblichem Dialog ausführlich Müller/Veil, VergabeR 2007, 298 ff. (insb. S. 304 ff. zum Verhältnis beider Verfahrensarten zueinander).
Bischof
815
189
D Rz. 190
Vergabe von IT-Leistungen
190 Der Ablauf folgender vier verschiedenen EU-Verfahrensarten lässt sich schematisch gegenüberstellen: Offenes Verfahren
Nicht offenes Verfahren
Verhandlungsverfahren
Wettbewerblicher Dialog
Bekanntmachung
Bekanntmachung
Bekanntmachung
Bekanntmachung
I.d.R. mit TeilnahmeI.d.R. mit TeilnahmeI.d.R. mit Teilnahmewettbewerb: Teilnahme- wettbewerb: Teilnahme- wettbewerb: Teilnahmeantrag antrag antrag Verhandlungen mit geeigneten Bietern (bis die vom Auftraggeber geforderte Leistung feststeht) Aufforderung zur Angebotsabgabe an eine unbeschränkte Anzahl von Unternehmen
Aufforderung zur Angebotsabgabe an eine beschränkte Anzahl von im Teilnahmewettbewerb ausgewählten geeigneten Unternehmen
Angebotsabgabe
Angebotsabgabe
Aufforderung zur Angebotsabgabe an eine beschränkte Anzahl von im Teilnahmewettbewerb ausgewählten geeigneten Unternehmen
Aufforderung zur Angebotsabgabe an eine beschränkte Anzahl geeigneter Unternehmen, mit denen verhandelt worden war.
Angebotsabgabe
Angebotsabgabe
Verhandlungen mit den Bietern Prüfung und Wertung der Angebote
Prüfung und Wertung der Angebote
Prüfung und Wertung der Angebote
Prüfung und Wertung der Angebote
Mitteilung, § 134 GWB
Mitteilung, § 134 GWB
Mitteilung, § 134 GWB
Mitteilung, § 134 GWB
Zuschlag
Zuschlag
Zuschlag
Zuschlag
2.2 Das offene Verfahren 191 Dem öffentlichen Auftraggeber steht das offene und das nicht offene Verfahren,146 nach seiner Wahl frei zur Verfügung, § 14 Avs. 2 Satz 1 VgV. 192 Die Anwendung dieser Verfahrensart ist die Regel bei der Beschaffung von klar und erschöpfend beschreibbarer Hardware oder von Standardsoftware, die keiner Anpassung auf die Belange des Auftraggebers bedarf (z.B. Microsoft Office Produkte, wobei hierbei wiederum begründet werden müsste, warum ein konkretes Produkt verlangt wird, da das Vergaberecht grds. produktneutrale Leistungsbeschreibungen verlangt!).147 193 Beim offenen Verfahren werden die Leistungen im formal fest vorgeschriebenen Rahmen nach einer öffentlichen Aufforderung einer unbeschränkten Zahl von Unternehmen zur Einreichung von Angeboten vergeben (§ 15 Abs. 1 VgV). Ein Teilnahmewettbewerb findet nicht statt, sodass die Eignung der Bieter (Fachkunde, Leistungsfähigkeit, keine Ausschlussgründe nach §§ 123, 124 GWB) nicht in einer „Vorabstufe“, sondern i.R.d. Angebotsbewertung geprüft und bewertet wird. 194 Beim offenen Verfahren beträgt die Angebotsfrist mindestens 35 Tage vom Tage der Absendung der Bekanntmachung gerechnet (§ 24 Abs. 2 VgV). Bei hinreichender Dringlichkeit kann die Frist auf 15 Tage verkürtz werden (§ 14 Abs. 3 VgV). Bei elektronischer Angebots146 S. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 517 ff. 147 S. zu typischen Anwendungsfällen auch Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 545 ff.
816
Bischof
Vergabeverfahren nach VgV
Rz. 202
D
übermittung kann die Frist von 35 Tagen um 5 Tage auf 30 Tage gekürzt werden (§ 14 Abs. 4 VgV). Verhandlungen mit den Bietern sind gem. § 14 Abs. 5 VgV grds. verboten:
195
„Der öffentliche Auftraggber darf von den Bietern nur Aufklärung über das Angebot oder deren Eignung verlangen. Verhandlungen sind unzulässig.“
2.3 Das nicht offene Verfahren Gemäß § 14 Abs. 2 VgV kann das nicht offene Verfahren148 vom öffentlichen Auftraggeber 196 ebenso frei gewählt werden wie das offene Verfahren. Das nicht offene Verfahren erfordert stets einen Teilnahmewettbewerb (§ 14 Abs. 2 VgV). Dabei kann eine Höchstzahl von Unternehmen (nicht unter fünf) bestimmt werden, die dann zur Abgabe eines Angebots aufgefordert werden (§ 51 Abs. 2 VgV).
197
Beim nicht offenen Verfahren beträgt die Teilnahmefrist grds. mindestens 30 Tage (§ 16 198 Abs. 2 VgV), die Angebotsfrist mindestens 30 Tage (§ 16 Abs. 5 VgV), jeweils vom Tage der Absendung der Bekanntmachung an gerechnet. In Fällen besonderer Dringlichkeit beträgt die Teilnahmefrist mindestens 15 Tage (§ 16 Abs. 3 VgV). Weitere Fristverkürzungen sind laut § 16 Abs. 7, 8 VgV denkbar. Interessant ist die Möglichkeit, die Angebotsfrist mit den Bewerbern, die zur Angebotsabgabe aufgefordert werden, einvernehmlich festzulegen (§ 16 Abs. 6 VgV). Wie beim offenen Verfahren sind mit den dort genannten Ausnahmen auch hier Verhandlungen mit den Bietern gem. § 16 Abs. 9 i.V.m. § 15 Abs. 5 VgV grds. verboten. Eine Ausnahme besteht auch hier wie beim nicht offenen Verfahren nur für Aufklärung hinsichtlich der Ausschreibung.
199
2.4 Das Verhandlungsverfahren § 14 Abs. 3 und 4 VgV sehen auf EU-Ebene zwei Varianten des Verhandlungsverfahrens149 vor:
200
– Verhandlungsverfahren mit vorheriger Vergabebekanntmachung, – Verhandlungsverfahren ohne vorherige Vergabebekanntmachung. Beide Vergabearten stellen nach dem Willen des EU- und des deutschen Gesetzgebers die absolute Ausnahme dar. Die genau umschriebenen und abschließenden Ausnahmetatbestände werden, insb. durch den EuGH, entsprechend eng und restriktiv ausgelegt.
201
Das Verhandlungsverfahren mit Teilnahmewettbewerb ist bei Vorliegen einer der folgenden 202 Fallkonstellationen gemäß § 14 Abs. 3 VgV zulässig, was – im Vergleich zu altem Recht – zur erleichterten Anwendung führen wird (insb. die Nr. 1 bis 3 dürften sich gut für die Vergabe von IT-Leistungen eignen). Demnach ist das Verhandlungsverfahren mit Teilnahmewettbewerb zulässig, wenn 1. die Bedürfnisse des öffentlichen Auftraggebers nicht ohne die Anpassung bereits verfügbarer Lösungen erfüllt werden können, 2. der Auftrag konzeptionelle oder innovative Lösungen umfasst,
148 S. Noch, Vergaberecht kompakt, 7. Aufl, 2016, Rz. 558 ff. 149 S. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 608 ff. (mit Teilnahmewettbewerb), 655 ff. (ohne Teilnahmewettbewerb).
Bischof
817
D Rz. 203
Vergabe von IT-Leistungen
3. der Auftrag aufgrund konkreter Umstände, die mit der Art, der Komplexität oder dem rechtlichen oder finanziellen Rahmen oder den damit einhergehenden Risiken zusammenhängen, nicht ohne vorherige Verhandlungen vergeben werden kann, 4. die Leistung, insb. ihre technischen Anforderungen, vom öffentlichen Auftraggeber nicht mit ausreichender Genauigkeit unter Verweis auf eine Norm, eine europäische technische Bewertung (ETA), eine gemeinsame technische Spezifikation oder technische Referenzen i.S.d. Anlage 1 Nr. 2 bis 5 beschrieben werden kann oder 5. im Rahmen eines offenen oder nicht offenen Verfahrens keine ordnungsgemäßen oder nur unannehmbare Angebote eingereicht wurden; nicht ordnungsgemäß sind insb. Angebote, die nicht den Vergabeunterlagen entsprechen, nicht fristgerecht eingereicht wurden, nachweislich auf kollusiven Absprachen oder Korruption beruhen oder nach Einschätzung des öffentlichen Auftraggebers ungewöhnlich niedrig sind; unannehmbar sind insb. Angebote von Bietern, die nicht über die erforderlichen Qualifikationen verfügen, und Angebote, deren Preis die vor Einleitung des Vergabeverfahrens festgelegten und dokumentierten eingeplanten Haushaltsmittel des öffentlichen Auftraggebers übersteigt; der öffentliche Auftraggeber kann in diesen Fällen von einem Teilnahmewettbewerb absehen, wenn er in das Verhandlungsverfahren alle geeigneten Unternehmen einbezieht, die form- und fristgerechte Angebote abgegeben haben. 203 Das Verhandlungsverfahren ohne Teilnahmewettbewerb ist nur unter den abschließenden und schwerer begründbaren Voraussetzungen des § 14 Abs. 4 VgV zulässig. Aus der Sicht der Vergabe von IT-Leistungen sind v.a. folgende Ausnahmetatbestände von Bedeutung: – Es wurden im Rahmen eines Verfahrens mit EU-Bekanntmachung keine oder keine geeigneten Angebote abgegeben und die ursprünglichen Auftragsbedingungen wurden nicht grundlegend geändert (§ 14 Abs, 4 Nr. 1 VgV); grds. müssen alle zuvor am Verfahren beteiligten und geeigneten Unternehmen zur erneuten Teilnahme aufgefordert werden; dabei ist zulässig, auch andere, geeignete Unternehmen, die bislang nicht teilgenommen haben, zur Bewerbung/Angebotsabgabe aufzufordern. – Es handelt sich um Forschungs- und Entwicklungsaufträge (§ 14 Abs. 4 Nr. 4 VgV), wobei kein weiterer kommerzieller Nebenzweck verfolgt werden darf; – Bei einem Unternehmen besteht ein Alleinstellungsmerkmal (§ 14 Abs. 4 Nr. 2 VgV)) und somit können andere Unternehmen nicht in Betracht kommen; diese Regelung ist bei der Vergabe von IT-Leistungen von wesentlicher Bedeutung, denn in dieser Vorschrift wird gerade auf Ausschließlichkeitsrechte abgestellt, wie sie das Urheberrecht dem Hersteller von Software gewährt: – Nach § 14 Abs. 4 Nr. 2 VgV ist das „stille Verhandlungsverfahren“ zulässig, wenn der Auftrag nur von einem Unternehmen erbracht oder bereitgestellt werden kann, weil aus technischen Gründen kein Wettbewerb vorhanden ist oder wegen des Schutzes von ausschließlichen Rechten, insb. von gewerblichen Schutzrechten. – Dies bedarf der ausführlichen Begründung unter konkreter Darstellung des vorliegenden fachlichen und technischen Sachverhalts, da der öffentliche Auftraggeber die Beweislast für das Vorliegen dieses Ausnahmetatbestands trägt. – Ein Verzicht auf eine EU-Vergabe ist auch bei „zwingender Dringlichkeit“ zulässig. Es muss sich um nicht vorhersehbare dringende und zwingende Gründe handeln, die die Einhaltung vergaberechtlicher Fristen für eine Auftragsvergabe nicht zulassen. Der Auftraggeber darf in keinem Fall mitverantwortlich für die entstandene Notsituation sein (vgl. § 14 Abs. 4 Nr. 3 VgV). Typische Beispiele sind Naturkatastrophen (Hochwasser, Feuer, Erdbeben), die sofortiges Handeln erfordern und nicht vorhersehbar waren.
818
Bischof
Vergabeverfahren nach VgV
Rz. 208
D
– Bei zusätzlichen Lieferungen des ursprünglichen Auftragnehmers, die entweder zur teilweisen Erneuerung von gelieferten Waren oder Einrichtungen zur laufenden Benutzung oder zur Erweiterung von Lieferungen oder bestehenden Einrichtungen bestimmt sind, kann der Auftraggeber Folge- oder Zusatzaufträge gemäß § 14 Abs. 4 Nr. 5 VgV für maximal drei weitere Jahre im stillen Verhandlungsverfahren vergeben, wenn ein Wechsel des Unternehmens dazu führen würde, dass der Auftraggeber Waren mit unterschiedlichen technischen Merkmalen kaufen müsste, und dies eine technische Unvereinbarkeit oder unverhältnismäßige technische Schwierigkeiten bei Gebrauch oder Wartung mit sich bringen würde, oder die Interoperabilität in Frage stellen würde. – Vergleichbares gilt für Dienstleistungen, die in der Wiederholung gleichartiger Leistungen bestehen, die durch den gleichen Auftraggeber an das Unternehmen vergeben werden, das den ersten Auftrag erhalten hat, sofern sie einem Grundentwurf entsprechen, der bereits Gegenstand einer ersten Ausschreibung war (vgl. § 14 Abs. 4 Nr. 9 VgV). Gerade bei der Softwareerstellung ermöglicht diese Vorschrift eine flexible Anpassung des ursprünglichen Auftrags ohne neues Vergabeverfahren an die während der Softwareerstellungsphase nahezu unvermeidliche Anpassung bzw. Erweiterung des ursprünglichen Auftrags. Lässt sich eine der Ausnahmeregelungen begründen, hat diese Verfahrensart den Vorteil, dass der Ablauf mit nur wenigen zu beachtenden Formalien versehen ist und überwiegend ohnehin nur ein einziger Vertragspartner in Betracht kommt, mit dem der Auftrag verhandelt werden kann. Nachdem diese Verfahrensart daher am weitesten vom Grundprinzip der Vergabe im Wettbewerb abweicht, soll sie nur in streng beschränkten Ausnahmefällen zur Anwendung gelangen.
204
2.5 Der wettbewerbliche Dialog § 119 Abs. 6 bestimmt den wettbewerbliche Dialog als Verfahren zur Vergabe öffentlicher 205 Aufträge mit dem Ziel der Ermittlung und Festlegung der Mittel, mit denen die Bedürfnisse des öffentlichen Auftraggebers am besten erfüllt werden können. Nach einem Teilnahmewettbewerb eröffnet der öffentliche Auftraggeber mit den ausgewählten Unternehmen einen Dialog zur Erörterung aller Aspekte der Auftragsvergabe. Der wettbewerbliche Dialog kann von der öffentlichen Hand nur unter den in § 14 Abs.3 VgV genannten Voraussetzungen (die in gleicher Weise für das Verhandlungsverfahren mit Teilnahmewettbewerb gelten) angewandt werden (s. Rz. 202).
206
Typische Beispiele für den wettbewerblichen Dialog dürften sein, wobei der Anwendungsbereich in der Praxis noch immer relativ gering ist (im Vergleich zu allen anderen Verfahrensarten):
207
– Mautsysteme, – große Bauprojekte, – individuelle Softwarekonzepte, – komplexe Softwareprojekte, – Werbe- und Marketingkonzepte. § 18 VgV regelt die Details zum Wettbewerblichen Dialog. Ob damit alles geregelt ist, um die Gestaltung in der Praxis zu vereinfachen, ist weiter fraglich. Letztlich wird sich die Gestaltung immer auch an den vergaberechtlichen Grundprinzipien (s. Rz. 52), die stets gelten, orientieren müssen.
Bischof
819
208
D Rz. 209
Vergabe von IT-Leistungen
209 Praxiserfahrungen bestehen in Deutschland auch nach vielen Jahren der Einführung dieser Verfahrensart noch immer in überschaubarer Zahl. Immerhin stammten 16 (der bis August 2007 veröffentlichten 53 Verfahren im wettbewerblichen Dialog) aus dem Bereich der Vergabe von IT-Leistungen. Bei einer aktuell im Juni 2015 durchgeführten Suche waren von über 3000 laufenden Vergabeverfahren nur 4 wettbewerbliche Dialoge, davon einer im IT-Bereich. Sowohl Auftraggeber als auch die Bieter sind aufgrund der durchzuführenden Dialogphase zum Teil auch sehr zurückhaltend bzw. skeptisch. Das Ressentiment der Bieter bezieht sich v.a. auf den herzustellenden Wettbewerb im Verhältnis zu ihrem Bedürfnis der Geheimhaltung von Geschäfts- und Betriebsgeheimnissen, denn die Dialogphase soll gerade dazu dienen, dass die Ideen und Lösungsansätze anderer Teilnehmer bekannt und ausgenutzt werden, die Ansätze verglichen und miteinander kombiniert werden. 210 Die Teilnehmer haben aber gerade ein Interesse daran, dass ihnen Wettbewerbsvorteile aufgrund ihres individuellen Lösungsansatzes, z.B. wegen neuer Strukturen in den Bereichen Technik, Finanzierung, Beschaffung und Know-How-Transfer, erhalten bleiben. Dieses Spannungsfeld zwischen Geheimhaltungsinteresse und Lösungsvergleich scheint ungelöst und dürfte die öffentliche Hand zu großer Sorgfalt verpflichten. 211 Die weitere künftige Entwicklung wird zeigen, ob und wie die öffentliche Hand von dieser Verfahrensart Gebrauch machen wird. Bislang ist noch erhebliche Zurückhaltung festzustellen, teils wird auch behördenintern von der Anwendung dieser Verfahrensart ausdrücklich abgeraten. 212 Der Ablauf des wettbewerblichen Dialogs lässt sich schematisch in drei Phasen einteilen: 1. Auswahlphase: Teilnahmewettbewerb 2. Dialogphase 3. Angebots- und Zuschlagsphase: Angebotswettbewerb. 213 Insgesamt lassen sich acht Schritte festhalten: 1. Veröffentlichung der Bekanntmachung 2. Auswahl der am Dialog teilnehmenden Unternehmen 3. Dialog zwischen Vergabestelle und ausgewählten Teilnehmern mit dem Ziel der Ermittlung der bestgeeigneten Mittel 4. Aufforderung zur Abgabe des endgültigen Angebots 5. Klarstellungen und Präzisierungen der Angebote, soweit erforderlich und zulässig 6. Bewertung der Angebote 7. ggf. Erläuterung des besten Angebots, soweit zulässig 8. ggf. Zuschlagserteilung. 214 Das Verfahren beginnt mit einer europaweiten Bekanntmachung, die einer (vereinfachten) funktionalen Ausschreibung ähnelt. Die Vergabestelle hat hierdurch ihre Bedürfnisse und Anforderungen, die Zuschlagskriterien sowie den Zeitraum für den Dialog bekannt zu machen, § 18 Abs. 1 VgV. 215 Wie bei jedem Teilnahmewettbewerb sind die Bieter anhand der in der Bekanntmachung veröffentlichten Teilnahmebedingungen („Eignung“) auszuwählen. Die ausgewählten Bieter (mindestens drei, §§ 18 Abs. 4, 51 Abs. 2 VgV) werden dann zur Teilnahme am Dialog aufgefordert. Der Mindestinhalt dieser Aufforderung zur Teilnahme ergibt sich aus Art. 40 VKR („Auswahlphase“).
820
Bischof
Vergabeverfahren nach VgV
Rz. 223
D
Im Anschluss an die im Teilnahmewettbewerb erfolgende Auswahl der in Frage kommen- 216 den Unternehmen und die Aufforderung zur Teilnahme wird der eigentliche Dialog mit diesen ausgewählten Bietern eröffnet. Ziel ist es, dass die öffentliche Hand ermittelt und festlegt, wie ihre Bedürfnisse am besten erfüllt werden können. Daher kann mit einer Vielzahl von Unternehmen in mehreren Phasen über alle Einzelheiten des Auftrags verhandelt werden („Dialogphase“), vgl. § 18 Abs. 5, 6 VgV. Über die Phasen kann die Bieterzahl verringert werden, wenn die Kriterien für eine solche Verringerung in der Vergabebekanntmachung oder in einer Leistungsbeschreibung zuvor den Bietern bekannt gegeben wurden. Die Möglichkeit dieser Unterteilung dient v.a. der Verfahrensökonomie.
217
Der Dialog dürfte aus Sicht von IT- Anwendern und auch IT-Anbietern zunächst ein großer Vorteil sein. Denn so kann auf der einen Seite die öffentliche Hand wie ein Privatunternehmen über die zu erbringende Leistung verhandeln und auf der anderen Seite können die IT-Anbieter Einfluss nehmen, d.h. müssen nicht die sonst vorgegeben Anforderungen der Leistungsbeschreibung schlicht akzeptieren und auf deren Basis ein Angebot abgeben (vorbehaltlich etwaiger zugelassener Nebenangebote oder Änderungsvorschläge).
218
Dem schützenswerten Interesse der Bieter, dass ihre Geschäftsgeheimnisse und das FirmenKnow-How nicht der Konkurrenz zufließen, soll dadurch Rechnung getragen werden, dass keine bestimmte Unternehmen begünstigende Informationen an die anderen Bieter und vertrauliche Informationen nur mit Zustimmung des jeweiligen Unternehmens weitergegeben werden dürfen (§ 18 Abs. 5 Satz 3 VgV).
219
Das Vertrauen der Bieter in diese Vorgaben ist jedoch gering. Unternehmen bezweifeln einen 220 ausreichenden Schutz ihrer Konzepte, in die eben gerade das vorhandene Know-How, Innovation u.Ä. einfließen. Ebenso bestehen erhebliche Zweifel an der praktischen Durchsetzbarkeit des genannten Gebots. Zur Verhinderung einer missbräuchlichen Weiterverwendung der Lösungsvorschläge durch die Vergabestelle, z.B. bei Eigenoptimierung der Leistungsbeschreibung, könnte der Vorschlag, eine Vertraulichkeitserklärung von der öffentlichen Hand zu fordern, hilfreich sein. Gemäß § 18 Abs. 7 VgV haben die Auftraggeber die Dialogphase zu beenden, wenn eine oder mehrere Lösung(en) gefunden ist/sind, die ihre Bedürfnisse erfüllt/erfüllen. Erst jetzt steht die detaillierte Leistungsbeschreibung für den zu vergebenden Auftrag („Angebots- und Zuschlagsphase)“. Mit Schließen des Dialogs werden die Bieter zur verbindlichen, endgültigen Angebotsabgabe auf Basis/Grundlage der eingereichten und in der Dialogphase näher ausgeführten Lösungen aufgefordert. An diesen Angeboten dürfen dann nur noch Klarstellungen, Präzisierungen und Feinabstimmungen erfolgen, aber keine grundlegenden Änderungen, vgl. § 18 Abs. 8 Satz 3 ff. VgV).
221
Der Auftrag ist wiederum an dasjenige Unternehmen zu vergeben, das das wirtschaftlichste 222 Angebot auf Basis der bekanntgegebenen Zuschlagskriterien abgegeben hat, § 18 Abs. 9 VgV. Dieses Unternehmen wiederum kann dazu aufgefordert werden, einzelne Aspekte des Angebots zu erläutern oder im Angebot enthaltene Zusagen zu bestätigen. Dies darf jedoch weder zur Änderung wesentlicher Aspekte des Angebots oder gar der gesamten Ausschreibung führen, noch zu Wettbewerbsverzerrungen oder Diskriminierung anderer Unternehmen. Der Verhandlungsspielraum ist damit zwar größer als beim offenen oder nicht offenen Verfahren, jedoch im Verhältnis zum Verhandlungsverfahren geringer. Auch hier gilt die Informations- und Wartepflicht des § 134 GWB.
Bischof
821
223
D Rz. 224
Vergabe von IT-Leistungen
2.6 De-facto-Vergaben 224 Der Begriff der de-facto-Vergaben hat sich als Bezeichnung einer Vorgehensweise der Vergabestellen (meist im Zshg. mit EU-weiten Vergaben) eingebürgert, bei der diese – entweder aus Unkenntnis bzw. aus einer rechtlichen Fehleinschätzung heraus – oder in voller Kenntnis der rechtlichen Gegebenheiten auf die Durchführung eines eigentlich erforderlichen Vergabeverfahrens. (vgl. Rz. 80 ff. zur Ausschreibungspflicht sowie Rz. 181–223 zu den Verfahrensarten) verzichtet. 225 Hierunter können z.B. folgende Konstellationen fallen: – Die Vergabestelle wendet sich direkt an ein oder mehrere Unternehmen, lässt sich Preise benennen bzw. Angebote erstellen und erteilt dann auf dieser Basis einen Auftrag. – Befristete Altverträge werden schlicht verlängert oder in wesentlichen Teilen (in Bezug auf Leistungsumfang, Vergütung o.Ä.) verändert. – Es werden Anschlussaufträge erteilt, ohne dass die diesbezüglichen Voraussetzungen vorgelegen hätten. 226 Das absichtliche Unterlassen jeder formalen Ausschreibung ist dem vergaberechtlichen Umgehungsverbot zuzuordnen und kann im Wege der Nachprüfung von „übergangenen Bietern“ verfolgt werden. 227 Auch bei de-facto-Vergaben, die den Betroffenen nicht formell die Stellung eines Bieters einräumen, gilt die in § 134 GWB vorgesehene Informations- und Wartepflicht. § 135 GWB führt im Falle der de-facto-Vergabe zur schwebenden Unwirksamkeit des geschlossenen Vertrags. 228 Der Vertrag ist jedoch dann von Anfang an wirksam, wenn die in § 135 Abs. 2 GWB vorgesehenen Fristen abgelaufen sind und die Unwirksamkeit nicht in einem Nachprüfungsverfahren geltend gemacht wurde (vgl. Rz. 373 ff.). 3. Vergabebekanntmachung 229 Bei allen Verfahrensarten mit Ausnahme des Verhandlungsverfahrens ohne Teilnahmewettbewerb muss gem. § 37, 40 VgV die Vergabebekanntmachung150 entsprechend den Mustern der EU veröffentlicht werden.151 Mit dieser wird die Vergabeabsicht kundgetan und zur Stellung von Teilnahmeanträgen bzw. zur Angebotsabgabe aufgefordert. Der Tag der Absendung der Bekanntmachung muss vom öffentlichen Auftraggeber nachgewiesen werden können; als Nachweis dient die Bestätigung der Veröffentlichung der übermittelten Informationen, die der öffentliche auftraggeber vom Amt für Veröffentlichungen der EU zurückerhält (§ 40 Abs. 1, 2 VgV). 230 Daneben ist eine nationale Veröffentlichung in amtlichen Veröffentlichungsblättern sowie Zeitungen und Zeitschriften möglich, nicht jedoch vor der Veröffentlichung im EU-Amtsblatt
150 Exkurs: Bei nationalen Vergaben ist § 12 VOL/A zu beachten, wonach die Veröffentlichungen grds. in Tageszeitungen, amtlichen Veröffentlichungsblättern, Fachzeitschriften oder Internetportalen erfolgt. Zudem müssen alle Bekanntmachungen in Internetportalen zentral über die Suchfunktion des Internetportals www.bund.de ermittelt werden können. 151 Diese Bekanntmachung ist zu richten an das Amt für amtliche Veröffentlichungen der Europäischen Gemeinschaften (2, rue Mercier, L-2985 Luxemburg). Zwischenzeitlich kann das gesamte „Veröffentlichungsverfahren“ elektronisch abgewickelt werden.
822
Bischof
Vergabeverfahren nach VgV
Rz. 234
D
oder 48 Stunden nach der Bestätigung über den Eingang der Bekanntmachung bei der EU, § 40 Abs. 3 VgV.152 Eine Verpflichtung hierzu besteht nicht.153 Zum wesentlichen Inhalt der Vergabebekanntmachung gehört u.a.
231
– die Angabe der ausschreibenden Stelle – die Angabe einer Adresse, bei der weitere Informationen/Bewerbungsbedingungen/die Vergabeunterlagen erhältlich sind – die Angabe der Kommunikationsmittel – der Gegenstand des Auftrags (kurz, aber so ausführlich, dass potentielle Interessenten auch angesprochen werden; unter Nutzung der CPV-Codes). Zu beachten: Der angegebene Rahmen darf im Nachhinein nicht maßgeblich geändert werden – die Angabe der Fristen – die Eignungskriterien (§ 122 GWB i.V.m. §§ 43 VgV, §§ 1234, 124 VgV) – Rechtsmittelbelehrung unter Angabe der zuständigen Vergabekammer. 4. Eignung 4.1 Eignungsanforderungen 4.1.1 Einführung § 121 Abs. 1 GWB bestimmt, dass „Aufträge an fachkundige und leistungsfähige (geeignete) 232 Unternehmen vergeben werden, die nicht nach den §§ 123, 124 GWB ausgeschlossen worden sind“.154 Dies dient dazu, die an einem Auftrag interessierten Unternehmen dahingehend auszufiltern, ob sie im Hinblick auf den konkreten Auftrag leistungsstark und -fähig sind. Eine Eignungsprüfung ist erforderlich, weil sich grds. jedes Unternehmen um einen Auftrag bewerben kann und die öffentliche Hand hinreichende Sicherheit im Hinblick auf die ordnungsgemäße Auftragserfüllung auf dem geforderten Qualitätsniveau gewinnen will. Sie ist eine Prognose für die Zukunft, deren Grundlage die Tätigkeit des Unternehmens in der Vergangenheit ist. Von wesentlicher Bedeutung ist, dass die Eignungsprüfung grds. nicht mit der Angebotswertung vermengt werden darf (kein „Mehr an Eignung“). Es blieb und bleibt dem Auftraggeber unbenommen, spezifische Eignungskriterien155 festzulegen, die zur sachgerechten Prüfung der fachlichen Eignung oder einzelner Teilaspekte, etwa der technischen Leistungsfähigkeit, geeignet sind.
233
Bei EU-weiten Vergaben ergeben sich die Anforderungen an die denkbaren Eignungsnachweise aus § 122 GWB i.V.m. §§ 42 ff. VgV, §§ 123, 124 GWB:
234
– Grds. sind Eigenerklärungen zu verlangen, § 48 Abs. 2 VgV. – Die Forderung von anderen Nachweisen als Eigenerklärungen muss in der Dokumentation begründet werden. – Grds. sind die Unternehmen verpflichtet, die geforderten Nachweise vor Ablauf der Teilnahme- oder Angebotsfrist oder der nach § 56 Abs. 2 VgV gesetzten Frist einzureichen.
152 S. Schwabe, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2013, § 15 EG Rz. 140, 141; auch bereits Fett, in: Müller-Wrede, VOL/A Kommentar, 2001, § 17 a Rz. 69 ff. 153 S. Schwabe, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl., § 15 EG Rz. 140, 141; so auch bereits Fett, in: Müller-Wrede, VOL/A Kommentar, 2001, § 17 a Rz. 69 ff., 7. 154 S. zur Bietereignung Noch, Vergaberecht kompakt, 7. Aufl, 2016, Rz. 1517 ff.; S. zu den vergleichbaren Regelungen in der VOB/A: Gröning, VergabeR 2008, 721. 155 So Zdzieblo, in: Daub/Eberstein, VOL/A Kommentar, § 7 a Rz. 27.
Bischof
823
D Rz. 235
Vergabe von IT-Leistungen
235 Gemäß § 48 Abs. 1 VgV hat der Auftraggeber bereits in der Vergabebekanntmachung anzugeben, welche Eignungskriterien gelten und mit welchen Unterlagen (Eigenerklärungen, Angaben, Bescheinigungen, sonstige Nachweise) Unternehmen ihre Eignung bzw. das Nichtvorliegen von Ausschlusskriterien zu belegen haben.156 Als vorläufigen Beleg der Eignung und des Nichtvorliegens von Ausschlussgründen akzeptiert der öffentliche Auftraggeber die Vorlage einer Einheitlichen Europäischen Eigenerklärung nach § 50 VgV (§ 48 Abs. 3 VgV). Übersicht zu Eignungskriterien (S. UfAB VI 4.15.3.) Fachkunde
Leistungsfähigkeit
Nichtvorliegen von Ausschlussgründen
Ein Bewerber/Bieter hat die notwendige Fachkunde, wenn er Kenntnisse, Erfahrungen und Fertigkeiten besitzt, die für die fach- und fristgerechte Ausführung der zu vergebenen Leistung erforderlich sind.
Ein Bewerber/Bieter verfügt über die erforderliche Leistungsfähigkeit, wenn er über das für die fach- und fristgerechte Ausführung erforderliche Personal und technische Geräte verfügt und in der Lage ist, seine Verbindlichkeiten zu erfüllen.
Die Zuverlässigkeit eines Bewerbers/Bieters ist gegeben, wenn er aufgrund der Erfüllung früherer Verträge oder vergleichbarer Qualifikationen eine einwandfreie Ausführung erwarten lässt. Die Gesetzestreue setzt voraus, dass ein Bewerber/Bieter seinen gesetzlichen Verpflichtungen nachkommt.
236 Im Falle des Vorliegens einer Bietergemeinschaft kann sich ein Bieter zum Nachweis eigener Fachkunde und Leistungsfähigkeit auf die Qualifikation von Drittunternehmen, die Mitglied der Bietergemeinschaft sind, beziehen, da sich die Leistungsfähigkeit am Konsortium in seiner Gesamtheit orientiere. Es kommt damit für die Beurteilung der Eignung auf die der jeweiligen Bietergemeinschaft insgesamt zur Verfügung stehenden fachlichen und sonstigen Kapazitäten an. 237 Nach § 47 VgV (Eignungsleihe) können sich Unternehmen zum Nachweis der Leistungsfähigkeit und Fachkunde der Fähigkeiten anderer Unternehmen bedienen. Dabei muss jedoch ein Nachweis vorgelegt werden, dass dem Bieter die Mittel des Drittunternehmens im Falle einer Beauftragung auch zustehen („Verfügbarkeitsnachweis“). Dies lässt sich der öffentliche Auftraggeber oftmals mittels eines von ihm vorgegeben Formblattes bestätigen. Üblich ist auch die Vorlage entsprechender Verpflichtungserklärungen dieser Unternehmen.157 Die Unternehmen haben zudem nachzuweisen, dass die Drittunternehmen ihrerseits die Eignungsanforderungen erfüllen. 238 Diese unternehmensbezogenen Eignungsmerkmale dürfen nicht mit der wertbezogenen Leistungsbewertung vermischt werden. Es muss eine klare Trennung zwischen Eignung und Leistung erfolgen.158 239 Dies wird von der E. der VK Düsseldorf bestätigt:159 „Die Aufstellung der Anforderung, ein ‚autorisierter Large-Account-Reseller (LAR)‘, für das nachgefragte Produkt zu sein stellt eine unzulässige Vermischung von unternehmensbezogenen Eignungsmerkmalen und wertungsbezogener Leistungsbewertung dar. Die Einschränkung auf der Eignungsebene nimmt vorliegend eine Leistungsbewertung vorweg, indem unterstellt wird, dass Angebote 156 S. a. OLG Koblenz, Beschl. v. 4.10.2010 – 1 Verg 8/10, VergabeR 2011, 224: Die Nachprüfungsorgane sind nicht befugt, eine Entscheidung der Auftraggeber, einen bestimmten Nachweis für erforderlich zu halten, durch eigene zu ersetzen oder Zweckmäßigkeitserwägungen anzustellen. 157 S. hierzu sowie zur Frage des Zeitpunkts der Vorlage solcher Erklärungen: Müller-Wrede, in: MüllerWrede, VOL/A Kommentar, 4. Aufl. 2014, § 7 EG Rz. 125 ff. m.w.N. 158 S. OLG Düsseldorf, Beschl. v. 28.4.2008 – Verg 1/08, VergabeR 2008, 948; Beschl. v. 5.5.2008 – Verg 5/08, VergabeR 2008, 956. 159 S. VK Düsseldorf, Beschl. v. 23.5.2008 – VK-7/2008-L, CR 2008, 629.
824
Bischof
Vergabeverfahren nach VgV
Rz. 243
D
einer bestimmten, gewünschten Werthaltigkeit nur von Unternehmen abgegeben werden können, die vom Hersteller in einen Kreis der Händler aufgenommen wurde, die er offenbar seinerseits zu besonderen Bedingungen beliefert. Auf der Ebene der Eignungsprüfung darf jedoch nicht das Kriterium der zu erwartenden Werthaltigkeit des Angebots angewandt werden wie auf der Ebene der Angebotswertung nicht nochmals die besondere Eignung eines Unternehmens einfließen darf.“
Die E. ist v. a. vor folgendem Hintergrund von weiterem Interesse: Microsoft vertreibt seine Produkte u.a. über sogenannte „Select-Verträge“. Es bestehen sowohl auf Bundes- und Landesebene abgeschlossene Verträge, denen öffentliche Auftraggeber (wie im entschiedenen Fall) „beitreten“ können.
240
Diesem Vorgehen hat die Vergabekammer Düsseldorf im entschiedenen Fall eine vergaberechtliche Absage erteilt:
241
– Eine solche Forderung nach der Eigenschaft als „LAR“ wäre ggf. zulässig, wenn ein (rechtskonformes) geschlossenes Vertriebssystem bestehen würde und daher unterstellt werden kann, dass jeder nicht zugelassene Anbieter sich das Produkt nur durch Verleitung Dritter zum Vertragsbruch wird beschaffen können. Ein solches konnte im entschiedenen Fall nicht erkannt werden. – Der vorliegende Beitritt zu einem „Select-Vertrag“ ist ein vom Auftraggeber willentlich und ohne rechtliche Notwendigkeit geschaffener Umstand, auf den er sich nicht berufen kann, um eine spätere Verengung des Wettbewerbs zu rechtfertigen. Dies ist mit selbst gesetzten Terminen zu vergleichen, die keine Begründung für besondere Dringlichkeit darstellen. – Es fehlt am Sachvortrag, dass der Abschluss und Beitritt zum „Select-Vertrag“ in vergaberechtskonformer Weise mittels eines Wettbewerbsverfahrens zustande kam und es sich nun „nur noch um die 2. Stufe der Beschaffung“ handeln würde.160 Der Auftraggeber ist nicht verpflichtet, alle Nachweise zu verlangen, vielmehr soll er nur die verlangen, die er zur Beurteilung der Leistungsfähigkeit tatsächlich benötigt. Gem. § 122 Abs. 2 GWB dürfen Eignungskriterien ausschließlich betreffen die:
242
– Befähigung und Erlaubnis der Berufausübung – wirtschaftliche und finanzielle Leistungsfähigkeit und – technische und berufliche Leistungsfähigkeit. 4.1.2 Wirtschaftliche und finanzielle Leistungsfähigkeit Der öffentliche Auftraggeber ist gem. § 45 Abs. 1 VgV berechtigt, Anforderungen zu stellen, die sicherstellen, dass die Bewerber oder Bieter über die erforderlichen wirtschaftlichen und finanziellen Kapazitäten für die Ausführung des Auftrags verfügen. Zu diesem Zweck kann er insb. Folgendes verlangen: 1. einen bestimmten Mindestjahresumsatz, einschließlich eines bestimmten Mindestjahresumsatzes in dem Tätigkeitsbereich des Auftrags, 2. Informationen über die Bilanzen der Bewerber oder Bieter; dabei kann das in den Bilanzen angegebene Verhältnis zwischen Vermögen und Verbindlichkeiten dann berücksichtigt werden, wenn der öffentliche Auftraggeber transparente, objektive und nichtdiskriminierende Methoden und Kriterien für die Berücksichtigung anwendet und die Methoden und Kriterien in den Vergabeunterlagen angibt, oder 3. eine Berufs- oder Betriebshaftpflichtversicherung in bestimmter geeigneter Höhe.
160 VK Düsseldorf, Beschl. v. 23.5.2008 – VK-7/2008-L, CR 2008, 629.
Bischof
825
243
D Rz. 244
Vergabe von IT-Leistungen
Sofern ein Mindestjahresumsatz verlangt wird, darf dieser das Zweifache des geschätzten Auftragswerts nur überschreiten, wenn aufgrund der Art des Auftragsgegenstands spezielle Risiken bestehen. Der öffentliche Auftraggeber hat eine solche Anforderung in den Vergabeunterlagen oder im Vergabevermerk hinreichend zu begründen, § 45 Abs. 2 VgV. 244 § 45 Abs. 4 VgV sieht folgenden, nicht abschließenden Katalog an Nachweisen vor161: „(4) Als Beleg der erforderlichen wirtschaftlichen und finanziellen Leistungsfähigkeit des Bewerbers oder Bieters kann der öffentliche Auftraggeber in der Regel die Vorlage einer oder mehrerer der folgenden Unterlagen verlangen: 1. entsprechende Bankerklärungen, 2. Nachweis einer entsprechenden Berufs- oder Betriebshaftpflichtversicherung, 3. Jahresabschlüsse oder Auszüge von Jahresabschlüssen, falls deren Veröffentlichung in dem Land, in dem der Bewerber oder Bieter niedergelassen ist, gesetzlich vorgeschrieben ist, 4. eine Erklärung über den Gesamtumsatz und ggf. den Umsatz in dem Tätigkeitsbereich des Auftrags; eine solche Erklärung kann höchstens für die letzten drei Geschäftsjahre verlangt werden und nur, sofern entsprechende Angaben verfügbar sind.“
245 Folgende zusätzliche Nachweise sind (z.T. auch vom Europäischen Gerichtshof [EuGH]) als zulässig angesehen worden: – Angabe des Gesamtwertes der einem Unternehmen zu einem bestimmten Zeitpunkt erteilten Aufträge, die gleichzeitig ausgeführt werden dürfen; – Nachweis, dass ein Unternehmen über das Minimum an Eigenmitteln und die Anzahl an Arbeitern und Führungskräften verfügt, die die innerstaatlichen Rechtsvorschriften für die Unternehmensklasse fordern, die nach diesen Vorschriften aufgrund des Umfangs der zu vergebenden Arbeiten erforderlich ist; – Nachweis über die Anzahl der durchschnittlich beschäftigten Arbeitskräfte; – Auskünfte über das für die Leitung und Ausführung vorgesehene technische Personal. 4.1.3 Technische und berufliche Leistungsfähigkeit 246 § 46 Abs. 3 VgV sieht folgenden, abschließenden Katalog an Nachweisen vor162: „(3) Als Beleg der erforderlichen technischen und beruflichen Leistungsfähigkeit des Bewerbers oder Bieters kann der öffentliche Auftraggeber je nach Art, Verwendungszweck und Menge oder Umfang der zu erbringenden Liefer- oder Dienstleistungen ausschließlich die Vorlage von einer oder mehreren der folgenden Unterlagen verlangen: 1. geeignete Referenzen über früher ausgeführte Liefer- und Dienstleistungsaufträge in Form einer Liste der inden letzten höchstens drei Jahren erbrachten wesentlichen Liefer- oder Dienstleistungen mit Angabe des Werts, des Liefer- beziehungsweise Erbringungszeitpunkts sowie des öffentlichen oder privaten Empfängers; soweit erforderlich, um einen ausreichenden Wettbewerb sicherzustellen, kann der öffentliche Auftraggeber darauf hinweisen, dass er auch einschlägige Liefer- oder Dienstleistungen berücksichtigen wird, die mehr als drei Jahre zurückliegen, 2. Angabe der technischen Fachkräfte oder der technischen Stellen, die im Zshg. mit der Leistungserbringung eingesetzt werden sollen, unabhängig davon, ob diese dem Unternehmen angehören oder nicht, und zwar insbesondere derjenigen, die mit der Qualitätskontrolle beauftragt sind, 3. Beschreibung der technischen Ausrüstung, der Maßnahmen zur Qualitätssicherung und der Untersuchungs- undForschungsmöglichkeiten des Unternehmens, 4. Angabe des Lieferkettenmanagement- und -überwachungssystems, das dem Unternehmen zur Vertragserfüllung zur Verfügung steht, 161 Vgl. Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, Rz. 37 ff. m.w.N. 162 Vgl. Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, Rz. 53 ff. m.w.N.
826
Bischof
Vergabeverfahren nach VgV
Rz. 248
D
5. bei komplexer Art der zu erbringenden Leistung oder bei solchen Leistungen, die ausnahmsweise einem besonderen Zweck dienen sollen, eine Kontrolle, die vom öffentlichen Auftraggeber oder in dessen Namen von einer zuständigen amtlichen Stelle im Niederlassungsstaat des Unternehmens durchgeführt wird; diese Kontrolle betrifft die Produktionskapazität beziehungsweise die technische Leistungsfähigkeit und erforderlichenfalls die Untersuchungs- und Forschungsmöglichkeiten des Unternehmens sowie die von diesem für die Qualitätskontrolle getroffenen Vorkehrungen, 6. Studien- und Ausbildungsnachweise sowie Bescheinigungen über die Erlaubnis zur Berufsausübung für die Inhaberin, den Inhaber oder die Führungskräfte des Unternehmens, sofern diese Nachweise nicht als Zuschlagskriterium bewertet werden, 7. Angabe der Umweltmanagementmaßnahmen, die das Unternehmen während der Auftragsausführung anwendet, 8. Erklärung, aus der die durchschnittliche jährliche Beschäftigtenzahl des Unternehmens und die Zahl seiner Führungskräfte in den letzten drei Jahren ersichtlich ist, 9. Erklärung, aus der ersichtlich ist, über welche Ausstattung, welche Geräte und welche technische Ausrüstung das Unternehmen für die Ausführung des Auftrags verfügt, 10. Angabe, welche Teile des Auftrags das Unternehmen unter Umständen als Unteraufträge zu vergeben beabsichtigt, 11. bei Lieferleistungen: a) Muster, Beschreibungen oder Fotografien der zu liefernden Güter, wobei die Echtheit auf Verlangen des öffentlichen Auftraggebers nachzuweisen ist, oder b) Bescheinigungen, die von als zuständig anerkannten Instituten oder amtlichen Stellen für Qualitätskontrolle ausgestellt wurden, mit denen bestätigt wird, dass die durch entsprechende Bezugnahmen genau bezeichneten Güter bestimmten technischen Anforderungen oder Normen entsprechen.“
Der öffentliche Auftraggeber muss diejenigen Nachweise auswählen, die für die konkrete Vergabe relevant sind. Dafür steht ihm ein Ermessensspielraum zu, der durch die allgemeinen Grundsätze des Vergaberechts und das Verhältnismäßigkeitsprinzip begrenzt ist.
247
Insb. die Abforderung von Referenzlisten gemäß § 46 Abs. 3 Nr. 1 VgV war Gegenstand der Rspr.:
248
– Das OLG Düsseldorf163 ist der Ansicht, dass die Vorgabe, dass nur eine bestimmte Anzahl von Referenzen berücksichtigt wird (die ersten drei bis fünf von x), unzulässig sei. Dies habe einerseits eine abschreckende Wirkung, da die Bieter nicht mehr als die geforderte Anzahl an Referenzen vorliegen würden. Daraus wiederum resultiere, dass die Eignungsprüfung daher auf einer zu schmalen Tatsachengrundlage erfolge und damit fehlerhaft sei. – Problematisch sind die Fälle, in denen Unternehmen auf Referenzen anderer Unternehmen verweisen (sog. persönliche Referenzen). Ein Teil der Rspr.164 nimmt an, dass damit nicht nachgewiesen sei, dass sich das konkrete Unternehmen hinsichtlich der ausgeschriebenen Leistung am Markt bewährt hat. Ausnahmsweise ist dies dann zulässig, wenn der Auftrag vollständig durch dasselbe bzw. zumindest überwiegende Personal ausgeführt werde. Demgegenüber werden die persönlichen Referenzen auch zugelassen, da die Fachkunde eines Unternehmens auf den Erfahrungen und Kenntnissen seiner Mitarbeiter beruhe, egal wo diese erworben worden seien.165
163 OLG Düsseldorf, Beschl. v. 12.9.2012 – Verg 108/11. 164 So OLG Frankfurt, Beschl. v. 9.7.2010 – 11 Verg 5/10; OLG Koblenz, Beschl. v. 4.10.2010 – 1 Verg 9/10; VK Bund, Beschl. v. 15.5.2015 – VK 1-32/15. 165 So OLG Jena, Beschl. v. 21.9.2009 – 9 Verg 7/09.
Bischof
827
D Rz. 249
Vergabe von IT-Leistungen
– Auch nicht abgeschlossene Projekte als Referenzen sind problematisch, da unklar ist, ob das Projekt vertragsgemäß zum Abschluss gebracht wird. Akzeptiert werden „weitgehend abgeschlossene Projekte“.166 4.1.4 Nachweis des Nichtvorliegens von Ausschlussgründen, Pflicht und Ermessensspielraum 249 Hier sind zwei Konstellationen zu unterscheiden: a) Zwingende Ausschlussgründe nach § 123 GWB „(1) Öffentliche Auftraggeber schließen ein Unternehmen zu jedem Zeitpunkt des Vergabeverfahrensvon der Teilnahme aus, wenn sie Kenntnis davon haben, dass eine Person, deren Verhalten nach Absatz 3 dem Unternehmen zuzurechnen ist, rechtskräftig verurteilt oder gegen das Unternehmen eine Geldbuße nach § 30 des Gesetzes über Ordnungswidrigkeiten rechtskräftig festgesetzt worden ist wegen einer [der nachfolgend im Detail aufgeführten] … (4) Öffentliche Auftraggeber schließen ein Unternehmen zu jedem Zeitpunkt des Vergabeverfahrensvon der Teilnahme an einem Vergabeverfahren aus, wenn 1. das Unternehmen seinen Verpflichtungen zur Zahlung von Steuern, Abgaben oder Beiträgen zur Sozialversicherung nicht nachgekommen ist und dies durch eine rechtskräftige Gerichts- oder bestandskräftige Verwaltungsentscheidung festgestellt wurde oder 2. die öffentlichen Auftraggeber auf sonstige geeignete Weise die Verletzung einer Verpflichtung nachNummer 1 nachweisen können. Satz 1 ist nicht anzuwenden, wenn das Unternehmen seinen Verpflichtungen dadurch nachgekommen ist, dass es die Zahlung vorgenommen oder sich zur Zahlung der Steuern, Abgaben und Beiträge zur Sozialversicherung einschließlich Zinsen, Säumnis- und Strafzuschlägen verpflichtet hat.“
b) Fakultative Ausschlussgründe nach § 124 GWB „(1) Öffentliche Auftraggeber können unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit ein Unternehmen zu jedem Zeitpunkt des Vergabeverfahrens von der Teilnahme an einem Vergabeverfahren ausschließen, wenn 1. das Unternehmen bei der Ausführung öffentlicher Aufträge nachweislich gegen geltende umwelt-, sozial-oder arbeitsrechtliche Verpflichtungen verstoßen hat, 2. das Unternehmen zahlungsunfähig ist, über das Vermögen des Unternehmens ein Insolvenzverfahren oder ein vergleichbares Verfahren beantragt oder eröffnet worden ist, die Eröffnung eines solchen Verfahrens mangels Masse abgelehnt worden ist, sich das Unternehmen im Verfahren der Liquidation befindet oder seine Tätigkeit eingestellt hat, 3. das Unternehmen im Rahmen der beruflichen Tätigkeit nachweislich eine schwere Verfehlung begangen hat, durch die die Integrität des Unternehmens infrage gestellt wird; § 123 Absatz 3 ist entsprechend anzuwenden, 4. der öffentliche Auftraggeber über hinreichende Anhaltspunkte dafür verfügt, dass das Unternehmen Vereinbarungen mit anderen Unternehmen getroffen hat, die eine Verhinderung, Einschränkung oder Verfälschung des Wettbewerbs bezwecken oder bewirken, 5. ein Interessenkonflikt bei der Durchführung des Vergabeverfahrens besteht, der die Unparteilichkeit und Unabhängigkeit einer für den öffentlichen Auftraggeber tätigen Person bei der Durchführung des Vergabeverfahrens beeinträchtigen könnte und der durch andere, weniger einschneidende Maßnahmen nicht wirksam beseitigt werden kann, 6. eine Wettbewerbsverzerrung daraus resultiert, dass das Unternehmen bereits in die Vorbereitung des Vergabeverfahrens einbezogen war, und diese Wettbewerbsverzerrung nicht durch andere, weniger einschneidende Maßnahmen beseitigt werden kann,
166 So u.a. VK Sachsen, Beschl. v. 21.3.2006 – 1/SVK/012-06.
828
Bischof
Vergabeverfahren nach VgV
Rz. 253
D
7. das Unternehmen eine wesentliche Anforderung bei der Ausführung eines früheren öffentlichen Auftrags oder Konzessionsvertrags erheblich oder fortdauernd mangelhaft erfüllt hat und dies zu einer vorzeitigen Beendigung, zu Schadensersatz oder zu einer vergleichbaren Rechtsfolge geführt hat, 8. das Unternehmen in Bezug auf Ausschlussgründe oder Eignungskriterien eine schwerwiegende Täuschung begangen oder Auskünfte zurückgehalten hat oder nicht in der Lage ist, die erforderlichen Nachweise zu übermitteln, oder 9. das Unternehmen a) versucht hat, die Entscheidungsfindung des öffentlichen Auftraggebers in unzulässiger Weise zu beeinflussen, b) versucht hat, vertrauliche Informationen zu erhalten, durch die es unzulässige Vorteile beim Vergabeverfahren erlangen könnte, oder c) fahrlässig oder vorsätzlich irreführende Informationen übermittelt hat, die die Vergabeentscheidung des öffentlichen Auftraggebers erheblich beeinflussen könnten, oder versucht hat, solche Informationen zu übermitteln.“
Hinsichtlich eines Ausschlusses steht dem Auftraggeber nach dem Wortlaut „können ausgeschlossen werden“ ein Ermessensspielraum zu. Zu beachten ist auch, dass sich ein Unternehmen gem. § 125 GWB von Ausschlussgründen 250 nach §§ 123, 124 GWB auch selbstreinigen kann. Wurden keine ausreichenden Selbstreinigungsmaßnahmen ergriffen, so darf ein Ausschluss von der Teilnahme an Vergabeverfahren bei § 123 GWB für höchstens 5 Jahre ab dem Tag der rechtskräftigen Verurteilung erfolgen, bei § 124 GWB für höchstens 3 Jahre ab dem betreffenden Ereignis.167 4.1.5 Nachweis der Eintragung im Berufs- oder Handelsregister Dieser Nachweis kann gem. § 44 VgV verlangt werden. Ob ein solcher Nachweis verlangt 251 wird oder nicht, liegt im Ermessen der Vergabestelle; diese ist nicht gezwungen, sich solche Nachweise vorlegen zu lassen, zumal diese nichts über Fachkunde und Leistungsfähigkeit eines Unternehmens aussagen. Sinn und Zweck der Forderung dieses Nachweises ist es einerseits, die mit der Beaufragung eines Unternehmens ohne berufsrechtliche Zulassung verbundenen Risiken zu vermeiden. Andererseits kann sich die Vergabestelle über die Auszüge wesentliche Informationen z.B. zu Existenz, Rechtsform, Vertretungsbefugnissen und -verhältnissen beschaffen.168 4.1.6 Eigenerklärungen Die vergaberechtliche Praxis ging bereits den Weg, statt der oben dargestellten Nachweise 252 durch Registerauszüge, Bescheinigungen von Behörden u.Ä. von den Unternehmen sogenannte „Eigenerklärungen“ zu fordern. Oftmals legen die Vergabestellen ihren Vergabeunterlagen bereits entsprechende „Musterformulare/-formblätter“ bei, die von den Unternehmen nur noch auszufüllen und rechtsverbindlich zu unterzeichnen sind. In Eigenerklärungen erklärt sich der Bieter selbst zu dem geforderten Thema und versichert, dass seine Angaben zutreffen und er im Falle falscher Angaben vom Verfahren ausgeschlossen werden kann. Hintergrund ist zum einen, dass es sich oft als schwierig herausgestellt hat, behördliche Bescheinigungen fristgerecht zu erhalten bzw. diese auch oft schlicht „vergessen“ wurden. Das Übermitteln von „Eigenerklärungsformularen“ hatte sich – als Hilfestellung für beide Seiten – bewährt: Die Vergabestelle kann gleichartige Erklärungen prüfen, dem Bieter wird die Voll-
167 S. Ulshöfer, VergabeR 2016, 327; Otting, VergabeR 2016, 316. 168 S. Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, Rz. 119 ff. m.w.N.
Bischof
829
253
D Rz. 254
Vergabe von IT-Leistungen
ständigkeitskontrolle erleichtert. § 48 Abs. 2 Satz 1 VgV sieht ausdrücklich vor, dass grds. die Vorlage vor Eigenerklärung gefordert wird. 4.1.7 Präqualifizierungsverfahren 254 Unter Präqualifikation169 ist eine der eigentlichen Auftragsvergabe vorgelagerte auftragsunabhängige Prüfung der Eignungsnachweise zu verstehen. Ist diese Eignungsprüfung vom Unternehmen ohne Beanstandungen bei den hierfür vorgesehenen Prüfunternehmen durchlaufen, wird das Unternehmen auf Zeit in eine allgemein zugängliche Liste präqualifizierter Unternehmen aufgenommen und braucht nicht bei jedem Vergabeverfahren – als Beitrag zu einer Entbürokratisierung – alle Einzelnachweise dem Auftraggeber vorzulegen. 255 Ein solches Präqualifizierungsverfahren ist im Baurecht seit langem (vgl. § 8 VOB/A) vorgesehen. Auch § 48 Abs. 8 VgV sieht vor, dass Eignungsnachweise, die durch Präqualifizierungsverfahren erworben wurden, zugelassen werden können. Gleiches sieht § 6 Abs. 4 VOL/A für die nationale/Unterschwellenvergabe vor. 256 Zwischenzeitlich wurde eine bundesweite Präqualifizierungsdatenbank unter www.pq-vol. de eingerichtet. Damit soll sowohl bei Bietern als auch der öffentlichen Hand der Aufwand zur Erstellung bzw. Prüfung der Eignungsnachweise reduziert werden, in dem das Präqualifizierungsverfahren einmal durchlaufen wird und der entsprechende Nachweis bei den öffentlichen Auftraggebern (anstelle von Einzeldokumenten) zur Eignungsprüfung vorgelegt wird. Unternehmen sind nicht verpflichtet, ein solches Verfahren zu durchlaufen, können und dürfen daher ihre Eignung auch weiterhin durch die in den Vergabeunterlagen geforderten Nachweise darlegen. 257 Das Präqualifikationsverfahren ist dezentral nach Bundesländern organisiert. Die Präqualifizierung nehmen Industrie- und Handelskammern oder die von ihnen getragenen Auftragsberatungsstellen170 vor (PQ-Stelle). Dort werden die gebietszugehörigen Unternehmen geprüft, und die dezentralen Daten tagesaktuell an die bundesweite PQ-Datenbank übermittelt. Neben den Pflichtnachweisen erheben einige PQ-Stellen entsprechend den Vorgaben aus ihrem jeweiligen Bundesland zusätzliche landesspezifische Angaben und Nachweise. 4.2 Prüfung der Eignung 258 Ob ein Bieter geeignet ist oder nicht, ist im Rahmen einer Prognoseentscheidung zu treffen, bei der der Vergabestelle ein Beurteilungsspielraum zusteht. Dieser kann nur beschränkt daraufhin überprüft werden, ob die Vergabestellte von einem unzutreffenden oder falschen Sachverhalt ausgegangen ist und die vergaberechtlichen Grundprinzipien beachtet wurden. Wurde die Eignung einmal bejaht, ist die Vergabestelle grds. gebunden und bei unveränderter Sachlage daran gehindert, die Eignung anders zu beurteilen. Dies gilt allerdings nicht, wenn Umstände auftreten oder bekannt werden, die die positive Entscheidung zur Eignung in Frage stellen könnten. Diese können in jeder Phase des Verfahrens berücksichtigt werden (auch nach Abschluss eines Teilnahmewettbewerbs).171 259 Das Ergebnis der Eignungsprüfung ist in aller Regel nur: bestanden oder nicht bestanden, ohne dass hierbei Noten an die Bewerber vergeben würden oder ein Ranking aufgestellt wird.
169 S. a. Braun/Petersen, VergabeR 2010, 433. 170 S. für Bayern: Auftragsberatungszentrum e. V. unter www.abz-bayern.de (auch zum Verfahren, Geltungsdauer des Zertifikats und Kosten). 171 S. OLG Naumburg, Beschl. v. 22.9.2014 – 2 Verg 2/13.
830
Bischof
Vergabeverfahren nach VgV
Rz. 265
D
Eine Ausnahme besteht nur bei solchen Verfahren, in denen ein Teilnahmewettbewerb (s. Rz. 263 ff.) stattfindet, anhand dessen erst die Bewerber ausgewählt werden, die zur Angebotsabgabe aufgefordert werden sollen. Sind mehr geeignete Bewerber vorhanden, als die vorgesehene Anzahl an Bietern zur Angebotsabgabe (so z.B. mindestens 3 im Verhandlungsverfahren), so muss festgestellt werden, wer unter den geeigneten Bewerbern am Geeignetsten ist. Dies erfordert eine so genannte „Eignungsmatrix“, die den Bewerbern ebenfalls bekannt zu geben ist, anhand derer die besser/mehr Geeigneten ermittelt werden.
260
4.3 Einheitliche Europäische Eigenerklärung § 50 VgV sieht als neues Instrument zur Darlegung der Eignung die sog. Einheitliche Europäi- 261 sche Eigenerklärung (EEE)172 vor mit der Zielsetzung der Vereinfachung der Eignungsprüfung für die Bieter. Der Bieter erklärt damit, dass keine Ausschlussgründe nach §§ 23, 124 GWB173 bestehen, die Eignungskriterien nach § 122 GWB i.V.m. §§ 42 ff. VgV174 erfüllt werden und er ggf. aufgestellte objektive Regeln und Kriterien nach Art. 65 VRL erfüllt. Zudem muss der Bieter erklären, dass er auf Anfrage jederzeit in der Lage ist, unverzüglich 262 weitere Unterlagen vorzulegen. Falls sich der Bieter bezüglich der Eignung auf Dritte bezieht, muss sich die Eigenerklärung auch auf diese beziehen. Für die EEE wurde von der Europäischen Kommission ein Standardformular ausgearbeitet, das zwingend von allen Auftraggebern akzeptiert werden muss. Die Umsetzung der EEE darf bis zum 18.10.2018 „geschoben“ werden. 4.4 Teilnahmewettbewerb Die Durchführung des Teilnahmewettbewerbs (bei nicht offenem Verfahren sowie Verhand- 263 lungsverfahren) dient v. a. der „sozusagen vorgelagerten“ Eignungsprüfung, sodass nur geeignete Unternehmen zur Angebotsabgabe aufgefordert werden. Zudem lässt dies auch die Reduzierung des Bieterkreises in der Angebotsphase zu. 4.4.1 Teilnahmeantrag und -frist Die Teilnahmeanträge können auf dem Postweg, per Telekopie, wobei eine Unterschrift vorhanden sein muss, oder elektronisch übermittelt werden (§ 53 Abs. 6, 1 VgV).
264
Für die Einreichung von Teilnahmeanträgen ist gem.§§ 16 Abs. 2, 17 Abs. 2 VgV) eine Min- 265 destfrist von 30 Tagen, gerechnet vom Tage der Absendung der Bekanntmachung an, vorzusehen. In Fällen besonderer Dringlichkeit ist eine Verkürzung auf mindestens 15 Tage, gerechnet vom Tag der Absendung der Bekanntmachung an.
172 S. Stalz, VergabeR 2016, 155; Pauber, VergabeR 2015, 505. 173 Art. 57 VRL unterscheidet wie bisher zwischen zwingenden und fakultativen Ausschlussgründen. Interessant ist dabei u.a. die Neueinführung des fakultativen Ausschlussgrunds der „erheblichen Schlechtleitungen in der Vergangenheit“, was auch nach früherem Recht gestattet war, nunmehr aber erforderliche Klarheit erfährt. S.hierzu u.a. OLG Düsseldorf, Beschl. v. 25.7.2012 – VII-Verg 27/12; OLG München, Beschl. v. 5.10.2012 – Verg 15/12. 174 Genannt sind die Befähigung zur Berufsausübung, wirtschaftliche und finanzielle Leistungsfähigkeit sowie technische und berufliche Leistungsfähigkeit. Wie bisher sind Eignungskriterien und geforderte Nachweise bereits in der Vergabebekanntmachung anzugeben. Später dürfen diese nur noch konkretisiert werden (so auch OLG Düsseldorf, Beschl. v. 27.10.2010 – VII-Verg 47/10).
Bischof
831
D Rz. 266
Vergabe von IT-Leistungen
4.4.2 Auswahl der Bewerber 266 Nach Ablauf der Teilnahmeantragsfrist wählt der Auftraggeber anhand der mit dem Teilnahmeantrag vorgelegten Unterlagen (entsprechend den geforderten Nachweisen) diejenigen aus, die den Anforderungen an die Eignung entsprechen (§ 121 GWB i.V.m. §§ 42 ff. VgV, §§ 123, 124 GWB). Damit soll erreicht werden, dass nur solche Bewerber ausgewählt werden, die tatsächlich in der Lage sind, den zu vergebenden Auftrag auszuführen und dass die Zahl der Bewerber auf eine überschaubare Anzahl reduziert wird.175 267 Bei der Auswahl der Bewerber besitzt der Auftraggeber einen eigenen Ermessens- und Beurteilungsspielraum unter Beachtung der Grundsätze der Verhältnismäßigkeit und der Gleichbehandlung, insb. des Willkürverbots.176 268 Die Bewerber haben keinen Anspruch darauf, zur Angebotsabgabe aufgefordert zu werden, wenn sie sich mit einem Teilnahmeantrag am Vergabeverfahren beteiligt haben.177 Zdzieblo178 erläutert noch deutlicher, dass der Auftraggeber nicht verpflichtet ist, allen Bewerbern, die die geforderten Unterlagen beigebracht haben und die die genannten Eignungsmerkmale aufweisen, eine Angebotsaufforderung zukommen zu lassen. 269 Die Beurteilung rein anhand schematischer, nicht einzelfallbezogener Checklisten ist ungeeignet, da weder eignungs- noch leistungsbezogen.179 270 Von wesentlicher Bedeutung ist daher eine nachvollziehbare Begründung für einen Ausschluss vom weiteren Verfahren. Es dürfen keine Kriterien herangezogen werden, die sich z.B. nach der Vergabebekanntmachung eindeutig ausschließlich auf die Zuschlagsentscheidung beziehen.180 Fehlen in einem Teilnahmeantrag wichtige Angaben oder Nachweise zu den Mindestanforderungen, so ist ein Ausschluss dieses Bewerbers (= Absehen von einer weiteren Beteiligung) nicht ermessensfehlerhaft. Eine Verpflichtung zur Nachforderung besteht nicht (§ 56 Abs. 2 VgV: „Der öffentliche Auftraggeber kann … [zur Nachreichung] auffordern …“). 271 § 56 Abs. 2 und 3 VgV wiederum ermöglicht dem Auftraggeber aber, einzelne Unternehmen aufzufordern, die von ihnen vorgelegten Bescheinigungen zu vervollständigen oder zu erläutern. Ob der Auftraggeber dies tut, steht jedoch in seinem Ermessen, eine Verpflichtung besteht nicht. Der Auftraggeber kann aber keine, über die ursprünglichen hinausgehenden Nachweise verlangen.181 Bei der Nachforderung sind stets die Grundsätze von Transparenz und Gleichbehandlung aller Bewerber und Bieter zu beachten. 4.4.3 Zusammenfassung zu Prüfung und Wertung von Teilnahmeanträgen 272 Die Prüfung von Teilnahmeanträgen182 entspricht der Prüfung von Angeboten und kann demnach in folgenden Schritten erfolgen:
175 S. Gnittke/Hattig, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 10 EG Rz. 5 ff., 9, 11. 176 S. Gnittke/Hattig, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 10 EG Rz. 9; Zdzieblo, in: Daub/Eberstein, VOL/A Kommentar, § 7 a Rz. 49 f. 177 S. Gnittke/Hattig, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 10 EG Rz. 11 unter Hinweis auf den Beschluss des Vergabeüberwachungsausschuss NW v. 10.11.1998 – 424-84.45-12/98. 178 So zur Vorgängervorschrift des § 7a VOL/A Zdzieblo, in: Daub/Eberstein, VOL/A Kommentar, 2001, § 7 a VOL/A Rz. 50. 179 S. Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 2001, § 7 a Rz. 54 f. 180 S. OLG Bremen, Beschl. v. 13.11.2003 – Verg. 8/2003, BauRB 2004, 173. 181 S. Müller-Wrede, in: Müller-Wrede VOL/A Kommentar, 2001, § 7 a Rz. 61 ff.; so auch in der 3. Aufl. 2010, § 7 EG, Rz. 59. 182 S. Schwabe, in: Müller/Wrede, VOL/A Kommentar, 4. Aufl. 2013, § 14 EG Rz. 33 f.
832
Bischof
Vergabeverfahren nach VgV
D
Rz. 275
(1) Öffnung der Teilnahmeanträge (ohne förmliche Submission) (2) Formale Prüfung auf Vollständigkeit und Ordnungsmäßigkeit des Teilnahmeantrags. Ausgeschlossen werden Teilnahmeanträge, – die nicht die geforderten oder nachgeforderten Erklärungen und Nachweise enthalten; – in denen Änderungen des Bewerbers an seinen Eintragungen nicht zweifelsfrei sind, – bei denen Änderungen oder Ergänzungen an den Bewerbungsunterlagen vorgenommen worden sind, – die nicht fristgerecht eingegangen sind, es sei denn der Bewerber hat dies nicht zu vertreten und – die nach Ablauf der vorgeschriebenen Einreichungsfrist nicht den Anforderungen entsprechen. (3) Eignungsprüfung der Bewerber und ggf. von zusätzlichen Anforderungen; (4) Ggf. Bewerberauswahl nach „objektiven Kriterien“, wenn die Anzahl der geeigneten Bewerber die angekündigte Anzahl der zur Angebotsabgabe aufzufordernden Bewerber übersteigt (z.B. anhand einer Bewertungsmatrix). 4.4.4 Information der ausscheidenden Bewerber § 134 GWB bringt klar zum Ausdruck, dass „abgelehnte Bewerber“ über ihr Ausscheiden in- 273 formiert werden sollen, denn: Wird ein Bewerber nicht über die Ablehnung seines Teilnahmeantrags (d. h. seiner Bewerbung) informiert, so muss ein solcher eigentlich längst ausgeschiedener Bewerber ebenfalls gemäß § 134a Abs. 1 Satz 2 i.V.m. Satz 1 GWB eine Information vor Zuschlagserteilung erhalten und wird damit wie ein „Bieter“ behandelt. Um zum Zeitpunkt der Zuschlagsentscheidung den Kreis der Adressaten des § 134 GWB also nicht so weit zu fassen, empfiehlt es sich, die ausscheidenden Bewerber bereits zum Zeitpunkt des Ausscheidens im Teilnahmewettbewerb hierüber zu informieren. § 62 Abs. 2 VgV sieht zudem auch vor, dass der Auftraggeber den nicht berücksichtigten Bewerbern die Gründe für die Nichtberücksichtigung unverzüglich, spätestens innerhalb von 15 Tagen nach Eingang eines entsprechenden Antrags, mitzuteilen hat.183 Zum Inhalt eines solchen „Absageschreibens“ an Bewerber im Teilnahmewettbewerb:
274
Die Bewerber haben keinen Anspruch darauf, über die Merkmale und Vorteile der erfolgreichen Bewerber und über den Namen der erfolgreichen Bewerber informiert zu werden. Somit darf in der Begründung Folgendes nicht angegeben werden: a) Name der Bewerber, die zur Angebotsabgabe aufgefordert wurden b) Konkrete Merkmale und Vorteile der Bewerber, die zur Angebotsabgabe aufgefordert wurden; in abstrakter Weise wird dies jedoch für zulässig erachtet. Bei einer ausreichenden Anzahl von insgesamt geeigneten Bewerbern genügt es für die be- 275 stehende Informationspflicht in mehr allgemeiner Form die Gründe zu nennen und dabei auch die Freiheit zu nutzen, welche Ablehnungsgründe im Einzelnen angegeben werden. Es müssen nicht sämtliche Ablehnungsgründe genannt werden. Der Auftraggeber ist zumindest i.R.d. § 62 Abs. 2 VgV (noch) frei, welche Ablehnungsgründe im Einzelnen angegeben werden. In Frage kommt die gesamte Bandbreite von Gründen, die zur Nichtberücksichti-
183 Mit diesen Neuregelungen ist der länger schwelende Streit darüber, ob abgelehnte Bewerber zu informieren sind oder nicht (vgl. die alten Regelungen des § 13 VgV und § 27 a VOL/A) beigelegt.
Bischof
833
D Rz. 276
Vergabe von IT-Leistungen
gung führen können.184 Es sollte dem antragstellenden Bewerber aber aufgezeigt werden, warum er nicht zum Kreis der zur Angebotsabgabe Aufgeforderten gehört. Hierbei darf sich der Auftraggeber auf die Gesichtspunkte beschränken, die eine mangelnde Fachkunde, Leistungsfähigkeit sowie Zuverlässigkeit (Eignung) des Bewerbers begründen. 4.4.5 Aufforderung zur Angebotsabgabe 276 Bei einem ausreichenden Kreis geeigneter Bewerber darf im Verhandlungsverfahren gem. § 51 Abs. 2 VgV die Anzahl der zur Verhandlung zugelassenen Unternehmen nicht unter drei liegen, im nichtoffenen Verfahren sollten es fünf sein. Diese Unternehmen sind unter Übersendung der Vergabeunterlagen (§ 29 VgV) zur Angebotsabgabe aufzufordern. 5. Vergabeunterlagen 277 Unter Vergabeunterlagen sind alle Unterlagen zu verstehen, die erforderlich sind, um Bewerbern/Bieteren eine Entscheidung zur Teilnahme am Vergabeverfahren zu ermöglichen, § 29 Abs. 1 Satz 1 VgV. 278 Diese Unterlagen bestehen i.d.R. aus: – Anschreiben, insb. die Aufforderung zur Abgabe von Teilnahmeanträgen, Angeboten oder Begleitschreiben für die Abgabe der angeforderten Unterlagen) (§ 29 Abs. 1 Satz 2 Nr. 1 VgV), – Bewerbungsbedingungen als Beschreibung der Einzelheiten der Durchführung des Verfahrens, einschließlich der Angabe der Eignungs- und Zuschlagskriterien, sofern nicht bereits in der Vergabebekanntmachung genannt (§ 29 Abs. 1 Satz 2 Nr. 2 VgV), – Vertragsunterlagen bestehend aus Leistungsbeschreibung (§ 121 GWB i.V.m. §§ 31 ff. VgV) sowie den Vertragsbedingungen. 279 Bei Erstellung der Vergabeunterlagen ist von wesentlicher Bedeutung, dass sich der Auftraggeber als Erstes Klarheit über den Leistungsgegenstand (s. zum Beschaffungsbedarf Rz. 166 ff., und zur Leistungsbeschreibung Rz. 283 ff.), verschaffen muss, damit er im Anschluss in sachgerechter Weise – die Eignungsanforderungen (wer darf mitbieten?, s. Rz. 232 ff.) – die Zuschlagskriterien (wer gewinnt?, s. Rz. 326 ff.) aufstellen kann. 280 Die EG VOL/A enthielt keine Bestimmung darüber, zu welchem Zeitpunkt die Vergabeunterlagen fertiggestellt sein müssen. Nachdem bestimmte Vergabeunterlagen erforderlich sind, die die Entscheidung zur Verfahrensteilnahme bzw. Angebotsabgabe ermöglichen sollen, wird man daraus schließen können, dass der Zeitpunkt für die Erstellung bestimmter erforderlicher Dokumente jeweils von der betroffenen „Verfahrensphase“ abhängt. So ist zu differenzieren, wann welche Unterlagen vorliegen müssen. Die Fertigstellung aller Unterlagen noch vor Veröffentlichung der Vergabebekanntmachung konnte daher wohl nicht gefordert werden. 281 Ob sich dies noch so halten lassen kann, ist zumindest fraglich, denn: § 41 VgV fordert die Bereitstellung der Vergabeunterlagen (§ 29 VgV) ab dem Zeitpunkt der Veröffentlichung der Bekanntmachung; dies ergibt sich inzident daraus, dass die Bekanntmachung eine elektronische Adresse enthalten muss, die unentgeltlichen, uneingeschränkten, vollständigen und
184 S. Roth, in: Müller-Wrede, VOL/A Kommentar, § 27 a Rz. 8; so auch in der 3. Aufl. 2010, § 22 EG Rz. 12. Nun auch Conrad, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 22 EG Rz. 30.
834
Bischof
Vergabeverfahren nach VgV
Rz. 285
D
direkten Abruf der Vergabeunterlagen ermöglicht.185 Ob dies auch für die 2-stufigen Verfahren mit Teilnahmewettbewerb die zutreffende Annahme ist, darf jedoch bezweifelt werden, da auf diese Weise jedem beliebigen Dritten (Unternehmen oder Privatperson) der Zugriff auf die Gesamtheit der Vergabeunterlagen möglich wäre. Nachvollziehbarer ist vielmehr, dass je Verfahrensphase die dazu gehörigen Unterlagen zur Verfügung gestellt werden (also zunächst nur Teilnahmewettbewerb und nur an die ausgewählten Bieter dann in der Angebots-/Verhandlungsphase).186 Spätere Änderungen der Vergabeunterlagen durch den Auftraggeber im Vergabeverfahren sind aufgrund der Selbstbindung des Auftraggebers nicht ohne weiteres zulässig. Dies kann jedoch dann zulässig sein, wenn und soweit alle Interessenten die gleichen Chancen haben, auf die veränderte Situation zu reagieren. Dem Auftraggeber ist zu empfehlen, bei solchen aus seiner Sicht zwingenden Änderungen alle Bieter zu informieren und deren Zustimmung zu den Änderungen einzuholen. Dies schafft für die Vergabestelle Rechtssicherheit für das weitere Verfahren.
282
6. Leistungsbeschreibung 6.1 Anforderungen Die Leistungsbeschreibung ist ein wesentlicher Kern der Vergabeunterlagen, da sie zum einen die spätere Vergleichbarkeit der Angebote gewährleisten soll und zum anderen die vom Bieter zu realisierenden Leistungsinhalte darstellt und damit Maßstab für die Beurteilung der Vertragserfüllung sowie etwaiger Ansprüche wegen Sach- und Rechtsmängeln ist.
283
§ 121 GWB sowie §§ 31 bis 34 GWB regeln die Anforderungen an die Leistungsbeschrei- 284 bung.187 Die zu erbringenden IT-Leistungen müssen u.a. eindeutig und so erschöpfend beschrieben sein, dass alle Bieter die Beschreibung im gleichen Sinne verstehen und die Angebote selbst vergleichbar sind. Dies macht die Aufnahme von Optionen, d. h. von Wahl- und Alternativpositionen und Bedarfs- oder Eventualpositionen neben den Grundpositionen, nicht von vornherein unzulässig. Allerdings dürfen die Optionen gegenüber den Grundpositionen kein solches Gewicht in der Wertung erhalten, dass sie deren Bedeutung gleich kommen oder diese gar verdrängen. Ist dies der Fall, ist eine Option unzulässig, da keine eindeutige und erschöpfende Leistungsbeschreibung mehr vorliegt.188 Hervorzuheben ist insb., dass die Leistungsbeschreibungen produkt- und lösungsneutral (§ 31 Abs. 6 VgV) sowie diskriminierungsfrei zu gestalten sind:189 – In Bezug auf die Beschaffung von Software bedeutet dies, dass in der Leistungsbeschreibung möglichst sämtliche Anforderungen an die zu vergebende Lösung dargestellt sein müssen. Da die letztlich zum Einsatz kommende Lösung noch unbekannt und damit unklar ist, mit welchem Abdeckungsgrad von Standardsoftware, Parametrisierung, Anpassungen, Erweiterungen die geforderte Lösung realisiert wird, empfiehlt sich, eine fachliche Feinspezifikation vorzunehmen, in der Funktionalität, Geschäftsprozesse, Anforderungen an Schnittstellen und Migration von Altdaten umfassend dargestellt werden.
185 Losch, VergabeR 2012, 352. 186 So wohl Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 720 ff. (726); a.A. Losch, VergabeR 2012, 352. 187 S. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 977 ff. 188 S. Kulartz/Steding, IT-Leistungen. Fehlerfreie Ausschreibungen und rechtssichere Vertragsinhalte, Ziffer 7.1 (S. 38). 189 H.M. im Vergaberecht. S. a. BayObLG, Beschl. v. 15.9.2004 – Verg 26/03, VergabeR 2005, 130 (baurechtlich). S. zur Problematik der Vergabe von Open Source Software Heckmann, CR 2004, 401 ff.; Müller/Gerlach, CR 2005, 87 ff. S. auch: Ohrtmann, VergabeR 2012, 376.
Bischof
835
285
D Rz. 286
Vergabe von IT-Leistungen
– Bei der Beschaffung von Hardware haben bis zum EuGH ausgetragene Streitigkeiten zwischen den Chip-Herstellern Intel und AMD dafür gesorgt, dass sich hier mehr und mehr das Benchmark-Verfahren190 durchsetzt (auch wenn die Praxis noch immer dazu neigt, sich mit dem Hinweis „oder gleichwertig“ zu begnügen). 286 Grds. ist die Nennung von Marken-/Produktnamen nicht gestattet. Dies ist lediglich ausnahmsweise erlaubt, wenn die Beschreibung durch hinreichend genaue, allg. verständliche Bezeichnungen nicht möglich ist, selbst dann aber nur mit dem Zusatz „oder gleichwertig“ (vgl.§ 31 Abs. 6 Satz 2 VgV).191 287 § 97 Abs. 3 GWB lässt auch zu, dass bei der Vergabe Aspekte der Qualität und Innovation sowie soziale192 und umweltbezogene193 Aspekte nach Maßgabe des GWB berücksichtigt werden können. Dies sieht auch § 31 Abs. 3 VgV vor. 6.2 Arten von Leistungsbeschreibungen 288 Es gibt folgende Arten von Leistungsbeschreibungen194: – konventionell, – konstruktiv, – funktional – Mischformen. 289 Die konventionelle Leistungsbeschreibung oder auch Leistungsbeschreibung mittels verkehrsüblicher Bezeichnungen kommt v. a. bei standardisierten, handelsüblichen Leistungsgegenständen in Betracht. Diese Art trifft i.d.R. zu auf die Lieferung von Computerbildschirmen, Tastaturen, Maus oder auch „Standard-PC‘S“ (d. h. inklusive des üblichen Zubehörs), sonstige Hardware oder auch Standardsoftware. 290 Unter der konstruktiven Leistungsbeschreibung ist die Beschreibung der Leistung nach ihren wesentlichen Merkmalen und konstruktiven Einzelheiten zu verstehen. Sie kommt i.d.R. nur in Betracht, wenndie Bedarfsvorstellungen des öffentlichen Auftraggebers bis in die Einzelheiten feststehen. Dies dürfte jedoch i.d.R. bei Beschaffung von IT-Leistungen nur selten der Fall sein. 291 Gerade bei umfangreichen, komplexen IT-Projekten wird daher meist auf die funktionale Leistungsbeschreibung zurückgegriffen. Hierunter ist die Bezeichnung der Leistung durch eine Darstellung ihres Zwecks, ihrer Funktion sowie der an sie gestellten sonstigen Anforderungen zu verstehen. Die konstruktive Lösung wird dabei weitgehend den Bietern aufgrund deren Know-Hows überlassen. Auch die funktionale Leistungsbeschreibung unterliegt einem gewissen Bestimmtheitserfordernis. Die Kriterien für die Angebotswertung, das Leistungsziel, die Rahmenbedingungen sowie die wesentlichen Einzelheiten der Leistung
190 Benchmark-Verfahren sind Verfahren, mittels derer durch eine softwaregestützte Simulation typischer Anwendungsschritte eine Aussage über die Leistungsfähigkeit des IT-Systems in dem Anwendungsbereich möglich ist. Sie wurden für verschiedene IT-Anwendungsbereiche entwickelt. Diese Bench-Mark-Verfahren sind keine EU-Standards, sondern werden von Industrieorganisationen entwickelt und i.d.R. kostenpflichtig vertrieben. 191 S. zum Gebot der Produktneutralität Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 1118 ff. 192 S. a. zu sozialen Aspekten Varga, VergabeR 2009, 535; Mohr, VergabeR 2009, 543. 193 S. zur Energieeffizienz Bischof, ITRB 2011, 140. 194 S. u.a. Ohle/Sebastiani, CR 2003, 511 (513 ff.); Traupel, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 8 Rz. 12 ff. und § 8 EG Rz. 43 ff.; Zdzieblo, in: Daub/Eberstein, VOL/A Kommentar § 8 Rz. 43 ff.
836
Bischof
Vergabeverfahren nach VgV
Rz. 299
D
müssen auch bei der nur ausnahmsweise zulässigen funktionalen Leistungsbeschreibung bekannt sein.195 Auch Kombinationen der verschiedenen Arten von Leistungsbeschreibungen sind möglich, § 31 Abs. 2 Nr. 3 VgV.
292
6.3 Erstellung und Prüfung der Leistungsbeschreibungen Gerade die Erstellung der Leistungsbeschreibung erfordert die Beteiligung aller Organisati- 293 onsbereiche und der jeweiligen Berufsgruppen des Auftraggebers – nicht nur, um alle relevanten Anforderungen zu erfassen, sondern auch, um die spätere Akzeptanz bei Einführung der neuen Lösung zu steigern. Sinnvoll ist gerade hier die Unterstützung durch externe Berater. Technisch empfiehlt sich zur Erstellung der Leistungsbeschreibung der Einsatz eines Tabellenkalkulationsprogramms, da sich hierdurch Bereiche vor nicht gewollten Änderungen schützen lassen und später die Auswertung von beantworteten Anforderungen, insb. bei (teilweiser) Verknüpfung mit den Zuschlagskriterien, erheblich einfacher ist.
294
Lassen sich nicht alle Anforderungen in Tabellenform auflisten, so sollten diese in einem weiteren Dokument, z.B. als anwendungsbezogenes Konzept, beschrieben werden.
295
Zur Überprüfung der Angaben der Bieter zur Leistungsbeschreibung sollte möglichst ein 296 Verfahren vorgesehen werden, in dem der Bieter praktisch zeigen muss, dass die von ihm angebotene Software-Lösung die Anforderungen erfüllen kann (z.B. Vorführung an einem mit ausreichenden Daten versehenen Echtsystem auf Basis von „Echtfällen“ sowie Überlassung dieses Systems zu Testzwecken an den Auftraggeber). Dieses Verfahren196 (auch genannt „Proof of Solution“ oder auch Feststellungen), das in die Bewertung/Zuschlagskriterien mit einfließen sollte, ist zur Transparenz sowie zur Gleichbehandlung aller Bieter bereits in den Vergabeunterlagen zu beschreiben. Gibt der öffentliche Auftraggeber eine solche Vorgehensweise an, ist er gegenüber den Bietern hieran auch gebunden und kann nicht mehr davon abweichen, es sei denn z.B. alle beteiligten Bieter stimmen dem zu.197
297
Ein Verstoß gegen die Anforderungen aus §§ 31 ff. VgV stellt eine rügefähige Verletzung vergaberechtlicher Bestimmungen dar, die ein Bieter auch im Wege des Nachprüfungsverfahrens verfolgen kann. Ziel dabei ist die vergaberechtskonforme Umgestaltung der Leistungsbeschreibung.
298
Macht der Auftraggeber eine erkennbar fehlerhafte Leistungsbeschreibung zum Gegenstand 299 seiner Ausschreibung, so löst dies für sich gesehen keine Kompensations- oder Schadensersatzansprüche der Bieter aus, es sei denn ein Anspruch stellender Bieter durfte auf die Einhaltung der Vergabebestimmungen vertrauen und hat den Verstoß gegen die Ausschreibungspflichten nicht erkannt. Mit anderen Worten: I.d.R. scheiden monetäre Ansprüche bei einem Verstoß aus. Die Bieter haben lediglich einen Anspruch darauf, dass der Auftraggeber die Leistungsbeschreibung „nachbessert“.198
195 196 197 198
OLG Düsseldorf, Beschl. v. 14.2.2001 – Verg 14/00 – Vergaberechts-Report 3/1001, S. 3. Zur Feststellung im Vergabeverfahren: Lennert/Werner, VergabeR 2016, 174. S. OLG Düsseldorf, Beschl. v. 9.4.2003 – Verg 43/02, BauRB 2004, 50. S. BGH v. 1.8.2006 – X ZR 146/03 – VergabeR 2007, 194.
Bischof
837
D Rz. 300
Vergabe von IT-Leistungen
7. Vertragsgestaltung 7.1 Vorgaben der VgV 300 Gemäß § 29 Abs. 1 Nr. 3 VgV bestehen die Vertragsunterlagen aus Leistungsbeschreibung und Vertragsbedingungen. § 29 Abs. 2 Satz 1 VgV sieht vor, dass der Teil B der Vergabe- und Vertragsunterlagen für Leistungen in der Fassung der Bekanntmachung vom 5.8.2003 (BAnz Nr, 178a) i.d.R. in den Vertrag einzubeziehen sind. 7.2 Haushaltsrecht 301 Die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT)199 sind für die Behörden des Bundes nach den Verwaltungsvorschriften zu § 55 BHO verbindlich. Gleiches kann sich (muss sich aber nicht) aus den Verwaltungsvorschriften zu den Landeshaushaltsordnungen ergeben. Ähnliche Regelungen können auch in Gemeindehaushaltsverordnungen enthalten sein. Solche Bestimmungen stellen Dienst- bzw. Verwaltungsanweisungen dar, zu deren Beachtung die Bediensteten der öffentlichen Hand verpflichtet sind. 302 Ob eine solche verbindliche Regelung für den jeweiligen öffentlichen Auftraggeber im Hinblick auf § 99 GWB besteht, sollte daher im Einzelfall geprüft werden. 303 Es ist jedoch anzumerken, dass, auch wenn die Bedingungen nicht durch eine solche Dienstanweisung eingeführt wurden, diese doch einen gewissen verbindlichen Charakter als Orientierungshilfe dafür aufweisen, in welchem Rahmen wirtschaftlich und sparsam i.S.d. Haushaltsrechts zu beschaffen ist, was wiederum von allen öffentlichen Auftraggebern zu beachten ist. 7.3 Qualifizierung von BVB/EVB-IT als AGB 304 Nach praktisch einhelliger Auffassung stellen BVB sowie EVB-IT Allgemeine Geschäftsbedingungen (in Form von Einkaufsbedingungen) der öffentlichen Hand dar.200 Die Bestimmungen unterliegen damit der AGB-rechtlichen Kontrolle der §§ 305–310 BGB. 305 Als Verwender gem. § 305 Abs. 1 Satz 1 BGB ist die öffentliche Hand anzusehen; dies gilt selbst dann, wenn der Anbieter „in vorauseilendem Gehorsam“ die BVB/EVB-IT seinem Angebot beifügt, weil er weiß, dass der Auftraggeber Verträge immer auf dieser Basis abschließt.201 306 Dies hat u.a. zur Folge, dass der öffentliche Auftraggeber sich als Verwender auf die Unwirksamkeit einzelner Bestimmungen nach den §§ 305 ff. BGB nicht berufen kann. 7.4 Anwendungsbereich der BVB/EVB-IT 307 Folgende Übersicht veranschaulicht die derzeit vorliegenden Vertragstypen202 und gibt die Entscheidungshilfe wieder:
199 200 201 202
.
838
S. www.cio.bund.de. BGH v. 27.11.1990 – X ZR 26/90, CR 1991, 273; s.a. R Rz. 69 ff. zu BVB und EVB-IT. BGH v. 4.3.1997 – X ZR 141/95, NJW 1997, 2043 (2044). S. zu BVB und EVB s. R Rz. 69 ff
Bischof
Vergabeverfahren nach VgV
Rz. 307
D
Entscheidungshilfe zur Anwendung der EVB-IT bzw. BVB Vertragsgegenstand
Empfohlener Vertragstyp Basis-EVB-IT
Kauf von Hardware (ggf. inklusive Aufstellung, jedoch ohne sonstige Leistungsanteile)
EVB-IT Kauf
Kauf von Standardsoftware (ggf. mit Pflegeleistungen)
EVB-IT Überlassung Typ A Hierfür stehen vier Vertragsmuster zur Verfügung: – EVB-IT Überlassungsvertrag Typ A (Langfassung mit Pflege) – EVB-IT Überlassungsvertrag Typ A (Langfassung ohne Pflege) – EVB-IT Überlassungsvertrag Typ A (Kurzfassung mit Pflege) – EVB-IT Überlassungsvertrag Typ A (Kurzfassung ohne Pflege) Die EVB-IT Überlassung Typ A AGB enthalten die Regelungen für den Kauf von Standardsoftware ohne sonstige Leistungsanteile und liegen allen vier Vertragsmustern zugrunde. Mit Hilfe der Vertragsmuster („… mit Pflege“) können zusätzlich auch Pflegeleistungen vereinbart werden. Diese Vertragsmuster beziehen dafür zusätzlich die EVB-IT Pflege S-AGB mit ein.
Miete von Standardsoftware (ohne sonstige Leistungsanteile)
EVB-IT Überlassung Typ B
Dienstvertrag
EVB-IT Dienstleistung
Instandhaltung (früher: Wartung) von Hardware
EVB-IT Instandhaltung
Pflege von Standardsoftware (ggf. mit weiteren Leistungen) Es können ausschließlich Pflegeleistungen für Standardsoftware vereinbart werden, die nicht auf Quellcodeebene angepasst wurde.
EVB-IT Pflege S Hierfür stehen zwei Vertragsmuster zur Verfügung: – EVB-IT Pflegevertrag S (Kurzfassung) – EVB-IT Pflegevertrag S (Langfassung) Die Kurzfassung bildet die Überlassung neuer Programmstände und Hotline ab. Die Langfassung enthält zusätzliche Leistungen gegenüber der Kurzfassung: Störungsbeseitigung und sonstige Pflegeleistungen.
EVB-IT Systemverträge Erstellung von IT-Systemen aus einer oder mehre- EVB-IT System (ersetzen auch BVB-Erstellung) ren Systemkomponenten (Standardsoftware und/ oder Hardware, ggf. Individualsoftware) einschließlich weiterer Leistungen zur Herbeiführung der Betriebsbereitschaft, wobei letztere und/oder die Erstellung der Individualsoftware den Schwerpunkt der Leistung darstellen, z.B. weil sie mehr als 15 %–20 % des Auftragswertes ausmachen. Diese Schwelle kann naturgemäß nur einen Anhaltspunkt darstellen, der keinesfalls als generelle Richtschnur zu betrachten ist. Siehe dazu auch Abschnitt I, Nummer 3 der Nutzerhinweise zu den EVB-IT System. Der Vertrag ist insgesamt ein Werkvertrag.
Bischof
839
D Rz. 308
Vergabe von IT-Leistungen
Vertragsgegenstand
Empfohlener Vertragstyp
EVB-IT Erstellung (ersetzen BVB-Erstellung) Auf Softwareleistungen reduzierter, gekürzter EVB-IT Systemvertrag (1) zur Erstellung von Individualsoftware, (2) zur Anpassung von Software auf Quellcodeebene bzw. (3) zu umfangreichem, den Vertrag werkvertraglich prägenden Customizing von Standardsoftware, wobei die Standardsoftware zu diesem Zweck beigestellt oder vom Auftragnehmer auf der Grundlage dieses Vertrages überlassen werden kann. Der Vertrag ist insgesamt ein Werkvertrag. Kauf von IT-Systemen aus einer oder mehreren Systemkomponenten (Standardsoftware und/oder Hardware) einschließlich weiterer Leistungen zur Herbeiführung der Betriebsbereitschaft, ohne dass diese Leistungen den Schwerpunkt bilden. Der Vertrag ist insgesamt ein Kaufvertrag.
EVB-IT Systemlieferung (ersetzen BVB-Kauf, BVB Überlassung Typ II)
Serviceleistungen rund um ein IT-System oder für EVB-IT Service (ersetzen BVB Pflege) Individualsoftware, die über den Regelungsumfang zum Service in den EVB-IT Systemverträgen hinausgehen. Der Servicevertrag kann z.B. zum Einsatz kommen, wenn – nach der Erstellung oder Lieferung eines IT-Systems oder der Erstellung einer Individualsoftware durch den Auftragnehmer mit diesem umfangreichere und differenziertere Serviceleistungen vereinbart werden sollen, als dies mit den Serviceregelungen aus den EVB-IT Systemverträgen möglich wäre, – die in bestehenden EVB-IT Systemverträgen vereinbarten Serviceleistungen neu ausgeschrieben werden müssen, – Serviceleistungen für ein IT-System vereinbart werden sollen, das nicht zuvor vom Auftragnehmer über einen der EVB-IT Systemverträge erstellt oder geliefert wurde, – Individualsoftware vom Auftragnehmer gepflegt werden soll. Die Pflege nur von Standardsoftware und die Instandhaltung nur von Hardware wird weiterhin über die EVB-IT Pflege S und die EVB-IT Instandhaltung vereinbart. BVB Miete von Hardware
BVB-Miete
Planung von DV-gestützten Verfahren, insb. PlaBVB-Planung (zukünftig EVB-IT Planung) nung von Individualsoftware (Planungsphase, fachliches Feinkonzept)
7.5 Nichteinbeziehung der BVB/EVB-IT? 308 Noch sind nicht sämtliche BVB durch EVB-IT abgelöst, dieser Prozess schreitet aber weiter voran, wie sich an obiger Entscheidungshilfe deutlich zeigt. Die Vergabe von Leistungen auf Basis der BVB war bereits Gegenstand kontroverser Diskussionen.203 Koch204 ist der An-
203 S. Koch, ITRB 2003, 136; Feil, ITRB 2003, 259; Müglich, CR 2004, 166. 204 S. Koch, ITRB 2003, 136.
840
Bischof
Vergabeverfahren nach VgV
Rz. 314
D
sicht, dass auf Grundlage der nach altem Recht (vor der SRM) formulierten BVB samt „modernisierter Vertragsdeckblätter“ aufgrund von Intransparenz kein Auftrag vergeben werden kann. Feil und Müglich205 treten dem als zu pauschaler Aussage entgegen, wobei aber eingeräumt wird, dass es einer Einzelfallprüfung bedarf, ob bestimmte Regelungen unwirksam sind.206 Letzterer Ansicht dürfte wohl im Zshg. mit der Vergabe allein auf Basis der BVB (also ohne „Patchwork-Vergabe“ auf Basis von BVB und EVB-IT) der Vorzug zu geben sein, da zum einen eine „Schuldrechtsmodernisierung“ der BVB stattgefunden hat und zum anderen im kaufmännischen Verkehr ausreichendes Verständnis vorhanden ist.
309
Anders dürfte sich die Lage aber dann darstellen, wenn BVB und EVB-IT aufgrund unter- 310 schiedlicher Leistungen nebeneinander anzuwenden sind und damit auch unterschiedliche Vertragskonzepte (v.a. hinsichtlich der Haftung) zur Anwendung gelangen. Hier darf durchaus bezweifelt werden, ob dies noch dem Transparenzgebot des § 307 Abs. 1 Satz 2 BGB und einer AGB-rechtlichen Inhaltskontrolle standhält. Zweifel an der Transparenz könnten sich auch im Hinblick auf die EVB-IT System, Systemlieferung und Service selbst ergeben, allein wenn man das umfangreiche und komplexe Vertragswerk der Bedingungen i.V.m. dem Vertragsmuster genauer betrachtet. Auch der Umfang der Nutzerhinweise zu den komplexen Systemverträgen könnte Anlass zu diesbezüglichen Diskussionen bieten, wobei diese selbst nicht Vertragsbestandteil werden. Gerichtliche Entscheidungen zu dieser Problematik liegen nicht vor, sodass eine gewisse Unsicherheit in der Praxis bleibt und gerade einen Anreiz darstellt, auf die Anwendung der BVB und ggf. auch EVB-IT zu verzichten.207
311
Will der öffentliche Auftraggeber EVB-IT/BVB nicht einbeziehen, so ist er gehalten, entsprechende Vertragsbedingungen selbst zu gestalten. Auch hier sind die AGB-rechtlichen Grenzen der Vertragsgestaltung zu beachten.
312
Fraglich ist allerdings, ob die Nichteinbeziehung der EVB-IT/BVB einen rügefähigen Vergabe- 313 rechtsverstoß darstellt, der ggf. i.R.v. Nachprüfungsverfahren verfolgt werden kann. Nach hiesiger Kenntnis hat es bislang Nachprüfungsverfahren mit diesem Prüfungsgegenstand (noch) nicht gegeben. Zwar besteht auch im öffentlichen Auftragswesen der Grundsatz der Vertragsfreiheit, dessen Schranken sich aus dem Gesetz ergeben. Diese Grenzen sind zum einen zwingende gesetzliche Vorschriften sowie die Regelungen des AGB-Rechts in §§ 305 ff. BGB. Zudem haben öffentliche Auftraggeber aber die oben bereits genannten Vorschriften des Haushaltsrechts zu beachten, wonach EVB-IT/BVB bei der Vergabe von IT-Leistungen anzuwenden sind. Müller-Hengstenberg208 bringt zum Ausdruck, dass den EVB-IT über § 9 VOL/A, § 11 EG VOL/A a.F. i.V.m. §§ 97 ff. GWB a.F. bieterschützender Charakter zukommt. Auch Zdzieblo209 vertritt die Auffassung, dass EVB-IT/BVB die Vertragsbedingungen im Bereich des öffentlichen Auftragswesens teils vorprägen mit dem Ziel, Willkür auszuschließen und Gleichbehandlung gleich gelagerter Fälle zu erreichen. Sinn und Zweck des § 9 VOL/A ist es gerade, Gleichbehandlung sicherzustellen und Willkür bei der Vertragsgestaltung aus-
205 S. Feil, ITRB 2003, 259; Müglich, CR 2004, 166. 206 S. ausführlich zur konkreten Überprüfung anhand der BVB-Überlassung Typ II Müglich, CR 2004, 166. 207 S.a. Bischof, ITRB 2008, 90. 208 Müller-Hengstenberg, Vertragsbedingungen für Softwareverträge der öffentlichen Hand, Einleitung, S. 28. 209 Zdzieblo, in: Daub/Eberstein, VOL/A Kommentar, § 9 Rz. 24.
Bischof
841
314
D Rz. 315
Vergabe von IT-Leistungen
zuschließen. In der neuen VgV ist jedoch ein konkreter Hinweis auf die EVB-IT zur Ausgestaltung der in § 29 Abs. Abs. 1 Nr. 3 VgV nicht enthalten. 315 Da sich ein Bieter auf die vorgegebenen Vertragsbedingungen einlassen muss und oftmals auch keine Verhandlungsmöglichkeiten bestehen (es sei denn, es wird ein Verhandlungsverfahren oder ein wettbewerblicher Dialog durchgeführt), kann in fehlerhaften Vertragsbedingungen eine Rechtsbeeinträchtigung der Bieter liegen. Hierunter werden Vergaben fallen, in denen sich aus den Vertragsbedingungen die Aufbürdung eines ungewöhnlichen Wagnisses ergibt,210 auch wenn dieses nun nicht mehr in den vergaberechtlichen Bestimmungen verankert ist. Aus diesem Grund wird es sich bei § 9 VOL/A, § 11 EG VOL/A a.F. um drittschützende Vergabevorschriften handeln, deren Verletzung von Bietern zum Gegenstand eines Nachprüfungsverfahrens gemacht werden kann. Die VK Münster211 lässt zwar die Überprüfung der ordnungsgemäßen Anwendung der Vorschriften der VOL/A zu, nicht jedoch die Prüfung des Inhalts des Vertrags nach Zuschlagserteilung. 316 Die KBSt-Empfehlung Nr. 1/2000212 bringt zum Ausdruck, dass von den EVB-IT/BVB abgewichen bzw. auf diese verzichtet werden kann, wenn eine der folgenden Voraussetzungen vorliegt: – Es kommt aus besonderen Gründen nur ein Unternehmen in Betracht und dieses ist nicht bereit, die EVB-IT als Vertragsgrundlage anzuerkennen; – die Beschaffung wäre infolge der Anwendung der EVB-IT insgesamt unwirtschaftlich. 317 Nach Müller-Hengstenberg213 sind Änderungen der BVB/EVB-IT grds. möglich, allerdings nur, wenn diese in § 97 GWB i.V.m. VgV oder den Vertragsmustern selbst zugelassen bzw. sachlich gerechtfertigt sind. Hierzu muss jedoch eine Begründung gegeben werden, da BVB/ EVB-IT als in aller Regel „ausgewogene Bedingungswerke“ gelten sollen.214 Ob diese Ausgewogenheit generell angenommen werden kann, darf aber auch bezweifelt werden, da die BVB/EVB-IT letztlich auch das Ergebnis von Verhandlungen zwischen öffentlicher Hand und Privatwirtschaft sind (auch wenn BVB/EVB-IT oftmals als „Musterwerke“ auch im Privatbereich herangezogen werden)215. 318 Für einige moderne IT-Leistungen wie Outsourcing, Cloud und Software as a Service sind zudem auch noch keine Muster verfügbar, weshalb teils die vorhandenen Muster umfangreich ergänzt verwandt oder aber hierfür eigene Vertragsentwürfe durch den jeweiligen öffentlichen Auftraggeber erstellt werden. 319 Es gibt also durchaus Anhaltspunkte für Ausnahmesituationen, bei denen eine Abweichung von bzw. auch ein vollständiger Verzicht auf die Einbeziehung der BVB/EVB-IT möglich ist. 8. Verhandlungen mit Bietern im Verhandlungsverfahren 320 Das bei offenem und nicht offenem Verfahren geltende Verhandlungsverbot (§§ 15 Abs. 5, 16 Abs. 9 VgV) ist beim Verhandlungsverfahren nicht anwendbar. Daher kann der öffentliche Auftraggeber mit den Bietern nach erster Prüfung der Angebote in die Verhandlung insb. hinsichtlich der angebotenen Leistung, des angebotenen Preises, ggf. auch der Vertragsbedingun-
210 211 212 213
VK Düsseldorf, Beschl. v. 24.1.2001 – VK 31/2000 B. VK Münster, Beschl. v. 17.11.2005 – VK 21/05. Bek. d. BMI v. 10.12.2000 – O6 – 195 403/1, S. 3. Müller-Hengstenberg, Vertragsbedingungen für Softwareverträge der öffentlichen Hand, Einleitung, S. 28. 214 So Daub-Meierrose, § 11 (7) a; Müller-Hengstenberg, CR 2006, 426. 215 S. Lensdorf, CR 2008, 1.
842
Bischof
Vergabeverfahren nach VgV
Rz. 325
D
gen eintreten. Lediglich über Mindestanforderungen und Zuschlagskriterien darf nicht verhandelt werden (vgl. § 17 Abs. 10 VgV). Falls ein Nachweis der Leistungen von den Bietern verlangt wird („Proof of Solution“) kann 321 es sinnvoll sein, zunächst hiermit zu beginnen und erst im Anschluss weiter über Leistungen, Preis und Vertragsgestaltung zu verhandeln. Ggf. kann es aber auch sinnvoll sein, z.B. Teststellungen nur von dem Bieter, der nach den Verhandlungen laut Zuschlagskriterien für die Zuschlagserteilung in Betracht kommt, zu verlangen. Denn sowohl ein „Proof of Solution“ als auch Teststellungen und Ähnliches sind nicht selten mit erheblichem, auch finanziellem Aufwand für die Bieter verbunden. Diesen darf ohne nachvollziehbare Gründe daher nicht ohne weiteres ein solcher Aufwand aufgebürdet werden („keine ungewöhnlichen Wagnisse“).216 Für solche Verhandlungen muss der Auftraggeber im Hinblick auf eine bestehende Zuschlagsfrist bereits bei Planung des Verhandlungsverfahrens entsprechende Zeit einkalkulieren, insb. wenn mehrere Bieter für die Verhandlungen in Betracht kommen und ggf. auch mehrere Verhandlungsrunden erforderlich sind. Auch kann das Verhandlungsverfahren in verschiedenen Phasen abgewickelt werden, um die Zahl der zu verhandelnden Angebote zu verringern anhand vorgegebener Zuschlagskriterien (vgl. § 17 Abs. 12 VgV). Dieses Vorgehen ist vorher bekannt zu geben. Es sind grds. verschiedene Verhandlungsmodelle217 denkbar:
322
– Es kann sich anbieten, mit allen Bietern zu verhandeln und abschließend deren letzte vergleichbaren Angebote zur endgültigen Wertung anzufordern („Last Call-Verfahren“). – Denkbar ist es auch, nur mit dem bevorzugten Bieter („bester Bieter“ bei Anwendung der Zuschlagskriterien) zu verhandeln („Preferred Bidder-Verfahren“), und nur bei Scheitern der Verhandlungen mit dem nächstplazierten Bieter Verhandlungen aufzunehmen. Das „Preferred Bidder Verfahren“ war bereits nach altem Recht nicht mehr zulässig, da bereits Art. 44 Abs. 4 VKR vorschrieb, dass in der Schlussphase noch so viele Angebote vorliegen müssen, dass ein echter Wettbewerb gewährleistet ist, natürlich sofern eine ausreichende Anzahl von Lösungen oder geeigneten Bewerbern vorliegt.218
323
Gleiches ist im Wortlaut des § 17 Abs. 12 Satz 2 VgV zu entnehmen:
324
„(12) Sofern der öffentliche Auftraggeber in der Auftragsbekanntmachung oder in den Vergabeunterlagen darauf hingewiesen hat, kann er die Verhandlungen in verschiedenen aufeinanderfolgenden Phasen abwickeln, um so die Zahl der Angebote, über die verhandelt wird, anhand der vorgegebenen Zuschlagskriterien zu verringern. In der Schlussphase des Verfahrens müssen noch so viele Angebote vorliegen, dass der Wettbewerb gewährleistet ist, sofern ursprünglich eine ausreichende Anzahl von Angeboten oder geeigneten Bietern vorhanden war.
Der Auftraggeber muss unabhängig vom angewandten Weg bei seinen Verhandlungen die Vergabegrundsätze, insb. Transparenz und Gleichbehandlung, wahren;219 ein wechselseitiges Ausspielen der Bieter durch Preisverhandlungen, um den Preis so weit wie möglich nach un-
216 Zwar ist das bislang in § 8 Nr. 1 Abs. 3 VOL/A „alt“ enthaltene Gebot in der aktuellen VOL/A nicht mehr erhalten. Daraus kann wohl nicht geschlossen werden, dass diese Anforderung dadurch völlig entfallen ist, v. a. die Entscheidung der 1. und 3. VK des Bundes von der mittelbaren Fortgeltung ausgehen (so v. a. 3. VK Bund, Beschl. v. 1.2.2011 – VK 3–126/10 und VK 3 –135/10 sowie 1. VK Bund, Beschl. v. 24.5.2011 – VK 1–45/11 und VK 1–48/11). 217 S.a. zur Abgabe indikativer Angebote und deren Ausschluss bei Nichterfüllung von Mindestanforderungen des Leistungsverzeichnisses: VK BW, Beschl. v. 23.4.2013 – 1 VK 09/13. 218 S. hierzu Kaelble/Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 3 EG Rz. 235 ff. 219 S. hierzu Kaelble/Müller-Wrede, in: Müller-Wrede VOL/A Kommentar, 4. Aufl. 2014, § 3 EG Rz. 217 ff.
Bischof
843
325
D Rz. 326
Vergabe von IT-Leistungen
ten zu drücken, darf jedoch nicht stattfinden.220 Die jeweiligen Verhandlungsergebnisse sind nachvollziehbar zu dokumentieren. 9. Zuschlagskriterien 326 Gemäß § 127 Abs. 1 Satz 1 GWB ist der Zuschlag auf das wirtschaftlichste Angebot zu erteilen. Dies ist nicht gleichbedeutend mit dem preisgünstigsten Angebot, sondern gemeint ist vielmehr das Angebot mit dem besten Preis-/Leistungsverhältnis, § 127 Abs. 1 Satz 2 GWB. Zu dessen Ermittlung können neben dem Preis oder den Kosten auch qualitative, umweltbezogene oder soziale Aspekte berücksichtigt werden, § 127 Abs. 1 Satz 3 GWB. 327 Zuschlagskriterien sind somit die entscheidenden Wertungsmerkmale für die Ermittlung des wirtschaftlichsten Angebots und demnach für die Erteilung des Zuschlags. § 127 Abs. 3 GWB fordert, dass die Zuschlagskriterien mit dem Auftragsgegenstand in Verbindung stehen müssen und beschreibt, unter welchen Umständen dies auch angenommen werden kann. Sie müssen gemäß § 127 Abs. 4 GWB so festgelegt und bestimmt sein, dass die Möglichkeit eines wirksamen Wettbewerbs gewährleistet wird, der Zuschlag nicht willkürlich erteilt werden kann und eine wirksame Überprüfung möglich ist, ob und inwieweit die Angebote die Zuschlagskriterien erfüllen. § 127 Abs. 5 GWB sieht vor, dass die Zuschlagskriterien und deren Gewichtung entweder in den Vergabeunterlangen oder in der Vergabebekanntmachung zu nennen sind. Gleiches gilt für den nationalen Bereich gemäß § 8 Abs. 1 lit. b VOL/A, jedoch ohne ausdrückliche Erwähnung der Gewichtung. 328 Der Auftraggeber muss dabei einerseits die Wertungskriterien möglichst genau festlegen, um die Chancengleichheit zu gewährleisten, andererseits möchte er einen größtmöglichen Wertungsspielraum bewahren. 329 Was die Gewichtung bzw. die Bedeutung der Kriterien anbelangt, schreibt § 127 Abs. 5 GWB die Bekanntgabe in der Vergabebekanntmachung oder den Vergabeunterlagen vor. Dies war lange Zeit nicht geregelt und somit Gegenstand zahlreicher E. (bis zum EuGH). 330 Der Auftraggeber ist bei Festlegung der Zuschlagskriterien nicht völlig frei, sondern hat bestimmte Grenzen des Vergaberechts zu beachten. Europäische Vorgaben sehen übereinstimmend vor, dass lediglich zwei Maßstäbe für die Vergabeentscheidung relevant sein können: der niedrigste Preis und das wirtschaftlichste Angebot.221 Letzterer wird auf Grundlage des besten Preis-Leistungs-Verhältnisses ermittelt, § 58 Abs. 2 VGV. Dennoch kann entsprechend der unmittelbar anzuwendenden EU-Richtlinien auch der Preis als alleiniges Zuschlagskriterium aufgestellt werden (v.a. dann, wenn sich keine anderen sinnvollen Kriterien finden lassen).222 331 Für die Festlegung der Zuschlagskriterien sind jeweils die Umstände des Vergabefalles maßgeblich, aus denen sich ergibt, welche Anforderungen an die Lieferung oder Leistungen gestellt werden,223 was letztlich eine fachliche Beurteilung darstellt. Unter Berücksichtigung der europäischen Vorgaben darf es sich nur um ausschließlich auftragsbezogene Kriterien handeln, so auch § 127 Abs. 3 GWB.
220 S. Kaelble/Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 3 EG Rz. 219 mit weiteren Beispielen. 221 S. vgl. von Baum, in: Müller-Wrede, VOL/A Kommentar, § 9 a Rz. 8. 222 S. Conrad/Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 21 EG Rz. 6 f. 223 S. Zdzieblo, in: Daub/Eberstein, VOL/A Kommentar, § 9 a Rz. 7.
844
Bischof
Vergabeverfahren nach VgV
Rz. 336
D
Neben Preis oder Kosten können auch qualitative, umweltbezogene oder soziale Zuschlags- 332 kriterien224 berücksichtigt werden, § 58 Abs. 2 VgV. Hierzu gehöre insb.: 1. die Qualität, einschließlich des technischen Werts, Ästhetik, Zweckmäßigkeit, Zugänglichkeit der Leistung insb. für Menschen mit Behinderungen, ihrer Übereinstimmung mit Anforderungen des „Designs für Alle“, soziale, umweltbezogene und innovative Eigenschaften sowie Vertriebs- und Handelsbedingungen, 2. die Organisation, Qualifikation und Erfahrung des mit der Ausführung des Auftrags betrauten Personals, wenn die Qualität des eingesetzten Personals erheblichen Einfluss auf das Niveau der Auftragsausführung haben kann, oder 3. die Verfügbarkeit von Kundendienst und technischer Hilfe sowie Lieferbedingungen wie Liefertermin, Lieferverfahren sowie Liefer- oder Ausführungsfristen. § 58 Abs. 2 Nr. 2 VgV gestattet nun, dass die Eignung des Personals (was früher nur als Eignungkriterium berücksichtigt werden konnte), als Zuschlagskriterium vorgesehen werden kann, wenn gerade die Eingung des Personals für den Erfolg der Auftragsausführung maßgeblich ist. Dies ist insb. im IT-Bereich vielfach von besonderem Interesse: So sehen gerade u.a. EVB-IT System Schlüsselpositionen für Mitarbeiter vor, sodass deren Eignung als wesentlich anzusehen ist. Oftmals wurde und wird vertreten, dass dennoch der Preis das wesentliche Merkmal sein 333 solle (zu berücksichtigen mit einem Prozentsatz von 95 % im Verhältnis zu allen anderen Kriterien). Allerdings mehren sich seit langem Stimmen,225 dass dieser Prozentsatz zu hoch gegriffen sei. Das OLG Dresden vertritt die Auffassung, der Preis muss zu 30 % gewichtet sein (leider ohne Angabe von Gründen).226 Einen verbindlichen Prozentsatz des „richtigen“ Verhältnisses der Kriterien gibt es allerdings nicht. Klar ist jedoch, dass sich auch der Preis in den Bewertungskriterien wiederfinden muss, und dies nicht nur am Rande, sondern in einem angemessenen Verhältnis zu den weiteren Bewertungskriterien.227 Von wesentlicher Bedeutung ist, dass diese Zuschlagskriterien klar von den sogenannten 334 Eignungskriterien (§§ 122 bis 124 GWB) abzugrenzen sind.228 Die Reihenfolge der Kriterien gibt Auskunft über ihre Gewichtung, d. h. welche Wertungsmerkmale vorrangig vor anderen zu beachten sind und bei der Ermittlung des wirtschaftlichsten Angebots den Ausschlag geben. Die Gewichtung ist auftragsbezogen zu ermitteln und festzulegen. Die Reihenfolge der den Kriterien zuerkannten Bedeutung ist ausdrücklich als solche zu bezeichnen, um sie vom Fall einer bloßen Aufzählung abzugrenzen.229 Ist eine Gewichtung aus objektiven Gründen nicht möglich, so erfolgt die Angabe der Zuschlagskriterien in absteigender Reihenfolge, § 58 Abs. 3 GWB.230
335
Gängige Praxis dürfte zwischenzeitlich die Erstellung einer Bewertungsmatrix231 sein, in der die Unterkriterien entsprechend einer vorher festgelegten Gewichtung aufgeführt werden. Diese orientiert sich an den benannten Kriterien, ihrer Gewichtung und dem Zielerfüllungsgrad (ggf. in Form einer Benotung nach Schul- oder mittels Punktesystem).
336
224 225 226 227 228 229 230 231
Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 1879 ff. So bereits: Noch, in: Müller-Wrede, VOL/A Kommentar, § 25 Rz. 84. OLG Dresden, Beschl. v. 5.1.2001 – Vreg 0011/00 und 0012/00. Horn, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 265 m.w.N. S. u.a. VK Südbayern, Beschl. v. 1.4.2014 – Z3-3-3194-1-03-02/14. S. Zdzieblo, in: Daub/Eberstein, VOL/A Kommentar, § 9 a Rz. 8. S.a. Gnittke/Hattig, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 9 EG VOL/A, Rz. 50 ff. S. zu Bewertungsmatrices Noch, Vergaberecht kompakt 7. Aufl. 2016, Rz. 1870 ff. Der Bewertungsmatrix dürfen nur eindeutige Begriffe zugrunde liegen: OLG Bremen, Beschl. v. 13.11.2003 – Verg 8/2003, BauRB 2004, 163.
Bischof
845
D Rz. 337
Vergabe von IT-Leistungen
337 Der EuGH hat in einer Bausache die Veröffentlichung der Bewertungsmatrix gefordert.232 Die Rspr. geht davon aus, dass die Veröffentlichung zumindest erfolgen muss, wenn die Bewertungsmatrix vor Versand der Vergabeunterlagen bereits erstellt war.233 Wenn der Auftraggeber Zuschlagskriterien, Unterkriterien, Gewichtungsregeln oder Bewertungsmatrizen aufgestellt hat, so sind diese den Bietern vollständig offenzulegen.234 Ein Auftraggeber handelt vergaberechtswidrig, wenn er nachträglich Kriterien aufstellt und in die Gewichtung mit einbezieht, die er nicht – jedenfalls nicht mit der notwendigen Eindeutigkeit – bekannt gemacht hat.235 Durch die Regelung in § 58 Abs. 3 VgV steht die Verpflichtung, die Gewichtung der Zuschlagskriterien anzugeben, fest. Somit wird die Bewertungsmatrix immer dann zu erstellen und anzugeben sein, wenn sie zum Verständnis der Gewichtung erforderlich ist. Dann kann auch die Angabe einer Formel notwendig werden.236 An veröffentlichte Zuschlagskriterien ist der Auftraggeber gebunden. Sie dürfen weder inhaltlich erweitert noch verändert werden.237 338 Goodarzi238 stellt eine einfache Bewertungsmatrix wie folgt dar: Zuschlagskriterien
Gewichtung (%)
Preis
40 %
Ausbaufähigkeit des Systems
30 %
Anwenderfreundlichkeit
25 %
Lieferfrist
5%
Punktewertung: 1 = sehr gut 2 = gut 3 = befriedigend 4 = ausreichend 5 = mangelhaft
Bewertungsergebnis: Gewichtung × Punktewertung
Summe:
339 In die Bewertung eines Angebots können neben den in einer Bewertungsmatrix dargestellten Soll-Kriterien, die in die Punktewertung einfließen, zudem auch Muss-Kriterien einfließen. Diese Musskriterien stellen die Mindestbedingungen für das Angebot dar, deren Nichteinhaltung somit zwingend zum Ausschluss des Angebots führt.239 Eine Matrix unter Berücksichtigung von Muss- und Sollkriterien könnte vom Aufbau her wie folgt aussehen:
232 EuGH v. 12.12.2002 – C-470/99. 233 Vgl. EuGH v. 12.12.2002 – C-470/99, Slg. 2002, I – 11617 – Universale-Bau; OLG Düsseldorf, Beschl. v. 16.2.2005 – VII Verg 74/04 – VergabeR 2005, 364. So auch Gnittke/Hattig, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 9 EG VOL/A Rz. 34 ff. 234 OLG Düsseldorf, Beschl. v. 9.4.2014 – Verg 36/13. 235 S. OLG Karlsruhe, Beschl. v. 31.1.2014 – 15 Verg 10/13 (E-Vergabeplattform) bei Fehlen einer konkreten Vorgabe, zu welchem Zeitpunkt welcher Grad an Fertigstellung einer anzubietenden Software erwartet wird. 236 S. Gnittke/Hattig, in: Müller-Wrede, VOL/A-Kommentar, 2. Aufl. 2007, § 9 a Rz. 20 ff., 26 f. 237 S. Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 237 ff. (239); s.a. Rz. 242 ff. m.w.N. 238 Goodarzi, in: Lehmann/Meents, Kap. 24 Rz. 74. 239 „Muss-Kriterien“ werden daher auch vielfach nicht als Zuschlagskriterien angesehen, da sie nicht in die Bewertung als solches einfließen würden.
846
Bischof
Vergabeverfahren nach VgV
D
Rz. 340
Zuschlagskriterien: Muss- und Soll-Kriterien Bewertung
Referenz
Thema
1
Gegenstand des Vertrages, Leistungen des Auftragnehmers
1.1
System wird vorinstalliert geliefert Auslieferung komplett inkl. SW=10p; Auslieferung ohne zugelieferter SW-Anteile=5p; Auslieferung nur der angebotenen Komponenten=0p
1.7
Der Auftragnehmer wird die gelieferten Systeme für die Dauer von mindestens 10 Jahren instand halten bzw. zu pflegen gemäß Anlage X.
1.7
Dauer: 10 Jahre = 0 Punkte; >10 bis 15 Jahre = 5p; >15 Jahre = 10p
1.9
Der Auftragnehmer verpflichtet sich, für einen Zeitraum von mindestens 10 Jahren ab Erfüllung des letzten Einzelvertrages die Lieferung von funktional kompatiblen Ersatzteilen zu angemessenen Preisen und Bedingungen bzw. die Verfügbarkeit dieser Ersatzteile sicherzustellen.
1.9
Dauer: 10 Jahre = 0 Punkte; >10 bis 15 Jahre =5p; >15 Jahre = 10p
4
Zahlungsbedingungen
Muss-Kriterium (MK)
Vertragsbedingungen
x
x
Die Zahlungsbedingungen gemäß … Werden akzeptiert. Bewertung: 21 Tage 3% = 10p, darunter: (Tage * Skonto)/(21*3%)*10p abgerundet. 9
Gewichtung hoch = 10 mittel = 3 gering = 1 MK = 0
max. Ergebnis
3
30
0
x
10
100
0
x
10
100
10
100
0
x
10
100
Haftpflichtversicherung des Auftragnehmers Für Personen- und Sachschäden 1.000.000 Euro Für Vermögensschäden 200.000 Euro
x
Für Personen-und Sachschäden min. 2.500.000 Euro und für Vermögensschäden min. 500.000 Euro = 10p / Für Personen-und Sachschäden min 1.750.000 Euro und für Vermögensschäden min. 350.000 Euro = 5p 10
Nutzungsrechte, Quellcode Quellcode an AG übergeben = 10p
Es kann und sollte auf ein Punktesystem, Gewichtungen, Ermittlung von Abdeckungsgra- 340 den o.Ä. zurückgegriffen werden, wobei der Preis weiterhin als bedeutendes Wertungskrite-
Bischof
847
D Rz. 341
Vergabe von IT-Leistungen
rium anzuwenden ist (diesen völlig zu vernachlässigen, erscheint nicht vertretbar):240 Die Erstellung einer Bewertungsmatrix hat sich bewährt, in der die Unterkriterien entsprechend einer vorher festgelegten Gewichtung aufgeführt werden. Bei der Vergabe von Punkten für einzelne Unterkriterien hatte die Vergabestelle einen weiten Beurteilungsspielraum. Dieser ist nur dann rechtswidrig überschritten, wenn die Vergabestelle von unzutreffenden bzw. unvollständigen Tatsachen ausgegangen ist, sachwidrige Erwägungen angestellt hat oder sich nicht an den aufgestellten Beurteilungsmaßstab gehalten hat.241 Diesem weiten Beurteilungsspielraum hat die „Schulnotenrechtsprechung“ des OLG Düsseldorf jedoch eine Absage erteilt: Mit Entscheidung des OLG Düsseldorf vom 21.10.2015242 betonte das Gericht, dass der Transparenzgrundsatz erfordere, dass der Auftraggeber mitteilt, auf welche Gesichtspunkte es ihm bei der Bewertung v.a. ankommt. Wie so oft bei IT-Vergaben hat die Vergabestelle einen Kriterienkatalog mit Anforderungen erstellt und ein Punktesystem von 0-10 Punkten für jedes Kriterium (mit unterschiedlichen Gewichtungen) vorgesehen. Die Punktevergabe wurde anhand von Zielerfüllungsgraden festgemacht. Diese Gestaltung hatte der Senat für intransparent gehalten. Daraus folgt in aller Regel, dass die Unterkriterien und ggf. Unter-Unterkriterien bekannt zu machen sind. Aber auch wenn man sich daran hält, dabei aber das Punkteschema allg. gehalten und kein Punkteschema für das einzelne Unterkriterium vorgenommen hat, so ist dies für den Vergabesenat laut Entscheidung vom 16.12.2015243. Dies sah der Vergabesenat als ungenügend an. Diese „Schulnotenrechtsprechung“ des OLG Düsseldorf wurde jedoch vom EuGH244 nicht bestätigt: Die Bewertungsmethode müsse zwar grds. vor Öffnung der Angebote feststehen. Sie muss aber nicht veröffentlicht werden und darf (und soll) dem öffentlichen Auftraggeber den erforderlichen Spielraum bei der Bewertung der Angebote belassen. Eine Beschreibung des Erfüllungsgrad mit „hoch“, „ausreichend“ und „niedrig“ ist daher nicht zwingend zu beanstanden. Das OLG Düsseldorf245 hält jedoch weiter an seiner Auffassung fest, dass die Bewertungsmethode den Bietern spätestens in den Vergabeunterlagen bekannt gemacht werden muss und reine Schulnoten oder Punktesysteme als Bewertungsmethode nicht ausreichen. In der Praxis muss daher die Schulnotenrechtsprechung trotz zahlreicher Gegenargumente zur Risikominimierung regelmäßig weiterhin berücksichtigt werden.246 341 Diese Bewertungsmatrix ist den Bietern vollumfänglich bekannt zu geben. Sehr hilfreich bei Erstellung der Zuschlagskriterien sind die UfAB VI, die sich ausführlich mit Kriterienkatalog, Bewertungsmatrix und Bewertungsmethode auseinandersetzen.247 342 Für die spätere Wertung dürfen nur solche Kriterien herangezogen werden, die zuvor in der dargestellten Weise angegeben wurden. Nach der Bekanntgabe dürfen weder die Kriterien selbst noch ihre Gewichtung aufgehoben, geändert oder ergänzt werden. Auch bei Wertung der Angebote darf von ihnen nicht mehr abgewichen werden. Es müssen alle bekannt gegebenen Kriterien berücksichtigt werden.248
240 241 242 243 244 245 246
S. Ohle/Sebastiani, CR 2003, 510 (513 ff. m.w.N.). S. VK BW, Beschl. v. 14.10.2013 – 1 VK 33/13. OLG Düsseldorf, Beschl. v. 21.10.2015 – Verg 28/14. OLG Düsseldorf, Beschl. v. 16.12.2015, VII-Verg 25/15. EuGH, v. 14.7.2016 – C-6/15 – „TNS Dimarso“. OLG Düsseldorf, Beschl. v. 2.11.2016 – VII-Verg 25/16. Vgl. hierzu Neusüß, Vergabeblog.de v. 4.12.2016, Nr. 28130 mit Verweisen auf Ortner, Vergabeblog.de vom 22.2.2016, Nr. 24682 und Neusüß, Vergabeblog.de v. 21.8.2016, Nr. 27080. 247 UfAB VI zum Kriterienkatalog samt Gewichtung 4.17 und 4.18; zur Bewertungsmatrix 4.20, zu Bewertungsmethoden 4.21. 248 S. Zdzieblo, in: Daub/Eberstein, VOL/A Kommentar, § 9a Rz. 10.
848
Bischof
Vergabeverfahren nach VgV
D
Rz. 349
Weiter ist bei Festlegung der Kriterien zu beachten, dass diese
343
– transparent sein müssen und – ausländische Anbieter nicht diskriminieren dürfen. Die Vorschrift des § 58 VgV hat bieterschützenden Charakter und soll die Transparenz des Vergabeverfahrens und die Nachprüfbarkeit der Vergabeentscheidung gewährleisten sowie zur Objektivierung der Vergabeentscheidung beitragen. Dem Bieter soll zudem die Angebotserstellung und die Gewichtung einzelner Angebotsteile erleichtert werden.
344
10. Angebote 10.1 Erstellung der Angebote durch die Bieter Jeder Bieter kann nur davor gewarnt werden, in seinem Angebot Änderungen gegenüber den 345 vom Auftraggeber übermittelten Vergabeunterlagen vorzunehmen. § 57 Abs. 1 Nr. 4 VgV regelt ausdrücklich, dass ein Angebot auszuschließen ist, wenn der Bieter Änderungen und Ergänzungen an den Vergabeunterlagen vorgenommen hat. Gemeint ist damit jegliche Abweichung von den Vergabeunterlagen, also in Bezug auf Leistungsbeschreibung, vertragliche Gestaltung, Rahmenbedingungen u.Ä. Unzulässig sind Abweichungen von den Anforderungen aus den Vergabeunterlagen insb.:
346
– Aufnahme von Zusätzen; – Entfernung von Bestandteilen der Vergabeunterlagen; – Abweichung von den in den Vergabeunterlagen vorgegebenen Vertragsbedingungen: Insb. das Beifügen von AGB der Bieter stellt eine solche unzulässige Abweichung von den Vergabeunterlagen dar, die zwingend zum Ausschluss führt. Das Vergaberecht sieht gerade vor, dass der Bieter insoweit keine Spielräume bzw. solche 347 nur bei ausdrücklicher Zulassung durch den öffentlichen Auftraggeber hat. 10.2 Haupt- und Nebenangebote Unter Hauptangebot sind solche Angebote zu verstehen, mit denen der Bieter konkret die 348 Leistungsbeschreibung des Auftraggebers oder aber zumindest eine gleichwertige Leistung anbietet.249 Es sind mehrere Hauptangebote zulässig, aber nur, wenn sich diese nicht nur im Preis, sondern auch im Hinblick auf die angebotene Leistung unterschieden.250 Für Form und Übermittlung der Angebote ist § 53 VgV zu beachten. Nebenangebote sind solche, mit denen eine von der nach den Vergabeunterlagen des Auf- 349 traggebers abweichende Leistung in technischer, wirtschaftlicher oder rechtlicher Sicht angeboten wird. Es können also abweichende Lösungen oder Vertragsbedingungen angeboten werden. Allerdings sind solche nur dann zulässig, wenn der Auftraggeber Nebenangebote ausdrücklich zugelassen hat (§ 35 Abs. 1 VgV). Der Auftraggeber muss dies in der Bekanntmachung oder den Vergabeunterlagen angeben. Fehlt diese Angabe und gibt ein Bieter dennoch ein Nebenangebot ab, ist dieses auszuschließen (vgl. § 57 Abs. 1 Nr. 6 VgV). Bei EU-weiten Verfahren müssen Mindestanforderungen an ein Nebenangebot in der Bekanntmachung oder den Vergabeunterlagen festgelegt werden (§ 35 Abs. 2 Satz 1 VgV). Zuschlagskriterien sind gem. § 127 Abs. 4 GWB so festzulegen, dass sie sowohl auf Hauptangebote als auch auf Nebenangebote anwendbar sind (§ 35 Abs. 2 Satz 2 VgV).
249 VK Sachsen, Beschl. v. 22.9.2014 – 1/SVK/029-14. 250 OLG München, Beschl. v. 29.10.2013 – Verg 11/13.
Bischof
849
D Rz. 350
Vergabe von IT-Leistungen
350 Zu beachten ist, dass nach der Rspr. des BGH251 Nebenangebote i.d.R. dann nicht zulässig sind, wenn der Preis das einzige Zuschlagskriterium sei. Eine wettbewerbskonforme Wertung der Nebenangebote sei nicht gewährleistet, wenn es – bei vorgegebenen Mindestanforderungen – keine Regelungen zur Wertung des Nebenangebots im Verhältnis zur geforderten Leistungsbeschreibung gebe. 351 Nach OLG Düsseldorf252 genüge es, dass der Auftraggeber bestimmte Gleichwertigkeitsanforderungen aufstellt, wenn sie geeignet sind, die geforderte Vergleichbarkeit der Qualität von Haupt- und Nebenangebot herzustellen. Erfolgt die Wertung von Nebenangeboten dann auf Basis solcher Gleichwertigkeitsanforderungen oder anhand aussagekräftiger, einen Qualitätsvergleich ermöglichender Zuschlagskriterien, sei auch eine Wertung von Haupt- und Nebenangeboten ausschließlich anhand des Preises weder nach nationalem noch nach EURecht ausgeschlossen. 10.3 Öffnung und Aufbewahrung 352 Angebote, die auf dem Postwege oder direkt übermittelt beim Auftraggeber eingehen, sind ungeöffnet mit einem Eingangsvermerk zu versehen und bis zum Zeitpunkt der Öffnung unter Verschluss zu halten (§ 54 Satz 2 VgV). Ein Eingangsvermerk muss das Datum, die Uhrzeit und die Unterschrift des Ausstellers enthalten.253 Elektronische Angebote sind auf geeignete Weise zu kennzeichnen und verschlüsselt zu speichern, § 54 Satz 1 VgV. 353 Die Öffnung der Angebote, die ohne Bieter stattfindet (diese sind auch zur Angebotsöffnung nicht zugelassen), ist von mindestens 2 Vertretern der Vergabestelle gemeinsam durchzuführen und zu dokumentieren („4-Augen-Prinzip“), § 55 VgV. 354 Auch nach Abschluss des Vergabeverfahrens sind die Angebote, ihre Anlagen sowie die Dokumentation über die Angebotsöffnung sorgfältig zu verwahren und vertraulich zu behandeln (§ 5 Abs. 2 VgV). 10.4 Prüfung und Wertung 10.4.1 Grundsätze 355 Die neue VRL bzw. die neue VgV hält als wesentliche Neuerungen für die Angebotswertung gegenüber altem Recht u.a. folgendes bereit:254 – Freistellung der Prüfungsreihenfolge für die Bietereignung und Angebotswertung – Aufgabe der strikten Trennung von Eignungs- und Zuschlagskriterien – Primat des wirtschaftlich günstigsten Angebots (Preis-/Leistungsverhältnis und die Kostenwirtschaftlichkeit rücken in den Mittelpunkt der Zuschlagsentscheidung, mit dem Ziel v.a. Qualität und Nachhaltigkeit der Angebote zu verbessern). 356 Die VgV enthält demnach keine Regelung mehr, die als „Wertungspyramide“ angesehen werden kann, die in einer bestimmten Reihenfolge zu durchlaufen ist. In den Bestimmungen der §§ 56, 57 VgV fließen vielmehr nur Teile der bisherigen Regelungen des § 19 EG VOL/A zusammen. Die Lit.255 ging zu § 19 EG VOL/A a.F- einhellig davon aus, dass auch wenn die Regelung des § 19 EG VOL/A a-.F. die Wertungspyramide (auch nur noch) rudimentär durchscheinen ließ, die Angebotswertung in vier voneinander zu unterscheidenden Phasen abläuft: 251 BGH, Beschl. v. 7.1.2014 – X ZB 15/13. 252 OLG Düsseldorf, Beschl. v. 28.1.2015 – VII-Verg 31/14. 253 S. OLG Naumburg, Beschl. v. 27.5.2010 – 1 Verg 1/10; VK Sa.-Anh., Beschl. v. 26.1.2015 – 3 VK LSA 105/14. 254 S. zu den Details Soudry/Hettich, in: Soudry/Hettich, Das neue Vergaberecht, S. 61 ff. 255 Müller-Wrede/Horn, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 4.
850
Bischof
Vergabeverfahren nach VgV
D
Rz. 358
– Auf der ersten Stufe werden diejenigen Angebote ausgeschieden, die unter formalen oder inhaltlichen Mängeln leiden. – Auf der zweiten Stufe werden die Bieter im Hinblick auf ihre Eignung überprüft. – In der dritten Stufe werden Angebote ausgesondert, bei denen der Preis in offenbarem Missverhältnis zur Leistung steht. Auf der vierten Stufe wird das wirtschaftlichste Angebot (entsprechend der bekannt gegebenen Zuschlagskriterien ermittelt.
357
Grds. erscheint es nach wie vor sinnvoll, nach folgenden Prüfungs- und Wertungsschritten vorzugehen, wobei die Reihenfolge letztlich freigestellt ist: 1. Prüfung auf Vollständigkeit sowie auf rechnerische und fachliche Richtigkeit, § 56 VgV. 2. Ergibt sich, dass Erklärungen/Nachweise nicht vorliegen: ggf. Nachforderung mit zu bestimmender Nachfrist, § 56 Abs. 2 bis 5 VgV (in Bekanntmachung oder Vergabeunterlagen kann festgelegt werden, dass keine Nachforderung stattfinden wird). 3. Zwingender Ausschluss von folgenden Angeboten, § 57 Abs. 1 VgV: a) Angebote, die nicht form- oder fristgerecht eingegangen sind, es sei denn der Bieter hat dies nicht zu vertreten; b) Angebote, die nicht die geforderten oder nachgeforderten Unterlagen enthalten, c) Angebote, in denen Änderungen des Bieters an seinen Eintragungen nicht zweifelsfrei sind, d) Angebote, bei denen Änderungen oder Ergänzungen an den Vertragsunterlagen vorgenommen worden sind, e) Angebote, die nicht die erforderlichen Preisangaben enthalten, es sei denn, es handelt sich um unwesentliche Einzelpositionen, deren Einzelpreise den Gesamtpreis nicht verändern oder die Wertungsreichenfolge und den Wettbewerb nicht beeinträchtigen oder, f) nicht zugelassene Nebenangebote. 4. Zwingende Ausschlussgründe des § 123 GWB (Vorliegen der in § 123 Abs. 1 genannten Straftatbestände, Steuern/Abgaben/gesetzliche Sozialversicherung nicht gezahlt) 5. Fakultative Ausschlussgründe des § 124 GWB (wie z.B. nachweislicher Verstoß gegen geltende umwelt-, sozial- oder arbeitsrechtliche Verpflichtungen, Insolvenz, Liquidation, wettbewerbsbeschränkende Vereinbarungen; Interessenkonflikte/Projektantenproblematik; mangelfhafte Erfüllung mit der Folge Vertragsauflösung in der Vergangenheit, schwere Verfehlung, vorsätzliche unzutreffende Erklärungen über die Eignung), 5. Bei der Angebotsauswahl für den Zuschlag dürfen nur solche Bieter berücksichtigt werden, die die erforderliche Eignung besitzen, § 122 GWB i.V.m. §§ 42 ff. VgV (Eignungsprüfung; im nicht offenen Verfahren und Verhandlungsverfahren bereits i.R.d. Teilnahmewettbewerbs geprüft). 6. Aufklärung zu ungewöhnlich niedrigen Preisen; Zuschlag auf solche Angebote nicht zulässig, § 60 VgV. 7. Wertung der Angebote entsprechend der bekanntgegebenen Kriterien und deren Gewichtung, § 58 VgV. Einstweilen frei.
358
Bischof
851
D Rz. 359
Vergabe von IT-Leistungen
10.4.2 Zwingende Ausschlussgründe 359 Sowohl § 57 VgV als auch § 123 GWB sehen zwingende Ausschlussgründe vor. Dies heißt, dass der Auftraggeber bei Vorliegen einer der genannten Gründe keinen Entscheidungsspielraum hat: Ein solches Angebot ist zwingend auszuschließen.256 Die Ausschlussgründe sind zudem abschließend genannt. Auftraggeber dürfen daher keine eigenen Ausschlussgründe entwerfen. Eine enge Auslegung der Gründe ist aufgrund des Wettbewerbsverbots geboten, sodass eine erweiternde Auslegung oder entsprechende Anwendung auf gleich oder ähnlich gelagerte Fallgestaltungen nicht zulässig ist.257 360 Zu beachten ist bei bis zum Ablauf der Angebotsfrist fehlenden Erklärungen und Nachweisen, dass diese gem. § 56 Abs. 2 bis 5 VgV vom Auftraggeber unter einer zu bestimmenden Nachfrist nachgefordert werden können.258 Der Auftraggeber hat grds. sowohl ein Entscheidungsermessen („Ob“ der Nachforderung) als auch ein Auswahlermessen („Wie“ der Nachforderung). 361 Dieses Ermessen ist durch die Nachprüfungsorgane nur im Hinblick auf Ermessensfehler überprüfbar. Allerdings kann auch hier in Einzelfällen eine Ermessensreduktion auf null bestehen. So wird bei Fehlen von gleichen Nachweisen bei zwei Bietern, der Auftraggeber entweder beide Nachweise oder keinen nachfordern, nicht aber nur einen Bieter zur Nachreichung auffordern können.259 Allerdings gilt die Möglichkeit zur Nachforderung nicht für Preisangaben, es sei denn es handelt sich nur um „unwesentliche Einzelpositionen, deren Einzelpreise den Gesamtpreis nicht verändern oder die Wertungsreihenfolge und den Wettbewerb nicht beeinträchtigen.“.260 10.4.3 Fakultative Ausschlussgründe 362 Bei den Gründen des § 124 GWB hat der Auftraggeber dagegen einen Ermessensspielraum: Er kann ausschließen oder werten. Allerdings kann, falls mehrere der genannten Gründe vorliegen, aus Gründen der Gleichbehandlung auch hier das Ermessen im Einzelfall auf null reduziert sein, sodass ein Ausschluss des Bieters zu erfolgen hat.261 363 Der Ausschluss bei wettbewerbsbeschränkenden Abreden, die der Bieter in Bezug auf die vorliegende Vergabe geschlossen hat, stellt nunmehr einen fakultativen Ausschlussgrund dar (§ 124 Abs. 1 Nr. 4 GWB). Eine bloße Vermutung hierfür reicht jedoch nicht aus, auch wenn sich diese aus objektiven Umständen (so z.B. im Falle der Doppelbeteiligung von Unternehmen am Vergabeverfahren – so z.B. wenn ein Unternehmen als Subunternehmer von mehreren Bietern, die Angebote abgeben, auftritt), ergibt. Die Beweislast für das Vorliegen des Ausschlussgrundes trifft auch hier die Vergabestelle.262 364 Der Verstoß gegen das Gebot des Geheimwettbewerbs (als Ausfluss des Wettbewerbsgebots) wird wohl hierbei auch erfasst. Ein Geheimwettbewerb kann nur stattfinden, wenn sich jeder Bieter in Unkenntnis der konkurrierenden Angebote, Angebotsgrundlagen und -kalkulationen anderer Bieter um die ausgeschriebene Leistung bewirbt. In Rspr. und Lit. besteht hierüber Einigkeit. Offen ist jedoch die Frage, unter welchen Voraussetzungen eine Doppel-
256 257 258 259 260 261 262
852
S. Müller-Wrede/Horn, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 72 ff. Müller-Wrede/Horn, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 73. S. Völlink, VergabeR 2015, 355. S. Horn, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 51 ff. (53–58). S. Horn, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 60 ff. m.w.N. S. Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 162 ff. S. zur Doppelbeteiligung: Ehrig, VergabeR 2010, 11; zu Mehrfachbeteiligungen auf Nachunternehmerebene: Dirksen/Schellenberg, VergabeR 2010, 17.
Bischof
Vergabeverfahren nach VgV
Rz. 366
D
beteiligung einen solchen Verstoß darstellt. In aller Regel wird zwischen drei Fallgruppen263 unterschieden: (1) Bietergemeinschaft und Einzelbieter: Die gleichzeitige Beteiligung eines Unternehmens als Einzelbieter und als Mitglied einer Bietergemeinschaft führt nach allgemeiner Auffassung zwingend zum Ausschluss, da in einer Bietergemeinschaft die Abstimmung zu den Leistungsanteilen und Preisen zwingend für ein gemeinsames Angebot erforderlich ist und daher der Einzelbieter die Details des Angebots der Bietergemeinschaft kennt. (2) „Verdeckte Bietergemeinschaft“: In dieser Fallkonstellation geben Bieter zwar getrennt voneinander Angebote ab. Aus bestimmten „Verdachtsmomenten“ ergibt sich jedoch die gemeinsame Vorbereitung der Angebotsabgabe. Gerade familiäre und gesellschaftsrechtliche Verflechtungen stellen solche Anfangsverdachtsmomente dar, bei denen durch Hinzutreten weiterer Umstände (wie z.B. gleiche Adressen, gleiche Faxnummern, gleiche oder ähnliche Beteiligte; inhaltsgleiche Passagen im Angebot u.Ä.) ein Ausschluss begründbar sein kann.264 (3) Benennung eines anderen Bieters als Nachunternehmer: Allein die Tatsache dieser Benennung genügt für einen Ausschluss nicht. Allein die Kenntnis vom Angebot des anderen vermag eine Ausschließung zu begründen. Von dieser Kenntnis kann jedoch nicht zwingend ausgegangen werden, da v. a. wenn der Hauptunternehmer mehrere Nachunternehmerangebote einholt, letztlich unklar ist, welcher Nachunternehmer und auch mit welchen Preisen zum Zug kommt. Nachunternehmerangebot und letztlich abgegebenes Bieterangebot müssen nicht identisch sein. Kommen jedoch Begleitumstände hinzu (wie z.B. Art und Umfang des Nachunternehmereinsatzes), die eine Kenntnis des Konkurrenzangebots annehmen lassen, lässt sich ein Ausschluss rechtfertigen.265 10.4.4 Eignungsprüfung Gem. § 42 VgV soll der Auftraggeber die Bieter aussortieren können, von deren persönlicher 365 und fachlicher Eignung266 er nicht überzeugt ist. Gerade bei größeren und/oder komplizierten IT-Projekten spielen Gesichtspunkte der fachlichen Eignung wie die Erfahrung mit gleichwertigen Objekten, Verfügbarkeit bestimmter Verfahrenstechniken etc. eine herausragende Rolle. Hierbei ist allerdings stets auf den Verhältnismäßigkeitsgrundsatz zu achten. Referenznachweise in ausländischer Sprache dürfen nicht a priori negativ in eine Bewertung einfließen. Ggf. muss sich die Vergabestelle hier vom Bieter Ansprechpartner bzw. Dolmetscher benennen lassen.267 Dem Ermessen sind hier gewisse Grenzen gesetzt:
366
– Auf Spekulationen kann sich der Auftraggeber nicht berufen: Er darf sich nur auf gesicherte Erkenntnisse berufen. 263 Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 3. Aufl. 2010, § 19 EG Rz. 150 ff. m.w.N. Ähnlich auch in Müller-Wrede/Horn, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 150 ff. (Fallgruppen: aa) Kenntnis eines Konkurrenzangebots, bb) Bietergemeinschaften, cc) Parallelbeteiligungen durch Nachunternehmer, verbundene Unternehmen und bei Bietergemeinschaften). 264 So z.B. OLG Jena, Beschl. v. 19.4.2004 – 6 Verg 3/04, VergabeR 2004, 520; VK Hamburg, Beschl. v. 17.8.2005 – VgK FB 5/05, ibr-online; VK Bund, Beschl. v. 16.8.2006 – VK 2-74/06, www.bundes kartellamt.de; VK Düsseldorf, Beschl. v. 2.11.2004 – VK 31/04L; VK Rh.-Pf., Beschl. v. 27.5.2005 – VK 15/05; LSG Bln-Bdb., Beschl. v. 6.3.2009 – L 9 KR 72/09, VergabeR 2010, 120. 265 S. z.B. OLG Düsseldorf, Beschl. v. 13.4.2006 – VII Verg 10/06, NZBau 2006, 810; VK Hamburg, Beschl. v. 23.5.2008 – VK BSU 2/08. 266 In Verfahren mit Teilnahmewettbewerb ist die Eignungsprüfung bereits i.R.d. Teilnahmewettbewerbs abgeschlossen: Nur geeignete Bewerber werden überhaupt zur Angebotsabgabe aufgefordert. Eine Eignungsprüfung i.R.d. Wertung gem. § 19 EG VOL/A findet dann nicht mehr statt. S. zur Eignung unter Rz. 232 ff. 267 S. Noch, in: Müller-Wrede, VOL/A Kommentar, 2. Aufl. 2007, § 25 Rz. 207.
Bischof
853
D Rz. 367
Vergabe von IT-Leistungen
– Schlechte Erfahrungen der Vergangenheit dürfen zwar einfließen, aber nicht zu einer stereotypen Ablehnung führen (vgl. hierzu § 124 Abs. 1 Nr. 7 GWB). Es muss eine Einzelfallprüfung stattfinden. 367 Es liegt aber im recht weit anzusetzenden Ermessen der Vergabestelle, Newcomern268 eine Chance zu geben, d.h. auch solche Unternehmen zu berücksichtigen, die infolge einer erst kürzlich erfolgten Gründung keine Referenzliste bzw. keine Umsatzangaben ausweisen können. Solche Unternehmen seien nicht selten innovativer und in der Leistungsausführung besser. Das hierdurch ggf. erhöhte Risiko für den Auftraggeber wird von den Vergabeund Vertragsordnungen toleriert.269 368 Zu beachten ist, dass es nicht zulässig ist, Ranglisten der Eignung zu erstellen, um dann diese persönliche Wertung mit der späteren angebotsbezogenen Wertung nach § 58 VgV zu vermischen und womöglich einen vermeintlich „geeigneteren“ Bieter einem weniger geeignet erscheinenden vorzuziehen. Es gibt demnach nur gleich geeignete Bieter oder solche Bieter, die i.R.d. Eignungsprüfung ausgeschlossen werden. 10.4.5 Angemessenheit des Preises 369 Bevor der Auftraggeber zur abschließenden Wertung übergeht (Wirtschaftlichkeitsprüfung), muss eine Vorprüfung erfolgen, in deren Rahmen die Angemessenheit der Preise sowie das Preis-Leistungs-Verhältnis insgesamt im Mittelpunkt stehen. Hierbei geht es um besondere Auffälligkeiten bei den Preisen, um letztlich in der letzten Wertungsstufe nur noch mit wirklich seriös kalkulierten Angeboten zu arbeiten. Die Vergabestelle hat hier eine allgemeine Aufklärungspflicht.270 10.4.6 Wirtschaftlichstes Angebot 370 § 19 EG Abs. 8, 9 VOL/A bildete die vierte und letzte Wertungsstufe und damit die endgültige Auswahl und damit „Bezuschlagung“ des wirtschaftlichsten Angebots. Entscheidend sind hierfür die aufgestellten und den Bietern (inklusive Gewichtung) bekannt gegebenen Zuschlagskriterien (s. Rz. 326 ff.) Wie bereits oben dargestellt, erfolgt die Auftragsvergabe auf das Angebot mit dem besten Preis-Leistungsverhältnis (§ 127 GWB). Zu dessen Ermittlung können neben dem Preis oder den Kosten auch weitere Kriterien hinzukommen, wie qualitative, umweltbezogene oder soziale Aspekte (§ 127 Abs. 1 Sätze 2, 3 GWB). 371 Bereits das Transparenzgebot verlangt (s. Rz. 60 ff.), dass die Kriterien in den Vergabeunterlagen zu nennen sind. 372 Es wurde die Meinung vertreten, dass die Gewichtung der Unterkriterien ggf. auch weiterhin offen gehalten werden kann, falls eine sorgfältige Dokumentation angefertigt und dort begründet wird, aus welchen sachlichen, also leistungsbezogenen, Gesichtspunkten heraus eine bestimmte Gewichtung am angemessesten erschien und weshalb es erforderlich war, sich intern erst zu einem recht späten Zeitpunkt auf die gewählte Gewichtung festzulegen.271 Dies war allerdings schon immer ein (zu) gefährlicher Weg, da es Bietern relativ leicht gemacht wird, dem Auftraggeber Manipulation zu unterstellen. Mit § 127 Abs. 5 GWB ist klargestellt, dass die Zuschlagskriterien und deren Gewichtung in der Auftragsbekanntmachung oder den Vergabeunterlagen aufgeführt werden müssen. 268 S. Terwiesche, VergabeR 2009, 26. S. auch Schwabe, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 15 EG Rz. 59 m.w.N. 269 S.a Lux, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 2 EG Rz. 28; Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 7 EG Rz. 36, 50 jeweils m.w.N. 270 S. Müller-Wrede/Horn, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 19 EG Rz. 201 ff., 211 ff. 271 So noch: Noch, in: Müller-Wrede, VOL/A Kommentar, § 25 Rz. 91.
854
Bischof
Vergabeverfahren nach VgV
Rz. 376
D
11. Zuschlag und Informations- und Wartepflicht, Veröffentlichung Mit Abschluss der Prüfung und Wertung gemäß § 56 ff. VgV hat der öffentliche Auftraggeber letztlich das wirtschaftlichste Angebot ermittelt und seine Vergabeentscheidung getroffen. Dem so ausgewählten Bieter wird der öffentliche Auftraggeber sodann den Zuschlag i.S.d. § 127 GWB i.V.m. § 58 VgV erteilen. Der Zuschlag erfolgt in Schriftform, elektronischer Form oder mittels Telekopie.
373
Vor Zuschlagserteilung muss der öffentliche Auftraggeber die unterlegenen Bieter gem. 374 § 134 GWB informieren (informations- und Wartepflicht).272 Die Nichtbeachtung des § 134 GWB führt nicht mehr zur Nichtigkeit, sondern zunächst gem. § 135 GWB zur schwebenden Unwirksamkeit, solange der Verstoß in einem Nachprüfungsverfahren innerhalb der Fristen des § 135 Abs. 2 GWB noch festgestellt werden kann. Erst wenn diese Fristen ereignislos abgelaufen sind, wird ein Auftrag von Anfang an wirksam. Zudem sieht § 62 Abs. 2 Nr. 2 VgV vor, dass die Bieter unverzüglich, spätestens innerhalb 375 von 15 Tagen nach Eingang eines entsprechenden Antrags in Textform, über die Gründe der Ablehnung, die Merkmale und Vorteile des erfolgreichen Angebots sowie den Namen des erfolgreichen Bieters informiert werden. Diese Regelung entspricht teilweise der gültigen Informations- und Wartepflicht des § 134 GWB, sodass sich GWB und VgV weiter angenähert haben. Aus § 134 GWB ergeben sich folgende inhaltlichen Anforderungen an die Vorabinformation: – Neben dem Namen des Bieters, der den Zuschlag erhalten soll, sind nun zudem anzugeben: – die Gründe der Nichtberücksichtigung der unterlegenen Bieter. (Dies stellt eine Anspannung der Pflichten der Vergabestelle dar, ermöglicht dem Bieter auf der anderen Seite eine umfassendere Information hinsichtlich des Nichterfolgs seines Angebots, was mehr Transparenz schafft und zudem auch leichter die Prüfung ermöglicht, ob die Entscheidung vom unterlegenen Bieter akzeptiert wird.) – den frühestmöglichen Zeitpunkt des Vertragsschlusses. Dieses genaue Datum musste der Bieter früher selbst ermitteln. Nun ist der Auftraggeber in der Pflicht, den Zeitpunkt im Informationsschreiben selbst anzugeben. – Der Kreis der zu Informierenden wird eindeutig klargestellt: – Bieter273 sind zu informieren. Diese gelten als betroffen, wenn sie noch nicht endgültig ausgeschlossen wurden. Der endgültige Ausschluss hat dann stattgefunden, wenn dieser dem betroffenen Bieter mitgeteilt wurde und entweder vor der Vergabekammer als rechtmäßig anerkannt wurde oder keinem Nachprüfungsverfahren mehr unterzogen werden kann. Lässt sich dies nicht mit Sicherheit feststellen, wird es sich empfehlen, schlicht alle am Verfahren beteiligten Bieter gem. § 134 GWB zu informieren. – Bewerber274 sind dann zu informieren, wenn ihnen noch keine Information über die Ablehnung ihrer Bewerbung zur Verfügung gestellt wurde, bevor die Mitteilung der Zuschlagsentscheidung an die betroffenen Bieter ergangen ist. Wer also im Teilnahmewettbewerb kein „Absageschreiben“ erhalten hat, muss gem. § 134 GWB vor Zuschlagserteilung informiert werden. 272 Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 435 ff. 273 Nochmals klarstellend: Die Auftragnehmer werden Bieter genannt, wenn sie zur Angebotsabgabe aufgefordert wurden und ein Angebot abgegeben haben. 274 Nochmals klarstellend: Bewerber sind Unternehmen, die noch kein Angebot abgegeben haben, aber einen Antrag im Teilnahmewettbewerb gestellt haben (z.B. in der dem Verhandlungsverfahren mit Vergabebekanntmachung der Angebotsphase vorgeschalteten „Bewerbungsphase“ = Teilnahmewettbewerb).
Bischof
855
376
D Rz. 377
Vergabe von IT-Leistungen
– Die Frist wird an die Vorgaben der Rechtsmittelrichtlinie 2007/66/EG angepasst und beträgt nun grds. 15 Kalendertage. – Die Frist verkürzt sich jedoch auf 10 Kalendertage, wenn die Information per Fax oder auf elektronischem Weg versandt wird. – Es wird klargestellt, dass die Frist mit dem Tag nach der Absendung der Information zu laufen beginnt und es auf den Zugang nicht ankommt. – Die Vergabestelle hat unverzüglich in Textform über die getroffene Entscheidung zu informieren. Es ist also klar, dass der Auftraggeber alsbald nach Entscheidungsfindung die Information nach § 134 GWB vorzunehmen hat. 377 Werden die Vorgaben des § 134 GWB nicht erfüllt, dann regelt § 135 GWB, dass der unter Verstoß gegen § 134 GWB geschlossene Vertrag schwebend unwirksam ist, wenn dieser Verstoß gegen § 134 GWB in einem Nachprüfungsverfahren festgestellt wurde.275 Für ein solches Nachprüfungsverfahren führt § 135 Abs. 2 GWB Fristen ein: Der Verstoß gegen § 134 GWB muss innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter oder Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, spätestens jedoch sechs Monate nach Vertragsschluss in einem Nachprüfungsverfahren geltend gemacht werden. Wird die Auftragsvergabe im EU-Amtsblatt öffentlich bekannt gemacht, dann endet die Frist 30 Kalendertage nach dieser Veröffentlichung der Auftragsvergabe. 378 Sind die genannten Fristen abgelaufen, ohne dass ein Nachprüfungsverfahren eingeleitet wurde, besteht Rechtssicherheit: Der Vertrag ist von Anfang an wirksam! Diese Rechtsfolgen des § 135 GWB gelten zudem nicht nur beim Verstoß gegen § 134 GWB, sondern auch bei den so genannten de-facto-Vergaben (s. Rz. 224 ff.) 379 Zu beachten ist jedoch noch die mit Vergaberechtsreform neu eingefügte Sonderregelung in § 135 Abs. 3 GWB: Gemäß § 135 Abs. 3 Satz 1 GWB tritt die Unwirksamkeit bei de-facto-Vergaben (i.S.d. § 135 Abs. 1 Nr. 2 GWB) nicht ein, wenn gem. § 135 Abs 3 folgende Voraussetzungen kumulativ vorliegen: 1. der öffentliche Auftraggeber ist der Ansicht, dass die Auftragsvergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zulässig ist, 2. der öffentliche Auftraggeber hat eine Bekanntmachung im Amtsblatt der Europäischen Union veröffentlicht, mit der die Absicht bekundet wird, den Vertrag abzuschließen, und 3. der Vertrag wurde nicht vor Ablauf einer Frist von mindestens zehn Kalendertagen, gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung, abgeschlossen. Die Bekanntmachung muss den Namen und die Kontaktdaten des öffentlichen Auftraggebers, die Beschreibung des Vertragsgegenstands, die Begründung der Entscheidung des Auftraggebers, den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zu vergeben, und den Namen und die Kontaktdaten des Unternehmens, das den Zuschlag erhalten soll, umfassen, § 135 Abs. 3 Satz 2 GWB. 380 Zu beachten ist zudem die Bekanntmachung über die Auftragserteilung innerhalb von 30 Tagen nach Vergabe gem. § 39 Abs. 1 VGV, wofür ebenfalls276 ein entsprechendes Formular der EU vorgesehen ist.
275 S. Noch, Vergaberecht kompakt 7. Aufl. 2016, Rz. 444 ff. 276 Wie für die Vergabebekanntmachung (s.a. Rz. 229).
856
Bischof
Vergabeverfahren nach VgV
Rz. 387
D
12. Aufhebung Sollte der Auftraggeber keine Zuschlagsentscheidung treffen wollen (oder können), so kann das einmal begonnene Vergabeverfahren durch eine Aufhebung277 beendet werden. Die bloße „Nichtzuschlagserteilung“ hingegen führt nicht zur Beendigung des Vergabeverfahrens.
381
Die Voraussetzungen einer solchen Aufhebung sind abschließend in § 63 VgV dargestellt, wonach die Aufhebung möglich ist, wenn:
382
– kein Angebot eingegangen ist, das den Bedingungen entspricht, d.h. alle eingereichten Angebote waren mangelhaft; – die Grundlage des Vergabeverfahrens sich wesentlich geändert hat, – das Vergabeverfahren kein wirtschaftliches Ergebnis gehabt hat,278 – andere schwerwiegende Gründe bestehen.279 Diese Gründe wiederum dürfen nicht aus der Sphäre des Auftraggebers (wie dies z.B. bei nicht vorhandenen oder wegfallenden Haushaltsmitteln der Fall wäre) stammen.280
383
Liegt einer der Aufhebungsgründe vor, so liegt es im Ermessen des Aufraggebers, das Verfah- 384 ren tatsächlich aufzuheben oder nicht. Es sind auf jeden Fall zunächst mildere Maßnahmen zu prüfen; die Aufhebung ist ultima ratio. Auch die Aufhebung kann Gegenstand einer Nachprüfung sein. Um eine Nachprüfung zu vermeiden, gehen zahlreiche Auftraggeber in der Praxis dazu über, sich bei fortbestehender Vergabeabsicht und Übergang in ein anderes/neues Vergabeverfahren (meist Verhandlungsverfahren) mit den vorhandenen Bietern eine Zustimmung der Bieter zur Aufhebung sowie zum weiteren Vorgehen einzuholen. Die Bieter sind in aller Regel dem nicht abgeneigt und stimmen zu, um weiter am Verfahren beteiligt zu sein.
385
Laut BGH281 (noch zu altem Recht) sei eine Aufhebung nicht nur dann wirksam, wenn sie 386 von § 17 oder § 20 EG Abs. 1 VOL/A (nun § 63 VgV) gedeckt und daher rechtmäßig sei. Vielmehr folge aus den Vergabe- und Vertragsordnungen nicht, dass ein öffentlicher Auftraggeber gezwungen wäre, ein Vergabeverfahren mit der Zuschlagsentscheidung abzuschließen, wenn keiner der zur Aufhebung berechtigenden Tatbestände erfüllt sei. Vielmehr könne auch dann vom Beschaffungsvorhaben Abstand genommen werden, wenn kein Aufhebungsgrund vorliegt. Bieter haben zwar einen Anspruch gemäß § 97 Abs. 6 GWB, dass der Auftraggeber die Bestimmungen über das Vergabeverfahren einhalte, nicht aber darauf, dass er auch den Zuschlag erteile. Eine rechtmäßige Aufhebung hat keine Schadensersatzansprüche zur Folge. Ist eine Aufhebung aber nicht durch Aufhebungsgründe gedeckt, so kann ein Bieter Feststellungsantrag stellen, dass er in seinen Rechten verletzt sei. Ein Schadensersatzanspruch sei dann auf die Erstattung des negativen Interesses beschränkt. Weitergehende Ansprüche kämen nur unter besonderen Umständen in Betracht.
277 S. Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 2155 ff. 278 Vgl. BGH v. 20.11.2012 – X ZR 108/10 (zur VOB/A), wonach sich nicht durch allgemeinverbindliche Werte nach Höhe oder Prozentsätzen bestimmen lasse, ob ein vertretbar geschätzter Auftragswert so deutlich überschritten sei, dass eine Aufhebung mangels wirtschaftlichem Ergebnis in Betracht kommt. Die Umstände des Einzelfalls sind in die Interessenabwägung mit einzubeziehen. 279 S. Lischka, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 20 EG Rz. 24 m.w.N. 280 S. BGH, Beschl. v. 20.3.2014 – X ZB 18/13. 281 BGH, Beschl. v. 20.3.2014 – X ZB 18/13.
Bischof
857
387
D Rz. 388
Vergabe von IT-Leistungen
VIII. Verwendung elektronischer Mittel zur Kommunikation, Vergabeverfahren, E-Vergabe 1. Elektronische Kommunikationsmittel 388 § 97 Abs. 5 GWB sieht vor, dass für das Senden, Empfangen, Weiterleiten und Speichern von Daten in einem Vergabeverfahren von Auftraggebern und Unternehmen grds. elektronische Mittel nach Maßgabe der aufgrund des § 113 GWB erlassenen Verordnungen verwenden, vorliegend also entsprechend VgV. 389 In der VgV sind die Regelungen zur Kommunikation in §§ 9 bis 13 enthalten. Elektronische Mittel sind demach grds. Geräte und Programme für die elektronische Datenübermittlung (§ 9 Abs. 1 VgV). Die entsprechenden Anforderungen ergeben sich aus § 10 VgV, wonach u.a. der öffentliche Auftraggeber das erforderliche Sicherheitsniveau für diese festlegt. Die elektronischen Mittel müssen u.a. gewährleisten, dass Uhrzeit und Tag eines Datenempfangs genau zu bestimmen sind, kein vorfristiger Zugriff auf die empfangenen Daten möglich ist, der Termin für den erstmaligen Zugriff auf empfangene Daten nur von Berechtigten festgelegt oder geändert werden darf, nur Berechtigte Zugriff auf empfangene Daten haben und nur Berechtigte nach dem festgesetzen Zeitpunkt Dritten Zugriff einräumen dürfen, empfangene Daten nicht an Unberechtigte übermittelt werden. Zudem muss sichergestellt werden, dass etwaige Verstöße auch festgestellt werden können (§ 10 Abs. 1 VgV) 390 § 11 VgV fordert, dass die elektronischen Mittel und deren technische Merkmale allg. verfügbar,282 nichtdiskriminierend und mit allg. verbreiteten Geräten und Programmen der IKT kompatibel sind. Der Zugang von Unternehmen zum Vergabeverfahren darf nicht eingeschränkt werden. Die Unversehrtheit, die Vertraulichkeit und die Echtheit der Daten muss gewährleistet werden. Den Unternehmen müsen folgende Infromationen zur Verfügung gestellt werden: 1. die in einem Vergabeverfahren verwendeten elektronischen Mittel, 2. die technischen Parameter zur Einreichung von Teilnahmeanträgen, Angeboten und Interessensbestätigungen mithilfe elektronischer Mittel und 3. verwendete Verschlüsselungs- und Zeiterfassungsverfahren. 2. Elektronische Beschaffungsarten 391 Die alten EU-Richtlinien boten zudem die Möglichkeit, die elektronische Vergabe über dynamische Beschaffungssysteme (vgl. Art. 1 Abs. 6, 33 VKR) und inverse elektronische Auktionen (vgl. Art. 1 Abs. 7, 54 VKR) zu verstärken. Eine Verpflichtung hierzu besteht jedoch nicht. – Ein „dynamisches Beschaffungssystem“ ist ein vollelektronisches Verfahren für Beschaffungen von marktüblichen Leistungen, bei denen die allg. auf dem Markt verfügbaren Merkmale den Anforderungen des öffentlichen Auftraggebers genügen. – Eine „elektronische Auktion“ ist ein iteratives Verfahren, bei dem mittels einer elektronischen Vorrichtung nach einer ersten vollständigen Bewertung der Angebote jeweils neue, nach unten korrigierte Preise und/oder neue, auf bestimmte Komponenten der Angebote abstellende Werte vorgelegt werden, und das eine automatische Klassifizierung dieser Angebote ermöglicht. Die elektronische Auktion ist also letztlich eine elektronische Methode zur Preisbildung, die i.R.d. bekannten und bewährten Vergabeverfahren durchgeführt werden kann.
282 § 12 VgV regelt, wann ausnahmsweise auch nicht allg. verfügbare (alternative) elektronische Mittel verlangt werden können.
858
Bischof
Verwendung elektronischer Mittel zur Kommunikation, Vergabeverfahren, E-Vergabe Rz. 394
D
Die Umsetzung von dynamischem Beschaffungssystem und inverser elektronischer Auk- 392 tion erfolgte zunächst nicht und wurde erst geprüft. Seit Vergaberechtsreform 2009 fanden sich die Instrumente in § 101 Abs. 6 GWB wieder. Nunmehr sind diese in § 120 GWB wie folgt beschrieben: a) zur elektronischen Auktion: „Eine elektronische Auktion ist ein sich schriftich wiederholendes elektronisches Verfahren zur Ermittlung des wirtschaftlichsten Angebots. Jeder elektronischen Auktion geht eine vollständige erste Bewertung aller Angebote voraus.“
Die Detaillierungen zur Durchführung einer elektronischen Auktion finden sich in §§ 25, 26 VgV. b) zum dynamischen elektronischen Verfahren (nun dynamisches Beschaffungssystem):283 „Ein dynamisches Beschaffungssystem ist ein zeitlich befristetes, ausschließlich elektronisches offenes Vergabeverfahren zur Beschaffung marktüblicher Leistungen, bei denen die allgemein auf dem Markt verfügbaren Merkmale den Anforderungen des Auftraggebers genügen.“
Die Detaillierungen zur Durchführung eines dynamischen Beschaffungssystems finden sich in §§ 22 bis 24 VgV. c) zum elektronischen Katalog: „Ein elektronischer Katalog ist ein auf der Grundlage der Leistungsbeschreibung erstelltes Verzeichnis der zu beschaffenden Liefer-, Bau- und Dienstleistungen in einem elektronischen Format. Er kann insbesondere beim Abschluss von Rahmenvereinbarungen eingesetzt werden und Abbildungen, Preisinformationen und Produktbeschreibungen umfassen.“
Die Detaillierungen zur Handhabung elektronischer Kataloge findet sich in § 27 VgV. Das dynamische elektronische Verfahren sollte in zwei streng voneinander zu unterschei- 393 dende Teilabschnitte gegliedert werden: – Erster Schritt: Einrichtung des elektronischen Kataloges – Zweiter Schritt (der während der Laufzeit mehrfach wiederholt wird): Vergabe konkreter Einzelaufträge (wobei der kostenlose Zugang während der gesamten Laufzeit allen geeigneten interessierten Unternehmen eröffnet ist und die Zahl nicht begrenzt werden darf, § 22 Abs. 4, 5 VgV). Die Regelungen der §§ 22–24 VgV sehen folgendes grundsätzliche Vorgehen bei der Durchführung eines solchen dynamischen elektronischen Verfahrens vor: a) Vergabebekanntmachung mit Hinweis auf die Durchführung des nicht offenen Verfahrens als dynamisches Beschaffungssystem; b) Bereithaltung und dauerhafte Bereitstellung (freier, unmittelbarer und uneingeschränkter Zugang) der Vergabeunterlagen mit den notwendigen technischen Hinweisen; c) Einreichung der Teilnahmeanträge, die bei Erfüllung der Teilnahmebedingungen (= Eignung) zur Angebotsabgabe aufgefordert werden; keine Frist für Teilnahmeanträge mehr, sobald Angebotsaufforderung versandt d) Prüfung der Teilnahmeanträge binnen 10 Tage, in begründeten Einzelfällen binnen 15 Arbeitstagen e) Information aller Unternehmen, ob sie zur Teilnahme zugelassen wurden oder nicht f) Frist für Angebote, mindestens 10 Tage g) Prüfung der vorläufigen Angebote
283 S. hierzu Knauff, VergabeR 2008, 615.
Bischof
859
394
D Rz. 395
Vergabe von IT-Leistungen
h) Vergabe von Einzelaufträgen nur nach gesondertem Aufruf zum Wettbewerb; i) Zuschlagserteilung entsprechend der aufgestellten Zuschlagskriterien (die bei Aufforderung zur Angebotsabgabe noch präzisiert werden können). 395 Sollte der öffentliche Auftraggeber auf die weitere Durchführung verzichten wollen, so muss er dies europaweit bekanntgeben (vgl. § 23 Abs. 2 Nr. 2 VgV). 3. Elektronische (E-)Vergabe 396 Die neuen EU-Vergaberichtlinien 2014 und ihre Umsetzung in deutsches nationales Recht verstärken die bisherigen Vorgaben zur elektronischen Auftragsvergabe weiter, da diese Teil der Strategie „Europa 2020“ sind, bei der die öffentliche Auftragsvergabe eine zentrale Rolle spielt. Von wesentlicher Bedeutung ist, dass die ausschließliche elektronische Kommunikation, d.h. eine Kommunikation durch elektronische Mittel in allen Verfahrensstufen, einschließlich der Übermittlung von Teilnahmeanträgen und der Übermittlung der Angeboten, künftig als verbindlich herausgestellt wird (vgl. u.a. Art. 22 VRL).284 Dies ergibt sich auch aus § 97 Abs. 5 GWB mit Verweis auf die einzelnen Verordnungen (u.a. VgV).285 Der Katalog zulässiger Ausnahmen ist sehr restriktiv gehalten. Die Anwendung der verpflichtenden eVergabe286 kann bis zum 18.10.2018 aufgeschoben werden, für zentrale Beschaffungsstellen bis zum 18.4.2017. 397 Seit 18.4.2016 sind jedoch zwingende folgende Vorgaben zu erfüllen: – Elektronische Übermittlung der Vergabebekanntmachung an das Amt für Veröffentlichungen der EU (§ 40 Abs. 1 VgV; Art. 51 Abs. 2, Art. 90 Abs. 1 und 2 VRL.) – Siehe Anhänge der Richtlinie mit den dortigen Vorgaben und Verweisen auf die Standardformulare und Verfahren auf SIMAP sowie § 37 Abs. 2 VgV – Neu ist im Hinblick auf die notwendige elektronische Verfügbarkeit der Vergabeunterlagen, dass folgende Angaben erfolgen müssen: Angabe der E-Mail/Internetadresse, über die die Auftragsunterlagen (unentgeltlich, uneingeschränkt, vollständig und unmittelbar abgerufen werden können); so auch Begründung zu § 97 Abs. 5 GWB: „Die Bekanntmachungen müssen zwingend eine Internetadresse enthalten, unter der sämtliche Vergabeunterlagen unentgeltlich, uneingeschränkt und vollständig direkt mithilfe von IKT abgerufen werden können, § 41 Abs. 1 VgV. Eine Ausnahme zur Übermittlung der Vergabeunterlagen ist nur in den in § 41 Abs. 2 VgV genannten Ausnahmefällen zulässig (wie z.B. verwendete Dateiformate zur Beschreibung der Angebote, die nicht mit allg. verfügbaren oder verbreiteten Gräten und Programmen der IKT kompatibel sind). – Letztlich aber ergeben sich hieraus keine Besonderheiten/Neuigkeiten in der Handhabung/dem Vorgehen gegenüber der bisherigen Vergabepraxis. Die elektronische Vergabebekanntmachung ist gängige Praxis, v.a. um die Fristverkürzungsmöglichkeiten zu erzielen. Wirklich neu ist nur die Verpflichtung an sich. – Grundsätzliche elektronische Verfügbarkeit der Auftragsunterlagen (d.h. u.a. Vergabeunterlagen, Bekanntmachung) vom Tag der Veröffentlichung an i.S.v. unentgeltlichem, uneingeschränktem und vollständigem und direkten Zugang anhand elektronischer Mittel (§ 41 VgV, Art. 53 Abs. 1, Art. 90 Abs. 1 und 2 VRL). Dies bedeutet, dass die Angabe eines Link zu einer Internetadresse (medienbruchfrei zu den Unterlagen!) erforderlich ist.
284 S. Wankmüller, in: Soudry/Hettich, Das neue Vergaberecht, S. 213 ff. zu sämtlichen Details. 285 S. ausführlich zur elektronischen Auftragsvergabe Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 561 ff. 286 S. Zielke, VergabeR 2015, 273.
860
Bischof
Rechtsschutz
Rz. 402
D
– Der diskutierten Alternative, dass nur eine E-Mail-Adresse zur Anforderung der Unterlagen anzugeben ist, wobei die Unterlagen dann entweder als Anlagen zu einer E-Mail oder durch Bekanntgabe eines Link in der E-Mail zu den Unterlagen zu versenden sind, hat die Gesetzebegründung zum neuen GWB eine klare Absage erteilt (S. 83): „Die Bekanntmachungen müssen zwingend eine Internetadresse enthalten, unter der sämtliche Vergabeunterlagen unentgeltlich, uneingeschränkt und vollständig direkt mithilfe von IKT abgerufen werden können“.
IX. Rechtsschutz 1. Historie Den Bietern standen nicht seit jeher Rechte gegenüber den öffentlichen Auftraggebern zur 398 Einhaltung der vergaberechtlichen Bestimmungen zu.287 Nach der Rechtslage vor 1993 war das Vergaberecht in Deutschland dem öffentlichen Haushaltsrecht zugeordnet. Anwendbare Normen waren zunächst Verwaltungsvorschriften, deren Aufgabe darin bestand, die korrekte und wirtschaftliche Verwendung öffentlicher Gelder zu sichern. Die Bieter sollten außerhalb des allgemeinen Kartellrechts keine Rechte haben, insb. sollte es keinen gerichtlichen Rechtsschutz geben. Der europäische Gesetzgeber befasste sich jedoch zunehmend mit dem Vergaberecht und erließ marktöffnende Richtlinien, die ab Erreichen gewisser Schwellenwerte das Vergabeverfahren regeln sollten. Diese wurden durch die Rechtsmittelrichtlinien begleitet. Die Umsetzung dieser Richtlinien erfolgte durch das 2. Gesetz zur Änderung des Haushaltsgrundsätzegesetzes (HGrG),288 zwei nachrangige Rechtsverordnungen, der Vergabeverordnung und der Nachprüfungsverordnung, wobei die Verordnungen auf die VOL/A, VOB/A und die VOF verwiesen.
399
Diese so genannte haushaltsrechtliche Lösung von 1993 führte zwar zur Änderung des 400 Nachprüfungsverfahrens, aber nicht in ausreichender Form. So wurden zwar Vergabeprüfstellen und Vergabeüberwachungsausschüsse als Nachprüfungsinstanzen geschaffen, die ab Erreichen des EG-relevanten Auftragsvolumens eine formalisierte Überprüfung der Verfahren ermöglichten. Es wurde jedoch ausdrücklich festgelegt, dass dem Bieter keine individuell einklagbaren Rechtsansprüche zustehen oder subjektive Rechte des Bieters entstehen sollten. Dies erwies sich nicht als europarechtskonform, sodass aufgrund des wachsenden Drucks schließlich das Vergaberechtsänderungsgesetz 1998 am 1.1.1999 in Kraft trat. Seitdem stehen den Bietern erstmals subjektive Rechte auf die Einhaltung der vergaberecht- 401 lichen Vorschriften durch den öffentlichen Auftraggeber sowie gerichtlicher Rechtsschutz zu. 2. Überblick Dem Bieter stehen zur Geltendmachung von Rechten289 im Vergabeverfahren nach geltendem Recht oberhalb der Schwellenwerte folgende Möglichkeiten zur Verfügung: – Anrufung der Rechts-, Fach- oder Dienstaufsicht; – Anrufung einer Vergabeprüfstelle; – Einleitung eines Nachprüfungsverfahrens vor den Vergabekammern; – Geltendmachung von Schadensersatzansprüchen vor den ordentlichen Gerichten. 287 S. zur Entwicklung u.a. Bechtold, GWB-Kommentar, 3. Aufl. 2011, Vor § 97 Rz. 1 ff., Immenga/Mestmäcker, GWB-Kommentar, 5. Aufl. 2014, Vor §§ 97 ff. Rz. 82 ff. 288 HGrG v. 26.11.1993, BGBl. I 1928. 289 S. zur Vergaberechtsreform 2009: Stoye/von Münchhausen, VergabeR 2008, 871.
Bischof
861
402
Rechtsschutz
Rz. 402
D
– Der diskutierten Alternative, dass nur eine E-Mail-Adresse zur Anforderung der Unterlagen anzugeben ist, wobei die Unterlagen dann entweder als Anlagen zu einer E-Mail oder durch Bekanntgabe eines Link in der E-Mail zu den Unterlagen zu versenden sind, hat die Gesetzebegründung zum neuen GWB eine klare Absage erteilt (S. 83): „Die Bekanntmachungen müssen zwingend eine Internetadresse enthalten, unter der sämtliche Vergabeunterlagen unentgeltlich, uneingeschränkt und vollständig direkt mithilfe von IKT abgerufen werden können“.
IX. Rechtsschutz 1. Historie Den Bietern standen nicht seit jeher Rechte gegenüber den öffentlichen Auftraggebern zur 398 Einhaltung der vergaberechtlichen Bestimmungen zu.287 Nach der Rechtslage vor 1993 war das Vergaberecht in Deutschland dem öffentlichen Haushaltsrecht zugeordnet. Anwendbare Normen waren zunächst Verwaltungsvorschriften, deren Aufgabe darin bestand, die korrekte und wirtschaftliche Verwendung öffentlicher Gelder zu sichern. Die Bieter sollten außerhalb des allgemeinen Kartellrechts keine Rechte haben, insb. sollte es keinen gerichtlichen Rechtsschutz geben. Der europäische Gesetzgeber befasste sich jedoch zunehmend mit dem Vergaberecht und erließ marktöffnende Richtlinien, die ab Erreichen gewisser Schwellenwerte das Vergabeverfahren regeln sollten. Diese wurden durch die Rechtsmittelrichtlinien begleitet. Die Umsetzung dieser Richtlinien erfolgte durch das 2. Gesetz zur Änderung des Haushaltsgrundsätzegesetzes (HGrG),288 zwei nachrangige Rechtsverordnungen, der Vergabeverordnung und der Nachprüfungsverordnung, wobei die Verordnungen auf die VOL/A, VOB/A und die VOF verwiesen.
399
Diese so genannte haushaltsrechtliche Lösung von 1993 führte zwar zur Änderung des 400 Nachprüfungsverfahrens, aber nicht in ausreichender Form. So wurden zwar Vergabeprüfstellen und Vergabeüberwachungsausschüsse als Nachprüfungsinstanzen geschaffen, die ab Erreichen des EG-relevanten Auftragsvolumens eine formalisierte Überprüfung der Verfahren ermöglichten. Es wurde jedoch ausdrücklich festgelegt, dass dem Bieter keine individuell einklagbaren Rechtsansprüche zustehen oder subjektive Rechte des Bieters entstehen sollten. Dies erwies sich nicht als europarechtskonform, sodass aufgrund des wachsenden Drucks schließlich das Vergaberechtsänderungsgesetz 1998 am 1.1.1999 in Kraft trat. Seitdem stehen den Bietern erstmals subjektive Rechte auf die Einhaltung der vergaberecht- 401 lichen Vorschriften durch den öffentlichen Auftraggeber sowie gerichtlicher Rechtsschutz zu. 2. Überblick Dem Bieter stehen zur Geltendmachung von Rechten289 im Vergabeverfahren nach geltendem Recht oberhalb der Schwellenwerte folgende Möglichkeiten zur Verfügung: – Anrufung der Rechts-, Fach- oder Dienstaufsicht; – Anrufung einer Vergabeprüfstelle; – Einleitung eines Nachprüfungsverfahrens vor den Vergabekammern; – Geltendmachung von Schadensersatzansprüchen vor den ordentlichen Gerichten. 287 S. zur Entwicklung u.a. Bechtold, GWB-Kommentar, 3. Aufl. 2011, Vor § 97 Rz. 1 ff., Immenga/Mestmäcker, GWB-Kommentar, 5. Aufl. 2014, Vor §§ 97 ff. Rz. 82 ff. 288 HGrG v. 26.11.1993, BGBl. I 1928. 289 S. zur Vergaberechtsreform 2009: Stoye/von Münchhausen, VergabeR 2008, 871.
Bischof
861
402
D Rz. 403
Vergabe von IT-Leistungen
403 § 102 GWB sieht ausdrücklich vor, dass die Prüfung durch Aufsichtsbehörden sowie daneben die Nachprüfung vor den Vergabekammern möglich ist. Es besteht hierbei keinerlei Rangfolge. Vergabekammern werden unabhängig davon tätig, ob vorher, zeitgleich oder danach auch Aufsichtsbehörden eingeschaltet werden. 404 Bis zur letzten Vergaberechtsreform war in §§ 102, 103 GWB ausdrücklich auch von so genannten Vergabeprüfstellen die Rede. Diese Regelungen sind zwar im GWB nun nicht mehr enthalten. Aus der Gesetzesbegründung ist jedoch ersichtlich, dass die grundsätzliche Prüfungsmöglichkeit durch evtl. eingerichtete Vergabeprüfstellen bestehen bleibt; die Notwendigkeit einer Regelung im GWB fehlte jedoch, da die Nachprüfung durch Vergabeprüfstellen kaum eine Rolle in der Praxis gespielt hat.290 405 Die Einrichtung einer Vergabeprüfstelle hat zweierlei Funktion. Zum einen soll sie einem Bieter, der sich gegen eine vermeintliche Rechtsverletzung durch die Vergabestelle wehren will, aber (noch) nicht ein kostenpflichtiges Nachprüfungsverfahren einleiten möchte, eine „formlose und in der Regel kostenlose“ Überprüfung und Beratung durch eine der Vergabestelle vorgesetzte Stelle ermöglichen. Zum anderen verspricht sich der Gesetzgeber eine Entlastung der Vergabekammern und mittelbar auch der Vergabesenate. 406 Die Aufsichtsbehörden291 erfüllen die gleiche Funktion unter Beibehaltung sämtlicher ihnen zur Verfügung stehender Eingriffsmöglichkeiten.292 Die Vergabekammern sind für den Primärrechtsschutz zuständig, die ordentlichen Gerichte für den Sekundärrechtsschutz.293 3. Rechtsschutz unterhalb der Schwellenwerte 407 Die Vorschriften zum Nachprüfungsverfahren gem. §§ 160 ff. GWB gelten nicht für Vergaben unterhalb der Schwellenwerte, also Vergaben bei denen der Auftragswert unter (derzeit) 209.000 Euro (ohne USt.) liegt. Somit haben die Bieter bei unterschwelligen Vergaben294 eigentlich keine Möglichkeit, subjektive Rechte vor der Vergabekammer oder den Oberlandesgerichten (s. zum Nachprüfungsverfahren Rz. 413 ff.) geltend zu machen. Es fehlt somit an einer gerichtlichen Nachprüfungsmöglichkeit. 408 In Betracht kommen lediglich: – Beschwerde bei der Rechts- oder Fachaufsichtsbehörde der Vergabestelle – aber kein Anspruch auf Tätigwerden – Kartellrechtliche Verstöße gegen das Diskriminierungsverbot § 20 Abs. 1 oder 2 GWB (Zivilrechtsweg) – nur bei marktbeherrschender oder marktstarker Stellung der Vergabestelle – Verwaltungsrechtsweg bei Eingriffen öffentlich rechtlicher Natur – z.B. Ausschluss des Bieters in Form von Vergabesperren; gerade ein Handeln öffentlich-rechtlicher Natur wurde jedoch bislang von der h.M. i.d.R. abgelehnt. Ein wirklich effektiver Vergaberechtsschutz fehlte daher vollständig.
290 Auch die Anrufung einer ggf. eingerichteten Vergabeprüfstelle war keine Voraussetzung für die Einleitung eines Nachprüfungsverfahrens bei der Vergabekammer; vgl. Bechtold, GWB-Kommentar, 3. Aufl., § 102 Rz. 1, 2. 291 Dies sind diejenigen Stellen der Verwaltung, die gegenüber dem öffentlichen Auftraggeber die Fach-, Rechts- und Dienstaufsicht ausüben. 292 S. Immenga/Mestmäcker, GWB-Kommentar, 3. Aufl., § 102 Rz. 3, 4, 5 ff. 293 Für die Praxis sind Primär- und Sekundärrechtsschutz von wesentlicher Bedeutung, so dass nachfolgend ausschließlich hierauf abgestellt wird. Hinsichtlich der Aufsichtsbehörden sowie der Vergabeprüfstellen wird auf die einschlägige Lit. verwiesen. 294 Antweiler, VergabeR 2008, 352; Braun, VergabeR 2008, 360.
862
Bischof
Rechtsschutz
Rz. 412
D
Dem lange währenden Streit, ob unterhalb der Schwellenwerte der Verwaltungsrechtsweg 409 eröffnet ist oder nicht, kann mit E. des BVerwG v. 2.5.2007295 als geklärt betrachtet werden: Das BVerwG hat der ehemals vertretenen „Zwei-Stufen-Theorie“ im Vergaberecht eine klare Absage erteilt und damit entschieden, dass im Unterschwellenbereich keine Zuständigkeit der Verwaltungsgerichte gegeben ist. Vielmehr sind die Streitigkeiten insgesamt rein zivilrechtlicher Natur und damit der Zuständigkeit der Zivilgerichte zuzuordnen. Somit ist bereits das mit der Ausschreibung beginnende und mit dem Zuschlag endende Vergabeverfahren als einheitlicher Vorgang dem Privatrecht zuzuordnen.296 Rechtsschutz besteht insoweit durch die Beantragung einstweiliger Verfügungen vor den Zivilgerichten (meist gestützt auf „Verstoß gegen Willkürverbot“, Art. 3 Abs. 1 GG),297 die jedoch überwiegend dem Bieter nicht zum gewünschten Erfolg verhelfen. Der Rechtsschutz unterhalb der Schwellenwerte hatte dann eine Stärkung durch die E. des 410 OLG Düsseldorf298 erfahren, die einen kreativen Lösungsweg verfolgt. Unterlassungsansprüche (gem. §§ 241 Abs. 2, 311 Abs. 2 BGB) des unterlegenen Bieters kämen danach in Betracht, wenn der Auftraggeber gegen Regeln verstoße, die er bei der Auftragsvergabe versprochen habe einzuhalten, und dies die Chancen des Bieters beeinträchtigen könne. Auf eine willkürliche Abweichung des Auftraggebers käme es nicht an. In der Gesetzesbegründung (Ziff. 7) zur Vergaberechtsreform 2009 wurde dargestellt, dass es auch weiterhin keinen spezifischen Primärrechtsschutz für Unterschwellenvergaben geben werde:
411
„Es wird an der Entscheidung festgehalten, für die Vergabe von Aufträgen unterhalb der EG-Schwellenwerte keinen spezifischen Primärrechtsschutz zur Verfügung zu stellen. […] Für Aufträge unterhalb der Schwellenwerte bestehen keine dem Recht aus § 97 Abs. 7 GWB entsprechenden Ansprüche. Die Vergaberegeln bleiben in diesem Bereich im Haushaltsrecht verankert, das den Staat als Auftraggeber verpflichtet, mit Haushaltsmitteln wirtschaftlich und sparsam umzugehen. […] Unternehmen haben in diesem Zshg. lediglich einen Anspruch auf Gleichbehandlung nach Art. 3 Abs. 1 GG wie bei jedem anderen Handeln des Staates auch. Gegenüber einer Verletzung des Art. 3 Abs. 1 GG wird effektiver Rechtsschutz nach einer Entscheidung des BVerfG vom 13.6.2006 ausreichend durch die allgemeinen Regeln des Zivilrechts und Zivilprozessrechts gewährleistet. Die unterschiedliche Behandlung von unter- und oberschwelligen Aufträgen ist hinreichend sachlich gerechtfertigt durch das Ziel der Gewährleistung eines wirtschaftlichen Einkaufs. Die Entscheidung des BVerfG vom 13.6.2006 macht auch klar, dass jedenfalls der Rechtsweg zu den Verwaltungsgerichten nicht eröffnet ist, da der Schutzbereich des Art. 19 Abs. 4 GG nicht berührt ist […].“
Der Koalitionsvertrag von CDU, CSU und FDP vom 6.10.2009 sah weitere Reformschritte 412 vor. Die Diskussion zu möglichen Lösungen in der Lit. hatte auch begonnen.299 Der Ausschuss Vergaberecht des Deutschen Anwaltverein (DAV) hat ebenfalls Stellung zum Primärrechtsschutz im Unterschwellenbereich genommen, dessen Erfordernis bejaht und konkrete Vorschläge zur Ausgestaltung unterbreitet.300 Entsprechende Evaluierungen sowohl zur Er295 BVerwG v. 2.5.2007 – 6 B 10.07, NJW 2007, 2275 und VergabeR 2007, 337. 296 Hormann, Zur Rechtsnatur des Vergaberechts – zugleich Entgegnung auf den Beschluss des BVerwG v. 2.5.2007 – 6 B 10.07, VergabeR 2007, 431; Latotzky/Janz, Der Bieter im Vergaberecht bei geringwertigen Auftragswerten: Ein fortdauerndes „Rechtsschutz-Prekariat“?, VergabeR 2007, 438; LG Cottbus v. 10.9.2007 – 5 O 99/07, VergabeR 2008, 123; LG Frankfurt/O. v. 14.11.2007 – 10 O 360/07, VergabeR 2008, 132; OLG Bdb. v. 17.12.2007 – 13 W 79/07, VergabeR 2008, 294; LG Landshut v. 11.12.2007 – 73 O 2576/07, VergabeR 2008, 298; OLG Bdb. v. 29.5.2008 – 12 U 235/07, VergabeR 2008, 992; OLG Oldenburg v. 2.9.2008 – 8 W 117/08, VergabeR 2008, 995. 297 So u.a. OLG Bdb. v. 17.12.2007 – 13 W 79/07, VergabeR 2008, 294; LG Landshut v. 11.12.2007 – 73 O 2576/07, VergabeR 2008, 298; OLG Bdb. v. 29.5.2008 – 12 U 235/07, VergabeR 2008, 992; OLG Oldenburg v. 2.9.2008 – 8 W 117/08, VergabeR 2008, 995. 298 S. OLG Düsseldorf v. 13.1.2010 – 27 U 1/09, VergabeR 2010, 531; s.u. Dicks, VergabeR 2012, 531 ff. 299 S. Burgi, VergabeR 2010, 402. 300 Stellungnahme abrufbar unter http:/tinjurl.com/38axz9 w.
Bischof
863
D Rz. 413
Vergabe von IT-Leistungen
hebung der notwendigen Daten im Unterschwellenbereich als auch zum einschlägigen rechtlichen Rahmen erfolgten. Es wurden unterschiedliche Modelle diskutiert, denen wohl allen gemeinsam war, dass eine ordnungsgemäße Vorabinformation der unterlegenen Bieter und eine angemessene Wartefrist bis zur Zuschlagserteilung eingeführt werden soll.301 Bislang haben sich jedoch keine Neuerungen in Sachen Unterschwellenrechtsschutz ergeben. Die weitere Entwicklung ist derzeit offen. 4. Rechtsschutz oberhalb der Schwellenwerte 413 Der Rechtsschutz302 der an EU-weiten Vergabeverfahren beteiligten Unternehmen gegen das Vorgehen der öffentlichen Auftraggeber lässt sich einteilen in: – Primärrechtsschutz – Nachprüfungsverfahren vor der Vergabekammer; – Sofortige Beschwerde gegen E. der Vergabekammer zum OLG; – Sekundärrechtschutz (Schadensersatz, vor Zivilgerichten). 4.1 Das Nachprüfungsverfahren 414 § 156 Abs. 2 GWB bestimmt, dass die Bieter ihr Recht auf Einhaltung der Vergabevorschriften nur im Verfahren vor der Vergabekammer303 geltend machen können, wobei die Regelung in § 155 GWB unberührt bleibt. Dies begründet eine ausschließliche Zuständigkeit der Vergabekammer.304 415 § 155 Abs. 1 GWB unterscheidet hinsichtlich der örtlichen Zuständigkeit danach, ob der öffentliche Auftrag dem Bund oder den Ländern zuzuordnen ist. § 159 GWB regelt sodann die Abgrenzung, ob die Vergabekammer des Bundes oder die Vergabekammern der einzelnen Länder zuständig sind. Die Bundesländer wiederum haben jeweils Ausführungsbestimmungen hierzu erlassen.305 416 Die Suche nach der „richtigen Vergabekammer“ ist für die Bieter nicht einfach. Ein bei einer unzuständigen Kammer eingereichter Nachprüfungsantrag ist unzulässig, sodass der Antrag dem öffentlichen Auftraggeber auch nicht zugestellt wird und somit die gewünschte Wirkung („Zuschlagssperre“) nicht eintritt. Die unzuständige Vergabekammer hat zwar aufgrund der bestehenden Beratungs- und Auskunftspflicht nach § 25 VwVfG die Pflicht, dem Bieter die zuständige Vergabekammer mitzuteilen, sofern bekannt oder einfach. Eine Pflicht zur Weiterleitung des Antrags besteht jedoch nicht. Daher sieht § 37 Abs. 2 VgV auch vor, dass der öffentliche Auftraggeber bereits in der Vergabebekanntmachung306 sowie in den Vergabeunterlagen307 die Vergabekammer samt Anschrift308 angeben muss, die für ein Nachprüfungsverfahren zuständig ist. Eine Vergabeprüfstelle kann, soweit vorhanden, auch genannt werden; dies ist jedoch nicht zwingend. Die Angabe einer falschen Vergabekammer stellt an sich bereits eine rügefähige Rechtsverletzung dar. Dies entbindet den Bieter jedoch nicht davon, die zuständige Vergabekammer selbst zu ermitteln. Denn die Angabe einer falschen Vergabekammer vermag nicht deren Zuständigkeit zu begründen. 301 S. Krist, VergabeR 2011, 163; s.a. Jansen/Geitel, VergabeR 2015, 117 ff.; Pünder, VergabeR 2016, 693 ff. 302 Antweiler, VergabeR 2008, 352; Braun, VergabeR 2008, 360. 303 S. zum Nachprüfungsverfahren Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 1086 ff. 304 S. a. Byok, NJW 2010, 817. 305 S. hierzu Aufzählung in Reidt/Stickler/Glahs, Vergaberecht Kommentar, Textanhang II.1. 306 S. Rz. 229 zur Vergabebekanntmachung. 307 S. zu den Vergabeunterlagen Rz. 277 ff. 308 S. zur Übersicht der Vergabekammern samt Anschriften: Reidt/Stickler/Glahs, Vergaberecht Kommentar, Textanhang II.2.
864
Bischof
Rechtsschutz
D
Rz. 424
Voraussetzungen für die Einleitung eines Nachprüfungsverfahrens sind gem. § 160 GWB:
417
– Antrag, § 160 Abs. 1 GWB – Antragsbefugnis, § 160 Abs. 2 GWB – rechtzeitige Rüge, § 160 Abs. 3 GWB. Eine Antragsfrist ist nicht vorgesehen.309
418
Für Verstöße gegen die Informations- und Wartepflicht des § 134 GWB sowie für Angriffe ge- 419 gen de-facto-Vergaben ist jedoch nunmehr § 135 Abs. 2 GWB zu beachten, wonach solche Verstöße in einem Nachprüfungsverfahren binnen der in § 135 Abs. 2 GWB genannten Fristen geltend gemacht werden müssen. Erfolgt dies nicht, ist der geschlossene Vertrag von Anfang an wirksam. Die schwebende Unwirksamkeit endet mit Ablauf der Fristen. Die Fristen des § 135 Abs. 2 GWB sehen zusammengefasst folgendermaßen aus: – binnen 30 Kalendertagen nach Information der betroffenen Bieter oder Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrages, – spätestens jedoch innerhalb von 6 Monaten ab Vertragsschluss – bei Veröffentlichung der Auftragsvergabe im EU-Amtsblatt endet die Frist zur Geltendmachung 30 Kalendertage nach dieser Veröffentlichung. Gemäß § 135 Abs. 3 Satz 1 GWB tritt die Unwirksamkeit bei de-facto-Vergaben (i.S.d. § 135 Abs. 1 Nr. 2 GWB) nicht ein, wenn gem. § 135 Abs 3 folgende Voraussetzungen kumulativ vorliegen:
420
1. der öffentliche Auftraggeber ist der Ansicht, dass die Auftragsvergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zulässig ist, 2. der öffentliche Auftraggeber hat eine Bekanntmachung im Amtsblatt der Europäischen Union veröffentlicht, mit der er die Absicht bekundet, den Vertrag abzuschließen, und 3. der Vertrag wurde nicht vor Ablauf einer Frist von mindestens zehn Kalendertagen, gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung, abgeschlossen. Die Bekanntmachung muss den Namen und die Kontaktdaten des öffentlichen Auftrag- 421 gebers, die Beschreibung des Vertragsgegenstands, die Begründung der Entscheidung des Auftraggebers, den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zu vergeben, und den Namen und die Kontaktdaten des Unternehmens, das den Zuschlag erhalten soll, umfassen, § 135 Abs. 3 Satz 2 GWB. 4.1.1 Nachprüfungsantrag Die Vergabekammer wird stets nur aufgrund eines wirksamen Antrags tätig. Die Einleitung 422 eines Nachprüfungsverfahrens ohne einen solchen Antrag ist unzulässig. Innerhalb des Verfahrens gilt dann allerdings § 168 Abs. 1 Satz 2 GWB, wonach die Vergabekammer nicht an gestellte Anträge gebunden ist. Die formellen Mindestanforderungen des Antrags bestimmt § 161 Abs. 1 GWB, wonach die- 423 ser schriftlich einzureichen und unverzüglich zu begründen ist. Eine mündliche Antragstellung ist somit abweichend von § 22 VwVfG nicht möglich. Der Nachprüfungsantrag muss also eigenhändig unterzeichnet werden (durch einen vertretungsberechtigten Unternehmensvertreter oder einen beauftragten Rechtsanwalt) und in die
309 S. Immenga/Mestmäcker, GWB-Kommentar, noch zu Altregelung des § 107 GWB: § 107 Rz. 5.
Bischof
865
424
D Rz. 425
Vergabe von IT-Leistungen
Verfügungsgewalt der Vergabekammer übermittelt werden. Der Mindestinhalt des Nachprüfungsantrags besteht aus: – Bezeichnung des Antragsgegners – Beschreibung der behaupteten Rechtsverletzung/Sachverhalt – Bezeichnung der verfügbaren Beweismittel – Darlegung, dass die Rüge gegenüber dem Auftraggeber erfolgt ist oder auf eine solche verzichtet werden konnte. 425 Der Antrag ist grds. in deutscher Sprache einzureichen. Eine andere Sprache führt jedoch nicht zur Unzulässigkeit, da die Vergabekammer eine Übersetzung fordern oder selbst, ggf. auf Kosten des Antragstellers, in Auftrag geben kann. Dennoch ist es für das antragstellende IT-Unternehmen zwingend erforderlich, den Antrag in deutscher Sprache einzureichen, denn eine solche Übersetzung verzögert das Verfahren und verhindert die Zustellung des Antrags an die Vergabestelle und damit den Eintritt des Zuschlagsverbots gem. § 169 Abs. 1 GWB. 426 Zu beachten ist, dass der Antrag gem. § 161 Abs. 1 Satz 2 GWB ein bestimmtes Begehren (= Sachantrag) enthalten soll. Nachdem es sich um eine Soll-Vorschrift handelt, führt das Fehlen eines solchen Antrags jedoch nicht zur Unzulässigkeit. Allerdings muss aus dem Antrag erkennbar sein, welche Rechtsverletzung gerügt wird. 427 Für ausländische IT-Unternehmen ist zudem § 161 Abs. 1 Satz 3 GWB zu beachten, wonach ein inländischer Empfangsbevollmächtigter zu benennen ist. Fehlt diese Angabe, so ist der Nachprüfungsantrag unzulässig. 4.1.2 Antragsbefugnis 428 Die Antragsbefugnis besteht dann, wenn das antragstellende IT-Unternehmen310 ein Interesse am Auftrag hat und eine Verletzung seiner Rechte gem. § 97 Abs. 6 GWB geltend macht sowie dem Antragsteller ein Schaden droht. Überhöhte Anforderungen dürfen unter dem Gesichtspunkt der Rechtsschutzgarantie nicht gestellt werden.311 Somit kann weder der öffentliche Auftraggeber noch ein sonstiger Dritter, der ein (ideelles) Interesse an einem ordnungsgemäßen Vergabeverfahren hat (z.B. Unternehmensverbände u.Ä.), einen Antrag auf Nachprüfung stellen. Ebenso wenig haben Aufsichtsbehörden oder die Vergabeprüfstelle ein Antragsrecht. Dieses Recht steht somit ausschließlich am Auftrag interessierten IT-Unternehmen zu. 429 Ungeschriebene Voraussetzung ist, dass es tatsächlich einen konkreten Vergabevorgang gibt. Dies heißt jedoch nicht, dass es sich zwingend um ein förmliches Vergabeverfahren i.S.v. § 119 GWB312 handeln muss. Auch bei denjenigen Auftragsvergaben, in denen der Auftraggeber kein förmliches Vergabeverfahren eingeleitet hat, aber dennoch einen Auftrag vergeben will („de facto-Vergabe“),313 ist ein Nachprüfungsverfahren zulässig, insb. die Antragsbefugnis eines Unternehmens gegeben, das sich hiergegen wehren will. Ob ein Vergabevorgang vorliegt, richtet sich somit nach materiellen Kriterien.314 Allerdings dient dieses Nachprüfungs-
310 S. zu Bietergemeinschaften und Antragsbefugnis: OLG Düsseldorf, Beschl. v. 3.1.2004 – VII Verg 82/04, BauRB 2005, 137. 311 S. BVerfG v. 29.7.2004 – 2 BvR 2248/03, BauRB 2004, 368. 312 S. zu den Verfahrensarten auf EU-Ebene Rz. 183. 313 S. zu De-facto-Vergaben u.a. Lück/Oexle, VergabeR 2004, 302. 314 S. hierzu im Detail Reidt/Stickler/Glahs, Vergaberecht Kommentar, noch zur Vorgängerregelung § 107 Rz. 17 ff. m.w.N.
866
Bischof
Rechtsschutz
Rz. 437
D
recht nicht dem Selbstzweck. Der Antragsteller muss sich selbst rechtstreu verhalten und damit schutzwürdig sein.315 Vorbeugender Rechtsschutz wird nicht gewährt. Es genügt also nicht die Behauptung, dass ei- 430 ne Auftragsvergabe drohen könnte, ohne dass Anhaltspunkte für eine konkrete Beschaffungsinitiative vorgetragen werden können. Nicht jeder Kontakt zu Unternehmen oder sonstige Aktivitäten der öffentlichen Hand z.B. zur Markterkundung, stellen bereits den Beginn eines konkreten Vergabeverfahrens dar. Interesse am Auftrag bedeutet ein tatsächliches, unmittelbar eigenes, wirtschaftliches Inte- 431 resse. I.d.R. werden hier keine allzu hohen Anforderungen gestellt. Die Vergabekammern erwarten jedoch umfassende Nachweise, wenn sich das Interesse am Auftrag nicht ohne weiteres erkennen lässt, so z.B. wenn das Unternehmen noch nie im betreffenden Bereich tätig war. Im IT-Bereich kann dies z.B. gelten, wenn ein Unternehmen bislang nur im SoftwareBereich tätig war, nun aber auch Hardware anbietet. Vorlieferanten oder Subunternehmer können kein Interesse am Auftrag geltend machen, da 432 es ihnen am unmittelbaren eigenen Interesse mangelt. Deren Interesse bezieht sich auf einen Auftrag durch den Bieter, nicht aber an einer direkten Beauftragung durch die Vergabestelle. Ihnen stehen daher auch keine eigenen subjektiven Rechte i.S.v. § 97 Abs. 6 GWB zu. Ein Interesse fehlt, wenn der Antragsteller weder einen Teilnahmeantrag gestellt, noch ein Angebot abgegeben, noch den Verfahrensverstoß gerügt hat.316 Ausnahmsweise geht die Rspr. in Sonder-Konstellationen davon aus, dass auch Nichtbewerbern und Nichtbietern in bestimmten Situationen doch eine Antragsbefugnis zusteht:317
433
Bei unterlassener Angebotsabgabe hängt die Antragsbefugnis von zwei Voraussetzungen ab:
434
– Das Unternehmen muss einen Vergabeverstoß geltend machen, der bereits aus der Vergabebekanntmachung oder den Vergabeunterlagen ersichtlich war und fristgerecht gerügt wurde. – Das Unternehmen hatte gerade wegen des fortbestehenden gerügten Fehlers von vornherein keine Aussicht auf die Zuschlagserteilung (z.B. beim Verstoß gegen das Gebot produktneutraler Ausschreibung). Die Rspr. überträgt diese Grundsätze teils auch auf einen fehlenden Teilnahmeantrag, was jedoch umstritten ist.
435
Ein Interesse fehlt auch dann, wenn dieses erst nach einem Vergabefehler der Vergabestelle 436 entstanden ist. Ein typisches Beispiel hierfür wäre, dass ein IT-Unternehmen i.R.d. durchgeführten Teilnahmewettbewerbs keinen Teilnahmeantrag gestellt hat oder z.B. aufgrund fehlender Nachweise aus dem Teilnahmewettbewerb ausgeschieden ist und die Vergabestelle erst im weiteren Verfahren einen Vergabefehler begangen hat. Hieraus darf jedoch nicht rückgeschlossen werden, dass immer die Abgabe eines Angebots zwingend erforderlich ist, um das Interesse zu bejahen. I.R.d. Antragstellung muss auch die Möglichkeit einer Rechtsverletzung substantiiert vorgetragen werden. Ob diese tatsächlich vorliegt, wird erst bei der Begründung geprüft. § 97 Abs. 6 GWB beschränkt die subjektiven Rechte der Bieter auf die Einhaltung der Bestimmungen über das Vergabeverfahren, was weit auszulegen ist. Ob eine Rechtsverletzung durch Nichtbeachtung vergaberechtlicher Bestimmungen vorliegt, ist anhand aller Regelungen zu
315 S. OLG Bdb., Beschl. v. 10.2.2004 – Verg W 8/03, BauRB 2004, 306. 316 Vgl. EuGH v. 12.2.2004 – C-230/02, BauRB 2004, 137. 317 S. u.a. Antweiler, VergabeR 2004, 702.
Bischof
867
437
D Rz. 438
Vergabe von IT-Leistungen
prüfen, die mit dem formellen und materiellen Vergaberecht in Zshg. stehen, also nach GWB und Vergabeverordnung.318 438 Ebenso muss ein zumindest drohender Schaden dargelegt werden, § 160 Abs. 2 Satz 2 GWB. Zielsetzung dieser Regelung ist die Vermeidung unnötiger Nachprüfungsverfahren. Zwar werden hier keine hohen Anforderungen gestellt, es gilt aber folgendes zu beachten: Wer evident keine Aussicht auf Erteilung des Zuschlags hat, selbst wenn der geltend gemachte Vergabeverstoß ausgeräumt würde, dem kann auch kein Schaden drohen. 439 Dies ist v.a. unter folgenden Konstellationen denkbar: – der Antragsteller müsste wegen fehlender Eignungsnachweise ohnehin vom Verfahren ausgeschlossen werden oder – der Antragsteller liegt in der Wertungsreihenfolge (z.B. wegen des höchsten Angebotspreises) so weit hinten, dass ein Zuschlag auf das Angebot des Antragstellers eindeutig nicht in Betracht kommt. Dies wird jedoch dann großzügiger gehandhabt, wenn es überhaupt kein förmliches Vergabeverfahren gegeben hat. 440 Maßgeblich ist hierbei auch, ob der Schaden durch die Beseitigung des Vergabeverstoßes ebenfalls wieder beseitigt werden kann. Ist dies nicht der Fall (z.B. wenn der Zuschlag bereits erteilt ist und damit der Vertrag zustande gekommen ist), so verbleibt es nur bei der Geltendmachung eines etwaigen Schadensersatzanspruches (vgl. § 126 GWB). Ein Nachprüfungsverfahren ist nicht mehr möglich.319 4.1.3 Rechtzeitige Rüge, § 160 Abs. 3 GWB 441 Diese Vorschrift ist für jeden Bieter von erheblicher rechtlicher Bedeutung: Nach § 160 Abs. 3 Satz 1 GWB ist der Nachprüfungsantrag unzulässig, wenn der Antragsteller einen Verstoß im Vergabeverfahren nicht innerhalb der Fristen des § 160 Abs. 3 GWB gegenüber dem Auftraggeber gerügt hat. Eine Rüge gegenüber einem Dritten, z.B. der Aufsichtsbehörde, genügt nicht. Erfolgt die unverzügliche Rüge nicht nach positiver Kenntnis des Vergabeverstoßes, ist ein Nachprüfungsantrag unzulässig (Präklusionswirkung). 442 § 160 Abs. 3 GWB lautet (Hervorhebungen durch die Autorin): „(3) Der Antrag ist unzulässig, soweit 1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichung des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Abs. 2 bleibt unberührt, 2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
318 Ein praktischer Hinweis: Sehr hilfreich war der VOL/A-Kommentar von Müller/Wrede, da dort bei allen Vorschriften in der Kommentierung ein eigener Unterpunkt zum bieterschützenden Charakter der Vorschrift aufgenommen wurde. Somit ist auf „einen Blick“ erkennbar, ob subjektive Rechte bestehen oder nicht und wenn ja, in welchem Umfang. 319 S. hierzu Reidt/Stickler/Glahs, Vergaberecht Kommentar, § 107 Rz. 35 ff.
868
Bischof
Rechtsschutz
Rz. 448
D
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Abs. 1 Nr. 2. § 134 Abs. 1 Satz 2 bleibt unberührt.“
§ 160 Abs. 3 Satz 2 GWB stellt dabei klar, dass es im Falle der unberechtigten de-facto Vergabe nicht auf die Rüge des § 160 Abs. 3 Satz 1 GWB ankommt, sondern hier vielmehr § 134 Abs. 2 GWB als Sonderregelung maßgeblich ist. Bei de-facto Vergaben kann also sofort ein Nachprüfungsantrag bei der Vergabekammer gestellt werden. Eine Rügeverpflichtung wäre hier laut Gesetzesbegründung nicht sachgerecht.
443
Besonders bedeutsam ist die „generelle Frist“ zur Geltendmachung von Rügen in den Fällen, 444 in denen der Bieter bereits gerügt hat und der Auftraggeber dann mitteilt, er werde der Rüge nicht abhelfen (§ 160 Abs. 3 Nr. 4 GWB). Diese Frist führt zu schnellerer Klarheit über die Rechtmäßigkeit des Verfahrens; verlangt von den Bietern daher auch schnelles Handeln und verschärft somit die Lage für die Bieter. Aufgrund dieser zeitlichen Begrenzung des Primärrechtsschutzes für die Bieter sind an die Nichtabhilfeerklärung insb. im Hinblick auf deren Eindeutigkeit hohe Anforderungen zu stellen.320 Der öffentliche Auftraggeber ist zudem gehalten, auf diese Frist als echte Rechtsbehelfsfrist in der Veröffentlichung der Vergabebekanntmachung hinzuweisen.321 Der Bieter muss positive Kenntnis vom Vergaberechtsverstoß haben. Die positive Kenntnis 445 muss sich sowohl auf den tatsächlichen Sachverhalt als auch auf dessen rechtliche Bedeutung beziehen. Allein die Kenntnis des Sachverhalts reicht noch nicht aus, weil damit nicht zwingend auch die Kenntnis eines (Rechts-)Verstoßes verbunden ist. Es ist erforderlich, dass nach den subjektiven Einschätzungen des Bieters ein Verstoß vorliegt.322 Ein Kennenmüssen wird nicht als ausreichend erachtet.323 Diese positive Kenntnis muss bei den Personen im Unternehmen des Bieters vorliegen, die auch berechtigt sind, darüber zu entscheiden, ob eine Rüge erhoben werden soll, oder nicht. Dementsprechend muss es sich um die Personen handeln, die für das Unternehmen verbindliche Erklärungen abgeben können. I.d.R. sind dies die Mitglieder der Geschäftsführung. Nicht ausreichend ist somit die Kenntnis von anderen Mitarbeitern, wie z.B. Mitgliedern der Projektgruppe, die das Vergabeverfahren auf operativer Ebene betreut oder z.B. der Rechtsabteilung. Die Rüge musste nach altem Recht unverzüglich gegenüber dem Auftraggeber ausgesprochen werden. Unverzüglich wurde auch hier i.S.v. § 121 BGB verstanden, sodass die Rüge ohne schuldhaftes Zögern erfolgen musste.
446
Mit der Neufassung durch Vergaberechtsreform konkretisiert sich diese Frist nun auf konkrete 10 Kalendertage, innerhalb derer eine Rüge nach Erkennen eines Vergaberechtsvertstoßes ausgesprochen werden muss. Diese Änderung trägt der Rspr. des EuGH Rechnung, der zufolge eine Bestimmung, nach der ein Verfahren unverzüglich eingeleitet werden muss, als nicht mit Art. 1 Abs. 1 RL 89/665/EWG in der Fassung der RL 2007/66/EG vereinbar angesehen werden kann (EuGH, Urteil vom 28.1.2010 – C-406/08 „Uniplex (UK) Ltd.“, Rz. 43). Die Länge einer Ausschlussfrist ist für den Betroffenen nicht vorhersehbar, wenn sie in das Ermessen des zuständigen Gerichts gestellt wird (EuGH, Urteil vom 28.1.2010 – C-456/08, Rz. 75). Die neue Fassung des § 160 Abs. 3 Satz 1 Nr. 1 beseitigt die bisher bestehende Rechtsunsicherheit.
447
§ 160 Abs. 3 Nr. 2 und 3 GWB bestimmen für Verstöße gegen Vergabevorschriften, die aus Bekanntmachung oder Vergabeunterlagen erkennbar sind, dass diese spätestens bis zum Ablauf der Frist zu Bewerbung oder Angebotsabgabe gerügt werden müssen. Wenn nicht spätes-
448
320 321 322 323
Vgl. OLG Celle, Beschl. v. 4.3.2010 – 13 Verg 1/10, VergabeR 2010, 652. Vgl. OLG Celle, Beschl. v. 4.3.2010 – 13 Verg 1/10, VergabeR 2010, 652. Vgl. OLG Düsseldorf, Beschl. v. 15.6.2000 – Verg 6/00, NZBau 2000, 440. S. Reidt/Stickler/Glahs, Vergaberecht Kommentar, § 107 Rz. 51.
Bischof
869
D Rz. 449
Vergabe von IT-Leistungen
tens bis zur Angebotsabgabe oder Bewerbung die Rüge ausgesprochen wird, ist der Bieter auf jeden Fall präkludiert. 449 Innerhalb der Frist von 10 Kalendertagen müssen somit sowohl interne Abstimmung als auch externer Rat eingehlt werden, falls nötig. Üblich ist dabei oft, dass das Unternehmen fachlichen Rat bei externen Beratern, z.B. einer Rechtsanwaltskanzlei mit Spezialwissen im Bereich des Vergaberechts, einholt oder/und sich die Geschäftsführung mit der hausinternen Rechtsabteilung abstimmt. 450 Die Rüge muss vom Bieter selbst gegenüber dem Auftraggeber unter Darstellung des Sachverhalts, der für vergabewidrig gehalten wird, erhoben werden. Es bestehen keine besonderen formellen Anforderungen, sodass auch eine mündliche oder telefonische Rüge möglich ist. Aus Beweisgründen ist jedoch empfehlenswert die Rüge in Schriftform einzureichen (z.B. vorab per E-Mail und Telefax, per Post bzw. eingeschriebenem Brief). Eine detaillierte rechtliche Begründung ist nicht erforderlich. 451 Allerdings gibt es auch einige – wenige – Fallkonstellationen, in denen eine solche Rüge gegenüber dem Auftraggeber entbehrlich ist: – Es ist bereits ein Nachprüfungsverfahren anhängig und der Bieter/Antragsteller erhält Kenntnis von weiteren Verstößen. In diesem Fall genügt es, wenn die weiteren Verstöße direkt gegenüber der Vergabekammer gerügt werden. – Die bereits gerügten Verstöße werden wiederholt oder setzen sich fort (z.B. unzulässige Verhandlungen mit einem Bieter im Offenen oder Nichtoffenen Verfahren, § 119 Abs. 3 und 4 GWB). – Der Auftraggeber hat bereits eindeutig und unmissverständlich erklärt, dass er einen bekannten Vergabeverstoß nicht abstellen, also sein Verhalten nicht ändern wird. – Eine vorherige Rüge könnte zu einer Rechtsverkürzung zum Nachteil des Bieters führen, z.B. wenn sich das Verfahren in einem so fortgeschrittenen Stadium befindet, dass der Auftraggeber unmittelbar nach Eingang der Rüge den Zuschlag erteilen und damit ein Nachprüfungsverfahren vereiteln könnte (s. § 168 Abs. 2 Satz 1 GWB). Diese Konstellation war jedoch von jeher umstritten und ist aufgrund der in § 134 GWB enthaltenen Informations- und Wartepflicht ohnehin weitgehend ausgeschlossen. – Der Auftraggeber versendet das Absageschreiben nach § 134 GWB vor Feiertagen, um so die Frist für einen Nachprüfungsantrag faktisch zu verkürzen.324 452 Nicht geregelt ist, ob bzw. wie viel Zeit der Bieter zwischen Rüge und Einreichen des Nachprüfungsantrags abzuwarten hat. Sinn und Zweck der Rügepflicht ist es, dem Auftraggeber die Möglichkeit zu geben, seinen Vergabeverstoß abzustellen, was eine hinreichende Frist voraussetzt. Ein Nachprüfungsantrag unmittelbar nach der Rüge würde dem widersprechen. Dem Bieter ist anzuraten, seine Rüge mit einer Frist zu verbinden, binnen derer er eine Antwort des Auftraggebers erwartet. 453 Erhält der Rügende vom Auftraggeber die Nachricht, er werde der Rüge nicht abhelfen, ist Eile geboten, da § 160 Abs. 3 Nr. 4 GWB nun vorsieht, dass ein Nachprüfungsantrag binnen 15 Kalendertagen nach Eingang dieser Mittelung erfolgen muss.325 Wird die Frist versäumt, tritt insoweit Präklusion ein. Ein Nachprüfungsantrag wäre unzulässig. 454 Äußert sich der Auftraggeber allerdings nicht nach Erhalt einer Rüge, auch nach neuerlicher Nachfrage, dann ist keine Frist vorgesehen für das Einreichen eines Nachprüfungsantrags. 324 OLG Düsseldorf, Beschl. v. 5.11.2014 – Verg 20/14, NZBau 2015, 178; Beschl. v. 5.10.2016 – VII-Verg 24/16. 325 Zur Frage, ob auf diese Frist hingewiesen werden muss: Dirksen, Fristablauf nach § 107 Abs. 3 Satz 1 Nr. 4 GWB, VergabeR 2013, 410.
870
Bischof
Rechtsschutz
Rz. 457
D
Es ist jedoch zu berücksichtigen, dass die Rüge noch nicht zum Zuschlagsverbot des § 169 Abs. 1 GWB führt. Dem Sicherungsbedürfnis der Bieter trägt § 134 GWB mit seiner Informations- und Wartepflicht von 15 bzw. 10 Kalendertagen vor Zuschlagserteilung Rechnung. Allerdings erscheint es meist geboten, früher zu reagieren, um etwaige Verstöße frühzeitig zu klären und nicht bis „kurz vor Verfahrensende“ zu warten. Die Angemessenheit des zwischen Rüge und Nachprüfungsantrag liegenden Zeitraums bleibt daher der Prüfung im konkreten Einzelfall vorbehalten. Für jeden Bieter hat die Vorschrift des § 160 Abs. 3 GWB somit praktisch zur Folge, dass das 455 Vergabeverfahren genau beobachtet werden muss und sowohl die Vergabeunterlagen als auch jedes weitere Schriftstück, das vom Auftraggeber versandt wird, sowie die persönlichen Gespräche, Verhandlungsrunden stets mit einem kritischen Auge bezüglich etwaiger Vergaberechtsverstöße betrachtet werden müssen. So sollten die Vergabeunterlagen daraufhin überprüft werden, ob z.B. unzulässige Nachweise verlangt werden, diskriminierende, wettbewerbsverzerrende, einseitig andere Bieter bevorteilende Leistungsanforderungen gestellt werden, ob an der Erstellung der Vergabeunterlagen Dritte beteiligt waren, die nun ggf. ebenfalls im Vergabeverfahren als Konkurrenten teilnehmen. Als typische, immer wieder vorkommende Vergaberechtsverstöße lassen sich beispielhaft 456 folgende nennen: – Die Forderung nach einer „Scientology-Erklärung“ hält einer Überprüfung aus europarechtlicher Sicht nicht stand. – Ungleiche Informationen an Bewerber/Bieter – Verbotene Verhandlungen – Fehlende bzw. intransparente Bekanntgabe von Zuschlagskriterien – Nachträgliche Abänderung/Abweichung von Zuschlagskriterien – De-Facto-Vergaben – Fehlende Produktneutralität (§ 31 Abs 6 VgV): Es werden bestimmte technische Merkmale unter konkreter Bezugnahme auf Herstellernamen gefordert. Um eine solche Anforderung „vergabefest“ aufstellen zu können, müsste die Erforderlichkeit der Nennung bestimmter Produkte (z.B. Markennamen, Typenbezeichnungen etc.) substantiiert dargelegt werden können. Allerdings wurde die Produktneutralität sehr restriktiv von den Nachprüfungsorganen ausgelegt. So ist insb. der Zusatz „oder gleichwertiger Art“, der bei Forderung eines bestimmten Herstellers stets hinzuzufügen ist, dann dennoch nicht ausreichend, wenn die Spezifikation des benannten Herstellers bis ins letzte Detail übernommen wurde. Dieses Verhalten wird als wettbewerbsfeindlich gewertet. Die Entscheidungen der Nachprüfungsorgane verdeutlichen, dass es nicht gelingen kann, durch die rein formale Verwendung des Zusatzes „oder gleichwertiger Art“ wieder einen vergaberechtskonformen Zustand herzustellen. 457
Beispiel: Vonseiten der EU-Kommission wird – wie dies auch von AMD getan wird – beanstandet, dass in Ausschreibungen Intel-Mikroprozessoren oder Intel gleichwertige Produkte verlangt bzw. zu spezifische Produktvorgaben (z. B. Vorgabe von Mikroprozessoren mit einer bestimmten Taktfrequenz) gemacht werden, was zu einer Benachteiligung von Konkurrenten (wie z. B. die Firma AMD) führt. Die Kommission sieht darin einen Verstoß gegen die EU-Richtlinie 93/36/EWG und auch gegen Art. 28 EGV (Einführbeschränkung). Mikroprozessoren und die von ihnen erwartete Leistung könnten z. B. durch unterschiedliche „benchmarks“ beschrieben werden, die Taktfrequenz könne die Leistung eines Rechners nicht wiedergeben.
– Projektantenproblematik (s. Rz. 172 ff.): Dritte können wegen Vorbefassung/fehlender Neutralität ausgeschlossen sein. So bestimmt z.B. § 6 VgV, dass bestimmte natürliche
Bischof
871
D Rz. 458
Vergabe von IT-Leistungen
Personen als voreingenommen gelten und daher nicht an Entscheidungen im Vergabeverfahren mitwirken dürfen. § 7 VgV bestimmt, dass der Auftraggeber durch angemessene Maßnahmen (i.S.d. Abs. 2) sicherstellen muss, dass der Wettbewerb durch die Teilnahme von Bietern und Bewerbern nicht verfälscht wird, wenn diese vor Einleitung des Vergabeverfahrens den Auftraggeber beraten oder sonst unterstützt haben. 458 Beispiel: Für den öffentlichen Auftraggeber übernimmt ein Berater die Erstellung der Vergabeunterlagen. Gegenstand der Vergabe ist der Online-Vertrieb von Eintrittstickets zu einer bestimmten Veranstaltung. Dieser Berater berät aber auch einen der Bieter hinsichtlich des Online Vertriebs von Eintrittstickets. Zudem sind in der Leistungsbeschreibung Anforderungen gestellt, die – relativ offensichtlich – auf die Leistungsfähigkeit dieses Bieters abstellen. Dieser Bieter scheint daher gute Chancen auf den Zuschlag zu haben.
459 Dies stellt mehrere Vergaberechtsverstöße dar, denn: – Der Wettbewerb kann beeinträchtigt und der Gleichbehandlungsgrundsatz damit verletzt sein, wenn sich der Auftraggeber zur Durchführung eines Dritten bedient, der an der Auswahl eines bestimmten Bieters ein wirtschaftliches Interesse hat oder bei dem Umstände vorliegen, die ein solches Interesse nahe legen. – Wenn ein an der Ausschreibung Mitwirkender ein wirtschaftliches Interesse an der Auswahl eines bestimmten Bieters hat, besteht die Gefahr, dass der Mitwirkende die Ausschreibungsmodalitäten im Hinblick auf seine unmittelbaren oder mittelbaren Interessen gestaltet oder zumindest beeinflusst, sodass ein echter Wettbewerb nicht mehr gewährleistet ist.326 Die Objektivität im Vergabeverfahren ist sicherzustellen.327 Von mittelbarer Beteiligung kann gesprochen werden, wenn der Sachverständige dazu neigen kann, die mit der Vergabe zusammenhängenden Fragen nicht frei von subjektiven Einflüssen zu betrachten, etwa, wenn er zugleich Berater eines sich um den Auftrag bewerbenden Unternehmen ist.328 – Eine verdeckte und nach § 97 Abs. 2 GWB unzulässige Ungleichbehandlung kann in einer einseitig begünstigenden Leistungsbeschreibung liegen.329 Nach dem im Vergaberecht geltenden Diskriminierungsverbot müssen die Leistungsanforderungen für alle Bieter gleich sein; sie dürfen nicht auf einzelne Bieter zugeschnitten werden. Es obliegt dem Auftraggeber deshalb, anhand seiner Kenntnisse des Bieterkreises darüber zu wachen, dass die Leistungsbeschreibung nicht auf einen bestimmten Bieter oder ein bestimmtes Produkt ausgerichtet ist, sodass die Auswahl der Bieter eingeschränkt wäre.330 460 Nachdem die h.M. in Rspr. und Lit. die Rügepflicht eng auslegt, sollte jeder Bieter, sobald er positive Kenntnis von einem drohenden Vergabeverstoß erlangt, eine Rüge aussprechen. Er muss seiner Rügeobliegenheit in jedem Fall nach Erhalt einer Mitteilung § 134 GWB nachkommen, wobei zuvor erfolglos erhobene Rügen zur Sicherheit wiederholt und neue Beanstandungen zusätzlich erhoben werden sollten.331
326 Müller-Wrede, Verdingungsordnung für Leistungen VOL/A, 2001, § 2 Rz. 16 ff. S. Müller-Wrede, in: Müller-Wrede, VOL/A Kommentar, 4. Aufl. 2014, § 6 EG VOL/A Rz. 97. 327 S. Müller-Wrede, Verdingungsordnung für Leistungen VOL/A, 2001, § 6 Rz. 13 ff. 328 S. Müller-Wrede, Verdingungsordnung für Leistungen VOL/A, 2001, § 6 Rz. 15. 329 S. Immenga/Mestmäcker, GWB-Kommentar zum Kartellgesetz, 3. Aufl., § 7 Rz. 48; s. a. OLG Düsseldorf, Beschl. v. 25.1.2005 – VII Verg 93/94 m, BauRB 2005, 172 (Nichtigkeit des Vertrages zur Beschaffung eines IT-gestützten geographischen Informationssystems aufgrund Zusammenwirken des öffentlichen Auftraggebers und einem Unternehmen, um den Auftragswert unter die Schwellenwerte zu drücken). 330 S. Müller-Wrede, Verdingungsordnung für Leistungen VOL/A, 2001, § 2 Rz. 10. 331 S. a. OLG Naumburg v. 4.1.2005 – 1 Verg 25/04, BauRB 2005, 173.
872
Bischof
Rechtsschutz
D
Rz. 467
4.1.4 „Zustellung“ des Nachprüfungsantrags und Wirkung: Zuschlagsverbot (§ 169 GWB) Nach Eingang des Nachprüfungsantrags prüft die Vergabekammer im Wege einer Vorprü- 461 fung, ob der Antrag nicht offensichtlich unzulässig oder unbegründet ist.332 Gibt es hierfür keine Anhaltspunkte, so übermittelt die Vergabekammer den Nachprüfungsantrag an den Auftraggeber, zumindest gem. des Wortlauts von § 163 Abs. 2 GWB, der keine weiteren Voraussetzungen kennt. Üblicherweise sehen jedoch die Geschäftsordnungen der Vergabekammer vor, dass ein Kostenvorschuss zu bezahlen ist.333 Die Vergabekammer muss nicht mehr förmlich zustellen, sondern lediglich „in Textform über den Nachprüfungsantrag informieren“, § 169 Abs. 1 GWB.
462
Mit dieser Information über den Nachprüfungsantrag in Textform an den Auftraggeber darf 463 dieser gem. § 169 Abs. 1 GWB vor einer Entscheidung der Vergabekammer und dem Ablauf der Beschwerdefrist nach § 172 Abs. 1 GWB den Zuschlag nicht erteilen (Zuschlagsverbot).334 Er darf jedoch das Vergabeverfahren bis vor die Zuschlagserteilung weiter vorantreiben. 4.1.5 Verfahrensbeteiligte sowie deren Rechte und Pflichten Verfahrensbeteiligte nach § 162 GWB sind:
464
– Antragsteller – Auftraggeber – Unternehmen, deren Interessen durch die Entscheidung schwerwiegend berührt werden und die beigeladen worden sind. Auch im Verfahren vor der Vergabekammer ist die notwendige Beiladung335 vorgesehen. 465 Notwendig ist die Beiladung dann, wenn der Ausgang des Nachprüfungsverfahrens rechtsgestaltende Wirkung für ein drittes Unternehmen hat. Dies ist beispielsweise der Fall, wenn die Aufhebung des Vergabeverfahrens gefordert wird und damit der bestplatzierte Bieter den Zuschlag nicht erhalten würde. I.Ü. steht die Beiladung im Ermessen der Vergabekammer: alle aus Sicht der Vergabekammer relevanten Aspekte können berücksichtigt werden. Die Vergabekammern laden beispielsweise diejenigen Bieter bei, bei denen nach Sachlage mit einem weiteren Nachprüfungsantrag gerechnet werden kann. Wichtig aus Unternehmenssicht ist auch, dass auf die Beiladung nicht verzichtet werden kann. Erfolgt eine Beiladung, kann sich das Unternehmen dem nicht einseitig entziehen.
466
Der Beigeladene hat aufgrund der damit einhergehenden Bindungswirkung auch folgende 467 umfassenden Rechte: – Recht zu tatsächlichen und rechtlichen Ausführungen, – Recht zur Akteneinsicht, – Recht zur Geltendmachung aller sonstigen Angriffs- und Verteidigungsmittel, – Recht zur Antragstellung, um die eigenen Interessen wahrzunehmen.336
332 S. Reidt/Stickler/Glahs, Vergabe Kommentar, noch zur Vorgängerregelung § 110 Rz. 21 ff. 333 S. Reidt/Stickler/Glahs, Vergabe Kommentar, noch zur Vorgängerregelung § 110 Rz. 34. 334 S. zur Ausnahme gem. § 115 Abs. 2 GWB auf Antrag des Auftraggebers: Reidt/Stickler/Glahs, Vergabe Kommentar, § 115 Rz. 33 ff. noch zur Vorgängerregelung. 335 S. Reidt/Stickler/Glahs, Vergabe Kommentar, noch zur Vorgängerregelung § 109 Rz. 22 ff. 336 S. Reidt/Stickler/Glahs, Vergabe Kommentar, noch zur Vorgängerregelung § 109 Rz. 30 ff.
Bischof
873
D Rz. 468
Vergabe von IT-Leistungen
468 § 167 Abs. 2 Satz 1 GWB verpflichtet alle Beteiligten, an der Aufklärung des Sachverhalts mitzuwirken (Pflicht zur Förderung des Verfahrens). Die Vorschrift wird an verschiedenen Stellen des GWB konkretisiert, so insb. in §§ 160 Abs. 3, 163 Abs. 2 Satz 3, 165 Abs. 1, 166 Abs. 1 GWB. 4.1.6 Untersuchungsgrundsatz 469 Wesentliches Verfahrensmerkmal ist, dass die Vergabekammer den Sachverhalt von Amts wegen erforscht, § 163 Abs. 1 Satz 1 GWB. § 163 Abs. 1 Sätze 2, 3 GWB stellen klar, dass die Vergabekammer zu einer umfassenden Rechtmäßigkeitskontrolle nicht verpflichtet ist, sich vielmehr auf das beschränken kann, was die Beteiligten vorbringen oder der Vergabekammer sonst bekannt sein muss. Die Vergabekammer soll bei ihrer gesamten Tätigkeit darauf achten, dass der Ablauf des Vergabeverfahrens nicht unangemessen beeinträchtigt wird, § 163 Abs. 1 Satz 4 GWB. 470 Der Antragsteller erhält bereits eine bestimmte „Sicherheit“, wenn die Vergabekammer den Auftraggeber über den Nachprüfungsantrag informiert, da dies nur erfolgt, sofern der Antrag weder offensichtlich unzulässig noch unbegründet ist, § 163 Abs. 2 Satz 1 GWB. 471 Eine interessante Regelung findet sich in § 163 Abs. 2 Satz 2 GWB. Der Auftraggeber kann vorsorglich bei der Vergabekammer eine Schutzschrift hinterlegen, um bereits vor Anhängigkeit eines Nachprüfungsverfahrens über die tatsächlichen und rechtlichen Aspekte zur Widerlegung eines Nachprüfungsantrags in Kenntnis zu setzen. Eine solche Schutzschrift muss von der Vergabekammer bei ihrer Prüfung berücksichtigt werden. 472 Die Vergabekammer fordert zudem die Vergabeakten (s. Rz. 164 f.), also die Akten, die das Vergabeverfahren dokumentieren, an. Der Auftraggeber ist dabei verpflichtet, der Vergabekammer die Vergabeakten sofort zur Verfügung zu stellen. Sofort bedeutet hierbei, dass umgehend nach Eingang der Aufforderung die Unterlagen zusammengestellt und auf dem schnellstmöglichen Weg an die Vergabekammer überbracht werden müssen.337 Dies verdeutlicht zum einen die Wichtigkeit der Vergabeakten an sich sowie zum anderen das Erfordernis deren Führung und Dokumentationspflichten im Laufe des Verfahrens. 4.1.7 Akteneinsicht 473 Die Verfahrensbeteiligten haben Einsichtsrecht338 in die Akten bei der Vergabekammer (§ 165 GWB). Vom Einsichtsrecht sind ausgeschlossen diejenigen Unterlagen, die Fabrikations-/Betriebs-/Geschäftsgeheimnisse enthalten. I.Ü. besteht das Einsichtsrecht hinsichtlich sämtlicher der Vergabekammer zur Entscheidung vorliegenden Unterlagen, also sowohl die Akten der Vergabekammer als auch die beigezogenen Vergabeakten, eingereichten Schriftsätze usw. Die Einsicht kann nur bei der Vergabekammer erfolgen. Dies gilt auch für nicht ortsansässige Verfahrensbeteiligte. Die Verfahrensbeteiligten haben einen Anspruch auf die allerdings kostenpflichtige Erstellung von Ausfertigungen, Auszügen oder Abschriften aus den Akten. 474 Ob die Akteneinsicht neue Erkenntnisse erbringt, hängt wohl wesentlich davon ab, was vom öffentlichen Auftraggeber an Unterlagen in die Vergabeakten aufgenommen wurde. Oftmals liegen den Verfahrensbeteiligten bis auf vom öffentlichen Auftraggeber verwendete Formulare (z.B. zum Vergabevermerk gem. § 8 VgV, der sich am Verfahrensablauf orientiert) alle weiteren Schriftstücke ohnehin schon vor.
337 S. Reidt/Stickler/Glahs, Vergaberecht Kommentar, noch zur Vorgängerregelung § 110 Rz. 45 m.w.N. 338 S. Losch, VergabeR 2008, 739 (auch ausführlich zu Anspruchsgrundlagen außerhalb des GWB).
874
Bischof
Rechtsschutz
D
Rz. 481
Zudem kann die Vergabekammer gem. § 165 Abs. 2 GWB die Einsicht in Teile der Vergabe- 475 akte versagen, z.B. wenn sehr sensible Bereiche angesprochen sind. Dem Akteneinsichtsrecht des Antragstellers stehen regelmäßig Geheimhaltungsinteressen der anderen Beteiligten, insb. des/der beigeladenen Mitbewerber/s gegenüber. Eine Zustimmung der Betroffenen ist nicht erforderlich. Sie werden zwar angehört, die Entscheidung trifft jedoch die Vergabekammer. Im Regelfall wird es aber erforderlich sein, den Verfahrensbeteiligten die wertungsrelevanten sowie die sonstigen die Entscheidung tragenden Unterlagen zugänglich zu machen, denn es ist aufgrund des Grundrechts auf rechtliches Gehör gemäß Art. 103 GG unzulässig, einer gerichtlichen Entscheidung Tatsachen zugrunde zu legen, zu denen die Verfahrensbeteiligten nicht Stellung nehmen konnten.339
476
Auch wenn unklar ist, ob neue Erkenntnisse gewonnen werden können, und auch wenn (zu- 477 recht) in Teile das Einsichtsrecht von der Vergabekammer nach § 165 Abs. 2 GWB versagt wird, sollte auf dieses Recht jedoch keinesfalls verzichtet werden, da es doch die einzige Möglichkeit darstellt, die vom Auftraggeber geführten Unterlagen „zu Gesicht zu bekommen“. Erkennt der Bieter aus der Akteneinsicht (oder anderweitig im Laufe des Nachprüfungsverfahrens) weitere Vergaberechtsverstöße, so müssen diese so rechtzeitig vorgetragen werden, dass sie nicht zu einer Verzögerung des Nachprüfungsverfahrens führen. Sie müssen unverzüglich vor der Vergabekammer/dem Vergabesenat in entsprechender Anwendung des § 160 Abs. 3 Satz 1 GWB vorgetragen werden.340
478
4.1.8 Entscheidung, §§ 167, 168 GWB und deren Bindungswirkung gem. § 179 GWB Es gilt der in § 167 GWB postulierte Beschleunigungsgrundsatz: Die Vergabekammer hat 479 binnen 5 Wochen ab Eingang des Nachprüfungsantrags eine Entscheidung zu treffen und diese zu begründen, § 167 Abs. 1 Satz 1 GWB. In Ausnahmefällen kann der Vorsitzende diese Frist um den erforderlichen Zeitraum auch unter Mitteilung der entsprechenden Begründung verlängern. Hierfür ist erforderlich, dass tatsächliche oder rechtliche Schwierigkeiten bestehen. Beispiele hierfür sind: – Überlastung der Vergabekammer (wovon auch des Öfteren Gebrauch gemacht wird);341 – Hoher Anzahl an Beteiligten, denen rechtliches Gehör zu gewähren ist; – Erforderlichkeit der Einschaltung eines Sachverständigen; – Sehr komplexe oder sehr seltene Vergabevorgänge. Der Verfahrensbeschleunigung soll nun die neu aufgenommene Regelung dienen, dass dieser 480 Zeitraum der Fristverlängerung durch die Vergabekammer nicht länger als zwei Wochen dauern soll (§ 167 Abs. 1 Satz 3 GWB). Der Vergabekammer ist es gestattet, gem. § 167 Abs. 2 Satz 2 GWB den Verfahrensbeteiligten 481 Fristen für deren Sach- und Rechtsvortrag zu setzen. Werden diese Fristen von den Betroffenen nicht eingehalten, so kann danach erfolgender Vortrag von der Vergabekammer unbeachtet bleiben. Diese Regelung erscheint auch interessengerecht im Hinblick auf den Beschleunigungsgrundsatz des Vergabeverfahrens sowie im Vergleich zu anderen Verfahrensordnungen.
339 S. zum Einsichtsrecht: Reidt/Stickler/Glahs, Vergaberecht Kommentar, § 111 Rz. 9 ff., 14 ff.; insb. OLG Jena, Beschl. v. 26.10.1999 – 6 Verg 4/99, NZBau 2000, 354. S. a. OLG Düsseldorf, Beschl. v. 28.12.2007 – VII Verg 40/07, VergabeR 2008, 218 ff. 340 OLG Celle, Beschl. v. 8.3.2007 – 13 Verg 2/07, VergabeR 2007, 401. 341 S. Reidt/Stickler/Glahs, Vergaberecht Kommentar, noch zur Vorgängerregelung § 113 Rz. 10 ff.; Bechtold, GWB, 3. Aufl. 2002, § 113 Rz. 2; a. A. Boesen, Vergaberecht, 2000, § 113 Rz. 20.
Bischof
875
D Rz. 482
Vergabe von IT-Leistungen
482 An gestellte Anträge ist die Vergabekammer nicht gebunden. Sie kann daher nach eigenem Ermessen auf die Rechtmäßigkeit des Vergabeverfahrens einwirken, § 168 Abs. 1 Satz 2 GWB. 483 Die Vergabekammer entscheidet anhand der erfolgten Untersuchungen und Feststellungen, ob der Antragsteller tatsächlich in seinen Rechten aus § 97 Abs. 6 GWB verletzt ist. Der hierfür maßgebliche Zeitpunkt ist der Zeitpunkt der Entscheidung der Vergabekammer. Logische Konsequenz hieraus ist, dass der Auftraggeber bis zu diesem Zeitpunkt einen bei Verfahrenseinleitung bestehenden Vergabeverstoß heilen kann. 484 Ist Gegenstand des Verfahrens beispielsweise, dass die Leistungsbeschreibung für das zu vergebende Softwareprojekt von einem externen Berater erstellt wurde, der enge Geschäftskontakte zu einem konkurrierenden Bieter hat und dessen Leistungsfähigkeit bei der Leistungsbeschreibung berücksichtigt wurde, so kann dieser Verstoß im laufenden Vergabeverfahren dadurch geheilt werden, dass dieser Bieter ausgeschlossen wird. Dies muss die Vergabekammer berücksichtigten. I.d.R. kommt, wenn keine weiteren Verstöße vorliegen, nur die Rücknahme des Nachprüfungsantrags oder die Umstellung auf einen Fortsetzungsfeststellungsantrag gem. § 168 Abs. 2 Satz 2 GWB in Betracht.342 485 Stellt die Vergabekammer eine Rechtsverletzung fest, dann trifft sie die nach Ansicht der Vergabekammer geeigneten Maßnahmen, um diese zu beseitigen und eine Schädigung der betroffenen Interessen zu verhindern. 486 Auch wenn der Antragsteller aufgrund der aus seiner Sicht vorliegenden Schwere der Rechtsverletzungen des Auftraggebers die Aufhebung des Verfahrens beantragt, bedeutet dies nicht, dass es letztlich zu einer Aufhebung kommt. So kann es vorkommen, dass die Vergabekammer z.B. lediglich – einen Bieter ausschließt; – anordnet, die Wertung neu durchzuführen oder einen anderen Verfahrensschritt unter Beachtung der Vorgaben der Vergabekammer entsprechend den Anforderungen des Vergaberechts zu wiederholen.343 487 Aber auch das Ermessen der Vergabekammer kennt eine Grenze, § 168 Abs. 2 Satz 1 GWB: – Nach altem Recht galt: Die Vergabekammer kann einen bereits erteilten Zuschlag nicht mehr aufheben, und zwar unabhängig davon, ob das durchgeführte Vergabeverfahren rechtmäßig oder rechtswidrig war. Der Zuschlag beendet das Vergabeverfahren, ohne dass die Vergabekammer rückwirkende Einflussmöglichkeiten hat.344 – Nach derzeitigem Recht gilt: Die Vergabekammer kann einen wirksam erteilten Zuschlag nicht mehr aufheben. Die Einfügung des Wortes „wirksam“ erfolgte, um die Rechtsfolge der Unwirksamkeit nach § 134 GWB auch auf den Zuschlag zu erstrecken. 488 Wenn sich ein Nachprüfungsverfahren durch Zuschlagserteilung, Aufhebung oder Einstellung des Vergabeverfahrens oder in sonstiger Weise erledigt hat, kann eine Rechtsverletzung jedoch gem. § 168 Abs. 2 Satz 2 GWB festgestellt werden.345 489 Jede Entscheidung des Vergabegerichts entfaltet Bindungswirkung gem. § 179 GWB für ein gerichtliches Verfahren vor den ordentlichen Gerichten zur Geltendmachung von Schadensersatz im Hinblick auf: 342 S. Reidt/Stickler/Glahs, Vergabe Kommentar, noch zur Vorgängerregelung § 114 Rz. 39 ff. 343 S. ausführlich zu Entscheidungsmöglichkeiten und Entscheidungsinhalten Reidt/Stickler/Glahs, Vergabe Kommentar, noch zur Vorgängerregelung § 114 Rz. 10 ff. 344 S. Reidt/Stickler/Glahs, Vergabe Kommentar, noch zur Vorgängerregelung § 114 Rz. 33 ff. 345 S. Reidt/Stickler/Glahs, Vergabe Kommentar, noch zur Vorgängerregelung § 114 Rz. 39 ff.
876
Bischof
Rechtsschutz
Rz. 496
D
– Tenor; – Tatsachenfeststellungen; – Tragende rechtliche Erwägungen und Wertungen; – Feststellungen zur Verletzung von subjektiven Bieterrechten. 4.1.9 Vorabgestattung des Zuschlags gem. § 169 Abs. 2 GWB Die Regelung des § 169 Abs. 2 GWB schafft dem Auftraggeber und nun auch dem Bieter, der für den Zuschlag vorgesehen ist, die Möglichkeit, einen Antrag dahingehend zu stellen, dass trotz Nachprüfungsantrag der Zuschlag durch Entscheidung gestattet wird, wenn die Vorteile eines schnellen Zuschlags unter Berücksichtigung aller möglicherweise geschädigten Interessen sowie des Interesses der Allgemeinheit überwiegen.
490
Die sofortige Beschwerde gem. § 171 Abs. 1 GWB gegen eine Entscheidung der Vergabekam- 491 mer nach § 169 Abs. 2 GWB ist nicht zulässig. Dennoch kann auf eine andere Entscheidung durch das Beschwerdegericht hingewirkt werden: – Trifft die Vergabekammer eine positive Entscheidung zur Vorabgestattung, kann das Beschwerdegericht auf Antrag das Zuschlagsverbot wiederherstellen. – Bei Versagung der Vorabgestattung kann auf Antrag des Auftraggebers das Beschwerdegericht den sofortigen Zuschlag gestatten (wenn die vorgenannten Voraussetzungen des § 169 Abs. 2 Sätze 1–4 GWB zutreffen). In der Praxis wird von diesem Instrument bislang nur selten Gebrauch gemacht.
492
4.2 Die sofortige Beschwerde gem. §§ 171 ff. GWB zum OLG 4.2.1 Zulässigkeit, Zuständigkeit Die Entscheidungen der Vergabekammern können im Wege der sofortigen Beschwerde zu 493 den jeweiligen Oberlandesgerichten346 (deren örtliche Zuständigkeit über den Sitz der Vergabekammer ermittelt wird, § 171 Abs. 3 GWB) angefochten werden, wobei alle Verfahrensbeteiligten berechtigt sind, diese einzulegen. 4.2.2 Frist, Form Die sofortige Beschwerde ist gemäß § 172 Abs. 1 GWB binnen einer Frist von 2 Wochen einzureichen, wobei diese i.d.R.347 erst mit förmlicher Zustellung der Entscheidung der Vergabekammer zu laufen beginnt und nicht bereits mit der Vorab-Übersendung per Fax an alle Beteiligten.
494
Die sofortige Beschwerde muss bei Einlegung schriftlich begründet werden, wobei anzuge- 495 ben ist, – inwieweit die Entscheidung der Vergabekammer angefochten und welche abweichende Entscheidung beantragt wird, sowie – die Angabe der Tatsachen und Beweismittel, auf die die sofortige Beschwerde gestützt wird. Vor den Vergabesenaten der Oberlandesgerichte herrscht gem. § 172 Abs. 3 Satz 1 GWB Anwaltszwang. 346 S. zur sofortigen Beschwerde Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 1322 ff. 347 Dies gilt jedoch dann nicht, wenn dem Fax ein Empfangsbekenntnis beigefügt ist, das unterzeichnet zurückzufaxen ist: OLG Stuttgart, Beschl. v. 11.7.2000 – 2 Verg 5/00, NZBau 2001, 462.
Bischof
877
496
D Rz. 497
Vergabe von IT-Leistungen
497 Der Beschwerdeführer muss beachten, dass gem. § 172 Abs. 4 GWB alle Verfahrensbeteiligten des Nachprüfungsverfahrens vor der Vergabekammer vorab über die Einlegung der Beschwerde zu unterrichten sind. 4.2.3 Wirkung der sofortigen Beschwerde 498 Die Einlegung der sofortigen Beschwerde hat aufschiebende Wirkung (Suspensiveffekt), d. h. die Entscheidung der Vergabekammer kann nicht umgesetzt werden. 499 Zu beachten ist aber, dass diese Wirkung zwei Wochen nach Ablauf der Beschwerdefrist wieder entfällt (§ 173 Abs. 1 Satz 2 GWB). 500 Für den vor der Vergabekammer unterlegenen Bieter hat dies zur Folge, dass er, um eine Zuschlagserteilung wirklich bis zur Entscheidung über die sofortige Beschwerde zu verhindern, einen Antrag auf Verlängerung der aufschiebenden Wirkung (und damit des Zuschlagsverbots) gleichzeitig mit Einlegung der sofortigen Beschwerde stellen muss (§ 173 Abs. 1 Satz 3 GWB). 501 Meist ordnet der Vergabesenat die einstweilige Verlängerung der aufschiebenden Wirkung bis zur Entscheidung über die Verlängerung der aufschiebenden Wirkung an, da der Antrag sorgfältig summarisch geprüft werden muss, v. a. da bei Ablehnung des Antrags der Auftraggeber i.d.R. zeitnah den Zuschlag erteilen wird und somit „vollendete Tatsachen“ schafft.348 4.2.4 Beschwerdeentscheidung 502 Hält der Vergabesenat die Beschwerde für begründet, so hebt er die Entscheidung der Vergabekammer auf (§ 178 Satz 1 GWB), wobei der Vergabesenat selbst entscheiden kann oder aber die Vergabekammer verpflichten kann, in der Sache neu zu entscheiden. 503 Auch der Vergabesenat ist nicht befugt, einen erteilten Zuschlag aufzuheben (§§ 178 Satz 4, 168 Abs. 2 GWB).349 4.2.5 Weiterer Rechtschutz gegen eine ablehnende Entscheidung des OLG? 504 Nach derzeit allgemeiner Auffassung350,351 ist gegen die Entscheidung des OLG die in §§ 74 ff. GWB vorgesehene Rechtsbeschwerde nicht zulässig, was u.a. damit begründet wird, dass in § 120 Abs. 2 GWB a.F. (nun § 175 Abs. 2 GWB) ein Verweis auf die entsprechenden Zulässigkeitsvoraussetzungen fehlt. 505 In der Praxis werden v. a. zwei Rechtsbehelfsmöglichkeiten außerhalb des GWB diskutiert, mit denen ggf. die Entscheidung des OLG erfolgreich angegriffen werden kann: – Verfassungsbeschwerde: Dies ist v.a. bei Verletzung von Verfahrensgrundsätzen im gerichtlichen Verfahren denkbar. – Rüge nach § 321 a ZPO: Die Regelung sieht vor, dass das Verfahren auf Rüge der durch die Entscheidung beschwerten Partei fortzuführen ist, wenn ein Rechtsmittel oder Rechtsbehelf gegen die Entscheidung nicht gegeben ist und das Gericht den Anspruch dieser Partei auf rechtliches Gehör in entscheidungserheblicher Weise verletzt hat. Zwar hat der 348 Unterliegt dagegen der Auftraggeber vor der Vergabekammer und legt hiergegen sofortige Beschwerde ein, kann dieser gem. § 176 GWB einen Antrag auf Vorabentscheidung über den Zuschlag stellen (s. hierzu Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 1383 ff.). 349 S. zu Divergenzvorlagen an den BGH: Noch, Vergaberecht kompakt, 7. Aufl. 2016, Rz. 403 ff. m.w.N. 350 S. Giedinghaben/Schopp, VergabeR 2007, 33. 351 BGH, Beschl. v. 16.9.2003 – X ZB 12/03, VergabeR 2004, 62; Immenga/Mestmäcker/Stockmann, Fn. 2 zu § 123 Rz. 2 sowie Fn. 2 zu § 124 Rz. 2.
878
Bischof
Rechtsschutz
Rz. 510
D
BGH eine Anhörungsbeschwerde als unzulässig verworfen,352 dies auch in Kenntnis der zuvor zu § 321a ZPO ergangenen grundlegenden Entscheidung des BVerfG, wonach der Wortlaut des § 321a ZPO (jedoch erst nach der BGH-Entscheidung) angepasst wurde, sodass die Rüge auch in der Rechtsmittelinstanz zulässig ist. Vor diesem Hintergrund steht somit nicht fest, ob der BGH eine Beschwerde nach § 321a ZPO wegen des Grundsatzes der Rechtsmittelklarheit nochmals zurückweisen würde. Es erscheint daher in der Beratungspraxis sinnvoll, sich über diese Rechtsschutzmöglichkeiten Gedanken und im Zweifel von beiden Gebrauch zu machen.
506
Zu erwähnen ist noch die Divergenzvorlage nach § 179 Abs. 2 GWB, wonach ein OLG zur Vorlage an den BGH verpflichtet ist, wenn es von einer Entscheidung eines anderen OLG oder des BGH abweichen will. Damit soll die bundeseinheitliche Rspr. in Vergabesachen gewährleistet werden.353
507
4.3 Sekundärrechtsschutz: Schadensersatz gem. § 181 GWB Sekundärrechtsschutz354 besteht vor den ordentlichen Gerichten. Diese sind gem. § 179 GWB 508 an die Entscheidung der Vergabekammer gebunden, nicht jedoch an Entscheidungen der Vergabeprüfstellen oder Vergabeüberwachungssausschüsse.355 Der Bieter, der ohne Verstoß gegen Vergabevorschriften eine echte Chance auf Erteilung des Zuschlags gehabt hätte, hat gem. § 181 Satz 1 GWB einen Schadensersatzanspruch gegen den Auftraggeber. Er ist gerichtet auf den Vertrauensschaden oder das sog. negative Interesse begrenzt, somit auf die Kosten der Vorbereitung des Angebots oder der Teilnahme am Vergabeverfahren.356 Trotz dieser Beschränkung kann sich der öffentliche Auftraggeber Schadensersatzansprüchen von erheblicher Höhe ausgesetzt sehen. Die Teilnahme an einem Vergabeverfahren verursacht bei den IT-Unternehmen erhebliche 509 Kosten, insb. wenn der Auftraggeber bei einem Verhandlungsverfahren umfangreiche Prüfungen der Angebote und der Leistungsfähigkeit vorgesehen hat. Solche Verfahren binden personelle und technische Ressourcen oft über einen längeren Zeitraum. Darüber hinaus können die Unternehmen zudem weitergehende Ansprüche, also z.B. auf entgangenen Gewinn, nach den allgemeinen Vorschriften geltend machen.357 Das Vergaberecht steht dem nicht entgegen, was § 181 Satz 2 GWB ausdrücklich festhält. Als Anspruchsgrundlagen nach den allgemeinen Vorschriften kommen in Betracht: – § 311 Abs. 2 BGB
510
(„cic“),358
– § 823 Abs. 2 BGB i.V.m. Vergaberecht, – § 823 Abs. 1 BGB (Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb), – § 826 BGB (vorsätzliche sittenwidrige Schädigung), – §§ 20, 33 GWB i.V.m. UWG.359
352 353 354 355 356 357
S. BGH, Beschl. v. 16.9.2003 – X ZB 12/03, VergabeR 2004, 62. S. Röwekamp, in: Kulartz/Kus/Portz, GWB-Vergaberecht 3. Aufl. 2013, § 124 Rz. 10 ff., m.w.N. S. zur Haftung des Auftraggebers bei Vergabefehlern: Ohler, BauRB 2005, 153. S. zu letzterem OLG Naumburg, Beschl. v. 26.10.2004 – 1 U 30/04, BauRB 2005, 141. S. Reidt/Stickler/Glahs, Vergabe Kommentar, § 126 Rz. 14 ff., 39 ff. S. zur Geltendmachung von entgangenem Gewinn OLG Naumburg, Beschl. v. 26.10.2004 – 1 U 30/04, BauRB 2005, 141. 358 S. zum vorvertraglichen Schuldverhältnis aus § 311 Abs. 2 BGB und zur Vertrauenshaftung OLG Dresden, Beschl. v. 10.2.2004 – 20 U 1697/03, BauRB 2004, 205; bestätigt vom BGH, Beschl. v. 3.3.2009 – X ZR 22/08, IBR 2009, 231. 359 S. zum Umfang ausführlich Reidt/Stickler/Glahs, Vergabe Kommentar, § 126 Rz. 46 ff.
Bischof
879
E. Strafrecht Rz.
Rz. I. Allgemeine Ausführungen zum IT-Strafrecht 1. Anwendbarkeit des deutschen Strafrechts. . . . . . . . . . . . . . . . . . . . . 2. Verbrechen und Vergehen . . . . . . . . 3. Strafantrag . . . . . . . . . . . . . . . . . . . . 4. 41. Strafrechtsänderungsgesetz (StrÄndG) . . . . . . . . . . . . . . . . . . . . . II. Straftaten mit Bezug zur Informationstechnologie. . . . . . . . . . . . . . . . 1. Computerbetrug (§ 263a StGB) . . . . 1.1 Objektiver Tatbestand . . . . . . 1.2 Tathandlungen (Auszug) . . . . 1.2.1 Unrichtige Gestaltung des Programms . . . . . . . . . . . . . . . 1.2.2 Verwendung unrichtiger und unvollständiger Daten (Inputmanipulation) . . . . . . . . . . . . . 1.2.3 Unbefugte Verwendung von Daten. . . . . . . . . . . . . . . . . . . . 1.2.4 Sonstige unbefugte Einwirkungen auf den Ablauf (Auffangtatbestand) . . . . . . . . 1.3 Weitere Voraussetzungen. . . . 1.4 Strafbare Vorbereitungshandlungen . . . . . . . . . . . . . . . 1.5 Betrug im Internet – weitere Fallbeispiele . . . . . . . . . . . . . . 1.5.1 Pharming . . . . . . . . . . . . . . . . 1.5.2 Online-Auktionen . . . . . . . . . 1.5.3 Phishing . . . . . . . . . . . . . . . . . 1.5.4 Betrug im Internet-Versandhandel . . . . . . . . . . . . . . . . . . . 2. Fälschung technischer Aufzeichnungen (§ 268 StGB). . . . . . . . . . . . . 2.1 Rechtsgut . . . . . . . . . . . . . . . . . . 2.2 Technische Aufzeichnung . . . . 2.3 § 268 Abs. 3 StGB . . . . . . . . . . . 3. Fälschung beweiserheblicher Daten (§ 269 StGB) . . . . . . . . . . . . . . . . . . . 3.1 Beweiserhebliche Daten . . . . . . 3.2 Die Tathandlungen . . . . . . . . . . 3.3 Subjektiver Tatbestand . . . . . . . 4. Täuschung im Rechtsverkehr bei der Datenverarbeitung (§ 270 StGB) 5. Mittelbare Falschbeurkundung (§ 271 StGB) . . . . . . . . . . . . . . . . . . . 6. Urkundenunterdrückung (§ 274 StGB) . . . . . . . . . . . . . . . . . . . 7. Datenveränderung (§ 303a StGB). . . 7.1 Tatobjekt . . . . . . . . . . . . . . . . . . 7.2 Tathandlungen. . . . . . . . . . . . . .
880
Hassemer
1 4 5
8.
6 7 11 12 13 14 17 20
9.
22 24 28 32 33 34 35
10.
39 40 41 42 43
11.
44 45 47 48 12. 49 50 52 53 54 59
13.
7.3 Versuch . . . . . . . . . . . . . . . . . . . . 7.4 Strafbarkeit der Vorbereitungshandlung (§ 303a Abs. 3 StGB) . 7.5 Strafantrag (§ 303c StGB) . . . . . . Computersabotage (§ 303b StGB). . . 8.1 Tatgegenstand . . . . . . . . . . . . . 8.2 Erhebliche Störung der Datenverarbeitung . . . . . . . . . . . . . . 8.2.1 § 303b Abs. 1 Nr. 1 StGB . . . . 8.2.2 § 303b Abs. 1 Nr. 2 StGB . . . . 8.2.3 § 303b Abs. 1 Nr. 3 StGB . . . . 8.2.4 Datenverarbeitung fremder Betriebe oder Behörden (§ 303b Abs. 2 StGB) . . . . . . . . 8.2.5 Versuchstrafbarkeit (§ 303b Abs. 3 StGB) . . . . . . . . 8.2.6 § 303b Abs. 4 StGB . . . . . . . . . 8.2.7 Strafbarkeit der Vorbereitungshandlung (§ 303b Abs. 5 StGB) 8.2.8 Strafantrag (§ 303c StGB) . . . . Strafbare Verwendung personenbezogener Daten (§§ 44, 43 BDSG) 9.1 Personenbezogene Daten. . . . . . 9.2 Straftatbestand des § 44 BDSG . 9.3 Rechtswidrigkeit . . . . . . . . . . . . 9.4 Täter . . . . . . . . . . . . . . . . . . . . . . 9.5 Antragsdelikt . . . . . . . . . . . . . . . 9.6 Rechtsprechungsbeispiele . . . . . Ausspähen von Daten (§ 202a StGB) 10.1 Tatgegenstand . . . . . . . . . . . . . 10.2 Tathandlung . . . . . . . . . . . . . . . 10.3 Rechtswidrigkeit . . . . . . . . . . . 10.4 Vorsatz . . . . . . . . . . . . . . . . . . . 10.5 Strafantragsdelikt (§ 205 Abs. 1 Satz 2 StGB) . . . . . . . . . . . . . . . 10.6 Rechtsprechungsbeispiel: . . . . 10.7 Gesetzesentwurf des Bundesrats vom 7.6.2013 . . . . . . . . . . . Abfangen von Daten (§ 202b StGB) . 11.1 Tatgegenstand . . . . . . . . . . . . . 11.2 Tathandlungen . . . . . . . . . . . . . 11.3 Sonstige Voraussetzungen . . . . 11.4 Strafantragsdelikt (§ 205 Abs. 1 Satz 2 StGB) . . . . . . . . . . . . . . . Vorbereiten des Ausspähens oder Abfangens von Daten (§ 202c StGB) 12.1 Tatgegenstand . . . . . . . . . . . . . 12.2 Tathandlung . . . . . . . . . . . . . . 12.3 Problematik IT-Sicherheit . . . 12.4 Entscheidung des BVerfG vom 18.5.2009 . . . . . . . . . . . . . 12.5 Strafantrag . . . . . . . . . . . . . . . . Datenhehlerei (§ 202d StGB) . . . . . . 13.1 Schutzgut . . . . . . . . . . . . . . . . .
66 67 69 70 71 72 73 74 76 78 79 80 81 82
83 84 86 88 89 90 94 95 99 100 102 103 104 105 107 108 115 116 117 118 120 123 124 125 139 140 141
E
Strafrecht
Rz.
Rz. 13.2 Tatgegenstand . . . . . . . . . . . . . 13.3 Tathandlungen. . . . . . . . . . . . . 13.4 Subjektiver Tatbestand . . . . . . 13.5 Rechtswidrigkeit . . . . . . . . . . . 13.6 § 202d Abs. 2 StGB . . . . . . . . . 13.7 § 202d Abs. 3 StGB . . . . . . . . . 13.8 Strafantragsdelikt . . . . . . . . . . 13.9 Fallbeispiele und Rspr. . . . . . . 14. Verletzung des Post- oder Fernmeldegeheimnisses (§ 206 StGB) . . . . . . 14.1 Beschluss des OLG Karlsruhe v. 10.1.2005 – 1 WS 152/04. . 14.2 Tatobjekt. . . . . . . . . . . . . . . . 14.3 Tathandlungen 14.3.1 § 206 Abs. 1 StGB . . . . . . . . . 13.3.2 § 206 Abs. 2 Nr. 1 StGB . . . . 14.3.3 Unterdrücken einer E-Mail . 14.4 Vorsatz, Rechtswidrigkeit und Schuld . . . . . . . . . . . . . . 15. Offenbarung fremder Geheimnisse (§ 203 StGB) . . . . . . . . . . . . . . . . . . . 15.1 Tatgegenstand . . . . . . . . . . . . . 15.2 Tathandlung. . . . . . . . . . . . . . . 15.3 Negatives Tatbestandsmerkmal: Befugnis . . . . . . . . . 15.4 Risikobereich Gesundheitswesen . . . . . . . . . . . . . . . . . . . . 16. Verrat von Geschäfts- und Betriebsgeheimnissen (§ 17 UWG) . . . . . . . . 16.1 Straftatbestände des § 17 Abs. 1 und Abs. 2 UWG . . . . . 16.2 Computer- und internetspezifische Besonderheiten . . 16.3 Tathandlungen . . . . . . . . . . . .
142 146 147 148 149 150 151 152 156 158 161 168 169 170 173 181 182 184 188 189 197 198 199 200
16.4 Subjektive Tatseite . . . . . . . . . 16.5 Strafantrag . . . . . . . . . . . . . . . . 17. Strafrechtlich relevante Urheberrechtsverletzungen 17.1 Übersicht . . . . . . . . . . . . . . 17.2 Unerlaubte Verwertung urheberrechtlich geschützter Werke (§ 106 UrhG) 17.2.1 Überblick . . . . . . . . . . . . . . 17.2.2 Tatobjekt . . . . . . . . . . . . . . 17.2.3 Tathandlungen . . . . . . . . . . 17.2.3.1 Vervielfältigen . . . . . . . . . . 17.2.3.2 Verbreiten . . . . . . . . . . . . . . 17.2.3.3 Öffentliche Wiedergabe . . . 17.2.4 Das Merkmal „in anderen als den gesetzlich zugelassenen Fällen“ . . . . . . . . . 17.2.5 Subjektiver Tatbestand. . . . 17.2.6 Nichtberechtigung (ohne Einwilligung des Berechtigten) . . . . . . . . . . . . . . . . . 17.2.7 Täterschaft und Teilnahme 17.2.8 Strafbarkeit des Versuchs. . 17.3 Eingriffe in verwandte Schutzrechte (§ 108 UrhG) 17.4 Strafschärfung bei Gewerbsmäßigkeit (§ 108a UrhG) . . 17.5 Unerlaubte Eingriffe in technische Schutzmaßnahmen und zur Rechtewahrnehmung erforderliche Informationen (§ 108b UrhG) 17.6 Strafantrag § 109 UrhG . . .
204 205
206
207 208 209 210 214 218 219 221 222 223 226 227 228
231 233
Literatur: Bachfeld, Angriff der Karten-Kloner, c’t 25/2007, 76; Bär, Wardriver und andere Lauscher - Strafrechtliche Fragen im Zusammenhang mit WLAN, MMR 2005, 434; Bär, Telekommunikationsüberwachung und andere verdeckte Ermittlungsmaßnahmen – Gesetzliche Neuregelungen zum 1.1.2008, MMR 2008, 215; Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, 2007; Beck, Internetbeleidigung de lege lata und de lege ferenda – Strafrechtliche Aspekte des „spickmich“-Urteils, MMR 2009, 736; Behling, Compliance versus Fernmeldegeheimnis, Wo liegen die Grenzen bei E-Mail-Kontrollen als Antikorruptionsmaßnahme?, BB 2010, 892–896; Beukelmann, Surfen ohne strafrechtliche Grenzen, NJW 2012, 2617; Beukelmann, Computer und Internetkriminalität, NJW-Spezial 2004, 135; Bornemann, Der „Verbreitensbegriff“ bei Pornografie in audiovisuellen Mediendiensten – Straferweiternd im Internet und strafverkürzend im Rundfunk?, MMR 2012, 157; Brühl/Sepperer, E-Mail-Überwachung am Arbeitsplatz: Wer bewacht den Wächter?, DSRITB 2014, 517; Buermeyer, Der strafrechtliche Schutz drahtloser Computernetzwerke (WLANs), HRRS 2004, 285; Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 5. Aufl. 2016 (zitiert: Bearbeiter, in: Däubler/Klebe/Wedde/Weichert, BDSG, Fundstelle); Deusch, Verschlüsselte Kommunikation im Unternehmensalltag: nice-to-have oder notwendige Compliance?, DSRITB 2014, 543; Dreier/Schulze, Kommentar zum Urheberrechtsgesetz, 5. Aufl. 2015; Erbs/Kohlhaas, Strafrechtliche Nebengesetze, BDSG, EL 2013; Ernst/Vassilaki/Wiebe, Hyperlinks Rechtsschutz – Haftung – Gestaltung, Köln 2002; Ferner, Hackerparagraph – § 202c StGB näher beleuchtet; Fischer, Strafgesetzbuch und Nebengesetze, 63. Aufl. 2016 (zitiert: Fischer, StGB, Fundstelle); Fülbier/Splittgerber, Keine (Fernmelde-)Geheimnisse vor dem Arbeitgeber?, NJW 2012, 1995; Gercke, Die Bekämpfung der Internetkriminalität als Herausforderung für die Strafverfolgungsbehörden, MMR 2008, 291; Gercke/Brunst, Praxishandbuch Internetstrafrecht, 2009; Gola/Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015; Graf, StPO Kommentar, 2. Aufl. 2012; Greeve, Privatisierung behördlicher Ermittlungen, StraFo 2013, 89; Gröseling/Höfinger, Hacking und Computerspionage – Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, MMR
Hassemer
881
E Rz. 1
Strafrecht
2007, 549; Hammersen/Weißgerber, Bring Your Own Device – Patentlösung im Klinikbereich?, ZD-Aktuell 2014, 03195; Hassemer, Der so genannte Hackerparagraph § 202 c StGB – Strafrechtliche IT-Risiken in Unternehmen, JurPC Web-Dok. 51/2010; Hassemer, Grenzen der Beschlagnahme im Bereich der Informationstechnologien, ITRB 2008, 107; Hassemer, Risiken in der IT-Branche, ITRB 2004, 253; Hassemer/ Ingeberg, Dual-Use-Software aus der Perspektive des Strafrechts (§ 202c StGB), ITRB 2009, 84; Hassemer/ Witzel, Filterung und Kontrolle des Datenverkehrs, ITRB 2006, 139; Hefendehl, Strafrechtliche Probleme beim Herstellen, beim Vertrieb und bei der Verwendung von wiederaufladbaren Telefonkartensimulatoren – Zugleich eine Besprechung von LG Würzburg, NStZ 2000, 348; Heidrich/Tschoepe, Rechtsprobleme der E-Mail-Filterung, MMR 2004, 75; Hilgendorf, Ehrenkränkungen („flaming“) im Web 2.0, ZIS 2010, 210; Hilgendorf/Valerius, Computer- und Internetstrafrecht, 2. Aufl. 2012; Hoeren, Skriptum Internet-Recht (Stand: 4/2014), abzurufen unter http://www.uni-muenster.de/Jura.itm/hoeren/itm/wp-content/uploads/ Skript-Internetrecht-April-2014.pdf, abgerufen am 22.1.2015; Hoeren, Dateneigentum –Versuch einer Anwendung von § 303a StGB im Zivilrecht, MMR 2013, 486; Hoeren, Internet- und Kommunikationsrecht. Praxis-Lehrbuch, 2. Aufl. 2012; Hoeren, Die Umsetzung der Richtlinie zur Vorratsdatenspeicherung – Konsequenzen für die Privatwirtschaft, JZ 2008, 668 ff.; Hoeren, Vorratsdaten und Urheberrecht – Keine Nutzung gespeicherter Daten, NJW 2008, 3099; Husemann, Die Verbesserung des strafrechtlichen Schutzes des bargeldlosen Zahlungsverkehrs durch das 35. Strafrechtsänderungsgesetz, NJW 2004, 104; Krempl, Hackerparagraphen, c’t 13/2007, 42; Kudlich, Herkunftslandprinzip und Internationales Strafrecht, HRRS 2004, 278; Kurz/Lindner/Rieger/Schröder, Chaos Computer Club (Hrsg.), Derzeitige und zukünftige Auswirkungen der Strafrechtsänderung auf die Computersicherheit, Stellungnahme anläßlich der Verfassungsbeschwerde gegen den § 202c StGB, https://erdgeist.org/archive/46halbe/202output.pdf Lackner/Kühl, StGB, 28. Aufl. 2014; Laufhütte/Rissing-van Saan/Tiedemann (Hrsg), Leipziger Kommentar Strafgesetzbuch, 12. Aufl. 2014 (zitiert: Bearbeiter, in: Leipziger Kommentar); Lensdorf/Born, Die Nutzung und Kontrolle des dienstlichen E-Mail-Accounts und Internetzugangs, CR 2013, 30; Malek/Popp, Strafsachen im Internet, 2. Aufl. 2015. Marberth-Kubicki, Der Beginn der Internet-Zensur – Zugangssperren durch Access-Provider, NJW 2009, 1792 und NJW-Aktuell 2010, 12; Marberth-Kubicki, Computer- und Internetstrafrecht, 2. Aufl. 2010; Mitnick/Simon, Die Kunst der Täuschung, Risikofaktor Mensch, 2003; Moosmayer/ Hartwig, Interne Untersuchungen, München 2012; Müller-Bonanni, Arbeitsrecht und Compliance – Hinweise für die Praxis, AnwBl. 2010, 651; Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb, 6. Aufl. 2014 (zitiert: Bearbeiter in Ohly/Sosnitza, UWG, Fundstelle); Plath, Kommentar zum BDSG sowie den Datenschutzbestimmungen des TMG und TKG, 2013; Popp, § 202c StGB und der neue Typus des europäischen „Software-Delikts“, GA 2008, 361; Popp, „Phishing“, „Pharming“ und das Strafrecht, MMR 2006, 84: Püschel, Täter Opfer Ausgleich-Gestaltungsmöglichkeiten des Verteidigers, StraFo 2006, 266; Redeker, Die Pflicht zur Vorratsdatenspeicherung, ITRB 5/2009, 112; Rinker, Strafbarkeit und Strafverfolgung von „IP-Spoofing“ und „Portscanning“, MMR 2002, 663; Rössel, Strafbarkeit des Schwarz-Surfens über offenen WLAN-Zugang, ITRB 2008, 99; Roxin, Probleme und Strategien der Compliance-Begleitung in Unternehmen, StV 2012, 116; Schneider, Handbuch des EDV-Rechts, 4. Aufl. 2009; Schönke/Schröder, Strafgesetzbuch, 29. Aufl. 2014 (zitiert: Schönke/Schröder/Bearbeiter, StGB, Fundstelle); Schricker/Loewenheim, Urheberrecht, Kommentar, 4. Aufl. 2010. Schultz, Neue Strafbarkeiten und Probleme – Der Entwurf des Strafrechtsänderungsgesetzes (StrafÄndG) zur Bekämpfung der Computerkriminalität vom 20.9.2006 (Online seit: 10.10.2006 in: Medien Internet und Recht, Dok. 180 Rz. 1–52, Short-Link zum Dokument, http:// medien-internet-und-recht.de/volltext.php?mir_dok_id=398, abgerufen am 9.1.2014); Schuster, Der Arbeitgeber und das Telekommunikationsgesetz, CR 2014, 21; Seidl/Fuchs, Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2010, 85; Spatscheck, Outsourcing trotz Anwaltsgeheimnis: Nationale Lösung, AnwBl. 2012, 478 http://anwaltsblatt.anwaltverein.de/rechtsprechungdetails/items/Outsourcing_trotz_Anwaltsgeheimnis.html; Spindler, Der Auskunftsanspruch gegen Verletzer und Dritte im Urheberrecht nach neuem Recht, ZUM 2008, 640; Tyszkiewicz, Skimming als Ausspähen von Daten gemäß § 202a StGB?, http://www.hrr-strafrecht.de/hrr/archiv/10-04/index.php?sz=7; Weigend, Einführung zum StGB, Beck-Texte im dtv, München, 52. Aufl. 2014; Weth/Herberger/Wächter, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, München 2014; Wohlwend, Die strafrechtliche Relevanz des § 202a StGB bei Tätigwerden eines Software-Ingenieurs, JurPC Web-Dok. 180/2008, (http://www.jurpc.de/ aufsatz/20080180.htm); Wybitul, E-Mail-Auswertung in der betrieblichen Praxis, NJW 2014, 3605.
I. Allgemeine Ausführungen zum IT-Strafrecht 1. Anwendbarkeit des deutschen Strafrechts 1 Die §§ 3–7 und 9 StGB beinhalten internationales Strafrecht. In diesen Vorschriften wird anhand verschiedener Grundsätze festgelegt, ob ein Sachverhalt mit Auslandsbezug der deutschen Strafgewalt unterliegt. So findet gem. § 3 StGB deutsches Strafrecht auf Taten, die im Inland begangen wurden, Anwendung (Territorialitätsprinzip). Der Strafhoheitsanspruch gilt
882
Hassemer
Allgemeine Ausfhrungen zum IT-Strafrecht
Rz. 5
E
im gesamten Gebiet, in dem das deutsche Strafrecht aufgrund hoheitlicher Staatsgewalt seine Ordnungsfunktion ausübt. Die Staatsangehörigkeit des Täters ist insoweit unerheblich. § 9 Abs. 1 Alt. 1 StGB bestimmt den Handlungsort der Tat, § 9 Abs. 1 Alt. 2 StGB den Erfolgsort. Problematik Handlungs-/Erfolgsort im Internet: Bei Äußerungsdelikten ist die Begründung 2 eines Begehungsortes im Inland problematisch. In der so genannten „Toeben-Entscheidung“ hatte der BGH1 über die Strafbarkeit der Verbreitung volksverhetzender Inhalte über einen ausländischen Server zu befinden. Diese Deliktsgruppe gehört zu den abstrakten Gefährdungsdelikten, d.h. sie weist keinen zum Tatbestand gehörigen Erfolg auf. Handlungsort war (nach wohl h.M.) in obiger Entscheidung Australien, da von dort die Daten auf einen australischen Server hochgeladen wurden. Damals jedoch wurde der Erfolgsort im Inland bejaht und der Täter nach § 130 StGB verurteilt.2 Im Urheberrecht ist zu beachten, dass der strafrechtliche Schutz der §§ 106 ff. UrhG an den zivilrechtlichen Urheber- und Leistungsschutz anknüpft (Urheberrechtsakzessorietät). Abweichend von § 7 StGB sind daher nur im Inland begangene Verletzungshandlungen strafrechtlich relevant.3
3
2. Verbrechen und Vergehen Im strafrechtlichen Bereich des Computer- und Internetrechts geht es überwiegend um Ver- 4 gehen. Diese werden in § 12 Abs. 2 StGB durch Abgrenzung vom Verbrechen definiert: Gemäß § 12 Abs. 1 StGB handelt es sich bei Verbrechen um rechtswidrige Taten, die im Mindestmaß mit Freiheitsstrafen von einem Jahr oder darüber bedroht sind.4 Entsprechend der Zuordnung kommt es zu einer abgestuften Behandlung. Gemäß § 23 Abs. 1 StGB ist grds. nur der Versuch eines Verbrechens strafbar, es sei denn, die betroffene Vorschrift stellt ausdrücklich auch den Versuch eines Vergehens unter Strafe. Im Verfahrensrecht spielt die Differenzierung zum einen für die sachliche Zuständigkeit gemäß §§ 24, 25, 74, 78 GVG eine Rolle, zum anderen ist regelmäßig nur ein Vergehen einer Einstellung nach §§ 153, 153a StPO zugänglich. 3. Strafantrag Zahlreiche Straftaten im Bereich des IT-Rechts werden nur auf Antrag des Verletzten oder 5 bei Vorliegen eines besonderen öffentlichen Interesses verfolgt. In diesem Fall gelten regelmäßig die §§ 77 ff. StGB, wonach das Antragsrecht i.d.R. beim Verletzten liegt und der Strafantrag innerhalb von 3 Monaten nach Kenntnisnahme von Tat und Täter gestellt werden muss (§ 77b StGB).
1 BGH v. 12.12.2000 – 1 StR 184/00, CR 2001, 260 m. Anm. Vassilaki. 2 Die Entscheidung ist umstritten, vgl. Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rz. 155 f; Fischer, StGB, § 9 Rz. 8, 8a m.w.N. 3 BGH v. 3.3.2004 – 2 StR 109/03. In dieser E. hatte sich der BGH mit der Strafbarkeit der Verletzung inländischer Tonträgerherstellerrechte durch CD-Pressungen im Inland für einen Auftraggeber im Ausland und für den Export der CDs dorthin zu befassen. In den Leitsätzen führte er unter anderem aus: „Die Strafbarkeit der Verletzung inländischer Tonträgerherstellerrechte durch CD-Pressungen im Inland für einen Auftraggeber im Ausland und für den Export der CDs dorthin richtet sich wegen des im Urheberrecht geltenden Territorialitäts- und Schutzlandprinzips ausschließlich nach deutschem Urheberrecht. Der Versand von unberechtigt hergestellten Tonträgern ins Ausland ist urheberrechtsverletzendes Inverkehrbringen im Inland.“ (Lexetius.com/2004, 787). 4 Beispiel aus dem IT-Recht für einen Verbrechenstatbestand: § 263 Abs. 5 StGB.
Hassemer
883
E Rz. 6
Strafrecht
4. 41. Strafrechtsänderungsgesetz (StrÄndG) 6 Seit dem 11.8.2007 ist das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität in Kraft. Die §§ 202a, 202b, 202c, 205, 303a, 303b und 303c StGB wurden teilweise abgeändert und teilweise neu geschaffen.5 Inzwischen kann auch auf zahlreiche Veröffentlichungen und Rspr. zu diesen neuen Vorschriften zurückgegriffen werden, was in der Folge ausführlich dargestellt wird.
II. Straftaten mit Bezug zur Informationstechnologie 7 In der Fachliteratur, in Statistiken oder in der Gesetzgebung existieren viele Begriffe, die jene Straftaten umschreiben sollen, die im Zshg. mit den neuen Medien in Erscheinung treten. Computerstrafrecht und Internetstrafrecht, Medienstrafrecht, Computerkriminalität oder IuK-Kriminalität sind nur einige davon. 8 Teilweise wird zwischen Computer- und Internetstrafrecht unterschieden. Teilweise wird grob darauf abgestellt, ob der Computer das Tatwerkzeug bzw. das Ziel der Straftat ist (Computerkriminalität) oder aber die Straftat über das Internet bzw. unter Nutzung des Internet (Internetkriminalität) begangen wird. Die Statistiken des BKA6 sprechen wiederum von Computerkriminalität. 9 Computer und das Internet haben in privaten, geschäftlichen und öffentlichen Bereichen Einzug gehalten. In Folge dessen wächst die Anzahl von Straftaten, die irgendeine Art von Bezug zu Computer und Internet aufweisen, stetig weiter an. Straftaten, die den persönlichen Lebens- und Geheimbereich verletzen (§§ 202a ff. StGB); gegen die sexuelle Selbstbestimmung verstoßen (§§ 184 ff. StGB)7 oder das Vermögen schädigen (§§ 263 ff. StGB) werden verstärkt unter Nutzung der neuen Medien begangen und bedürfen regelmäßig entsprechender, informationstechnologie-spezifischer Auslegung.8 Dennoch muss das Rad nicht bei jeder Form von Delikt, das Berührungspunkte zu den neuen Medien aufweist, neu erfunden werden. Auch ohne gegen das Analogieverbot9 zu verstoßen, kann vieles unter die „altbekannten“ Delikte subsumiert werden. 10
Im Folgenden sollen Straftatbestände vorgestellt werden, die einerseits überwiegend als klassische Computerstraftaten eingeordnet werden, andererseits aber mit einer gewissen Wahrscheinlichkeit auch in Unternehmen von Relevanz sein können,10 wie etwa die Vorschrift des § 206 StGB (Verletzung des Fernmeldegeheimnisses).
5 Materialien hierzu: BT-Drs. 16/3656; BT-Drs. 16/5449. Rahmenbeschluss 2005/222/JI des Rates vom 24.2.2005; EU-Recht: Übereinkommen des Europarates über Computerkriminalität – hierzu BR-Drs. 275/00. 6 Vgl. Bundeskriminalamt, Polizeiliche Kriminalstatistik (PKS 2013), abrufbar über http://www.bka.de. 7 So ist bereits der Besitz kinderpornographischer Bilder strafbar, was unter anderem für Unternehmen und öffentliche Einrichtungen (Hochschulen etc.) ein meist unterschätztes Risikopotential darstellt. 8 Bei einer Beleidigung, die im Internet begangen wird, wird beispielsweise das „Gesprächsklima“ in einem Chatroom bei der Bewertung eine Rolle spielen. 9 Nach dem in Art. 103 Abs. 1 GG normierten Analogieverbot dürfen Lücken im Strafrecht nicht zulasten des Angeklagten durch die entsprechende Anwendung einer ähnlichen, aber nicht unmittelbar zutreffenden Strafvorschrift geschlossen werden. 10 Zwar kann auch § 184b StGB (Verbreitung, Erwerb und Besitz kinderpornographischer Schriften) für ein Unternehmen durchaus relevant werden, wenn sich Bilder auf Festplatten der Mitarbeiter befinden. Allerdings ist dieser Sachverhalt dann überwiegend nach den herkömmlichen – nicht IT-typischen – Strafvorschriften zu beurteilen.
884
Hassemer
E Rz. 6
Strafrecht
4. 41. Strafrechtsänderungsgesetz (StrÄndG) 6 Seit dem 11.8.2007 ist das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität in Kraft. Die §§ 202a, 202b, 202c, 205, 303a, 303b und 303c StGB wurden teilweise abgeändert und teilweise neu geschaffen.5 Inzwischen kann auch auf zahlreiche Veröffentlichungen und Rspr. zu diesen neuen Vorschriften zurückgegriffen werden, was in der Folge ausführlich dargestellt wird.
II. Straftaten mit Bezug zur Informationstechnologie 7 In der Fachliteratur, in Statistiken oder in der Gesetzgebung existieren viele Begriffe, die jene Straftaten umschreiben sollen, die im Zshg. mit den neuen Medien in Erscheinung treten. Computerstrafrecht und Internetstrafrecht, Medienstrafrecht, Computerkriminalität oder IuK-Kriminalität sind nur einige davon. 8 Teilweise wird zwischen Computer- und Internetstrafrecht unterschieden. Teilweise wird grob darauf abgestellt, ob der Computer das Tatwerkzeug bzw. das Ziel der Straftat ist (Computerkriminalität) oder aber die Straftat über das Internet bzw. unter Nutzung des Internet (Internetkriminalität) begangen wird. Die Statistiken des BKA6 sprechen wiederum von Computerkriminalität. 9 Computer und das Internet haben in privaten, geschäftlichen und öffentlichen Bereichen Einzug gehalten. In Folge dessen wächst die Anzahl von Straftaten, die irgendeine Art von Bezug zu Computer und Internet aufweisen, stetig weiter an. Straftaten, die den persönlichen Lebens- und Geheimbereich verletzen (§§ 202a ff. StGB); gegen die sexuelle Selbstbestimmung verstoßen (§§ 184 ff. StGB)7 oder das Vermögen schädigen (§§ 263 ff. StGB) werden verstärkt unter Nutzung der neuen Medien begangen und bedürfen regelmäßig entsprechender, informationstechnologie-spezifischer Auslegung.8 Dennoch muss das Rad nicht bei jeder Form von Delikt, das Berührungspunkte zu den neuen Medien aufweist, neu erfunden werden. Auch ohne gegen das Analogieverbot9 zu verstoßen, kann vieles unter die „altbekannten“ Delikte subsumiert werden. 10
Im Folgenden sollen Straftatbestände vorgestellt werden, die einerseits überwiegend als klassische Computerstraftaten eingeordnet werden, andererseits aber mit einer gewissen Wahrscheinlichkeit auch in Unternehmen von Relevanz sein können,10 wie etwa die Vorschrift des § 206 StGB (Verletzung des Fernmeldegeheimnisses).
5 Materialien hierzu: BT-Drs. 16/3656; BT-Drs. 16/5449. Rahmenbeschluss 2005/222/JI des Rates vom 24.2.2005; EU-Recht: Übereinkommen des Europarates über Computerkriminalität – hierzu BR-Drs. 275/00. 6 Vgl. Bundeskriminalamt, Polizeiliche Kriminalstatistik (PKS 2013), abrufbar über http://www.bka.de. 7 So ist bereits der Besitz kinderpornographischer Bilder strafbar, was unter anderem für Unternehmen und öffentliche Einrichtungen (Hochschulen etc.) ein meist unterschätztes Risikopotential darstellt. 8 Bei einer Beleidigung, die im Internet begangen wird, wird beispielsweise das „Gesprächsklima“ in einem Chatroom bei der Bewertung eine Rolle spielen. 9 Nach dem in Art. 103 Abs. 1 GG normierten Analogieverbot dürfen Lücken im Strafrecht nicht zulasten des Angeklagten durch die entsprechende Anwendung einer ähnlichen, aber nicht unmittelbar zutreffenden Strafvorschrift geschlossen werden. 10 Zwar kann auch § 184b StGB (Verbreitung, Erwerb und Besitz kinderpornographischer Schriften) für ein Unternehmen durchaus relevant werden, wenn sich Bilder auf Festplatten der Mitarbeiter befinden. Allerdings ist dieser Sachverhalt dann überwiegend nach den herkömmlichen – nicht IT-typischen – Strafvorschriften zu beurteilen.
884
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 15
E
1. Computerbetrug (§ 263a StGB) Der Computerbetrug spielt im Zeitalter der Informationstechnologie eine große Rolle. In den kriminalpolizeilichen Statistiken (Rubrik Computerkriminalität) nimmt er stets einen der obersten Plätze ein. Weil es bei EDV-Manipulationen oft an Täuschung und Irrtumserregung einer natürlichen Person fehlt und darum § 263 StGB keine Anwendung finden kann, bedurfte es eines neuen Straftatbestands, um die Strafbarkeitslücke solcher Fälle zu füllen.11 Die Abgrenzung zu § 263 StGB erfolgt anhand des Tatbestandsmerkmals Irrtum. Das Ergebnis der Datenverarbeitung in § 263a StGB entspricht weitestgehend dem Irrtum beim Menschen in § 263 StGB.12 Geschützt wird bei beiden Vorschriften das Individualvermögen. Allerdings ist bei § 263 StGB Schutzgegenstand der menschliche Denk- und Entscheidungsprozess, bei § 263a StGB hingegen wird das Ergebnis eines vermögensrelevanten Entscheidungsvorgangs geschützt. Beeinflusst wird das Ergebnis der automatischen Datenverarbeitung, wenn die Tathandlung in den Datenverarbeitungsvorgang mitbestimmend Eingang findet.
11
1.1 Objektiver Tatbestand Der Begriff „Daten“ ist ungleich dem des § 202a Abs. 2 StGB, § 3 Abs. 1 BDSG und stimmt auch nicht mit dem Begriff „Computerdaten“ nach Art. 1 der Cybercrime-Konvention (CCC) überein. Letztere definiert unter Computerdaten „jede Darstellung von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Computersystem geeigneten Form einschließlich eines Programms, das die Ausführung einer Funktion durch ein Computersystem auslösen kann“. Von § 263a StGB sollen, soweit es um Datenmanipulationen geht, nur „kodierte Informationen in einer im Wege automatischer Datenverarbeitung nutzbaren Darstellungsform“ umfasst sein.13
12
1.2 Tathandlungen (Auszug) Die oben beschriebenen kodierten Informationen werden beim Computerbetrug vom Täter 13 manipuliert. Als Manipulationshandlungen nennt das Gesetz vier Handlungsalternativen. Diese sind kaum voneinander abgrenzbar und überlagern sich zum Teil erheblich.14 1.2.1 Unrichtige Gestaltung des Programms Der klassische Fall für diese Handlungsalternative ist die heimliche Installation von Verknüpfungs- und sonstigen Programmdateien auf fremden Rechnern zur ungewollten Herstellung von DFÜ-Verbindungen (Dialer). Bei der Beurteilung wird die „objektive Abweichung vom korrekten Ergebnis“, welches am Ende eines unbeeinflussten Datenverarbeitungsvorgangs stünde, herangezogen.15
14
Beispiel:
15
Dialer-Verfahren: Wegen banden-/gewerbsmäßigen Computerbetrugs in Tateinheit mit Datenveränderung verurteilte das LG Osnabrück am 20.12.200616 mehrere Täter, die sich von Juli 2002 bis Ende September 2003 auf betrügerische Weise zulasten von Internetnutzern Einnahmen in Höhe von mehreren Mio. Euro verschafft hatten. Dazu hatten sie Programme entwickelt und über das Internet verbreitet, mit deren Hilfe auf den Computern von Interessenten sog. „Autodialer“ installiert wurden. Diese „Autodialer“ wählten völlig unbemerkt zulasten der Geschädigten eine kostenträchtige 0190-Mehrwertdienstnummer an.
11 12 13 14 15 16
Schönke/Schröder/Perron, StGB, § 263a Rz. 1 f; Fischer, StGB, § 263a Rz. 2. Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rz. 494. Fischer, StGB, § 263a Rz. 3 mit weiteren Fundstellen. Fischer, StGB, § 263a Rz. 5 mit weiteren Fundstellen. Schönke/Schröder/Perron, StGB, § 263a Rz. 4. Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rz. 497 ff. LG Osnabrück v. 20.12.2006 – 10 KLs 10/06.
Hassemer
885
E Rz. 16 16
Strafrecht
Beispiel: Das LG Essen vom 9.3.200717 kommt allerdings bei „eigenhändiger“ Installation von Dialer-Programmen nach Täuschung durch den Täter zur einer Strafbarkeit nach § 263 StGB und nicht nach § 263a StGB.
1.2.2 Verwendung unrichtiger und unvollständiger Daten (Inputmanipulation) 17
Das „Verwenden“ der Daten wird als Einführung von Daten in den DV-Prozess definiert.18 Eingegebene Daten werden in einen anderen Zshg. gebracht oder unterdrückt. Die Daten sind unrichtig, wenn der durch sie bezeichnete Sachverhalt in Wahrheit gar nicht oder anders gegeben ist. Lassen sie ihn hingegen nicht ausreichend erkennen, so sind sie unvollständig.19
18
Beispiele: Verwendung wieder aufgeladener Telefonkarten zur Erlangung unberechtigter Erlöse aus 0190-Nummern. (Nicht aber: Verwendung allein zur Erlangung kostenfreien Telefonierens. Dieser Fall wird, wie das „Schwarzfahren“, unter § 265a StGB subsumiert).20
19
Werden dem Kunden im Rahmen einer Demonstration oder Fehlerdiagnose mittels Eingabe manipulierter oder unrichtiger Daten Softwarefähigkeiten vorgetäuscht, die tatsächlich nicht vorhanden sind, und geht der Kunde daraufhin finanzielle Verbindlichkeiten ein, dürfte ein Fall der Inputmanipulation gegeben sein. Dennoch könnte ein Fall des „normalen Betrugs“ gegeben sein, da ja durch das vom Täter dem Kunden präsentierte „manipulierte“ Ergebnis der Kunde über die Beschaffenheit der Software irrt und daraufhin über sein Vermögen verfügt. 1.2.3 Unbefugte Verwendung von Daten
20
Der Anwendungsbereich dieser Variante ist sehr umstritten.21 In Abgrenzung zur 2. Variante setzt sie die Verwendung „richtiger“ Daten voraus. Die h.M. legt das Merkmal der Unbefugtheit „betrugsspezifisch“ aus. Unbefugt ist danach die Verwendung von Daten, wenn sie gegenüber einer natürlichen Person Täuschungscharakter hätte.
21
Beispiel: Skimming: Mit Hilfe manipulierter Geldautomaten bzw. EC-Kartenlesegeräte sammeln die Täter Daten von EC-Karten, um davon Kopien anzufertigen und später Geld abzuheben. Die erforderliche PIN wird von einem Miniatur-EC-Kartenleser, der den Magnetstreifen der Karte ausliest, und einer Videoleiste, die die PIN-Eingabe aufzeichnet, elektronisch mitgelesen.22 Eine andere Methode ist die Nachbildung der Tastatur, die auf das Original geklebt wurde. Die Anschläge werden mechanisch an die echte Tastatur durchgereicht und dabei protokolliert.
17 LG Essen v. 9.3.2007 – 52 KLs 24/06. 18 Werden Daten pflichtwidrig nicht eingegeben oder erforderliche Betriebshandlungen nicht eingegeben – aber dennoch ein DV-Prozess in Gang gesetzt –, so ist Handeln durch Unterlassen gegeben (Fischer, StGB, § 263a Rz. 8 m.w.N.). 19 Fischer, StGB, § 263a Rz. 7. 20 Fischer, StGB, § 263a Rz. 7. Eingehend zur Frage der Strafbarkeit von Telefonkartensimulatoren: Hefendehl, NStZ 2000, 348. 21 Vgl. Fischer, StGB, § 263a Rz. 9 m.w.N. 22 Vgl.Bachfeld, Angriff der Karten-Kloner, c’t 25/2007, 76: Der Mini-Leser wird meist von außen vor den Leseschlitz des Geldautomaten geklebt. Die abgegriffenen Daten werden gespeichert und nach Abbau des Geräts ausgelesen. Die Videoleiste birgt eine kleine Kamera, die durch ein winziges Loch auf das Tastaturfeld schaut; sie wird meist im oberen Bereich des Automaten platziert. Manchmal montieren die Betrüger die Kamera auch an der Seite, etwa hinter dem bei einigen Automaten zu findenden Prospekthalter. Auch die Videoaufzeichnung der PIN-Eingabe wird meistens zwischengespeichert.
886
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 28
E
1.2.4 Sonstige unbefugte Einwirkungen auf den Ablauf (Auffangtatbestand) Diese Variante soll nach dem Willen des Gesetzgebers eine Auffangfunktion erfüllen und die strafwürdigen Manipulationen erfassen, die nicht unter die ersten drei Handlungsalternativen fallen. Die Unbefugtheit der Einwirkung ist auch hier dem Tatbestand zugehörig.23
22
Rechtsprechungspeispiel: Kein Computerbetrug durch Einlösen eines versehentlich zugesandten Online-Gutscheins. LG Gießen, Beschluss vom 29.5.201324 mit folgendem Tenor:
23
„Das Einlösen eines erkennbar versehentlich zugesandten Online-Gutscheins ist nicht nach § 263a StGB strafbar. Es stellt weder eine unbefugte Verwendung von Daten (§ 263a Abs. 1 Variante 3 StGB) noch eine sonstige unbefugte Einwirkung auf den Ablauf (§ 263a Abs. 1 Variante 4 StGB) dar.“
1.3 Weitere Voraussetzungen Durch die oben genannten Handlungsalternativen muss das Ergebnis eines Datenverarbei- 24 tungsvorgangs beeinflusst werden. Der Schaden muss i.R.d. Kausalitätsprüfung nicht durch die Tathandlung selbst, sondern durch das durch die Tathandlung manipulierte Arbeitsergebnis verursacht worden sein. Schäden, die an den manipulierten Daten entstanden sind, fallen nicht darunter. Hier käme der Straftatbestand des § 303a StGB in Betracht. Die Schadensberechnung erfolgt wie bei § 263 StGB.25 Rechtsprechungsbeispiel: Computerbetrug im Abbuchungsauftragslastschriftverfahren. BGH, Beschluss vom 23.1.2013 (LG Heidelberg):26
25
„… Indem das Landgericht im Kern davon ausgegangen ist, dass ein zunächst“ … „entstandener Gefährdungsschaden letztlich andernorts, hier namentlich bei 785 Bankkunden in einen endgültigen Schaden umgeschlagen ist, hat es die tatbestandlichen Voraussetzungen des Computerbetruges nicht hinreichend in den Blick genommen. Die bloße Feststellung einer Tathandlung i.S.d. § 263a Abs. 1 StGB und einer Vermögensschädigung bei verschiedenen Beteiligten genügt nicht. Tatbestandserfüllend sind vielmehr (nur) diejenigen Vermögensschädigungen, die für sich genommen unmittelbare Folge eines vermögensrelevanten Datenverarbeitungsvorgangs sind, und dieser Datenverarbeitungsvorgang muss seinerseits unmittelbar durch die Tathandlung beeinflusst sein. Dies erfordert eine getrennte Betrachtung der einzelnen – hier freilich ineinander übergreifenden – Datenverarbeitungsvorgänge bei den beteiligten Banken …“
Vorsätzliches Handeln hinsichtlich aller objektiven Tatbestandsmerkmale ist erforderlich; 26 dabei reicht ein mindestens bedingter Vorsatz hinsichtlich der Merkmale des Computerprogramms und dessen objektiven Zwecks sowie hinsichtlich der Tathandlung aus.27 Daneben bedarf es der Absicht, sich oder einem Dritten einen Vermögensvorteil zu verschaffen. Nicht zuletzt bedarf es noch der Rechtswidrigkeit, Stoffgleichheit sowie Unmittelbarkeit des Vermögensvorteils. Zu beachten ist der Verweis auf § 263 Abs. 4 StGB: Für bestimmte Fälle (häusliche Gemeinschaft, geringwertige Sachen) gilt auch hier Strafantragserfordernis! In diesem Fall gelten die §§ 77 ff. StGB, wonach das Antragsrecht i.d.R. beim Verletzten liegt und der Strafantrag innerhalb von 3 Monaten nach Kenntnisnahme von Tat und Täter gestellt werden muss (§ 77b StGB).
27
1.4 Strafbare Vorbereitungshandlungen § 263a Abs. 3 StGB definiert eine selbständige Vorbereitungstat. Danach wird bestraft, wer zur Vorbereitung eines Computerbetrugs solche Computerprogramme, deren objektiver 23 24 25 26 27
So Fischer, StGB, § 263a Rz. 18 f. LG Gießen v. 29.5.2013 – 7 Qs 88/13, BeckRS 2013, 09401. Schönke/Schröder/Perron, StGB, § 263a Rz. 24 f. BGH v. 23.1.2013 – 1 StR 416/12, Rz. 21 – (LG Heidelberg), NJW 2016, 2608. Fischer, StGB, § 263a Rz. 34.
Hassemer
887
28
E Rz. 29
Strafrecht
Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder anderen überlässt.28 Einem Computerprogramm einen „objektiven Zweck“ zuzuschreiben, dürfte kaum zu bewerkstelligen sein.29 Es fehlt die Möglichkeit einer schlüssigen Zuordnung bei der Qualifizierung, welcher Art Programme tatsächlich sein müssen, um – nach dem Willen des Gesetzgebers – unter die Vorschrift zu fallen. Die Diskussion wurde anlässlich der Planung und Einführung des § 202c StGB neu belebt. 29
Bezeichnungen wie Malsoftware, Dual-Use-Produkte (Tools oder Software), Badware, Schad(soft)ware30 werden häufig ohne oder mit unterschiedlicher Definition in den rechtlichen Diskurs eingebracht. Eine für die Betroffenen (Beschuldigte, wie aber auch Ermittlungsbehörden und Gerichte) klare und sinnvoll anwendbare Abgrenzung ist aufseiten des Gesetzgebers oder der Rspr. allerdings geboten, wenn die Betroffenen erkennen sollen, welches konkrete Verhalten sanktioniert werden werden soll.31 Von Dual-Use-Produkten ist regelmäßig bei solchen Programmen die Rede, die für legale wie auch für illegale Zwecke eingesetzt werden (können). Die Frage liegt nahe, ob nicht nahezu alle denkbaren Programme jetzt – oder zumindest in Zukunft – auch zu einem legalen Zweck genutzt werden können. Eine rechtssichere Abgrenzung zwischen in jeder Hinsicht Schaden bringenden Programmen und Dual-Use-Software ist kaum praktikabel. Hier wird jedenfalls die aktuelle Rspr. des BVerfG zum § 202c StGB anzuwenden sein.32
30
Als Beispiele für Programme i.S.v. § 263a Abs. 3 StGB werden unter anderem Ausspähungsprogramme, Crackingprogramme, Entschlüsselungsprogramme mit spezieller, ausschließlich illegaler Funktion (Auffinden verschlüsselter Bank- oder Kreditkartendaten in E-Mails; Darstellung spezifischer Sicherungsprogramme) genannt. Nicht erfasst sein sollen hingegen „allgemeine Systemprogramme“, „allgemeine Ver- und Entschlüsselungsprogramme“, „Filterprogramme“; während „Programme zur Herstellung und Auslesung von Magnetstreifen“, „Programme zur Dekodierung von Tonwahlverfahren“, „Diagnose- und Reparaturprogramme“ Dual Use Produkte sein könnten.33
31
Die Tathandlungen der Vorbereitungstat sind mit jenen des § 149 StGB identisch. Unter Herstellen eines Computerprogramms i.S.v. § 263a StGB wird erfolgsorientiert die Existenz eines hergestellten Programms verlangt, welches „die wesentlichen Bestandteile einer Programmstruktur“ hat. Dabei muss das Programm nicht im Objektcode vorliegen. Der (maschinenlesbare) Quellcode reicht aus.34 Interessant ist, dass auch das Verwahren unter die strafbaren Handlungen fällt. Dies ist anders als bei § 202c StGB, der den Besitz selbst nicht unter Strafe stellt.35 Im Unterschied zur Verwahrung ist beim „Feilhalten“ auch das jedenfalls für Eingeweihte nach außen erkennbare Bereithalten zum Verkauf erforderlich.36 1.5 Betrug im Internet – weitere Fallbeispiele
32
Betrugshandlungen im Internet können sowohl den Straftatbestand des § 263 StGB als auch den des § 263a StGB erfüllen. Ausschlaggebend für die Differenzierung ist die (internetbezo28 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rz. 158, Husemann, NJW 2004, 104 (108). 29 Ausführlich hierzu: Hassemer/Ingeberg, ITRB 2009, 84 (85 ff.); Popp, GA 2008, 361 (379 ff.), Schönke/ Schröder/Perron, StGB, § 263a Rz. 33 ff. 30 Zu den unterschiedlichen Klassifizierungen https://de.wikipedia.org/wiki/Kategorie:Schadprogramm. 31 Vgl. hierzu auch die Ausführungen zu § 202c StGB, insb. im Zshg. mit dem Urteil des BVerfG v. 18.5.2009 – 2 BvR 2233/07, CR 2009, 673 = BVerfGK 15, 491 = JR 2010, 79 = K&R 2009, 632 = ZUM 2009, 745. 32 Ausführlich hierzu unter § 202c StGB. 33 Eingehender zu den Beispielen: Fischer, StGB, § 263a Rz. 32. 34 Mit weiteren Konkretisierungen, auch zu den weiteren Tathandlungen: Fischer, StGB, § 263a Rz. 33. 35 Eingehend hierzu, s. Ausführungen unter: § 202c StGB. 36 Zu den Begriffen: Feilhalten, Verkaufen und In-Verkehr-Bringen: Fischer, StGB, § 314 Rz. 8.
888
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 38
E
gene) Täuschungs- bzw. Manipulationshandlung. Ist sie gegen eine Datenverarbeitungsanlage gerichtet (ohne menschliche Irrtumserregung), so ist regelmäßig § 263a StGB gegeben. Um „normalen“ Betrug i.S.v. § 263 StGB wird es sich hingegen meist handeln, wenn die Täuschungshandlung gegen eine Person gerichtet ist. 1.5.1 Pharming Pharming hat sich als Oberbegriff für verschiedene Arten von DNS-Angriffen etabliert. Eine Methode dabei ist die lokale Manipulation der Host-Datei. Dabei wird unter Zuhilfenahme eines Trojaners oder eines Virus eine gezielte Manipulation des Systems vorgenommen mit der Konsequenz, dass von diesem System nur noch gefälschte Websites abrufbar sind, selbst wenn die Adresse korrekt eingegeben wurde.37
33
1.5.2 Online-Auktionen Die Verwirklichung von Betrugsstraftaten bei Online-Auktionen ist inzwischen an der Ta- 34 gesordnung. Gefälschte Tickets von WM-Spielen oder Popkonzerten, die über Online-Auktionen angeboten wurden, haben zahlreiche Käufer in letzter Zeit in die Irre geführt. V.a. die typische Leistung gegen „Vorkasse“ eröffnet den Tätern ein verlockendes Terrain. 1.5.3 Phishing Phishing ist eine Form der Tricktäuschung im Internet. Dabei wird per E-Mail versucht, den 35 Empfänger irrezuführen und zur Herausgabe von Zugangsdaten und Passwörtern zu bewegen. Dies bezieht sich in den meisten Fällen auf Online-Banking und andere Bezahlsysteme.38 Die Mehrzahl der Täter führt die schädigende Vermögensverfügung nicht selbst aus. Sie be- 36 dienen sich (zum Teil gutgläubiger) Gehilfen, die beispielsweise eigene Konten für den Geldtransfer zur Verfügung stellen. Professionell organisierte Gruppen verwenden Botnets/Zombies, Proxies oder Anonymisierungsdienste, weshalb es den Ermittlungsbehörden häufig unmöglich ist, einzelne Tatbeiträge einer bestimmten Person zuzuordnen.39 Eine Strafbarkeit wegen Ausspähens von Daten gem. § 202a Abs. 1 StGB scheidet i.d.R. aus, da beim Passwort Phishing weder ein unmittelbarer Zugriff auf gespeicherte oder übertragene Daten (i.S.d. § 202a StGB) erfolgt, noch der Täter durch eine besondere Zugangssicherung behindert wird. Er bekommt die Daten vielmehr „freiwillig“ vom Opfer als Folge der vorangegangenen Täuschung. Das AG Darmstadt40 hatte im Januar 2006 zur strafrechtlichen Dimension des Phishing Stellung genommen. Es verurteilte einen der Täter, welcher die Gelder nach Russland an Dritte weiterleitete, wegen Geldwäsche nach § 261 StGB.
37
In einer früheren E. hatte das AG Hamm41 hingegen entschieden, dass die Weiterleitung des durch Phishing erlangten Geldes ins Ausland als Beihilfe zum Computerbetrug gem. §§ 263a, 27 StGB zu bestrafen sei.
38
37 http://de.wikipedia.org/wiki/Pharming_%28Internet%29, abgerufen am 4.12.2015. 38 http://de.wikipedia.org/wiki/Phishing, abgerufen am 4.12.2015. Ausführlich zur Thematik: Popp, MMR 2006, 84. 39 Ausführlich hierzu Schultz, Neue Strafbarkeiten und Probleme – Der Entwurf des Strafrechtsänderungsgesetzes (StrafÄndG) zur Bekämpfung der Computerkriminalität vom 20.9.2006 (Online seit: 10.10.2006 in Medien Internet und Recht, Dok. 180 Rz. 1, Short-Link zum Dokument, http://medieninternet-und-recht.de/volltext.php?mir_dok_id=398, abgerufen am 9.1.2015). 40 AG Darmstadt v. 11.1.2006 – 212 Ls. 360 Js 33848/05. 41 AG Hamm v. 5.9.2005 – 10 Ds 101 Js 244/05 – 1324/05.
Hassemer
889
E Rz. 39
Strafrecht
1.5.4 Betrug im Internet-Versandhandel 39
Täuscht der Käufer das Versandhaus über seine Zahlungswilligkeit oder -fähigkeit, so macht er sich regelmäßig gem. § 263 StGB strafbar. Dieses Delikt ist bereits im normalen Versandhandel gang und gäbe und erhält durch die Möglichkeit, über das Internet Waren zu bestellen, lediglich eine neue Plattform. 2. Fälschung technischer Aufzeichnungen (§ 268 StGB)
40
Bei den Urkundsdelikten handelt es sich bekanntermaßen um sehr komplexe Vorschriften. Die Definitionen der einzelnen Tatbestandsmerkmale sind strittig und füllen mehrere Kommentarseiten.42 Eine erschöpfende Abhandlung dieser Thematik soll an dieser Stelle nicht erfolgen. Wichtig für die IT-rechtlich spezialisierten Berater ist aber dennoch, sich einmal mit jenen Vorschriften zu befassen, die speziell im Schlepptau der Verbreitung elektronischer Datenverarbeitung entstanden sind. Im Folgenden sollen daher die §§ 268, 269, 270, 271 und 274 StGB im Hinblick auf die IT-rechtliche Relevanz unter Gliederungspunkten 2.2 bis 2.6 betrachtet werden. 2.1 Rechtsgut
41 Rechtsgut des § 268 StGB ist die Sicherheit und Zuverlässigkeit des Rechts- und Beweisverkehrs, soweit die Informationsgewinnung durch technische Geräte erfolgt ist,43 bzw. das Vertrauen in die Sicherheit der Informationsgewinnung durch technische Geräte.44 2.2 Technische Aufzeichnung 42
Eine technische Aufzeichnung ist eine Darstellung von Daten, Mess- oder Rechnungswerten, Zuständen oder Geschehensabläufen, die durch ein technisches Gerät ganz oder zum Teil selbsttätig bewirkt wird, den Gegenstand der Aufzeichnung allg. oder für Eingeweihte erkennen lässt und zum Beweis einer rechtlich erheblichen Tatsache bestimmt ist, gleichviel ob ihr die Bestimmung schon bei der Herstellung oder erst später gegeben wird (vgl. die Definition in § 268 Abs. 2 StGB).45 2.3 § 268 Abs. 3 StGB
43
§ 268 Abs. 3 StGB entfaltet Relevanz im EDV-Bereich i.R.v. Programm- und Konsolmanipulationen, wenn hierdurch über den Verarbeitungsmechanismus auf den Output eingewirkt wird. 3. Fälschung beweiserheblicher Daten (§ 269 StGB)
44
Da Daten aufgrund fehlender Wahrnehmbarkeit keine Urkunden i.S.v. § 267 StGB sind, wurde § 269 StGB geschaffen, um die Strafbarkeitslücken im Bereich der Urkundsdelikte zu schließen. Geschütztes Rechtsgut ist wiederum die Sicherheit und Zuverlässigkeit des Rechts- und Beweisverkehrs.46 Unter § 269 StGB fallen beweiserhebliche Daten, die elektro-
42 Vgl. beispielsweise die ausführlichen Kommentierungen bei: Schönke/Schröder/Heine/Schuster, StGB, § 267 Rz. 1 ff. 43 Fischer, StGB, § 268 Rz. 2; Schönke/Schröder/Heine/Schuster, StGB, § 268 Rz. 3 ff. Die Vorschrift gilt als sehr problematisch und im Hinblick auf die Angleichung an den Urkundsbegriff bzw. -tatbestand nach allgemeiner Meinung als missglückt. 44 Zu den Fundstellen aus Rspr. und Lit.: Schönke/Schröder/Heine/Schuster, StGB, § 268 Rz. 1 ff. 45 Vertiefend: Schönke/Schröder/Heine/Schuster, StGB, § 268 Rz. 6 ff. 46 Fischer, StGB, § 269 Rz. 2.
890
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 50
E
nisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert werden oder die bei Tatbegehung schon entsprechend gespeichert waren. 3.1 Beweiserhebliche Daten Die Beweiserheblichkeit ist gegeben, wenn das Ergebnis bei Visualisierung eine Urkunde darstellen würde. Dabei ist nicht erforderlich, dass das jeweilige Datum an sich bereits beweiserheblich ist.47 Als weitere Voraussetzung müssen die falschen Daten einen bestimmten Aussteller (Urheber) erkennen lassen.48 Dies ist im Bereich der Datenverarbeitung nicht einfach zu beurteilen. Hier spielen Eigentums- und Verfügungsberechtigungen eine tragende Rolle.49 Eine tatbestandsmäßige Handlung ist jedenfalls dann gegeben, wenn – wie beim Phishing – vorgetäuscht wird, dass die E-Mail von einer bekannten Bank stammt.
45
Nicht erfasst sind EDV-Urkunden, die später als Ausdruck genutzt werden sollen und nur während der Entwurfsphase mittels Computer erstellt wurden.
46
3.2 Die Tathandlungen Unter Speichern wird die Erfassung, Verwendung oder Aufbewahrung der beweiserheblichen Daten auf einem Datenträger zum Zwecke ihrer weiteren Verwendung erfasst.50 Werden die Daten hingegen umgestaltet, so fällt dies unter die Tathandlung des Veränderns. Das Ergebnis des Speicherns oder Veränderns muss ein Falsifikat sein, das, bei visueller Darstellung, die Merkmale einer unechten oder falschen Urkunde aufweist. Als dritte Handlung kommt das Gebrauchen der Urkunde in Betracht. Eine Urkunde wird gebraucht, wenn sie der eigentlichen Wahrnehmung zugänglich gemacht wird, bespielsweise durch Vorlegen, Übergeben, Veröffentlichen oder Hinterlegen.
47
3.3 Subjektiver Tatbestand In subjektiver Hinsicht muss der Täter mit zumindest bedingtem Vorsatz hinsichtlich der beweiserheblichen Daten und darüber hinaus zur Täuschung im Rechtsverkehr handeln.
48
4. Täuschung im Rechtsverkehr bei der Datenverarbeitung (§ 270 StGB) § 270 StGB dient der gesetzlichen Klarstellung der Anwendbarkeit auch für solche Fälle, bei welchen beim Einsatz von DV-Anlagen eine menschliche Kontrolle der eingegebenen Daten nicht stattfindet und ein täuschungsgleicher Effekt durch die fälschliche Beeinflussung der DV geschieht.51
49
5. Mittelbare Falschbeurkundung (§ 271 StGB) Tatobjekt dieses Straftatbestands sind öffentliche Bücher, Dateien oder Register. Für den Bereich der Informationstechnologie v.a. relevant ist die elektronisch geführte öffentliche Datei, also jede Datenurkunde i.S.v. § 269 StGB (z.B. das Schlüsselverzeichnis gem. § 5 Abs. 2 SignG).52 Ein öffentliches Register ist beispielsweise das Handelsregister (§ 12 HGB). 47 Vertiefend: Gercke/Brunst, Praxishandbuch Internetstrafrecht, Rz. 238 ff. 48 Die Erkennbarkeit bestimmt sich nach der Geistigkeitstheorie, wonach derjenige Aussteller ist, dem die Daten nach dem Erklärungsinhalt zugerechnet werden können. Schönke/Schröder/Heine/Schuster, StGB, § 267 Rz. 55 m.w.N. 49 Ausführlich hierzu: Schönke/Schröder/Heine/Schuster, StGB, § 269 Rz. 13 f. 50 Fischer, StGB, § 269 Rz. 5. 51 Auf die Art und Weise der fälschlichen Beeinflussung kommt es hierbei nicht an. Fischer, StGB, § 270 Rz. 2; Schönke/Schröder/Heine/Schuster, StGB, § 270 Rz. 2. 52 Fischer, StGB, § 271 Rz. 13 f.
Hassemer
891
50
E Rz. 51 51
Strafrecht
Während nach § 271 Abs. 1 StGB das Bewirken einer unrichtigen Urkunde – auch in Form der Speicherung unrichtiger Daten – durch einen gutgläubigen Amtsträger bestraft wird, regelt § 271 Abs. 2 StGB das Gebrauchen einer falschen Beurkundung oder Datenspeicherung. 6. Urkundenunterdrückung (§ 274 StGB)
52
Bei der Urkundenunterdrückung ist in EDV-technischer Hinsicht auf § 274 Abs. 1 Nr. 2 StGB hinzuweisen. Dort geht es um beweiserhebliche Daten, über die der Täter nicht oder nicht ausschließlich verfügen darf. Löscht, unterdrückt, verändert oder macht der Täter die Daten auf sonstige Weise unbrauchbar, so bedarf es noch zusätzlich auf der subjektiven Seite der Absicht, einem anderen einen Nachteil zuzufügen,53 um den Straftatbestand zu verwirklichen. 7. Datenveränderung (§ 303a StGB)
53
§ 303a StGB dient dem Schutz der Verfügungsgewalt des Berechtigten über die in Datenspeichern enthaltenen Informationen. Seit dem 11.8.200754 haben sich die Strafbarkeitsvoraussetzungen des § 303a StGB insoweit verändert, als nun auch nach § 303a Abs. 3 StGB die Vorbereitungstat zur Datenveränderung strafbar ist. 7.1 Tatobjekt
54
Tatobjekt des § 303a StGB sind (fremde) Daten i.S.d. § 202a Abs. 2 StGB. Obwohl der Wortlaut der Vorschrift nicht die Fremdheit der Daten als Tatbestandsmerkmal voraussetzt, bedarf es nach h.M.55 der weitergehenden Einschränkung, dass nur fremde Daten erfasst sind, d.h. solche, an denen ein unmittelbares Recht einer anderen Person auf Verarbeitung, Löschung oder Nutzung besteht.
55
Die Frage, ob die Einschränkung auf „fremde“ Daten den Tatbestand hinreichend bestimmt macht, wird in der Kommentarliteratur unter Hinweis auf den Unterschied zur sachenrechtlichen Begriffsbestimmung angezweifelt.56 Die Frage, wer Eigentümer der Daten ist und wie es mit der Verfügungsberechtigung an diesen Daten bestellt ist, kann regelmäßig nur nach dem Vertragsverhältnis oder (sonstigem) Rechtsverhältnis der Beteiligten einzelfallbezogen geklärt werden. Insb., wenn es sich um Daten handelt, die im fremden Auftrag erstellt werden, bzw. bei der AuftragsDV ist die Rechtslage naturgemäß unsicher.57
56
Rspr.: OLG Nürnberg, Beschluss vom 23.1.201358 mit folgendem Leitsatz des 1. Strafsenats: „§ 303 a StGB erfasst Daten, an denen ein unmittelbares Recht einer anderen Person auf Nutzung, Verarbeitung und Löschung besteht. Diese Datenverfügungsbefugnis steht grundsätzlich demjenigen zu, der die Speicherung der Daten unmittelbar selbst bewirkt hat. Das gilt in der Regel auch im Rahmen eines Arbeits- oder Dienstverhältnisses bei in fremden Auftrag erstellten Daten; solange der Auftragnehmer die Daten nicht dem Auftraggeber ausgehändigt hat, besteht für den Auftraggeber außerhalb des Schutzbereiches des UWG lediglich ein Schutz aufgrund der gegenseitigen schuldrechtlichen Verpflichtungen.“
53 54 55 56 57
„Das Bewusstsein, dass der Nachteil die notwenige Folge der Tat ist“, Fischer, § 269 Rz. 6 m.w.N. Die Vorschrift wurde abgeändert mit Wirkung zum 11.8.2007 durch das 41. StrÄndG. Fischer, StGB, § 303a Rz. 4 m.w.N. Weitergehend: Tolksdorf, in: Leipziger Kommentar, § 303a Rz. 7 ff. Hierzu und auch zur Frage der Vernetzung von Datenverarbeitungsanlagen ausführlich Fischer, StGB, § 303a Rz. 6 f. 58 OLG Nürnberg v. 23.1.2013 – 1 Ws 445/12, CR 2013, 212.
892
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 63
E
Auszugsweise aus den Gründen:
57
„… Deshalb folgt der Senat der Ansicht, die hinsichtlich der Datenverfügungsbefugnis auf die Urheberschaft der Daten als maßgebliches Zuordnungskriterium abstellt, auf den „Skripturakt“ (vgl. die Nachweise bei Stree/Hecker in Schönke/Schröder, aaO., § 303a Rn. 3, und bei Hagen Wolff in Leipziger Kommentar, aaO. § 303a Rn. 10 und dort FN 21, jeweils zu dieser dort nicht vertretenen Meinung).“ … „Die Datenverfügungsbefugnis steht demnach grundsätzlich demjenigen zu, der die Speicherung der Daten unmittelbar selbst bewirkt hat …“
und weiter: „… Die Datenverfügungsbefugnis steht auch im Rahmen eines Arbeits- oder Dienstverhältnisses bei in fremdem Auftrag erstellten Daten grundsätzlich demjenigen zu, der die Speicherung der Daten unmittelbar selbst bewirkt hat, solange der Auftragnehmer die Daten nicht dem Auftraggeber übergeben hat, und zwar unabhängig davon, ob der Beziehung zwischen Auftraggeber und Auftragnehmer ein Arbeits-, Dienst- oder Werkvertrag zugrunde liegt (zum Meinungsstand, auch zur Gegenansicht, dass der Auftraggeber über die beim Auftragnehmer befindlichen Daten verfügungsbefugt ist „…“. Solange der Auftragnehmer die Daten nicht dem Auftraggeber ausgehändigt hat, wird dessen Datenverfügungsbefugnis lediglich im Rahmen der gegenseitigen schuldrechtlichen Verpflichtungen geschützt. Eine Ausnahme von diesem Grundsatz wird man nur für den Fall annehmen können, dass der Auftragnehmer das Datenwerk in allen Einzelheiten nach den Weisungen des Auftraggebers erstellt hat. …“
Nicht erforderlich ist eine besondere Sicherung gegen unberechtigten Zugriff oder die Beweiserheblichkeit der Daten.
58
7.2 Tathandlungen Werden Daten auf herkömmliche Art gelöscht, gibt es dennoch regelmäßig Wege der Wie- 59 derherstellung.59 Um die Handlungsalternative Löschen (1. Handlungsalternative) zu verwirklichen, bedarf es des vollständigen unwiederbringlichen Unkenntlichmachens von Daten.60 Werden die Daten dem Zugriff des Verfügungsberechtigten entzogen und können daher von 60 diesem nicht mehr verwendet werden, so ist von Unterdrücken (2. Handlungsalternative) die Rede, wobei die Problematik, ob vorübergehender Entzug ausreichend ist, umstritten ist.61 Unbrauchbar machen erfasst als 3. Handlungsalternative den Fall, dass Daten in ihrer Ge- 61 brauchsfähigkeit so erheblich beeinträchtigt werden, dass sie nicht mehr ordnungsgemäß verwendet werden und dadurch ihren ursprünglichen Zweck nicht mehr erfüllen können. Schließlich wird als 4. Alternative (Verändern) der Fall erfasst, bei welchem die Daten einen anderen Informationswert (Aussagewert) erhalten, wodurch es zu einer Beeinträchtigung des ursprünglichen Verwendungszwecks kommt.62 Die Tathandlungen können sich auch überschneiden.
62
Beispiele:
63
– Entzieht ein Auftragsdatenverarbeiter seinem Kunden über einen längeren Zeitraum gegen den Auftraggeberwillen und ohne Rechtfertigungsgrund die Zugriffsmöglichkeit auf die Daten des Auftraggebers, so macht er sich wegen Unterdrückens strafbar.
59 Ausführlich zur Thematik: http://de.wikipedia.org/wiki/Datenwiederherstellung, abgerufen am 6.6.2014. 60 Schönke/Schröder/Stree/Hecker, StGB, § 303a Rz. 5; Fischer, StGB, § 303a Rz. 9. 61 Diese Fälle sind zum Teil vom neuen § 303b StGB erfasst. 62 Ausführlich zu den Tathandlungen: Hassemer, in: Auer-Reinsdorff/Conrad, § 36 Rz. 155 ff.; Schönke/ Schröder/Stree/Hecker, StGB, § 303a Rz. 4 ff.; Fischer, StGB, § 303a Rz. 8 ff.
Hassemer
893
E Rz. 64
Strafrecht
– Ein gekündigter Arbeitnehmer löscht am letzten Arbeitstag aus Rache E-Mails mit Kundenanfragen. Die Daten sind für den Arbeitgeber nicht mehr auffindbar.63 – Durch massive Zugriffe auf eine Website wird der Server überlastet und die Daten stehen für den Inhaber (für eine bestimmte Dauer) nicht mehr zur Verfügung. Nach einer Ansicht ist das so genannte „Sit-in“ gem. § 303a StGB zu bestrafen.
64
Andere Ansicht zum Tatbestandsmerkmal der Datenunterdrückung bei nur vorübergehendem Entzug: OLG Frankfurt64: Online-Blockade gegen Lufthansa ist keine Nötigung. Die Änderungen des § 303b StGB durch das 41. Strafrechtsänderungsgesetz würden allerdings bei obigem Fall zwischenzeitlich mit hoher Wahrscheinlichkeit zu einer Strafbarkeit nach § 303b Abs. 1 Nr. 2 StGB führen.
65
Beispiele: – Durch Manipulation einer Telefonkarte wird diese wieder aufgeladen. Der Karteninhaber darf jedoch nicht frei über die Daten verfügen, da er an den Telefonvertrag gebunden bleibt. – Unechtes IP-Spoofing65 ist hinsichtlich des „gekaperten“ Rechners als Datenmanipulation gem. § 303a StGB einzuordnen. – Werden durch das Einschleusen von Viren Daten manipuliert, beschädigt oder zerstört, ist § 303a StGB gegeben. – Bei Trojanischen Pferden, die i.d.R. die laufenden Programme weder zerstören noch verändern, sondern vielmehr darauf warten, dass ein Benutzer damit arbeitet, um dann die Daten auszuspähen, ist – soweit die Daten gegen Zugang besonders gesichert waren – i.d.R. eine Strafbarkeit nach § 202a StGB und nicht nach § 303a StGB gegeben.
7.3 Versuch 66
Auch der Versuch der Datenveränderung ist gemäß § 303a Abs. 2 StGB strafbar. 7.4 Strafbarkeit der Vorbereitungshandlung (§ 303a Abs. 3 StGB)
67
Damit werden unter Bezugnahme auf § 202c StGB die Vorbereitungshandlungen zur Datenveränderung unter Strafe gestellt. Im Einzelnen sei auf die Ausführungen zu § 202c Abs. 1 StGB n.F. verwiesen.
68
In der Praxis wird es voraussichtlich große Schwierigkeiten bereiten, taugliche Abgrenzungskriterien bei Programmen mit Missbrauchspotential zu finden, da die Anzahl der in Frage kommenden Programme noch größer ist als bei § 202a und § 202b StGB n.F. So führt Schultz66 völlig zu Recht aus, dass jeder herkömmliche Dateimanager sich für eine rechtswidrige Datenveränderung zweckentfremden lässt und bereits ein File-Shredder-Programm sowohl zur berechtigten, unwiderruflichen Dateilöschung geeignet ist, als auch Instrument eines Datensaboteurs werden kann. 7.5 Strafantrag (§ 303c StGB)
69
Gemäß § 303c StGB ist ein Strafantrag zur Strafverfolgung der Delikte nach §§ 303a StGB erforderlich. In diesem Fall gelten die §§ 77 ff. StGB, wonach das Antragsrecht i.d.R. beim Verletzten liegt und die Tat innerhalb von 3 Monaten nach Kenntnisnahme von Tat und Täter angezeigt und Strafantrag gestellt werden muss (§ 77b StGB). Bei öffentlichem Interesse 63 64 65 66
Soweit beweiserhebliche Daten betroffen sind, ist § 274 StGB zu prüfen. OLG Frankfurt v. 22.5.2006 – 1 Ss 319/05. Rinker, MMR 2002, 663 (664). Schultz, MIR 2006, Dok. 180 Rz. 36.
894
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 74
E
kann allerdings von der Staatsanwaltschaft ein Ermittlungsverfahren auch ohne Antrag eingeleitet werden. 8. Computersabotage (§ 303b StGB) Der Straftatbestand der Computersabotage wurde durch das 41. Strafrechtsänderungsgesetz erheblich abgeändert: Seit dem 11.8.2007 ist erstmalig gemäß § 303b Abs. 1StGB auch die private Datenverarbeitung von der Strafandrohung erfasst, sofern sie von wesentlicher Bedeutung ist.
70
8.1 Tatgegenstand Die Vorschrift bezieht sich in allen Tatvarianten auf eine Datenverarbeitung von wesentli- 71 cher Bedeutung. Unter Datenverarbeitung ist der gesamte Umgang mit Daten von der Erhebung bis zur Verwendung erfasst.67 Von wesentlicher Bedeutung ist die Datenverarbeitung jedenfalls dann, wenn die Funktionsfähigkeit der Einrichtung als Ganzes nach der jeweiligen Organisationsstruktur und Aufgabenstellung ganz oder überwiegend von der Datenverarbeitung abhängig ist. 8.2 Erhebliche Störung der Datenverarbeitung Mit dem Begriff des Störens einer Datenverarbeitungsanlage wird nicht die bloße Tätigkeit, 72 sondern der Erfolg der Tathandlung beschrieben.68 Die Folge der Tathandlung muss eine erhebliche Störung der Datenverarbeitung sein. Bereits nach alter Rechtslage war es allg. h.M., dass die Beeinträchtigung der Datenverarbeitung erheblich sein muss. Im neuen Gesetzestext wurde die Erheblichkeit nun ausdrücklich in den Tatbestand aufgenommen. 8.2.1 § 303b Abs. 1 Nr. 1 StGB § 303b Abs. 1 Nr. 1 StGB ist Qualifikationstatbestand zu § 303a StGB. Folglich handelt es sich 73 bei den Tathandlungen um die des § 303a StGB, worauf an dieser Stelle verwiesen sei. Seit dem 11.8.2007 wird auch die private Datenverarbeitung von der Vorschrift erfasst, soweit sie von wesentlicher Bedeutung ist. Die Frage, nach welchen Kriterien dies zu bemessen ist, wurde vom Gesetzgeber nicht klar beantwortet. Zum einen soll darauf abgestellt werden, „ob die Datenverarbeitungs-Anlage69 für die Lebensgestaltung der Privatperson eine zentrale Funktion einnimmt“, zum anderen sollen „Kleincomputer, Schreibmaschinen und Taschenrechner“ nicht erfasst sein. Diese anlagenbezogene Betrachtungsweise wird zu Recht kritisiert. Es bleibt abzuwarten, wie die Rspr. den Begriff der Wesentlichkeit im privaten Bereich definieren wird. Viel wird sicher vom Vortrag des jeweils Geschädigten abhängen. 8.2.2 § 303b Abs. 1 Nr. 2 StGB § 303b Abs. 1 Nr. 2 StGB enthält einen neuen eigenständigen Straftatbestand: Bestraft wird, wer Daten in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder weiterleitet.
67 Die Definition entspricht der h.M. Der Begriff der Datenverarbeitung ist im Gesetz nicht definiert. Vgl. BT-Drs. 10/5058 S. 35, Malek, Strafsachen im Internet, Rz. 185 m.w.N. 68 Fischer, StGB, § 303b Rz. 9. 69 Bezeichnenderweise markiert Fischer, StGB, § 303b Rz. 7 den Begriff „Anlage“ im Zshg. mit der privaten Nutzung mit einem Ausrufungszeichen und kritisiert, dass das Abstellen auf willkürlich definierte Freizeitinteressen wenig sachgerecht erscheinen würde.
Hassemer
895
74
E Rz. 75 75
Strafrecht
Beispiel: Denial of Service (DoS) Attacken, durch welche ein Dienst durch gezielte Angriffe nicht oder nur noch eingeschränkt funktioniert (bewusst herbeigeführte Serverüberlastung).
8.2.3 § 303b Abs. 1 Nr. 3 StGB 76
§ 303b Abs. 1 Nr. 3 StGB regelt die klassische Datensabotage als eigenen Straftatbestand. Er sanktioniert die Einwirkungen auf die Hardware, jedoch ist im Unterschied zur klassischen Sachbeschädigung nicht vorausgesetzt, dass die Sachen oder betroffenen Daten fremd sind.70
77
Bei den Tathandlungen sind Überschneidungen zwischen den einzelnen Handlungen möglich. Unter Zerstören fällt die erhebliche Beeinträchtigung der Sache, sodass sie für ihren Zweck völlig unbrauchbar wird. Beschädigen liegt hingegen bei nicht unerheblicher Substanzbeeinträchtigung vor. Kommt es zu einer Entfernung aus dem Gebrauchs- oder Verfügungsbereich des Berechtigten oder kann er bei Bedarf nicht mehr darauf zugreifen, so ist von Beseitigen die Rede. Vierte Variante ist die Veränderung. Hierunter wird das Ersetzen des früheren Zustands durch einen anderen definiert.71 8.2.4 Datenverarbeitung fremder Betriebe oder Behörden (§ 303b Abs. 2 StGB)
78
Dieser Absatz beinhaltet eine verschärfte Strafandrohung von bis zu fünf Jahren oder Geldstrafe für jene Fälle, in welchen Betriebe, Unternehmen oder Behörden betroffen sind. Bezüglich der beiden ersten Fälle kommt jedes Gewerbe, unabhängig von der Rechtsform oder Art in Betracht. Gewinnerzielungsabsicht ist nicht notwendig. Als Behörde wird ein selbständiges, von der Person des Inhabers unabhängiges, in das Gefüge der öffentlichen Verwaltung eingeordnetes Organ der Staatsgewalt bezeichnet.72 Vorausgesetzt wird, dass fremdes Eigentum betroffen ist, da der Fall wirtschaftlicher Identität zwischen Täter und Geschädigtem nicht vom Schutzzweck der Norm erfasst ist.73 8.2.5 Versuchstrafbarkeit (§ 303b Abs. 3 StGB)
79
Nach § 303b Abs. 3 StGB (in der alten Fassung noch Abs. 2) ist der Versuch einer Tat nach § 303b Abs. 1 oder 2 StGB strafbar. 8.2.6 § 303b Abs. 4 StGB
80
§ 303b Abs. 4 StGB regelt unter weiterer Erhöhung der Strafandrohung die Strafbarkeit für besonders schwere Fälle. Wer durch die Sabotage einen Vermögensverlust großen Ausmaßes herbeiführt, gewerbsmäßig oder als Mitglied einer Bande handelt oder durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt, muss mit einer Freiheitsstrafe von 6 Monaten bis zu 10 Jahren rechnen. 8.2.7 Strafbarkeit der Vorbereitungshandlung (§ 303b Abs. 5 StGB)
81
Hier werden unter Bezugnahme auf § 202c StGB die Vorbereitungshandlungen zur Computersabotage unter Strafe gestellt. Im Einzelnen sei auf die Ausführungen zu § 202c Abs. 1 StGB verwiesen. 70 Fischer, StGB, § 303b StGB Rz. 13. 71 Ausführlich zu den einzelnen Tathandlungen: Fischer, StGB, § 303b StGB Rz. 9 f.; Schönke/Schröder/ Stree/Hecker, StGB, § 303b, Rz. 6 ff. 72 Näher und m.w.N. Fischer, StGB, § 11 Rz. 29. 73 Ausführlich zu Problemen der Datenauftragsverarbeitung Fischer, StGB, § 303b StGB Rz. 17.
896
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 89
E
8.2.8 Strafantrag (§ 303c StGB) Mit Ausnahme der schweren Fälle ist gemäß § 303c StGB ein Strafantrag zur Strafverfolgung 82 der Delikte nach §§ 303a, 303b StGB erforderlich. In diesem Fall gelten die §§ 77 ff. StGB, wonach das Antragsrecht i.d.R. beim Verletzten liegt und die Tat innerhalb von 3 Monaten nach Kenntnisnahme von Tat und Täter angezeigt und Strafantrag gestellt werden muss (§ 77b StGB). Bei öffentlichem Interesse kann allerdings von der Staatsanwaltschaft ein Ermittlungsverfahren auch ohne Antrag eingeleitet werden. 9. Strafbare Verwendung personenbezogener Daten (§§ 44, 43 BDSG) 9.1 Personenbezogene Daten Tatobjekt des Straftatbestands sind personenbezogene Daten. Gem. § 3 Abs. 1 BDSG werden 83 diese als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person definiert (Betroffener). 9.2 Straftatbestand des § 44 BDSG § 44 BDSG verlangt einerseits die vorsätzliche Verwirklichung einer unter § 43 Abs. 2 BDSG aufgezählten Tathandlung.
84
Des Weiteren wird das Handeln gegen Entgelt (§ 11 Abs. 1 Nr. 9 StGB) bzw. die Bereicherungsoder Schädigungsabsicht vorausgesetzt.Während für die Schädigungsabsicht jeder vom Täter beabsichtigte Nachteil ausreicht, muss die Bereicherungsabsicht auf einen Vermögensvorteil gerichtet sein, der rechtswidrig ist, d.h. auf den der Täter keinen Rechtsanspruch hat.74
85
9.3 Rechtswidrigkeit Die wirksame Einwilligung gem. § 4 Abs. 1 BDSG schließt die Strafbarkeit aus. Dabei ist nach 86 h.M. die bloße Nichtbeachtung der Form kein Strafgrund.75 Umstritten ist die strafrechtliche Bedeutung nach §§ 307 ff. BGB bei unwirksamer Einwilligungsklausel in AGB. Nach einer Ansicht soll bei Wegfall einer entsprechenden Klausel die Strafbarkeit mangels Einwilligung gegeben sein, nach einer anderen Ansicht bedarf es bei der Beurteilung einzelner Nichtigkeitsgründe einer eigenen strafrechtlichen Bewertung.76 Jedenfalls ist eine pauschale Einwilligung in jede beliebige Verwendung personenbezogener Daten in AGB ebenso unwirksam wie eine, die unter Zwang abgegeben wurde (indem etwa die Erbringung von Tele- und Mediendiensten von der entsprechenden Einwilligung abhängig gemacht wird).
87
9.4 Täter Keine Begrenzung auf Normadressaten des BDSG: Wie bei den Ordnungswidrigkeiten nach § 43 BDSG kann nach wohl h.M. jedermann Täter einer Straftat nach § 44 StGB sein, nicht nur die öffentlichen und privaten Stellen (und deren Mitarbeiter) i.S.v. § 1 Abs. 2 BDSG.77
88
9.5 Antragsdelikt Antragsdelikt gem. § 44 Abs. 2 Satz 1 BDSG: Antragsberechtigt ist der Betroffene (§ 77 StGB), die verantwortliche Stelle wie auch die zuständige Datenschutzbehörde. 74 75 76 77
Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rz. 740. Gola/Schomerus/Körffer/Klug/Gola, BDSG, § 44 Rz. 3. Zum Meinungsstreit: Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rz. 741 m.w.N. Däubler/Klebe/Wedde/Weichert/Däubler, BDSG, § 43 Rz. 3.
Hassemer
897
89
E Rz. 90
Strafrecht
9.6 Rechtsprechungsbeispiele 90
BGH vom 4.6.2013 (LG Mannheim) Der 1. Strafsenat des BGH hat entschieden, dass die heimliche Überwachung einer „Zielperson“ mittels eines GPS-Empfängers grds. strafbar ist, es sei denn, es besteht ein starkes berechtigtes Interesse an der Datenerhebung (etwa in notwehrähnlichen Situationen).78
91
Mit Beschluss vom 22.11.2007 stellte das LG Marburg79 klar, dass die unbefugte Veröffentlichung eines Auszugs aus dem Bundeszentralregister im Internet unter die Vorschriften §§ 44, 43 Abs. 2 Nr. 1 und Nr. 2 BDSG zu subsumieren und entsprechend als Straftat zu ahnden ist. Wichtige E. für Rechtsanwälte:
92
1. Instanz: AG Berlin-Tiergarten: „Ein Rechtsanwalt ist auf Grund der vorrangigen anwaltlichen Verschwiegenheitspflicht nicht verpflichtet, dem Datenschutzbeauftragten mitzuteilen, wie er in den Besitz Mandatsbezogener Unterlagen gekommen ist. Die Bundesrechtsanwaltsverordnung enthält bereichsspezifische Sonderregelungen i. S. des § 1 Abs. 3 BDSG.“80
93
2. Instanz: „Auch das Kammergericht hat den Vorrang der anwaltlichen Schweigepflicht gegenüber dem Datenschutzbeauftragten bestätigt. Allerdings in Teilen mit anderen Rechtsausführungen. Mit Beschluss vom 20.8.2010 hat es die Rechtsbeschwerde der Amtsanwaltschaft Berlin gegen das obige Urteil des Amtsgerichts verworfen und festgestellt: … ‚das Amtsgericht hat den Betroffenen zurecht freigesprochen. Die festgestellte Auskunftsverweigerung des Betroffenen ist nicht bußgeldbewehrt.‘“81
10. Ausspähen von Daten (§ 202a StGB) 94
Seit dem 11.8.2007 ist eine grundlegende Änderung des § 202a StGB in Kraft getreten, die bis dahin strafloses Verhalten kriminalisiert.82 10.1 Tatgegenstand
95
Tatgegenstand sind Daten (§ 202a Abs. 2 StGB).83 Erfasst werden sollen solche Daten, die elektronisch, magnetisch oder in sonstiger Weise nicht unmittelbar wahrnehmbar entweder gespeichert oder übermittelt werden (eingeschränkter Datenbegriff). Daten, die nicht personenbezogen sind, fallen ebenso unter den Schutz der Vorschrift, wie solche, die keine besonderen Geheimnisse beinhalten. Insofern geht der Datenbegriff über den des BDSG bzw. § 203 StGB hinaus.84
96
Die Daten dürfen für den Täter nicht bestimmt sein. Dabei kommt es auf die Rechtsmacht zur Verfügung über die Daten an. Darf der Täter also grds. auf die Daten zugreifen, nutzt sie aber gegen den Willen des Berechtigten, so ist kein Fall des § 202a StGB gegeben.
78 79 80 81
BGH v. 4.6.2013 – 1 StR 32/13, NJW 2013, 2530. LG Marburg v. 22.11.2007 – 4 Qs 54/07, ITRB 2008, 193. AG Berlin-Tiergarten v. 5.10.2006 – 317/OWi 3235/05 – NJW 2007, 97. KG v. 20.8.2010 – 1 Ws (B) 51/07, BRAKM 2010, 224 = AnwBl 2010, 802 = K&R 2010, 745 = DStR 2010, 2375 = MMR 2010, 864 = RDV 2010, 285 = NJ 2010, 527 = NJW 2011, 324 = StraFo 2011, 25 = DStRE 2011, 1968 = CR 2011, 187 = DuD 2011, 366. Die E. ist außerdem über die Homepage der RAK Berlin (www.rakberlin.de) als PDF abrufbar. 82 Geändert mit Wirkung zum 11.8.2007 durch das 41. StrÄndG. Materialien hierzu: BT-Drs. 16/3656; BT-Drs. 16/5449. Rahmenbeschluss 2005/222/JI des Rates vom 24.2.2005; EU-Recht: Übereinkommen des Europarates über Computerkriminalität – hierzu BR-Drs. 275/00. 83 Ausführlich zum strafrechtlichen Datenbegriff: Hassemer, in: Conrad/Grützmacher, Teil C, Kapitel IV, Rz. 48, 49. 84 Fischer, StGB, § 202a Rz. 3.
898
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 103
E
Als weiteres Tatbestandsmerkmal müssen die Daten gegen unberechtigten Zugang besonders 97 gesichert sein. Hierunter fallen insb. soft- und hardwareintegrierte Sicherungen. Ein erhöhter Sicherungsgrad i.S.v. § 9 BDSG ist nicht erforderlich, allerdings ein nach außen erkennbarer Wille zur Geheimhaltung. 98
Beispiele: – Der Täter knackt den Kopierschutz fremder Software. – Der Täter verschafft sich oder Dritten Zugang zu Daten, die verschlüsselt wurden oder mit Passwort geschützt sind, unter Überwindung des besonderen Schutzes.
10.2 Tathandlung § 202a StGB erfasste in seiner alten Fassung nur das unbefugte Sich-Verschaffen zugangsgesicherter Daten unter Überwindung der Zugangssicherung. Die Neufassung bestraft (bereits) denjenigen, der sich oder einem Dritten unbefugt den Zugang zu geschützten Daten unter Überwindung der Zugangssicherung verschafft. Während nach alter Rechtslage das Hacking eines geschützten Systems (als reine Zugangsverschaffung ohne Daten auszulesen) nicht eindeutig als strafbare Handlung beurteilt wurde,85 ist gerade dieser Fall von der neuen Rechtslage explizit erfasst worden.
99
10.3 Rechtswidrigkeit Wesentliche Voraussetzung der Strafbarkeit ist die Frage, ob der Täter befugt war, auf die zugangsgesicherten Daten zuzugreifen. Liegt eine ausreichende Einwilligung des Berechtigten vor – etwa anlässlich einer Sicherheitsprüfung des Unternehmensnetzes – so schließt diese i.d.R. die Rechtswidrigkeit aus. Wird vom Berechtigten bereits der Zugang zu den Daten gestattet, so sind die Daten für den Handelnden bestimmt. In diesem Falle ist die Strafbarkeit nach § 202a StGB nicht gegeben, da es bereits an einem objektiven Tatbestandsmerkmal „nicht für ihn bestimmt“ fehlt.86
100
Die Einwilligung – etwa i.R.d. Beauftragung eines IT-Sicherheitsunternehmens – lässt die Strafbarkeit entfallen. Allerdings sollte i.R.d. Auftrags auch die Überwindung bzw. der Test von vorhandenen Zugangssicherungen mit von der Einwilligung erfasst sein.
101
10.4 Vorsatz Eventualvorsatz reicht für eine Strafbarkeit nach § 202a StGB aus. Der Straftatbestand verlangt kein zielgerichtetes, absichtliches Handeln. Der Täter handelt vorsätzlich, wenn er den Taterfolg als Folge seines Handelns ernsthaft für möglich hält und zugleich billigend in Kauf nimmt und sich damit abfindet (bedingter Vorsatz).87 Geht der Täter hingegen irrtümlich davon aus, dass die Daten für ihn bestimmt sind, so handelt er nicht vorsätzlich.88
102
10.5 Strafantragsdelikt (§ 205 Abs. 1 Satz 2 StGB) § 202a StGB wurde gem. § 205 Abs. 1 Satz 2 StGB als Strafantragsdelikt ausgestaltet. Daher 103 sollte immer fristgemäß nach § 77b StGB innerhalb drei Monaten nach Kenntnis von Tat und Täter durch den Antragsberechtigten Strafantrag gestellt werden. Falls diese Frist bereits überschritten ist, kann dennoch eine Strafanzeige erstattet werden. Der Sachverhalt 85 Ausführlich zum Meinungsstreit: Fischer, StGB, § 202a Rz. 11. 86 Vertiefend: Hassemer, in: Conrad/Grützmacher, Teil C, Kapitel IV, Rz. 48, 49. 87 Schönke/Schröder/Lenkner/Eisele, StGB, § 202a Rz. 12; Vertiefend zur Frage des dolus eventualis und zu den einzelnen Theorien: Schönke/Schröder/Sternberg-Lieben/Schuster, StGB, § 15 Rz. 72 ff. 88 Allerdings kommt dann ein Verbotsirrtum gem. § 17 StGB in Betracht.
Hassemer
899
E Rz. 104
Strafrecht
sollte dann allerdings möglichst sorgfältig dargestellt werden. Empfehlenswert sind auch Ausführungen zur Schadenshöhe. Ist die Beeinträchtigung für das betroffene Unternehmen erheblich und lag ggf. eine hohe kriminelle Energie des Täters vor, so spricht dies für die Bejahung des öffentlichen Interesses aufseiten der Staatsanwaltschaft und kann bereits deshalb zur Aufnahme entsprechender Ermittlungen führen. 10.6 Rechtsprechungsbeispiel: 104 In einer zivilrechtlichen E. hatte das LG Halle89 über das Auslesen von Rohdaten einer Geschwindigkeitsmessanlage zu befinden und in diesem Zshg. ausgeführt, dass es entscheidend sei, ob der Klägerin die Daten gehören und sie insoweit Berechtigte i.S.v. § 202a StGB sei: „Soweit die Klägerin meint, allein deshalb, weil sie im Messgerät eine Software installiert hat, die die Speicherung der Rohdaten unter deren Verschlüsselung vornimmt, Verfügungsbefugte der Rohdaten zu sein, kann dem nicht gefolgt werden. Denn das Verschlüsseln fremder Daten verändert nicht das Herrschaftsverhältnis an den gespeicherten Daten. Schließlich ist es nicht so, dass die Klägerin sich damit wirksam die Nutzung der Daten vorbehalten hat, denn auch insoweit fehlt ihr mangels Berechtigung die Befugnis für einen solchen Vorbehalt.“
10.7 Gesetzesentwurf des Bundesrats vom 7.6.2013 105 Nach derzeitigen Planungen90 soll in Zukunft nicht nur die Versuchsstrafbarkeit des § 202a StGB eingeführt werden, sondern im Falle des Handelns mit Bereicherungs- oder Schädigungsabsicht bzw. banden- oder gewerbsmäßigen Vorgehens zudem eine Erhöhung des Strafrahmens erfolgen, sowie im Fall des 4. Absatzes auch die Folge des § 73d StGB (Erweiterter Verfall) eintreten.91 106 Der Gesetzesentwurf des Bundesrats vom 7.6.2013 sieht im Einzelnen folgende ergänzenden Regelungen für § 202a StGB vor:92 „(3) Handelt der Täter in den Fällen des Abs. 1 in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu fünf Jahre oder Geldstrafe. (4) Handelt der Täter in den Fällen des Abs. 3 gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach den §§ 202a, 202b, 202d, 263 bis 264, 267 bis 269, 303a oder 303b verbunden hat, so ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. (5) Der Versuch ist strafbar. (6) In den Fällen des Abs. 4 ist § 73d anzuwenden.“
89 LG Halle v. 15.12.2013 – 5 O 110/13, JurPC Web-Dok. 12/2014. 90 Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei, Gesetzentwurf des Bundesrates v. 13.6.2013, BT-Drs.17/14362 v. 10.7.2013; Elektronische Vorab-Fassung: http://dip21.bundestag.de/ dip21/btd/17/143/1714362.pdf, abgerufen am 6.2.2015. Interessant ist allerdings, dass zwar das Gesetz zur Datenhehlerein am 18.12.2015 in Kraft getreten ist, die Änderungen zum § 202a StGB jedoch bis dato im Entwurfsverfahren stecken geblieben sind. 91 Die Ausgestaltung der Tatbestände der §§ 202a, 202b und 202d StGB erfolgt nach dem Gesetzgeberwillen insoweit im Wesentlichen gleichlaufend, vgl. Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei, Gesetzentwurf des Bundesrates v. 13.6.2013, BT-Drs. 17/14362 v. 10.7.2013; Elektronische Vorab-Fassung: http://dip21.bundestag.de/dip21/btd/17/143/1714362.pdf, abgerufen am 6.2.2015. 92 Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei, Gesetzentwurf des Bundesrates v. 13.6.2013, BT-Drs. 17/14362 v. 10.7.2013; Elektronische Vorab-Fassung: http://dip21.bundestag.de/ dip21/btd/17/143/1714362.pdf, abgerufen am 6.2.2015.
900
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 112
E
11. Abfangen von Daten (§ 202b StGB) § 202b StGB ist mit Wirkung zum 11.8.2007 neu in das Strafgesetzbuch eingefügt worden.93 107 Die vor der Gesetzesreform relativ populären, und gerade bei Unternehmen mit einem gewissen Bekanntheitsgrad gefürchteten, häufig über die Medien verbreiteten Demonstrationender (Un-)Sicherheit von zum Teil erschreckend offenen Unternehmensnetzen, sind seit Einführung des § 202b StGB selten geworden. 11.1 Tatgegenstand Tatgegenstand sind Daten (§ 202a Abs. 2 StGB). Erfasst werden sollen solche Daten, die elek- 108 tronisch, magnetisch oder in sonstiger Weise nicht unmittelbar wahrnehmbar entweder gespeichert oder übermittelt werden (eingeschränkter Datenbegriff). Daten, die nicht personenbezogen sind, fallen ebenso unter den Schutz der Vorschrift wie „einfache“ Daten, die keine besonderen Geheimnisse beinhalten. Insofern geht der Datenbegriff über den des BDSG bzw. § 203 StGB hinaus.94 Die Daten müssen für den Täter nicht bestimmt sein. Dabei kommt es auf die Rechtsmacht zur Verfügung über die Daten an. Darf der Täter also grds. auf die Daten zugreifen, nutzt sie aber gegen den Willen des Berechtigten, so ist kein Fall des § 202b StGB gegeben.
109
Die Daten müssen von einer nichtöffentlichen Datenübermittlung oder elektromagneti- 110 schen Abstrahlung einer Datenverarbeitungsanlage verschafft werden. Hierunter fallen jedenfalls Telefon, Fax oder E-Mail. Ob die Datenübermittlung drahtlos oder leitungsgebunden erfolgt, ist unerheblich, auch einer Sicherung der Daten bedarf es nicht. Die Daten müssen von einer nichtöffentlichen Datenübermittlung oder elektromagneti- 111 schen Abstrahlung einer Datenverarbeitungsanlage verschafft werden. Hierunter fällt sowohl die Übertragung per Telefon, Fax oder E-Mail, aber auch Übertragungen innerhalb kleinerer Netzwerke, wie dies beim Senden eines Druckauftrags der Fall ist.95 Uneinigkeit herrschte nach in Krafttreten der Vorschrift im August 2007 darüber, ob die heimliche Mitnutzug eines ungesicherten WLANs strafbar sei. Während Buermeyer96 nach eingehender Analyse 2004 bereits davon ausgegangen ist, dass die bloße (heimliche) Mitnutzung eines ungesicherten WLANs nicht unter die bis zum Inkrafttreten des 41. Strafrechtsänderungsgesetzes bestehenden Strafvorschriften subsumiert werden kann, musste die Thematik nach Einführung des § 202b StGB neu betrachtet werden.97 Wann eine Datenübermittlung nichtöffentlich ist, wird sicher in der Zukunft weiterhin die Fachliteratur und Gerichte beschäftigen. Nichtöffentlich ist eine Datenübermittlung, die objektiv erkennbar für einen beschränkten Nutzerkreis bestimmt ist, ohne dass es auf die Wahrnehmbarkeit durch Unberechtigte ankommt.98 Die gängige Kommentarliteratur geht davon aus, dass die Tatsache, dass bei einer Übermittlung keine Verschlüsselung benutzt wird, grds. der Annahme einer Nichtöffentlichkeit nicht entgegensteht.99 93 Geändert mit Wirkung zum 11.8.2007 durch das 41.StrÄndG. Materialien hierzu: BT-Drs. 16/3656; BTDrs. 16/5449. Rahmenbeschluss 2005/222/JI des Rates v. 24.2.2005; EU-Recht: Übereinkommen des Europarates über Computerkriminalität – hierzu BR-Drs. 275/00. 94 Fischer, StGB, § 202a Rz. 3. 95 Diese und weitere Beispiele finden sich bei Schönke/Schröder/Eisele, StGB, § 202 b Rz. 3. 96 Buermeyer, HRRS 2004, 285. 97 In der Kommentarliteratur wurde nach der Strafrechtsreform vorübergehend eine Strafbarkeit in Erwägung gezogen: „Bei drahtlos übertragenen Daten kommt namentlich das heimliche Aufspüren und Einloggen in unverschlüsselte WLAN-Netze in Betracht“, vgl. Fischer, StGB, 55. Aufl. 2008, § 202b Rz. 6. 98 Gröseling/Höfinger MMR, 2007, 549. 99 Schönke/Schröder/Eisele, StGB, § 202b Rz. 3 und Fischer, StGB, § 202b Rz. 4.
Hassemer
901
112
E Rz. 113
Strafrecht
113 Jedenfalls soll es nach derzeitiger Rspr. nicht auf Art (also unabhängig ob verschlüsselt oder nicht) und Inhalt ankommen, sondern nur auf den Übermittlungsvorgang selbst. Soweit MAC-Adressen und SSID-Daten betroffen sind, sollen diese nach überwiegender Rechtsansicht als reine Verwaltungsdaten und Teil einer öffentlichen Datenübertragung nicht unter § 202b StGB fallen. 114 Mit überzeugenden Argumenten haben sich viele Stimmen in der Lit.100 und schließlich auch AG Wuppertal101 und LG Wuppertal102 in ihren E. vom 3.8.2010 und 19.10.2010 gegen eine Strafbarkeit nach § 202b StGB ausgesprochen. Als wesentliches Argument für die E. betonte das Landgericht, dass das Einwählen in ein fremdes und unverschlüsselt betriebenes Netzwerk keine Strafbarkeit nach § 202b StGB begründe, weil es an der nichtöffentlichen Datenübermittlung fehle. Entscheidend für die Nichtöffentlichkeit sei nämlich der Inhalt der Daten und nicht die Art des Übertragungsvorgangs. 11.2 Tathandlungen 115 Der Täter muss sich oder einem anderen die Daten unter Anwendung von technischen Mitteln ohne Befugnis verschaffen. Das ist zu bejahen, wenn Daten abgefangen, kopiert oder umgeleitet werden. Dabei reicht aus, wenn sie auf den Arbeitsspeicher zur Darstellung auf einem Monitor geladen werden.103 Die Tat muss mit technischen Mitteln104 begangen werden. 11.3 Sonstige Voraussetzungen 116 Der Täter muss unbefugt und mindestens bedingt vorsätzlich handeln. Hier gilt das unter § 202a StGB Ausgeführte.105 Eine Versuchsstrafbarkeit ist nicht gegeben. Sind die Daten besonders gegen Zugang gesichert gewesen, tritt § 202b StGB hinter § 202a StGB zurück. 11.4 Strafantragsdelikt (§ 205 Abs. 1 Satz 2 StGB) 117 § 202b StGB wurde gem. § 205 Abs. 1 Satz 2 StGB als Strafantragsdelikt ausgestaltet. Daher sollte immer fristgemäß nach § 77b StGB innerhalb drei Monaten nach Kenntnis von Tat und Täter durch den Antragsberechtigten Strafantrag gestellt werden.106 12. Vorbereiten des Ausspähens oder Abfangens von Daten (§ 202c StGB) 118 Ebenfalls auf den Tatzeitpunkt ist zu achten, wenn ein Fall des Vorbereitens des Ausspähens oder Abfangens von Daten vorliegt. Die Strafbarkeit derartiger Vorbereitungshandlungen ist in das Strafgesetzbuch mit Wirkung zum 11.8.2007 neu eingefügt worden. § 202c StGB sanktioniert die Vorbereitung von Straftaten nach §§ 202a, 202b StGB. Entsprechendes gilt für Taten nach §§ 303a und 303b StGB.
100 Bär, MMR 2005, 434, Buermeyer, HRRS 2004, 285. 101 AG Wuppertal v. 3.8.2010 – 26 Ds 282/08. 102 Das AG Wuppertal hat vor dem In-Kraft-Treten des Strafrechtsänderungsgesetzes mit Urteil vom 3.4.2007 in einem solchen Fall des „Schwarz-Surfens“ über einen offenen WLAN-Zugang eine Strafbarkeit wegen Verstoßes gegen §§ 89 Satz 1, 148 Abs. 1 Satz 1 TKG und §§ 44, 43 Abs. 2 Nr. 3 BDSG bejaht, AG Wuppertal v. 3.4.2007 – 22 Ds 70 Js 6906/06, abgedruckt mit weiteren Anmerkungen von Rössel in ITRB 2008, 99 = CR 2008, 468. 103 Fischer, StGB, § 202a Rz. 5. 104 Eingehend zur Frage der Erforderlichkeit dieses Tatbestandsmerkmals und den Ausführungen des Gesetzgebers hierzu: Fischer, StGB, § 202a Rz. 6. 105 S. Rz. 100 ff. 106 Vgl. Ausführungen unter Rz. 103.
902
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 125
E
Bereits im Vorfeld der Verabschiedung dieser neuen Strafvorschrift kam es zu energischen 119 Protesten aus weiten Teilen der IT-Industrie, insb. der IT-Sicherheitsunternehmen.107 Die Vorschrift wird häufig als „Hackerparagraph“ betitelt. Sanktioniert wird allerdings nicht das Hacken selbst, sondern die Handlungen, die mit der Herstellung und Verbreitung von Hacker-Tools im Zshg. stehen. 12.1 Tatgegenstand § 202c Nr. 1 StGB nennt als Tatobjekt Passwörter und sonstige Zugangscodes, die den Zugang zu Daten ermöglichen.
120
Die Kommentarliteratur spricht in diesem Zshg. teilweise von Zugangscodes, Passwörtern und ähnlichen Daten unter Nennung von „Verschlüsselungs- und Entschlüsselungssoftware, die den Zugang zu Daten ermöglichen“108. Dabei soll es nicht notwendig sein, dass die Tatobjekte ihrerseits schon in Form von Daten i.S.v. § 202a StGB vorliegen.
121
§ 202c Nr. 2 StGB hingegen bezieht sich auf Computerprogramme, deren Zweck die Begehung einer Tat nach § 202a StGB oder § 202b StGB ist.
122
12.2 Tathandlung Tathandlung ist die Vorbereitung einer Straftat nach § 202a StGB bzw. § 202b StGB, indem 123 auf den Tatgegenstand bezogen das Schadprogramm bzw. die Zugangssicherung hergestellt, sich oder einem anderen verschafft, verkauft, einem anderen überlassen, verbreitet oder sonst zugänglich gemacht wird. 12.3 Problematik IT-Sicherheit I.R.d. Gesetzgebungsverfahrens erfolgte eine Anhörung von Vertretern der IT-Branche. Deren Bedenken wurde vom Rechtsausschuss109 folgendermaßen begegnet:
124
„Um Missverständnisse zu vermeiden, stelle der Rechtsausschuss klar, dass § 202c StGB hinsichtlich der Zweckbestimmung im Sinne des Artikels 6 des Europarats-Übereinkommens auszulegen sei. Danach sind nur Computerprogramme betroffen, die in ersterLinie dafür ausgelegt oder hergestellt würden, um damit Straftaten nach den §§ 202a, 202b StGB zu begehen. Die bloße Geeignetheit zur Begehung solcher Straftaten begründe keine Strafbarkeit.“110
12.4 Entscheidung des BVerfG vom 18.5.2009 Mit E. des BVerfG vom 18.5.2009111 wurde § 202c StGB höchstrichterlich unter die Lupe ge- 125 nommen.112 Gegenstand des Verfahrens waren drei Verfassungsbeschwerden, die gegen § 202c StGB gerichtet waren. Beschwerdeführer waren unter anderem der Geschäftsführer eines Unternehmens für Dienstleistungen im Bereich der Sicherheit von Informations- und Kommunikationstechnologien und ein Hochschullehrer der technischen Fachhochschule Berlin (Fachbereich Informatik und Medien) in dessen Vorlesungen es unter anderem um die Vermittlung der Kompetenz zur Nutzung so genannter Sicherheitsanalysewerkzeuge geht. Als weiterer Kläger trat Linux Nutzer K auf.
107 108 109 110 111
Vgl. etwa Krempl, c‘t 13/2007, 42. Fischer, StGB, § 202c Rz. 3. Drs. 16/5449. Drs. 16/5449. BVerfG v. 18.5.2009 – 2 BvR 2233/07, K&R 2009, 632 = CR 2009, 673 = ZUM 2009, 745 = JR 2010, 79 = BVerfGK 15, 491. 112 Hierzu: Hassemer, JurPC Web-Dok. 51/2010, Abs. 1.
Hassemer
903
E Rz. 126
Strafrecht
126 Fall 1: Linux Nutzer K befürchtet, sich bereits durch das Installieren von Linux-Distributionen wie „nmap“ nach § 202c Abs. 1 Nr. 2 StGB strafbar zu machen. Gerügt wurde ein Verstoß gegen Art. 2 GG.
127 Fall 2: Hochschulprofessor W (Informatik) stellt kritische Computerprogramme zu Übungszwecken auf seiner öffentlich zugänglichen Internetseite zum Download zur Verfügung. Er rechnet damit, dass diese von einigen Studenten auch zur Verwirklichung von Straftaten genutzt werden. Er wendete sich gegen § 202c Abs. 1 Nr. 2 i.V.m. § 202a StGB und rügte einen Verstoß gegen Art. 12 Abs. 1, Art. 5 Abs. 3 und Art. 2 Abs. 1 GG.
128 Fall 3: Geschäftsführer F der IT-Sicherheitsfirma V wendete sich gegen § 202c Abs. 1 Nr. 1 und 2 StGB. V setzt Dual Use Software und Schadware (zum Teil entnommen aus Hackerforen) zum Sicherheitstest beim Kunden ein. Die Firma wird ausschließlich im Auftrag und mit Einverständnis des Kunden tätig. Er rügt die Verletzung von Art. 12 GG und Art. 103 GG.
Ausführungen des Gerichts zu den einzelnen Fällen (auszugsweise): 129 Zu Geschäftsführer F der IT-Sicherheitsfirma V: „… Überwiegend sind die von den Beschwerdeführern eingesetzten Programme schon keine tauglichen Tatobjekte der Strafvorschrift in den Grenzen ihrer verfassungsrechtlich zulässigen Auslegung … Soweit – im Falle des Beschwerdeführers F. – taugliche Tatobjekte vorliegen können, fehlt dem Beschwerdeführer jedenfalls der nach § 202c Abs. 1 Nr. 2 StGB erforderliche Vorbereitungsvorsatz …“
130 Zu Hochschulprofessor W: „… Der Beschwerdeführer Prof. Dr. W. hat hinsichtlich der Programme, die er seinen Studenten zur Verfügung stellt, lediglich dargelegt, dass diese zur Begehung von Computerstraftaten geeignet sind, zu solchen Zwecken also verwendet werden können“ … „Diese Eignung genügt zur Erfüllung des objektiven Tatbestands des § 202c Abs. 1 Nr. 2 StGB jedoch nicht …“ „… Die Bezeichnung dieser Programme als „Sicherheitsanalysewerkzeuge“ deutet ganz im Gegenteil darauf hin, dass der – legitime – Zweck der Sicherheitsanalyse bei diesen Instrumenten im Vordergrund steht.“
131 Für die Praxis bemerkenswert: Nicht entschieden wurde daher der Fall, dass der Professor Schadprogramme (zu Übungszwecken) auf seiner Website zugänglich macht. Die Frage wurde vom BVerfG so behandelt, als ob dort nur dual use Software veröffentlicht würde. Nach wie vor ist davon auszugehen, dass Schadprogramme – wenn sich solche überhaupt zweifelsfrei klassifizieren lassen – einer unbestimmten Gruppe Dritter nicht zur Verfügung gestellt werden dürfen. 132 Zu Linux Nutzer K: „Auch der Beschwerdeführer K. hat die Erfüllung des objektiven Tatbestands des § 202 c Abs. 1 Nr. 2 StGB durch die von ihm verwendeten Linux-Distributionen nicht dargelegt. Er geht – wie der Beschwerdeführer Prof. Dr. W. – nur auf die Eignung der von ihm verwendeten Programme für die Begehung von Computerstraftaten ein.“
133 Die Verfassungsbeschwerden wurden nicht zur Entscheidung angenommen. Allerdings hat das Gericht zu wesentlichen Rechtsfragen Stellung genommen und klargestellt113:
113 Die Feststellungen sind keine wörtlichen Zitate, sondern Zusammenstellungen der Autorin aus dem Inhalt der Entscheidungsgründe des BVerfG (BVerfG v. 18.5.2009 – 2 BvR 2233/07).
904
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 137
E
– Dual Use Programme fallen nicht unter § 202c StGB. – Eine Strafbarkeit nach § 202c StGB setzt voraus, dass die Programme in der Absicht entwickelt oder modifiziert sein müssen, Straftaten nach §§ 202a, 202b StGB zu begehen und – diese Absicht muss sich objektiv manifestiert haben, beispielsweise mag eine äußerlich feststellbare Manifestation dieser Absichten in der Gestalt des Programms selbst liegen i.S. einer Verwendungsabsicht, die sich nunmehr der Sache selbst interpretativ ablesen lässt oder auch in einer eindeutig auf illegale Verwendungen abzielenden Vertriebspolitik und Werbung des Herstellers, was im Einzelnen zu klären Aufgabe der hierfür zuständigen Fachgerichte sei und – das Programm muss weiterhin vom Täter (dieser muss nicht mit dem Entwickler identisch sein) vorsätzlich genutzt, modifiziert bzw. weitergegeben worden sein, um Straftaten nach §§ 202a bzw. 202b StGB vorzubereiten, wofür Eventualvorsatz genügt. Ausblick: In der Praxis wird diese Norm weiterhin Schwierigkeiten bereiten. Kommt es erst 134 einmal zur Strafanzeige, werden aller Voraussicht nach meist Ermittlungen geführt,114 bis aufgeklärt ist, ob ein Programm i.S.d. Strafvorschrift vorliegt oder nicht.115 Dies bringt nicht nur ein erhebliches Risiko für den guten Ruf eines IT-Unternehmens und Programmierers mit sich. Es kann auch darüber hinaus mit nicht unerheblichen Kosten verbunden sein, da sich für diese Fälle nicht nur anwaltlicher Beistand, sondern auch die Hinzuziehung von Sachverständigen zur Beschleunigung der Aufklärung empfiehlt. Wenngleich dies ein wesentlicher Punkt in der derzeitigen Diskussion ist, so wird die Über- 135 prüfung von Kundennetzen im Rahmen eines Auftrages nicht das vorrangige Problem darstellen. Wichtig ist, dass der Kunde vorab i.R.d. Auftragserteilung den Handlungen (schriftlich) zustimmt. Allerdings muss der Auftrag so (umfassend) beschrieben und formuliert sein, dass die Einwilligung tatsächlich wirksam ist. Diese Problematik betrifft allerdings weniger den Straftatbestand des § 202c StGB als die auf ihn verweisenden Straftaten § 202a und § 202b StGB. Es sollte zudem vermieden werden, dass Schadsoftware dem Kunden überlassen wird. Die Software sollte stets unter Kontrolle des IT-Sicherheitsunternehmens sein (ähnlich einem Giftschrank im Krankenhaus) und bestenfalls sollte auch ein Nachweis über Zugriffsmöglichkeit und Anwendungszweck jederzeit vorgelegt werden können. Ein ebenfalls unkalkulierbares Problem dürfte die Verwaltung der Software sein, die im Un- 136 ternehmen bereits vor der Einführung des § 202c StGB vorhanden war, und jener Software andererseits, die erst ab dem Zeitpunkt des Inkrafttretens erworben, eingeführt, vertrieben, entwickelt oder überlassen wird. Unabhängig von der Thematik, dass mehr als zweifelhaft ist, ob eine klare Zuordnung von „ausschließlich Schaden bringender Software“ und einer solchen, die zwar auch schädlich sein kann, aber für einen legalen Zweck entwickelt bzw. eingesetzt wurde und wird, möglich ist, wäre zumindest eine Bestandsaufnahme der sich „im Hause befindlichen Software“ nach möglicher Hackersoftware sinnvoll. § 202c StGB stellt dem Wortlaut nach nicht den Besitz von „Hacker-Software“ unter Strafe. Folglich ist, anders als etwa beim Besitz von Kinderpornographie, auch keine Löschungspflicht gegeben, wenn der Zeitpunkt des Erwerbs als vor der Gesetzesreform nachgewiesen 114 Interessant in diesem Zshg. ist allerdings eine Aktion des Online-Magazins TecChannel, welches gegen die Verantwortlichen des Bundesamts für Sicherheit in der Informationstechnik (BSI) Strafanzeige bei der Staatsanwaltschaft Bonn am 8.10.2007 gestellt hat mit der Begründung, dass sich auf der Website des BSI ein direkter Link zum Hersteller der Hackersoftware John the Ripper befinde. Die Staatsanwaltschaft lehnte nach Auskunft des Magazins die Einleitung eines Ermittlungsverfahrens ab. Hiergegen legte das Magazin Beschwerde ein. Näheres zum Inhalt und zum weiteren Gang des Verfahrens: http://www.tecchannel.de/sicherheit/grundlagen/1729025/ mit weiteren Links. 115 Es besteht kein Strafantragserfordernis bei § 202c StGB, weshalb die Staatsanwaltschaft von Amts wegen ermitteln müsste.
Hassemer
905
137
E Rz. 138
Strafrecht
werden kann. Allerdings darf nach dem Gesetzeswortlaut eine solche Software – falls sie eindeutig eine „Hackersoftware“ ist – auch nicht mehr in den Verkehr gebracht werden. Das würde vielmehr eine Strafbarkeit indizieren. 138 Es könnte auch sinnvoll sein, eine Art strafrechtlicher Schutzschrift vorzuhalten, die beispielsweise von einem IT-Sachverständigen und einem Juristen gefertigt wird. Dem IT-Sicherheitsunternehmen könnte nach Überprüfung der Vorgänge im Unternehmen und Darstellung der Rechtslage ein entsprechendes Gutachten erstellt werden, in welchem die Argumente des Gesetzgebers im Zshg. mit IT-Sicherheitsunternehmen sowie die Tätigkeit des Unternehmens selbst kurz und übersichtlich dargestellt werden, damit das Unternehmen im Falle einer Strafanzeige zügig reagieren und das Gutachten zu seiner Entlastung vorlegen kann. Von der Entwicklung einer neuen, „schadenbringenden“ Software, etwa, um Kunden im Rahmen einer Demonstration die Gefahren anschaulich zu machen, sollte Abstand genommen werden.116 Der deutsche Gesetzgeber und die Europäische Union haben sich zur Aufgabe gemacht, Software, die die oben genannten Straftaten fördert, vom Markt zu drängen. Ein Unternehmen, das seinen Programmierern die Aufgabe stellt, eine „gefährliche“ (Hacker-)Software zu entwickeln, kann – unabhängig von dem legalen Zweck „zu Demonstrationszwecken, oder, um zu sehen, was Kriminelle bereits leisten können“ – in Bedrängnis kommen, da diese Art Software wegen ihrer abstrakten Gefährlichkeit nach dem Willen der Gesetzgeber nicht auf den Markt kommen soll. 12.5 Strafantrag 139 § 205 StGB regelt für die Fälle der §§ 202a, 202b StGB ein Strafantragserfordernis. Anders verhält es sich bei § 202c StGB. In diesen Fällen muss die Staatsanwaltschaft von Amts wegen ermitteln. 13. Datenhehlerei (§ 202d StGB) 140 Am 18.12.2015 ist eine neue Strafvorschrift im Schlepptau der Gesetzesänderungen zur Vorratsdatenspeicherung in Kraft getreten, die laut dem Gesetzesentwurf der Bundesregierung vom 9.6.2015117 Lücken im Strafgesetzbuch schließen soll, soweit der Handel mit rechtswidrig erlangten Daten betroffen ist und die das formelle Datengeheimnis vor einer Fortsetzung und Vertiefung seiner durch die Vortat erfolgten Verletzung schützt. 13.1 Schutzgut 141 Laut dem Gesetzesentwurf soll der Straftatbestand das formelle Datengeheimnis vor einer Fortsetzung und Vertiefung seiner durch die Vortat erfolgten Verletzung schützen.118 13.2 Tatgegenstand 142 Als Tatgegenstand werden gespeicherte oder übermittelte Daten erfasst, wobei auf die Definition in § 202a Abs. 2 StGB (eingeschränkter Datenbegriff) verwiesen wird.
116 Auch für Institutionen, die sich für ein sicheres Internet einsetzen, wird die Lage zunehmend schwieriger. Nach einem Spiegel ONLINE Bericht v. 12.3.2008 wies ein Auktionshaus, dessen Sicherheitsprobleme vom Magazin nach Hinweisen von „falle-internet.de“ anhand eines Tests mit Schadsoftware offen gelegt wurden, darauf hin, dass hier die Verwirklichung von § 202c StGB im Raume stünde (Link zum Bericht: http://www.spiegel.de/netzwelt/web/0,1518,540802,00.html). 117 Deutscher Bundestag Drs. 18/5088 v. 9.6.2015, als pdf abrufbar unter: dip21.bundestag.de/dip21/btd/ 18/050/1805088.pdf. S.a. Stellungnahme der Bundesbeauftragten für den Datenschutz zum Gesetzesentwurf, abrufbar unter: http://www.bfdi.bund.de. 118 BT-Drs. 18/5088, S. 45.
906
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 144
E
Ein weiteres wesentliches Tatbestandsmerkmal ist, dass die Daten nicht allgemein zugäng- 143 lich sein dürfen. Aus dem Gesetzesentwurf: „Der Ausschluss von Daten, die allgemein zugänglich sind, folgt daraus, dass es in diesen Fällen an einer Beeinträchtigungdes von der Vorschrift geschützten formellen Datengeheimnisses fehlt. Dass der Täter nicht auf dieallgemein zugängliche Quelle zurückgreift, sondern sich die Vortat zunutze macht, vermag daher eine Strafwürdigkeitnicht zu begründen. Öffentlich zugängliche Daten sind in § 10 Absatz 5 Satz 2 BDSG im Hinblick aufautomatisierte Abrufverfahren definiert, als Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts nutzen kann. Daher sind insbesondere veröffentlichte, urheberrechtlichgeschützte Werke auch dann allgemein zugänglich, wenn für ihre Nutzung bezahlt werden muss. EntsprechendeWerke, die vom Vortäter durch eine Urheberrechtsverletzung erlangt wurden, unterfallen daher nicht dem Tatbestand.“119
Die Daten müssen zudem von einem anderen durch eine rechtswidrige Tat erlangt worden 144 sein Aus dem Gesetzesentwurf: „Die Daten müssen von einem anderen durch eine rechtswidrige Tat (§ 11 Absatz 1 Nummer 5 StGB) erlangt worden sein. Damit kommen als Vortat der Datenhehlerei alle Taten in Betracht, die ein Strafgesetz verwirklichen, unabhängig von der Schuld des Täters oder vom Vorliegen eines Strafantrages, so wie dies auch bei der Sachhehlerei der Fall ist (vgl. Fischer, StGB, 62. Auflage, § 259 Rz. 6). Vortaten können daher nicht nur das Abfangen und Ausspähen von Daten (§§ 202a, 202b StGB) sein, sondern beispielsweise auch Diebstahl (§ 242 StGB), Betrug (§ 263 StGB), Computerbetrug (§ 263a StGB), Nötigung (§ 240 StGB) und die Fälschung technischer Aufzeichnungen (§ 269 StGB), soweit sie sich im Einzelfall auch gegen die formelle Verfügungsbefugnis des Berechtigten richten und der Täter dadurch Daten erlangt hat. Ebenfalls in Betracht kommt das Erlangen von Daten im Wege der Vorbereitung der Fälschung von Zahlungskarten mit Garantiefunktion (§ 152b Absatz 5 in Verbindung mit § 149 Absatz 1 Nummer 1 StGB; zum sogenannten Skimming vgl. BGH, Beschluss vom 29. Januar 2014 – 1 StR 654/13). Die Datenhehlerei kommt schließlich ebenso als Vortat in Betracht wie grundsätzlich auch Straftaten nach dem Bundesdatenschutzgesetz. Die Vortat muss sich (auch) gegen die formelle Verfügungsbefugnis des Berechtigten richten. Berechtigter ist derjenige, der über die Daten verfügen darf (vgl. Leipziger Kommentar/Hilgendorf, 12. Auflage, § 202a Rz. 26), also grundsätzlich derjenige, der die Daten gesammelt und abgespeichert hat oder auf dessen Veranlassung die Speicherung erfolgt ist (vgl. BayOLG, Urteil vom 14. Juni 1993, JR 1994, 476, 477; Münchener Kommentar/Graf, 2. Auflage, § 202a Rz. 19). Das Eigentum und der Besitz am Datenträger sind dafür nicht entscheidend. Die Berechtigung ist von der datenschutzrechtlichen Betroffenheit zu unterscheiden. Betroffener ist die bestimmte oder bestimmbare natürlichen Person, zu der die Daten Einzelangaben über persönliche oder sachliche Verhältnisse enthalten (§ 3 Absatz 1 BDSG). Die formelle Berechtigung und die datenschutzrechtliche Betroffenheit können in einer Person zusammenfallen. Entsprechend der Rechtslage bei der Sachhehlerei (vgl. Maurach/Schroeder/Maiwald, Strafrecht Besonderer Teil, 10. Auflage, § 39 Rz. 20) ist ausreichend, dass die Vortat unabhängig von ihrer systematischen Einordnung in ihren praktischen Auswirkungen die formelle Verfügungsbefugnis des Berechtigten verletzt. An einer gegen die formelle Verfügungsbefugnis gerichteten Vortat fehlt es insbesondere, wenn das Delikt nur gegen öffentliche Interessen verstößt wie beispielsweise § 184d StGB (Verbreitung pornographischer Darbietung durch Rundfunk, Medien- oder Teledienste). Dies gilt auch, wenn der Vortäter Daten selbst erstellt und sich dabei nach dem Bundesdatenschutzgesetz strafbar macht (vgl. § 44 BDSG), da eine Beeinträchtigung der formellen Verfügungsbefugnis voraussetzt, dass die Daten zuvor der Verfügungsmacht des Berechtigten unterlagen. Nicht durch eine rechtswidrige Tat erlangt sind Daten, die dem Vortäter bereits zur Verfügung stehen und die er unter Verletzung des Urheberrechts vervielfältigt. Ebenso wenig erlangt der Vortäter Daten durch eine rechtswidrige Tat, wenn er lediglich eine Vertragsverletzung, ein Disziplinarvergehen oder eine Ordnungswidrigkeit begeht. Als Vortat ist es daher nicht ausreichend, wenn in einem berechtigt genutzten System Daten lediglich unter Verletzung von vertraglichen Zugriffsbeschränkungen erlangt werden.“120 119 BT-Drs. 18/5088, S. 45 und 46. 120 Drs. 18/5088, S. 46.
Hassemer
907
E Rz. 145
Strafrecht
145 Die, der Tat vorausgegangene Vortat muss darüber hinaus bereits vollendet sein. Aus dem Gesetzesentwurf: „Wie sich aus der Formulierung „erlangt hat“ ergibt, muss die Vortat entsprechend der Regelung bei der Sachhehlerei (§ 259 StGB) bereits vollendet sein, wenn der Täter die Daten sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Nicht tatbestandsmäßig ist es daher beispielsweise, wenn die Vortat erst durch die Übermittlung der Daten an den Hehler begangen wird (vgl. zur Rechtslage bei der Sachhehlerei, BGH Beschluss vom 24.10.2012 – 5 StR 392/12).“121
13.3 Tathandlungen 146 Als Tathandlungen kommen die Varianten: Sich oder einem anderen verschaffen, einem anderen überlassen, verbreiten oder sonst zugänglich machen in Betracht. Aus dem Gesetzesentwurf: „Der Täter muss die vom Vortäter erlangten Daten sich oder einem anderen verschaffen, einem anderen überlassen, verbreiten oder sonst zugänglich machen. Diese Tathandlungen sind § 202c Absatz 1 StGB (Vorbereiten des Ausspähens und Abfangens von Daten) entnommen, sodass die dazu in Rechtsprechung und Literatur erfolgte Auslegung herangezogen werden kann. Verzichtet wird auf die Übernahme der in § 259 Absatz 1 StGB enthaltenen Tatbestandsvariante des ‚Ankaufens‘ und der in § 202c StGB enthaltenen Tatbestandsvariante des ‚Verkaufens‘, für die umstritten ist, ob es schon durch den schuldrechtlichen Abschluss eines (möglicherweise zivilrechtlich nichtigen) Kaufvertrages erfüllt werden kann (vgl. Fischer, StGB, 61. Auflage, § 202c, Rz. 7), oder ob dafür auch die Übertragung der Verfügungsmacht über die Daten erforderlich ist, so dass es sich beim Ankauf um einen Unterfall des ‚Verschaffens‘ handelt (vgl. Leipziger Kommentar/Hilgendorf, StGB, 12. Auflage, § 202c Rz. 22, 24). Ungeachtet der von der Rechtsprechung noch nicht entschiedenen Auslegungsfrage bei § 202c StGB soll jedenfalls eine Strafbarkeit wegen Datenhehlerei voraussetzen, dass der Täter die Daten sich oder einem Dritten verschafft, also durch die Tathandlung die tatsächliche Verfügungsmacht über sie erlangt wird. Der bloß vertraglich vereinbarte Ankauf der Daten vom Vortäter bzw. ihr vertraglich vereinbarter Verkauf an einen Dritten führen noch nicht zu einer Fortsetzung oder Vertiefung der Verletzung des formellen Datengeheimnisses und überschreiten damit nicht die Schwelle der Strafwürdigkeit. Wie bei der Sachhehlerei ist ein einverständliches Zusammenwirken zwischen Täter und Vortäter erforderlich. Der Täter muss die vom Vortäter durch seine rechtswidrige Tat geschaffene Möglichkeit, Zugriff auf die Daten nehmen zu können, im Einvernehmen mit dem Vortäter nutzen. Eine Strafbarkeit wegen Datenhehlerei scheidet aus, wenn der Täter zwar Kenntnis von der Vortat hat, er aber nicht den Vortäter als Quelle der Daten nutzt, sondern auf andere Weise darauf zugreift. Nicht ausreichend ist damit, dass der Täter nur mit einem anderen zusammenwirkt, der die Daten nicht durch eine eigene rechtswidrige Tat, sondern nur infolge der rechtswidrigen Tat eines Dritten (zum Beispiel durch Verletzung des Dienstgeheimnisses, § 353b StGB) erlangt hat. Ein unmittelbarer Kontakt zwischen Täter und Vortäter ist nicht erforderlich, so dass die Strafbarkeit nicht wegen des Einsatzes von Mittelmännern ausscheidet. Eine Strafbarkeit scheidet aus, wenn der durch die Vortat verletzte Berechtigte die ihm gestohlenen Daten zurückkauft (vgl. Münchener Kommentar/Maier, 2. Auflage, § 259 Rz. 60). Eine Täterschaft des lediglich datenschutzrechtlich Betroffenen kommt dagegen (ebenso wie bei § 202a StGB, vgl. Münchener Kommentar/Graf, 2. Auflage, § 202a Rz. 19) in Betracht.“122
13.4 Subjektiver Tatbestand 147 Während bezüglich der rechtswidrigen Vortat bedingter Vorsatz ausreicht, muss bezüglich der Schädigung und/oder Bereicherung absichtliches Handeln gegeben sein.
121 Drs. 18/5088, S. 46. 122 Drs. 18/5088, S. 46 u. 47.
908
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 150
E
Aus dem Gesetzesentwurf: „Der Täter muss vorsätzlich handeln. Von seinem Vorsatz muss insbesondere der Umstand erfasst sein, dass die Daten von einem anderen durch eine rechtswidrige Tat erlangt worden sind. Wie bei der Sachhehlerei ist dafür erforderlich, dass der Täter die als möglich und nicht ganz fernliegend erkannte Tatbestandsverwirklichung billigend in Kauf nimmt oder sich um des erstrebten Zieles willen wenigstens mit ihr abfindet (BGH, Beschluss vom 23. November 1999 – 4 StR 491/99, wistra 2000, S. 177 f.). Allein das Bewusstsein, dass die Daten aus irgendeiner rechtswidrigen Tat stammen, reicht zur Vorsatzbegründung nicht aus (vgl. zur Sachhehlerei BGH, Beschluss vom 13. November 2012 – 3 StR 364/12, NStZ-RR 2013, S. 79). Die genauen Einzelheiten der Vortat, d.h. ihre Art, die Umstände ihrer Begehung oder die Person des Vortäters müssen nicht bekannt sein (BeckOK StGB/ Ruhmannseder StGB § 259, Rz. 40). Auch den Umstand, dass es sich um nicht öffentlich zugängliche Daten handelt, hat der Täter in seinen Vorsatz aufzunehmen. Der Vorsatz muss zum Zeitpunkt der Tathandlung gegeben sein (vgl. Schönke/Schröder/Stree/Hecker StGB § 259, Rz. 39). Erfährt der Täter nachträglich von der illegalen Herkunft der Daten, so erfüllt er den Tatbestand nur, wenn er im Anschluss daran tatbestandliche Handlungen vornimmt wie beispielsweise das Verbreiten der inkriminierten Daten (Schönke/Schröder/Stree/Hecker StGB, 29. Auflage, § 259, Rz. 41).“123 „Der Täter muss mit der Absicht handeln, sich oder einen Dritten zu bereichern oder einen anderen zu schädigen. Dies entspricht der Regelung § 44 Absatz 1 BDSG, so dass die hierzu von Rechtsprechung und Literatur entwickelte Auslegung herangezogen werden kann. Eine (Fremd-)Bereicherungsabsicht liegt danach vor, wenn nach der Vorstellung des Täters die Tat auf die Erlangung eines Vermögensvorteils für sich selbst oder einen Dritten gerichtet ist, wobei hinsichtlich der Bereicherung dolus directus 1. Grades erforderlich ist (BeckOK DatenSR/Holländer BDSG § 44, Rz. 9). Im Gegensatz zu § 263 StGB kann dieser Vermögensvorteil rechtswidriger Natur sein, muss es aber nicht (vgl. Simitis, BDSG, § 3 Rz. 6). Schädigungsabsicht liegt bei jedem vom Täter beabsichtigten, auch immateriellen Nachteil für eine andere Person vor (beispielsweise den Datenhandel zum Zwecke der öffentlichen Bloßstellung im Internet), wobei es ihm darauf ankommen muss, einen anderen durch die Tatbestandsverwirklichung zu schädigen (BeckOK DatenSR/Holländer BDSG, § 44 Rz. 11).“124
13.5 Rechtswidrigkeit Die Tat ist rechtswidrig, wenn keine Rechtfertigungsgründe (insb. §§ 32, 34 StGB, rechtfertigende Einwilligung) vorliegen. Sind die Daten nicht für den Handelnden bestimmt, hat er aber die Befugnis bzw. Erlaubnis vom Berechtigten, so handelt er nicht rechtswidrig.
148
13.6 § 202d Abs. 2 StGB Aus dem Gesetzesentwurf:
149
„Die Strafe darf nicht schwerer sein als die für die Vortat angedrohte Strafe. Die Regelung entspricht der Vorschrift des § 258 Absatz 3 StGB (Strafvereitelung) und trägt dem Umstand Rechnung, dass als Vortaten auch Delikte mit geringerer Strafandrohung in Betracht kommen, wie beispielsweise das Abfangen von Daten nach § 202b StGB. Die durch die Datenhehlerei erfolgende Aufrechterhaltung und Vertiefung der Verletzung des formellen Datengeheimnisses soll nicht schwerer bestraft werden als die Verletzung dieses Rechtsguts durch die Vortat.“125
13.7 § 202d Abs. 3 StGB Aus dem Gesetzesentwurf:
150
„§ 202d Absatz 3 StGB sieht einen Tatbestandsausschluss für Handlungen vor, die ausschließlich zu dem Zwecke der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere Handlungen von Amtsträgern, mit denen Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren 123 Drs. 18/5088, S. 47. 124 Drs. 18/5088, S. 47. 125 Drs. 18/5088, S. 48.
Hassemer
909
E Rz. 151
Strafrecht
zugeführt werden sollen. Die Regelung entspricht dem in § 184b Absatz 5 StGB (Besitz kinderpornografischer Schriften) vorgesehenen Tatbestandsausschluss. Durch die Regelung wird sichergestellt, dass Daten insbesondere zum Zwecke von Ermittlungen und für journalistische Tätigkeiten verwendet werden dürfen. Der Tatbestandsausschluss gilt für Amtsträger (§ 11 Absatz 2 Nummer 2 StGB) und auch für aufgrund eines privatrechtlichen Auftrages im konkreten Einzelfall von einem Amtsträger beauftragte behördenexterne Personen, die Amtsträgern Daten verschaffen, die diesen der Erfüllung ihrer dienstlichen Pflichten dienen. Dies gilt für die Heranziehung von Beauftragten für die Erfüllung beruflicher Pflichten entsprechend. Von beruflichen Pflichten sind, wie bei § 184b Absatz 5 StGB, insbesondere auch journalistische Tätigkeiten in Vorbereitung einer konkreten Veröffentlichung umfasst (vgl. Münchener Kommentar/Hörnle, 12. Auflage, § 184b Rz. 41). Durch das Ausschließlichkeitskriterium soll entsprechend der Regelung des § 184b Absatz 5 StGB sichergestellt werden, dass die konkrete Aufgabenerfüllung einziger Grund für die Verwendung der Daten ist (vgl. Bundestagsdrucksache 12/4883, S. 8 f.). § 202d Absatz 3 Satz 2 StGB stellt einen Unterfall des § 202d Absatz 3 Satz 1 StGB dar. Er verdeutlicht zum einen, dass insbesondere der Ankauf von steuerrechtlich relevanten Daten nicht von dem Anwendungsbereich der Datenhehlerei erfasst ist. Zum anderen wird klargestellt, dass, entsprechend der Regelung in § 184b Absatz 5 StGB, insbesondere journalistische Tätigkeiten unter den Tatbestandsausschluss fallen. Hierfür kommt es nicht darauf an, ob diese Tätigkeiten von dritter Seite auferlegt wurden, so dass auch die freie Entscheidung des Journalisten im Rahmen seiner beruflichen Tätigkeit erfasst wird (vgl. Schönke/Schröder/Eisele StGB, 29. Auflage, § 184b Rz. 16). Die Vorschrift ist an § 353b Absatz 3a StGB angelehnt, sodass auf die hierzu entwickelten Auslegungsgrundsätze verwiesen werden kann. Zu den in § 53 Absatz 1 Satz 1 Nummer 5 StPO genannten Personen gehört, wer bei der Vorbereitung, Herstellung oder Verbreitung von Druckwerken, Rundfunksendungen, Filmberichten oder der Unterrichtung oder Meinungsbildung dienenden Informations- und Kommunikationsdiensten berufsmäßig mitwirkt oder mitgewirkt hat.“126
13.8 Strafantragsdelikt 151 Bei § 202 d StGB handelt es sich um ein Strafantragsdelikt nach § 205 Abs. 1 Satz 2 StGB. Insofern wird die Tat nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde hält wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten. 13.9 Fallbeispiele und Rspr. 152 Fall 1: Hack der Nutzerdatenbank eines bekannten Business-Netzwerks: Nach einer Heise Security Meldung, vom 1.6.2016 sind 117 Mio. Passwort-Hashes zum freien Download aufgetaucht. Bereits zu einem früheren Zeitpunkt sollen Daten aus dem Netzwerk im Netz zum Kauf angeboten worden sein.127
153 Fall 2: NW kauft CD mit Daten von Steuersündern: Nach dpa-Informationen handelt es sich um Daten zu Geschäften mehrerer Banken und Finanzdienstleister. Es gehe um ein Handelsvolumen von rund 70 Mrd. Euro, bei dem der Staat um Kapitalertragsteuer betrogen worden sei.128 126 Wortlaut § 53 Abs. 1 Nr. 5 StPO: Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Druckwerken, Rundfunksendungen, Filmberichten oder der Unterrichtung oder Meinungsbildung dienenden Informations- und Kommunikationsdiensten berufsmäßig mitwirken oder mitgewirkt haben. 127 Heise Security Meldung, v. 1.6.2016 mit weiteren Links zur Thematik, online veröffentlicht unter: http://heise.de/-3224212, zuletzt aufgerufen:13.7.2016. 128 Meldung bei Spiegel Online, v. 31.10.2015, online veröffentlicht unter: http://www.spiegel.de/wirt schaft/soziales/nordrhein-westfalen-kauft-steuer-cd-fuer-fuenf-millionen-euro-a-1060391.html (abgerufen am 13.7.2016).
910
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 156
E
Rspr. vor Inkrafttreten des § 202d StGB zum Ankauf von sogenannten Steuer CDs: 154
Fall 3: Verfassungsbeschwerde gegen die auf Daten aus Liechtenstein („Steuer-CD“) gestützte Anordnung einer Wohnungsdurchsuchung, BVerfG v. 9.11.2010 – 2 BvR 2101/09129 Im Zshg. mit der Frage, ob die Daten von Amtsträgern rechtswidrig erlangt worden seien oder nicht, führt das BVerfG aus, dass es darüber keiner abschließenden Entscheidung bedürfe130 und dass selbst die Unzulässigkeit oder Rechtswidrigkeit einer Beweiserhebung auch nach Auffassung des BVerfG nicht ohne weiteres zu einem Beweisverwertungsverbot führe.131
155
Fall 4: Ankauf von Steuerdaten CDs durch das Land Rh.-Pf. VerfGH Rh.-Pf. v. 24.2.2014 – VGH B 26/13132 Die E. geht davon aus, dass Daten, die von einer privaten Person an das Land Rh.-Pf. verkauft wurden, keinem Beweisverwertungsverbot unterliegen. Dabei setzt sich das Gericht ausführlich mit der den unterschiedlichen Rechtsansichten zur Frage der Strafbarkeit des Ankaufs von Steuerdaten CDs auseinander.
14. Verletzung des Post- oder Fernmeldegeheimnisses (§ 206 StGB) Mit Einführung von E-Mail und Internet am Arbeitsplatz und der privaten Nutzung dieser 156 Möglichkeiten durch die Mitarbeiter hat diese Strafvorschrift an Aktualität gewonnen. § 206 StGB schützt einerseits das Vertrauen der Allgemeinheit in die Sicherheit und Zuverlässigkeit des Post- und Telekommunikationsverkehrs, andererseits geht es aber auch um den Schutz des Individualrechtsguts, nämlich den Schutz des Interesses der im Einzelfall am Post- und Fernmeldeverkehr Beteiligten. Kaum ein Unternehmen ist bei Einführung der EDV in den Büroalltag davon ausgegangen, dass das Angebot der (teilweisen) privaten Nutzung der unternehmenseigenen IT-Ressourcen an die Mitarbeiter dazu führen könnte, sich über die Frage des Fernmeldegeheimnisses Gedanken machen zu müssen. Aus strafrechtlicher Perspektive kam es 2005 zu einer wichtigen E. des Strafsenats beim OLG Karlsruhe mit weitreichenden Folgen für den Unternehmensalltag. Das OLG hatte damals über einen Klageerzwingungsantrag nach der StPO zu befinden. I.R.d. daraufhin ergangenen Beschlusses legte das Gericht anschaulich dar, dass Unternehmen, die ihren Mitarbeitern die private Nutzung von E-Mail und Internet einräumen, sich in diesem Zshg. wie Telekommunikationsanbieter verhalten und das Fernmeldegeheimnis beachten müssen. Zwar kam es in der Folge auch zu widersprechenden Entscheidungen aufseiten der Verwaltungs- und Arbeitsgerichte, was unter anderem zur Folge hatte, dass sich auch in diesem Bereich einige Veröffentlichungen gegen die Einordnung der Unternehmen als TK-Dienstleister ausgesprochen haben.133 Allerdings fällt beim Studium dieser Entscheidung auf, dass es zumeist an einer differenzierten Auseinandersetzung im Hinblick auf die betroffenen Vorschriften und Rechtsgüter, insb. § 206 StGB bzw. Art. 10 GG fehlt, bzw. die Einordung als Unternehmen i.S.d. Strafvorschrift des § 206 StGB in einem Nebensatz abgelehnt wird. Bemerkenswert ist, dass aufseiten der Datenschützer und Straf-
129 E. veröffentlicht unter: http://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/ 2010/11/rk20101109_2bvr210109.html;jsessionid=1F2626AA3C521FF2B8526980F9991C0B.2_cid393 und dejure.org: https://dejure.org/2010,53. 130 BVerfG v. 9.11.2010 – 2 BvR 2101/09, Rz. 49. 131 BVerfG v. 9.11.2010 – 2 BvR 2101/09, Rz. 45. 132 E. eingestellt bei dejure.org: https://dejure.org/2014, 2373. 133 Ablehnend im Hinblick auf das TKG, ohne eine rechtlich fundierte Auseinandersetzung mit einer Strafbarkeit nach § 206 StGB: LAG Nds. v. 31.5.2010 – 12 Sa 875/10, NZA-RR 2010, 406 (408) unter Berufung auf VGH Kassel v. 19.5.2009 – 6 A 2672/08, NJW 2009, 2470 (2471); LAG Berlin-Bdb. v. 16.2.2011 – 4 Sa 2132/10 (Vorinstanz AG Berlin v. 17.8.2010 – 36 Ca 235/10); VG Karlsruhe v. 27.5.2013 – 2 K 3249/12; Ebenso wenig überzeugend im Hinblick auf § 206 StGB: Schuster, CR 2014, 21.
Hassemer
911
E Rz. 157
Strafrecht
rechtler eine überwiegende Ansicht die Einordung befürwortet,134 wärend die Gegenansicht sich zumeist auf arbeitsrechtliche Quellen beruft. 157 Erfolgt die Beurteilung nach der Strafbarkeit im Rahmen eines strafrechtlichen Ermittlungsverfahrens, muss das betroffene Unternehmen, das seinen Betriebsangehörigen die private Nutzung von EDV und Internet gestattet, mit einer Verurteilung rechnen, sollte es ohne ausreichende Rechtfertigung tatbestandsmäßig handeln. 14.1 Beschluss des OLG Karlsruhe v. 10.1.2005 – 1 WS 152/04 158 Im Wesentlichen soll anhand des folgenden, vom OLG Karlsruhe135 entschiedenen Falles die Problematik für Unternehmen, die privaten E-MailVerkehr uneingeschränkt zulassen, aufgezeigt werden. 159 Fallbeispiel: Sachverhalt (auszugsweise aus den Entscheidungsgründen): „Mit Schreiben v. 28.12.2003 erstattete der Antragsteller C. bei der Staatsanwaltschaft Strafanzeige gegen die Angehörigen der Hochschule H. nämlich X., Y. und Z. wegen des Verdachts der Verletzung des Post- und Fernmeldegeheimnisses, der Datenveränderung und der Störung von Telekommunikationsanlagen. Zur Begründung führte er aus, dass er vom 1.3.1994 bis 30.6.1998 wissenschaftlicher Mitarbeiter an der Hochschule H. gewesen sei.“ … „Mit Schreiben vom 24.10.2003 sei ihm von X. mitgeteilt worden, dass ihm aus gegebenem Anlass das Privileg entzogen wird, die Kommunikationseinrichtungen der Fakultät einschließlich E-Post zu benutzen.“ … … „Der Antragsteller trägt hierzu vor, dass er nun festgestellt habe, dass er mit Dozenten, anderen Wissenschaftlern und Freunden an der Fakultät nicht mehr per E-Mail habe kommunizieren können. Zum einen seien sämtliche E-Mails gesperrt worden, in deren Absenderadresse sein Name vorgekommen sei, und zwar auch dann, wenn die E-Mails von anderen Accounts gekommen seien. Im Gegensatz zu der Sperrung des Vereinsservers sei jedoch nicht schon der Verbindungsaufbau gesperrt gewesen. Die E-Mails seien ordnungsgemäß angenommen, quittiert und in den Verantwortungsbereich der Fakultätssysteme übernommen worden. Erst einige Minuten später seien sie fakultätsintern ausgefiltert worden. Der Antragsteller habe verzögert die Meldung „delivery cancelled“ erhalten. Der potentielle Empfänger habe von der Nachricht gar nichts erhalten. Zum anderen habe die Sperrung aber auch solche E-Mails betroffen, die von Mitarbeitern der Fakultät an den Antragsteller gesendet worden seien, d.h. bei denen der Antragsteller Empfänger gewesen, auf dem Verteiler gestanden oder nur im Betreff erwähnt worden sei, d.h. in deren Kopfzeile „C“ vorgekommen sei. Hiervon seien sämtliche Mitarbeiter der Fakultät betroffen gewesen, ohne vorher befragt oder informiert worden zu sein.“
160 Leitsätze: „a. Der Begriff des Unternehmens i.S.v. § 206 StGB ist weit auszulegen. Hierunter ist jede Betätigung im geschäftlichen Verkehr anzusehen, die nicht ausschließlich hoheitlich erfolgt oder auf eine private Tätigkeit beschränkt ist. b. Stellt eine Hochschule ihre Telekommunikationseinrichtungen zur Versendung und zum Empfang elektronischer Post (E-Mail) ihren Mitarbeitern und anderen Nutzergruppen auch für private und wirtschaftliche Zwecke zur Verfügung, so wird sie damit außerhalb ihres hoheitlichen Aufgabengebietes tätig und ist als Unternehmen i.S.v. § 206 StGB anzusehen.
134 Pro Einordung des Arbeitgebers als Unternehmen i.S.v. § 206 StGB, soweit private Nutzung erlaubt ist unter anderem: Schönke/Schröder/Lenckner/Eisele, StGB, § 206 Rz. 7f; Lackner/Kühl/Kühl, StGB, § 206 Rz. 1-17; Plath/Jenny, BDSG, § 88 TKG; Fischer, StGB, § 206 Rz. 2; Leitfaden des Bundesbeauftragten für Datenschutz: Datenschutzrechtliche Grundsätze bei der dienstlichen/privaten Internetund E-Mail-Nutzung am Arbeitsplatz (Stand 2008), http://www.bfdi.bund.de/SharedDocs/Publikatio nen/Arbeitshilfen/LeitfadenInternetAmArbeitsplatzneu.pdf?__blob=publicationFile, abgerufen am 16.6.2014; Behling, BB 2010, 892-896; OLG Karlsruhe v. 10.1.2005 – 1 WS 152/04, CR 2005, 288; v. 10.1.2005 – 1 WS 152/04, Strafbarkeit des Ausfilterns von E-Mail; Müller-Bonanni, AnwBl 2010, 651; Gercke/Brunst, Praxishandbuch Internetstrafrecht, Kapitel 3 Rz. 155; Lensdorf/Born, CR 2013, 30. 135 OLG Karlsruhe v. 10.1.2005 – 1 WS 152/04, CR 2005, 288.
912
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 166
E
c. Dem Tatbestandsmerkmal ‚unbefugt‘ kommt in § 206 StGB eine Doppelfunktion zu. Ein Einverständnis schließt bereits die Tatbestandsmäßigkeit des § 206 StGB aus, im Übrigen handelt es sich um ein allgemeines Rechtswidrigkeitsmerkmal. d. Als Rechtfertigungsgründe für Eingriffe in das Post- und Fernmeldegeheimnis kommen Erlaubnissätze in Betracht, die in einer gesetzlichen Vorschrift, d.h. in einem formellen Gesetz oder einer Rechtsverordnung niedergelegt sind, und die sich ausdrücklich auf Postsendungen, den Postverkehr oder Telekommunikationsvorgänge beziehen. Auch ein Rückgriff auf allgemeine Rechtfertigungsgründe ist möglich, so dass das technische Herausfiltern einer E-Mail gerechtfertigt sein kann, wenn ansonsten Störungen oder Schäden der Telekommunikations- und Datenverarbeitungssysteme eintreten können.“
14.2 Tatobjekt Der Begriff des Unternehmens ist wegen der Anknüpfung an § 39 Abs. 2 PostG, § 88 Abs. 2 161 TKG im Kontext des PostG und TKG (weit) auszulegen. Ausgehend davon ist als Unternehmen jede Betätigung im geschäftlichen Verkehr anzusehen, die nicht ausschließlich hoheitlich erfolgt oder auf eine private Tätigkeit beschränkt ist. Übertragen auf die Hochschule bedeutet dies, dass wenn diese ihre Telekommunikationsanla- 162 ge unterschiedlichen Nutzergruppen (Mitarbeitern der Hochschule, Vereinen, außenstehenden Dritten) zur Verfügung stellt, eine Abgrenzung zwischen dienstlichen, wissenschaftlichen und Studienzwecken, privaten und auch wirtschaftlichen Zwecken nicht mehr möglich ist. Dadurch aber wird die Hochschule auch außerhalb ihres hoheitlichen Aufgabengebietes tätig und nimmt wie jeder beliebige Dritte am geschäftlichen Verkehr teil, sodass für diesen Betätigungsbereich auch die Maßstäbe gelten müssen, wie für jedermann, der auf diesem Gebiet geschäftlich tätig wird. Sie wird also nicht ausschließlich hoheitlich tätig und ist als Unternehmen i.S.v. § 206 StGB einzustufen.136 Der Tatbestand des geschäftsmäßigen Erbringens von Telekommunikationsdienstleistungen verlangt lediglich das nachhaltige Angebot von Telekommunikation einschließlich des Angebots von Übertragungswegen für Dritte; auf eine Gewinnerzielungsabsicht kommt es hierbei nicht an.137
163
Die Sendung muss dem Unternehmen „zur Übermittlung anvertraut“ sein.
164
Ist das Tatobjekt eine E-Mail, ist bei unbefugter Kenntnisnahme kein Fall des § 206 Abs. 2 165 Nr.1 StGB gegeben, da die E-Mail nach h.M. nicht als verschlossene Sendung iSd § 206 Abs. 2 Nr. 1 StGB betrachtet werden kann. Vielmehr muss es sich um körperliche Gegenstände handeln, wie Briefe oder Pakete. Selbst die verschlüsselte E-Mail ist daher nicht unter § 206 Abs. 2 Nr. 1 StGB zu subsumieren. Eingriffe in den E-Mail-Verkehr fallen jedoch unter § 206 Abs. 2 Nr. 2 StGB, falls die E-Mail beispielsweise ausgesondert oder zurückgehalten wird („unterdrücken“).138 Der Begriff Sendung i.S.v. § 206 Abs. 2 Nr. 2 StGB erstreckt sich auch auf unkörperliche Gegenstände, da § 206 Abs. 2 Nr. 2 StGB nicht – wie § 206 Abs. 2 Nr.1 StGB – auf verschlossene Sendungen beschränkt ist. Tatobjekte des § 206 Abs. 2 Nr. 2 StGB sind daher nicht nur unver136 Zwar sollten Behörden und öffentlich-rechtliche Körperschaften nach dem Willen des Gesetzgebers (BT-Drs. 13/8016) nicht unter den Straftatbestand des § 206 StGB fallen, selbst wenn sie TK-Leistungen für Dritte erbringen. Dies wurde jedoch in der Entscheidung zu Recht anders beurteilt. Es würde auch dem Schutzzweck der Norm grundsätzlich zuwider laufen, wenn diese Gruppe nicht erfasst wäre. Auch ist für Dritte (den Empfänger, der vom Schutzzweck der Norm ebenfalls erfasst ist) regelmäßig nicht zwangsläufig aus der Mailadresse ersichtlich, ob der Absender einer Mail von einer Behörde aus sendet. 137 OLG Karlsruhe v. 10.1.2005 – 1 WS 152/04, CR 2005, 288; Fischer, StGB, § 206 Rz. 15. Dort finden sich auch Ausführungen zum Meinungsstreit, inwieweit der E-Mail-Verkehr erfasst sein soll. 138 Fischer, StGB, § 206 Rz. 13 ff.; Schönke/Schröder/Lenckner/Eisele, StGB, § 206 Rz. 16 ff. m.w.N.
Hassemer
913
166
E Rz. 167
Strafrecht
schlossene Postsendungen, sondern auch jede Form der dem Fernmeldegeheimnis unterliegenden Telekommunikation.139 Nach diesem Verständnis fällt insb. der E-Mail-Verkehr darunter. 167 Anvertraut ist eine Sendung dann, wenn sie auf vorschriftsmäßige Weise in den Verkehr gelangt ist und sich im Gewahrsam des Unternehmens befindet. Der Gewahrsam an einer E-Mail liegt spätestens dann vor, wenn die Anfrage zur Übermittlung von Daten den MailServer des Unternehmens erreicht hat und der versendende Mailserver die Daten dem empfangenden Server übermittelt hat.140 14.3 Tathandlungen 14.3.1 § 206 Abs. 1 StGB 168 § 206 Abs. 1 StGB erfasst die Mitteilung einer dem Post- bzw. Fernmeldegeheimnis unterliegenden Tatsache an eine andere Person. Es spielt keine Rolle, ob dies auf schriftlichem, mündlichem oder sonstigem Weg geschieht.141 Tatbestandsmäßig handelt auch derjenige, der es pflichtwidrig142 unterlässt, dafür Sorge zu tragen, dass kein Dritter Kenntnis von den dem Fernmelde- oder Postgeheimnis unterliegenden Tatsachen erhält.143 13.3.2 § 206 Abs. 2 Nr. 1 StGB 169 § 206 Abs. 2 Nr. 1 StGB sanktioniert das Öffnen einer dem Fernmelde- bzw. Postgeheimnis unterliegenden Mitteilung oder das Kenntnisverschaffen von ihrem Inhalt ohne Öffnung, jedoch unter Anwendung von technischen Mitteln. 14.3.3 Unterdrücken einer E-Mail 170 Ein Unterdrücken der E-Mail ist dann anzunehmen, wenn durch technische Eingriffe in den technischen Vorgang des Aussendens, Übermittelns oder Empfangens von Nachrichten mittels Telekommunikationsanlagen verhindert wird, dass die Nachricht ihr Ziel vollständig oder unverstümmelt erreicht.144 Das Tatbestandsmerkmal „Unterdrücken“ wird jedenfalls durch eine Ausfilterung der E-Mail erreicht. In diesem Fall findet die Weiterleitung, also das Übermitteln der eingehenden Mail vom Mailserver an den einzelnen Clients nicht statt – dies war nach der Schilderung des Anzeigenerstatters der Fall.145 Exkurs zur Reichweite des Fernmeldegeheimnisses (vgl. a. Rspr. des BVerfG)146 171 Der Schutz des Fernmeldegeheimnisses ist bei E-Mail Verkehr bzw. vergleichbaren Kommunikationsformen nicht unbegrenzt gegeben. Unter anderem nahm das BVerfG im Zshg. mit Fragen der StPO-basierten Beschlagnahme zur Reichweite des Grundrechtsschutzes in verschiedenen E. Stellung. Auch in der Kommentarliteratur wird das Thema v.a. unter der Rubrik „Beschlagnahme“ diskutiert. Für Unternehmen ist es ratsam, sich bei Zugriffen auf E-Mails der Mitarbeiter darüber Gedanken zu machen, inwieweit vom Übertragungsvorgang her das Fernmeldegeheimnis besteht. Einerseits spielt natürlich die oben diskutierte Frage 139 140 141 142 143 144
OLG Karlsruhe v. 10.1.2005 – 1 WS 152/04, CR 2005, 288. Heidrich/Tschoepe, MMR 2004, 75 (77). Schönke/Schröder/Lenckner/Eisele, StGB, § 206 Rz. 10. Obwohl dies in den Verantwortungsbereich des ersteren gefallen wäre. Schönke/Schröder/Lenckner/Eisele, StGB, § 206 Rz. 10. Vgl. hierzu OLG Karlsruhe v. 10.1.2005 – 1 WS 152/04, CR 2005, 288, das betont, dass es letztlich keinen Unterschied machen kann, wie verhindert wird, dass die Nachricht ihren Empfänger erreicht, beispielsweise ob dies durch Zurückhalten oder Umleiten der E-Mail oder durch deren Löschung oder sonstige Verstümmelung geschieht. Heidrich/Tschoepe, MMR 2004, 75 (78). 145 OLG Karlsruhe v. 10.1.2005 – 1 WS 152/04, CR 2005, 288. 146 BVerfG v. 4.2.2005 – 2 BvR 308/04, NStZ 2005, 337; v. 2.3.2006 2 –- BvR 2099/04, StV 06, 453 mit Anm. von Gercke; v. 16.6.2009 – 2 BvR 902/06, NJW 2009, 2431 f.
914
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 177
E
der privaten Nutzung eine Rolle. Andererseits ist es von Bedeutung, wann, also in welcher Phase auf die E-Mail zugegriffen wird. Hat der Mitarbeiter beispielsweise die E-Mail bereits empfangen und gelesen und nur weiterhin im Postfach aufbewahrt, gilt das Fernmeldegeheimnis nicht mehr. Eine Strafbarkeit nach § 206 StGB scheidet aus. Denkbar ist allerdings noch ein Verstoß gegen § 202a StGB, falls der Computer passwortgeschützt ist. Im Großen und Ganzen geht die Rspr., Kommentarliteratur und die Lehre davon aus, dass es beim E-Mail-Verkehr unterschiedliche Phasen zu beachten gibt, die jeweils differenziert zu bewerten sind. Die Rspr. des BVerfG geht dabei von folgenden 4 Phasen aus:147 1. Phase: E-Mail wird vom Absender zum Provider versandt. 2. Phase: Ruhen der E-Mail beim Provider. 3. Phase: E-Mail wird vom Provider zum Empfänger übertragen. 4. Phase: E-Mail befindet sich auf dem Rechner des Empfängers. Einigkeit herrscht weitestgehend darüber, dass in Phase 1 und 3 das Fernmeldegeheimnis gelten soll und in der 4. Phase nicht mehr. Strittig ist die Einordnung der 2. Phase. Diese spielt jedoch nur beim staatlichen Zugriff nach der StPO eine Rolle, da Unternehmen i.d.R. dort keine Zugriffsmöglichkeit haben.
172
14.4 Vorsatz, Rechtswidrigkeit und Schuld Zumindest bedingter Vorsatz ist erforderlich. Dies gilt auch hinsichtlich der besonderen 173 Umstände, welche die besondere Position des Täters begründen.148 Dem Tatbestandsmerkmal „unbefugt“ kommt in § 206 StGB eine Doppelfunktion zu:
174
Ein Einverständnis schließt bereits die Tatbestandsmäßigkeit des § 206 StGB aus, i.Ü.handelt es sich um ein allgemeines Rechtswidrigkeitsmerkmal. Ein Einverständnis kann aber nur dann von Bedeutung sein, wenn es von allen an dem konkreten Fernmeldeverkehr Beteiligten erteilt wird. Hier lag weder das Einverständnis des Antragstellers vor noch – nach seinem Vortrag – das Einverständnis der Mitarbeiter der Hochschule, die E-Mails herauszufiltern. Als Rechtfertigungsgründe für Eingriffe in das Post- und Fernmeldegeheimnis kommen nur 175 Erlaubnissätze in Betracht, die in einer gesetzlichen Vorschrift, d.h. in einem formellen Gesetz oder einer Rechtsverordnung niedergelegt sind, und die sich ausdrücklich auf Postsendungen, den Postverkehr oder Telekommunikationsvorgänge beziehen (§ 39 Abs. 3 Satz 3 PostG, § 88 Abs. 3 Satz 3 TKG n.F., § 85 Abs. 3 Satz 3 TKG a.F.). Ob daneben auch allgemeine Rechtfertigungsgründe eingreifen können, ist umstritten. Allerdings dann, wenn besondere Fallgestaltungen vorliegen, die den Rahmen der § 39 Abs. 3 Satz 3 PostG, § 88 Abs. 3 Satz 3 TKG n.F. sprengen, gelten auch die allgemeinen Rechtfertigungsgründe.149 Unter Umständen kann es daher gerechtfertigt sein, eine E-Mail herauszufiltern, beispielsweise dann, wenn eine E-Mail mit Viren behaftet ist, sodass bei deren Verbreitung Störungen oder Schäden der Telekommunikations- und Datenverarbeitungssysteme eintreten.150
176
Soweit die E-Mails herausgefiltert werden, wird i.R.d. Ermittlungen zu prüfen sein, ob es ei- 177 nen konkreten Anlass gegeben hat, der zu einer solchen Maßnahme berechtigte. Nur wenn ein solcher konkreter Anlass vorliegt und davon auszugehen ist, dass die E-Mails eine Störung oder einen Schaden in dem Telekommunikationssystem auslösen können, wird je nach 147 148 149 150
Graf geht sogar von 7 Phasen aus, StPO Kommentar, § 100a Rz. 27. Fischer, StGB, § 206 Rz. 18. OLG Karlsruhe v. 10.1.2005 – 1 WS 152/04, CR 2005, 288; Fischer, StGB, § 206 Rz. 9. Hassemer/Witzel, ITRB 2006, 139.
Hassemer
915
E Rz. 178
Strafrecht
Art und Ausmaß des möglichen Schadens zu prüfen sein, ob und welche mögliche „Abwehrmaßnahme“ gerechtfertigt gewesen sein könnte. 178 § 206 StGB ist ein Offizialdelikt. Strafantrag ist daher nicht erforderlich. 179 Problematik der E-Mail-Überwachung i.R.v. Compliance im Hinblick auf die Verwirklichung des § 206 StGB: Um gesetzlichen Anforderungen des In- und Auslands gerecht zu werden, sind viele Unternehmen dazu übergegangen, strenge Kontroll- und Überwachungsmaßnahmen einzuführen. Mitarbeiter, die sich strafbar verhalten, gefährden regelmäßig das Vermögen und Ansehen des Unternehmens. Hätte ein entsprechendes Verhalten vom Management i.R.d. nötigen Aufsicht vermieden werden können, so riskiert die Unternehmensleitung Straf- oder zumindest Ordnungswidrigkeitsverfahren gegen das Management bzw. das Unternehmen selbst. Die Überwachung der Arbeitsprozesse und der Mitarbeiter selbst ist allerdings auch in strafrechtlicher Hinsicht ein zweischneidiges Schwert. Überwachungsmaßnahmen und private Ermittlungen in Unternehmen können zwar i.R.d. IT-Compliance einen wichtigen Aspekt darstellen. Allerdings können hierdurch neben der möglichen Aufdeckung eines strafrechtlich relevanten Sachverhalts durch die Verantwortlichen selbst Straftatbestände verwirklicht werden. Soweit privater E-Mail-Verkehr erlaubt ist, darf von Unternehmensseite grds. nicht, wie in oben beschriebenem Fall, auf E-Mail-Accounts zugegriffen werden. Inwieweit ein Rechtfertigungsgrund i.S.v. § 206 StGB vorliegt, ist je nach Fall i.R.d. Verhältnismäßigkeit abzuwägen.151 180 Die Überwachung und Kenntnisnahme des gesamten E-Mail-Verkehrs eines Unternehmens, welches die private E-Mail-Nutzung nicht untersagt hat, ist in jedem Fall kein Rechtfertigungsgrund für die Verwirklichung des § 206 StGB. Kommt es zur Überwachung eines einzelnen Mitarbeiters, muss ebenfalls von einer Strafbarkeit ausgegangen werden, da der jeweilige Absender der E-Mail im Zweifel nicht Beteiligter der Straftat war und somit die Überwachung ihm gegenüber nicht zu rechtfertigen wäre.152 15. Offenbarung fremder Geheimnisse (§ 203 StGB) 181 §§ 203 ff. StGB sind auf den ersten Blick nicht typisch für das Strafrecht im Bereich der Informationstechnologien. Relevant kann die Frage der Offenbarung fremder Geheimnisse jedoch bei Geheimnisträgern (Rechtsanwälte, Ärzte), bei E-Mail-Korrespondenz, EDV-Betreuung und Outsourcing werden. Auch wenn eine fahrlässige Begehung nicht strafbar ist, so kann Offenbaren auch bereits durch ein (bedingt) vorsätzliches Unterlassen des Verschließens von geheimnisschutzwürdigen Informationen verwirklicht werden.153 Zu beachten ist, dass gemäß § 205 StGB ein Strafantragsdelikt gegeben ist. 15.1 Tatgegenstand 182 Unter das fremde Geheimnis i.S.v. § 203 StGB fällt jede personenbezogene Information über den Betroffenen, die sich auf seine Person sowie auf ihre vergangenen und bestehenden Lebensverhältnisse bezieht.154 Das Geheimnis kann sowohl zum persönlichen Lebensbereich gehören, als auch zum äußeren Wirkungskreis, womit insb. auch Betriebs- und Geschäfts151 Ausführlich zur Problematik der Filterung und Kontrolle des Datenverkehrs Hassemer/Witzel, ITRB 2006, 139. 152 Handelt es sich um Mailverkehr zwischen dem Mitarbeiter und einem Teilnehmer der Tat, so kann die Sachlage im Einzelfall zu einer Rechtfertigung führen. Allerdings kann auch für diese Fälle regelmäßig der eingehende private E-Mail-Verkehr von unbeteiligten Dritten betroffen sein, was wiederum gegen eine entsprechende Rechtfertigung spricht. 153 Weitere Ausführungen hierzu bei Malek, Strafsachen im Internet, Rz. 291. 154 Vgl. Fischer, StGB, § 203 StGB Rz. 3 ff. Bereits die Tatsache, dass sich jemand im Krankenhaus aufhält, kann unter § 203 StGB fallen. Folglich auch, wie lange die Verweildauer war, erst recht die Diagnose usw.
916
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 186
E
geheimnisse vom Schutz erfasst sind.155 Das Geheimnis ist für den Täter fremd, weil es einen anderen Menschen betrifft. Auch Geheimnisse juristischer Personen und Personenverbände fallen unter die Vorschrift des § 203 StGB.156 Täter i.S.v. § 203 StGB ist der Geheimnisträger. Welche Personenkreise (insb. Rechtsanwälte, Ärzte, aber auch Angehörige eines Unternehmens der privaten Kranken-, Unfall- und Lebensversicherung) betroffen sind, wird in § 203 Abs. 2 bis Abs. 3 StGB aufgezählt.157
183
15.2 Tathandlung Jedes Mitteilen eines zum Zeitpunkt der Tat noch bestehenden Geheimnisses ist ein Offenbaren i.S.v. § 203 StGB. Darunter fällt auch die Verschaffung des Zugangs zu Dateien.158 Das Geheimnis muss Dritten ganz oder zum Teil unbekannt sein.
184
Häufig unterschätzt wird (auch im anwaltlichen Bereich) die Geheimhaltungsverpflichtung, 185 die sich aus der Garantenstellung des Geheimnisträgers ergibt. So ist auch eine Offenbarung durch Unterlassen möglich – etwa indem nicht mit Passwörtern oder Verschlüsselungen gearbeitet wird. Während im Gesundheitsbereich der Austausch von geheimen Informationen zwischen Arzt und Patient per E-Mail noch nicht sehr häufig praktiziert wird, dürfte v.a. im Bereich der Wirtschaftskanzleien der Austausch von (auch geheimen) Informationen per E-Mail zwischen Anwalt und Mandant zwischenzeitlich die häufigste Art der Korrespondenz sein. Hier muss vonseiten des Anwalts vorab darauf hingewirkt werden, dass der E-Mail-Verkehr verschlüsselt erfolgen sollte. Es ist angeraten, diese Frage mit dem Mandanten bei Übernahme des Mandates zu klären. Sollte der Mandant dennoch unverschlüsselten E-Mail-Verkehr wünschen, ist dies schriftlich unter Hinweis auf die Problematik zu vereinbaren. Dabei sollte der Mandant über die bestehende Verpflichtung des Anwalts aus § 203 StGB und die Gefahr, dass durch unverschlüsselte Korrespondenz eine Offenbarung stattfinden könnte, hingewiesen werden. Wünscht der Mandant dennoch den unverschlüsselten E-Mail-Kontakt, so kann der Anwalt unproblematisch in dieser Form korrespondieren, da er nach § 203a StGB nicht mehr belangt werden kann. Risikobereich: Auslagerung von geheimhaltungsbedürftigen Daten Auch an den Berufsgeheimnisträgern ist das digitale Zeitalter nicht vorbeigegangen. Nicht 186 nur im Bereich der gesundheitsbezogenen Dienstleistungen besteht großer Bedarf daran, die anfallenden Daten mit Hilfe interner oder externer IT-Dienstleister zu bewältigen.159 Justiz und Anwaltschaft arbeiten ebenso mit digitalisierten Informationen. Auch Anwaltskanzleien sind teilweise inzwischen dazu übergegangen, IT-basierte Vorgänge aus den Kanzleiräumen auszulagern. Diese Schritte sollten allerdings stets anhand den Anforderungen des § 203 StGB geprüft werden. Werden Daten ohne Befugnis des Berechtigten an Dritte weitergegeben, ist i.d.R. § 203 StGB erfüllt. Oftmals wird zudem übersehen, dass unbefugtes Offenbaren auch dann gegeben sein kann, wenn die geheimhaltungsbedürftigen Informationen aufgrund der Auslagerung von IT-Leistungen aus dem Beschlagnahmeschutz des § 97 StPO fallen. Dies kann einerseits geschehen, weil sich der Beschlagnahmeschutz i.d.R. nur auf Gegenstände bezieht, die sich im Gewahrsam des Geheimnisträgers befinden. Lediglich im Bereich des Gesundheitswesens gibt es gem. § 97 Abs. 2 StPO eine Ausweitung auf externe Dienstleister. Für Rechtsanwaltskanzleien existiert keine entsprechende Regelung.
155 Vgl. hierzu die Ausführungen zu § 17 UWG. 156 Schünemann, in: Leipziger Kommentar, § 203 Rz. 27. 157 Zu den betroffenen Berufsgruppen und ihnen gleichgestellten Personen: Fischer, StGB, § 203a StGB Rz. 12 ff. und 19 ff. 158 Vgl. Fischer, StGB, § 203 StGB Rz. 30. 159 Ausführlich zur Thematik: Conrad/Witzel, in: Conrad/Grützmacher, § 14 Auslagerung von IT-Leistungen und § 203 StGB, S. 182 ff.
Hassemer
917
E Rz. 187
Strafrecht
187 Andererseits kommt es jedoch auch zu einem unzulässigen Offenbaren, wenn der Geheimnisträger nicht dafür Sorge getragen hat bzw. es nicht verhindern kann, dass Dritte bei einer eventuellen Durchsuchung der Mitnahme der unter § 203 StGB fallenden Daten ordnungsgemäß widersprechen, sodass keine freiwillige Herausgabe nach § 94 StPO erfolgt. Anderenfalls dürfen die Ermittlungsbeamten alle Daten in Augenschein nehmen und zwar auch jene, die dem Beschlagnahmeschutz unterliegen und bei ordnungsgemäßem Widerspruch i.d.R. versiegelt und ohne Kenntnisnahme Dritter wieder herausgegeben werden müssen. 15.3 Negatives Tatbestandsmerkmal: Befugnis 188 Als weiteres Tatbestandsmerkmal wird die Unbefugtheit der Offenbarung verlangt. Diese ist nicht gegeben, wenn eine Befugnis (Rechtfertigungsgrund) gegeben war. Hierunter fallen die Einwilligung, aber auch gesetzliche Offenbarungspflichten. 15.4 Risikobereich Gesundheitswesen 189 § 203 Abs. 1 Nr. 1 StGB nennt den Arzt oder Angehörigen eines anderen Heilberufs. Gemäß § 203 Abs. 3 StGB steht diesen Personen der berufsmäßig tätige Gehilfe gleich (Pfleger, Schwestern, Masseure, medizinisch-technische Assistenten, Verwaltungsdirektor (strittig) und sonstiges Krankenhauspersonal).160 190 Diese Personen müssen die Tätigkeit nicht als Erwerbs- oder Hauptberuf ausüben, wichtig ist vielmehr eine organisatorische Eingliederung. Für die Abgrenzung kommt es i.d.R. darauf an, ob die betreffende Person aus Sicht des Geheimnisberechtigten in den organisatorischen und weisungsgebundenen internen Bereich der vertrauensbegründenden Sonderbeziehung einbezogen ist. 191 Problematisch ist daher die Einschaltung externer Personen und Unternehmen. Gerade hinsichtlich der EDV sind die Ansichten in Rspr. und Lit. uneinheitlich. So soll einer Ansicht nach derjenige, der für die EDV-Wartung zuständig ist, nicht unter die Gehilfen fallen. Einer anderen Meinung nach soll aber der interne EDV-Betreuer wie auch der Netzwerkadministrator sowie in Krankenhäusern die interne Abrechnungsstelle vom Schutzbereich des § 203 StGB erfasst sein.161 192 Ebenso wird gemäß § 203 Abs. 2a StGB bestraft, wer als Beauftragter für den Datenschutz unbefugt ein fremdes Geheimnis i.S. dieser Vorschriften offenbart, das einem Arzt in dessen beruflicher Eigenschaft anvertraut wurde und von dem der Datenschutzbeauftragte bei Erfüllung seiner Aufgaben als Beauftragter für den Datenschutz Kenntnis erlangt hat. 193 Werden Patientendaten an externe Firmen weitergegeben bzw. durch externe Firmen verarbeitet, so ist unbedingt darauf zu achten, dass keine unbefugte Offenbarung von Patientengeheimnissen erfolgt. Im strafrechtlichen Bereich handelt es sich ansonsten regelmäßig um eine unzulässige Offenbarung eines beruflichen Geheimnisses. 194 Lösungsansatz für die Thematik Outsourcing von Patientendaten: Die strafrechtliche Problematik ist nach derzeitiger Rechtslage nur über die wirksame Einwilligung des Geheimnisgeschützten zu lösen. Bei Aufnahme der Patienten in das Krankenhaus muss eine entsprechende Einwilligungserklärung formuliert werden, die auf die Besonderheiten der IT-Auslagerung in eine neue Gesellschaft Rücksicht nimmt und auf die Folgen hinweist. Sodann fällt auch die strafrechtliche Verantwortlichkeit nach § 203 StGB fort. Durch die Ein-
160 Vgl. Fischer, StGB, § 203 Rz. 37 ff. 161 Vgl. Fischer, StGB, § 203 Rz. 21.
918
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 199
E
willigung ist die Offenbarung nicht mehr unbefugt, die Einwilligung ist als Rechtfertigungsgrund anzusehen.162 Zu beachten ist dabei die Rspr. der Gerichte zur Thematik der externen Verrechnungsstellen:
195
– BGH: Der Abschluss eines Behandlungsvertrags enthält keine konkludente Einwilligung in die Mitteilung der Patientendaten und Befunde an eine externe Verrechnungsstelle.163 – OLG Karlsruhe164: „Ein wirksames Einverständnis des Patienten setzt voraus, dass er über die Abtretung der Honorarforderung unterrichtet wird. Die Mitteilung, die Patientendaten würden ‚zur Abwicklung der atientenrechnungen weitergegeben‘, ist dafür nicht ausreichend.“ – BGH165: Ein wirksames Einverständnis i.S.v. § 203 StGB setzt voraus, „dass der Einwilligende eine im Wesentlichen zutreffende Vorstellung davon hat, worin er einwilligt, und die Bedeutung und Tragweite seiner Entscheidung zu überblicken vermag. Er muss deshalb wissen, aus welchem Anlass und mit welcher Zielsetzung er welche Personen von ihrer Schweigepflicht entbindet, und über Art und Umfang der Einschaltung Dritter unterrichtet sein.“ Problem Altdaten: Da nur die wirksame Einwilligung des Patienten die Strafbarkeit nach § 203 StGB ausschließt, kann dies nicht für Patientendaten gelten, die vom Arzt oder Krankenhaus bisher erhoben wurden, also sämtliche Altdaten.166 Dies gilt auch für verstorbene Patienten, da die Schweigepflicht über den Tod des Betroffenen hinaus bestehen bleibt und auch nicht von Erben und Hinterbliebenen nachträglich durch Entbindung aufgehoben werden kann (vgl. § 203 Abs. 4 StGB).
196
16. Verrat von Geschäfts- und Betriebsgeheimnissen (§ 17 UWG) Der Einzug der Informationstechnologien in den Arbeitsaltag führte zwangsläufig auch zu einem erhöhten Risiko für Unternehmen, Betroffene einer Straftat nach § 17 UWG zu werden. Die Mitnahme von Daten mittels USB-Sticks oder die Übermittlung per Internet ist i.d.R. leicht und unauffällig zu bewerkstelligen. Vermutlich führt auch die Tatsache, dass es mit Hilfe der neuen Technologien i.d.R. sehr einfach ist, sich den Besitz einer Unmenge von Daten „per Knopfdruck“ zu verschaffen, zu einer Abnahme des Unrechtsbewusstseins.
197
16.1 Straftatbestände des § 17 Abs. 1 und Abs. 2 UWG Die unzulässige Verwendung und Verwertung von Geschäfts- und Betriebsgeheimnissen, die 198 auf diese Art gewonnen werden, kann gem. § 17 UWG strafbar sein. § 17 UWG enthält drei Straftatbestände: Den Geheimnisverrat durch Beschäftigte (§ 17 Abs. 1 UWG), die Betriebsspionage durch Beschäftigte oder Dritte (§ 17 Abs. 2 Nr. 1 UWG) sowie die unbefugte Verwertung rechtswidrig erlangter Geheimnisse (§ 17 Abs. 2 Nr. 2 UWG). 16.2 Computer- und internetspezifische Besonderheiten Tatobjekt sind Geschäfts- und Betriebsgeheimnisse. Als Oberbegriff wird auch von Wirtschafts- oder Unternehmensgeheimnissen gesprochen. Eine Tatsache ist jedenfalls dann als geheim i.S. dieses Straftatbestandes zu qualifizieren, wenn sie nicht offenkundig ist und 162 Ausführlich hierzu: Fischer, StGB, § 203 Rz. 32 ff. 163 BGH v. 10.7.1991 – VIII ZR 296/90; v. 20.5.1992 – VIII ZR 240/91, MDR 1992, 848 = CR 1993, 217 = NJW 1992, 2348; weitere Fundstellen in diesem Zshg.: BGH v. 23.6.1993 – VIII ZR 226/92, MDR 1993, 1057 = CR 1994, 164 = NJW 1993, 2371; OLG Karlsruhe v. 15.10.1997 – 13 U 8/96, NJW 1998, 831. 164 OLG Karlsruhe v. 15.10.1997 – 13 U 8/96. 165 BGH v. 20.5.1992 – VIII ZR 240/91, MDR 1992, 848 = CR 1993, 217 = NJW 1992, 2348 f. 166 Ist der Patient nach wie vor in Behandlung, ist hinsichtlich der Altdaten eine Zustimmung, die sich explizit auch auf Altdaten bezieht, sinnvoll.
Hassemer
919
199
E Rz. 200
Strafrecht
höchstens einem beschränkten Personenkreis bekannt sein darf. Nach einer E. des BayObLG167 verliert ein rechtswidrig entschlüsseltes Computerprogramm seinen Geheimnischarakter erst nach einem gewissen Grad der Verbreitung. Die Veröffentlichung von Informationen im Internet und allgemein zugänglichen Datenbanken bewirkt nach einer E. des LG Düsseldorf168 regelmäßig die Offenkundigkeit. 16.3 Tathandlungen 200 Eine Tathandlung i.S.v. § 17 UWG ist das „sich verschaffen“ (§ 17 Abs. 2 Nr. 1 StGB). Das ist der Fall, wenn der Täter bei verkörperten Geheimnissen Gewahrsam am Datenträger begründet oder bei computergespeicherten Daten die Datei auf einen in eigener Verfügungsgewalt stehenden Datenträger kopiert.169 201 Eine Sicherung i.S.d. zweiten Handlungsalternative liegt vor, wenn der Täter das ihm bereits bekannte Geheimnis in bleibende Form (Datei, Aufzeichnung) bringt.170 Durch die Übertragung geheimer Dateien auf den eigenen PC per E-Mail verschafft sich der Täter das Geheimnis und sichert es zugleich.171 202 Allerdings hat der BGH in seiner E. vom 23.2.2012172 hierzu festgestellt, dass ein Sichern i.S.v. § 17 Abs. 2 Nr. 1 lit. b UWG erfordere, dass eine schon vorhandene Kenntnis genauer oder bleibend verfestigt wird. Es soll nicht ausreichen, dass ein Mitarbeiter beim Ausscheiden aus einem Dienstverhältnis die Kopie eines Betriebsgeheimnisses des bisherigen Dienstherrn enthaltenden Dokuments mitnimmt, die er i.R.d. Dienstverhältnisses befugt angefertigt oder erhalten hatte. Dagegen käme ein unbefugtes Sichverschaffen i.S.v. § 17 Abs. 2 Nr. 2 UWG in Betracht, wenn der ausgeschiedene Mitarbeiter den mitgenommenen Unterlagen ein Betriebsgeheimnis entnehme. 203 Unter Verwertung (dritte Handlungsalternative) wird jede Nutzung im geschäftlichen Verkehr eingeordnet, sei es zur Gewinnerzielung, zur Kostensenkung oder zur Schädigung eines Konkurrenten. Auch eine Entwicklung, die zwar nicht vollständig auf den unlauter erlangten Kenntnissen beruht, die jedoch in einer Weise mitursächlich geworden sind, die nicht als technisch oder wirtschaftlich bedeutungslos angesehen werden kann, ist eine solche Verwertung.173 16.4 Subjektive Tatseite 204 Die Tat setzt vorsätzliches Handeln voraus. Dolus eventualis reicht aus. Zusätzlich muss der Täter hinsichtlich der in § 17 Abs. 1 und Abs. 2 UWG genannten Ziele zu Zwecken des Wettbewerbs vorgegangen sein oder aus Eigennutz gehandelt haben bzw. mit der Absicht, dem Unternehmen einen Schaden zuzufügen.174 16.5 Strafantrag 205 Die Unternehmensleitung muss bei Verdacht einer entsprechenden Straftat zügig entscheiden, ob sie die Angelegenheit strafrechtlich verfolgen lassen will. Gemäß § 17 Abs. 5 UWG ist i.d.R.175 Strafantrag erforderlich. 167 168 169 170 171 172 173 174 175
920
BayObLG v. 28.8.1980 – RReg.4 St 250/89, GRUR 1991, 694 (696) – Geldspielautomat. LG Düsseldorf v. 18.4.2001 – 12 O 97/99, K&R 2002, 101. Ohly, in: Ohly/Sosnitza, UWG, § 2 Rz. 18. Ohly, in: Ohly/Sosnitza, UWG, § 17 Rz. 18. Ohly, in: Ohly/Sosnitza, UWG, § 17 Rz. 18. BGH v. 23.2.2012 – I ZR 136/10, GRUR 2012, 1048 = PharmR 2012, 485. BGH v. 19.12.1984 – I ZR 133/82, MDR 1985, 466 = GRUR 1985, 294 (296). Zu Rechtswidrigkeit und Versuch: Ohly in Ohly/Sosnitza, UWG, § 17 Rz. 26 ff. und 31. Es sei denn, die Staatsanwaltschaft bejaht das besondere öffentliche Interesse an der Strafverfolgung.
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 211
E
17. Strafrechtlich relevante Urheberrechtsverletzungen 17.1 Übersicht Urheberrechte spielen in der Informationstechnologie naturgemäß eine entscheidende Rolle 206 – deren Verletzung ebenso. Ein nicht unerheblicher Anteil der urheberrechtlichen Verletzungshandlungen kann auch strafrechtliche Relevanz entwickeln. Die einschlägigen Vorschriften des Urhebergesetzes finden sich in den §§ 106–111a UrhG.176 Wichtig, v.a. aufseiten des Geschädigten, ist die Beachtung des § 109 UrhG, der die überwiegende Anzahl möglicher Straftatbestände des Urhebergesetzes als Strafantragsdelikte definiert (§§ 106–108 UrhG und des § 108b UrhG). Lediglich bei § 108a UrhG ist ein Offizialdelikt gegeben. 17.2 Unerlaubte Verwertung urheberrechtlich geschützter Werke (§ 106 UrhG) 17.2.1 Überblick Schutzgut des § 106 UrhG ist das geistige Eigentum im Allgemeinen und das Verwertungsrecht des Berechtigten im Besonderen.177 Die Frage, inwieweit ein nach §§ 106 ff. UrhG geschütztes Werk gegeben ist, wird in den §§ 2–4 ff. und 23 UrhG, sowie in § 69a UrhG beantwortet. Die Probleme, die sich bei der Auslegung der §§ 106 ff. UrhG ergeben können, sind daher in erster Linie zivilrechtliche.178
207
17.2.2 Tatobjekt Tatobjekt ist das Werk, auch selbständige Werkteile sowie die Bearbeitung oder Umgestaltung 208 eines Werks, dessen Schutzdauer noch nicht abgelaufen ist, ebenso gem. § 69a Abs. 3 UrhG Computerprogramme und Datenbanken. Auch Entwurfsmaterial für Computerprogramme (vgl. § 69a Abs. 1 UrhG) ist vom Straftatbestand des § 106 UrhG erfasst, ohne dass ein Verstoß gegen das Analogieverbot vorliegt. 17.2.3 Tathandlungen Tathandlungen sind das Vervielfältigen, das Verbreiten und die Öffentliche Wiedergabe.
209
17.2.3.1 Vervielfältigen Unter Vervielfältigen179 ist das Herstellen von Vervielfältigungsstücken eines Werks, gleich- 210 viel in welchem Verfahren und in welcher Zahl zu verstehen (zivilrechtlicher Vervielfältigungsbegriff § 16 UrhG). Auch die Vervielfältigung von Daten fällt darunter, sobald diese körperlich fixiert sind (vgl. § 15 Abs. 1 UrhG – körperliche Verwertung). Das Setzen eines Hyperlinks zu einem urheberrechtlich geschützten Werk auf einer fremden Website ist noch keine Vervielfältigung, da es sich lediglich um eine elektronische Verknüpfung handelt. Besonderheiten: Nach inzwischen wohl h.M. stellt das Laden in den Arbeitsspeicher i.S.d. § 44a Abs. 1 Nr. 2 211 UrhG keine tatbestandsmäßige Vervielfältigung dar, soweit es sich um eine rechtmäßige
176 Eine sehr ausführliche Abhandlung der Thematik findet sich bei Gercke/Brunst/Gercke, Praxishandbuch Internetstrafrecht, Kapitel VIII, Urheberstrafrecht, Rz. 403 ff. 177 Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 6. 178 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rz. 686. 179 Zum Vervielfältigungsbegriff des § 69c Nr. 1: s. Grützmacher, in: Wandtke/Bullinger, UrhR, § 69c Rz. 4.
Hassemer
921
E Rz. 212
Strafrecht
Nutzung eines Werks handelt.180 Eine rechtliche Grauzone besteht allerdings noch in Bezug auf Computerprogramme. Hier gilt es § 69d i.V.m. § 69c Nr. 1 UrhG zu beachten.181 212 Im Zshg. mit dem so genannten Streaming gibt es ebenso noch keine Rechtssicherheit. Während auf strafrechtlicher Seite gegen Nutzer illegaler Streaming-Portale ermittelt wird, gibt es in der zivilrechtlichen Rspr. und Lit. deutliche Stimmen, die sich gegen ein strafbares Verhalten privater Nutzer aussprechen.182 213 Rechtsprechungsbeispiel: Am 24.1.2014 ergingen 4 Beschlüsse, in welchen die 9. Zivilkammer des LG Köln über Beschwerden von Anschlussinhabern zu befinden hatte, die von Abmahnungen im Zshg. mit dem angeblichen Ansehen eines Videos auf einer Streaming-Plattform betroffen waren. In Abweichung von ihrer früheren E., in welcher Kammer noch von einem Download ausgegangen war, führte sie im Rahmen eines Beschwerdeverfahrens gegen die Auskunft nach § 101 Abs. 9 UrhG aus, dass sie hinsichtlich des nun bekanntgewordenen Streamings zu der Rechtsansicht neige, dass dadurch kein relevanter rechtswidriger Verstoß i.S.d. Urheberrechts vorliege, insb. keine nur dem Urheber erlaubte Vervielfältigung gemäß § 16 UrhG.183 Sie hat weiterhin angedeutet, dass ihre E. auch Bedeutung für ein Beweisverwertungsverbot in einem Hauptsacheprozess (z.B. über die Berechtigung der Abmahnkosten) haben könnte.184 Die sukzessive Teilvervielfältigung kann dann strafrechtlich relevant sein, wenn jeweils urheberrechtlich schutzfähige Teile vervielfältigt und gespeichert werden. Auch hier ist § 44a UrhG bei nur vorübergehenden Vervielfältigungshandlungen zu beachten.185 Für die strafrechtlich betrauten Berater ist folglich – je nach Interessenlage – Raum für Rechtsausführungen im Interesse der Mandanten gegeben.
17.2.3.2 Verbreiten 214 Die Frage, ob der zivilrechtliche Verbreitungsbegriff186 des § 17 UrhG bzw. § 69c UrhG auch im Urheberstrafrecht Geltung haben soll, wird von der h.M. in Lit. und Rspr. bejaht.187 Zweites Gesetz zur Regelung des Urheberrechts in der Informationsgesellschaft vom 26.10.2007 (BGBl. I S. 2513) („Zweiter Korb“ der Urheberrechtsnovelle): 215 Für das Strafrecht relevant sind die Änderungen des § 53 UrhG (Vervielfältigungen zum privaten und sonstigen eigenen Gebrauch). Während bisher bereits die Kopie einer offensichtlich rechtswidrig hergestellten Vorlage verboten war, ist seit 1.1.2008 nun auch ausdrücklich dieses Verbot auf unrechtmäßig online zum Download angebotene Vorlagen ausgedehnt worden. Soweit es für den Nutzer einer Peer-to-Peer-Tauschbörse offensichtlich ist, dass es sich bei dem angebotenen Film oder Musikstück um ein rechtswidriges Angebot im Internet handelt, darf er keine Privatkopie davon herstellen. 216 Es bleibt auch bei dem Verbot, einen Kopierschutz zu knacken. Die zulässige Privatkopie findet dort ihre Grenze, wo Kopierschutzmaßnahmen eingesetzt werden. 180 Zur Diskussion im Einzelnen: Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 13. S. a. LG Mannheim v. 11.9.1998 – 7 O 142/98, CR 1999, 360. 181 Vertiefend: Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 13. 182 Mit weiteren Nachweisen hierzu: Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 14. 183 LG Köln v. 24.1.2014 – 209 O 188/13, GRUR-RR 2014, 114 = WRP 2014, 362 = MMR 2014, 193 = ZUM-RD 2014, 171 = AfP 2014, 177. 184 Pressemitteilung des LG Köln v. 27.1.2014 http://www.lg-koeln.nrw.de/presse/Pressemitteilungen/ 2014_01_27-Entscheidungen-in-Streaming-Abmahnungsfaellen.pdf, abgerufen am 2.1.2015. 185 Vertiefend: Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 13. 186 Zum Verbreitungsrecht des § 69c Nr. 3 UrhG: Grützmacher, in: Wandtke/Bullinger, UrhR, § 69c Rz. 1 – 96. 187 Fundstellen zur h.M. in der Lit. und Rspr. finden sich bei Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 14 insb. auch: BGH v. 3.3.2004 – 2 StR 109/03; BGHSt 49, 93, 103 = NJW 2004, 1674, 1676; KG v. 1.12.1982 – (2) Ss 169/82 (30/82), NStZ 1983, 561.
922
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 222
E 217
Rechtsprechungsbeispiele: AG Cottbus: Strafbarer Download von Online-Tauschbörse Wer ohne Erlaubnis des jeweiligen Rechteinhabers Lieder auf seinen Computer kopiert und diese unter Nutzung der Tauschbörse allgemein zugänglich per Internet zum Download zur Verfügung stellt, macht sich gem. §§ 106 Abs. 1, 17 UrhG, 52 StGB strafbar. Dabei ist davon auszugehen, dass dem Angeklagten die Verletzung von Urheberrechten bewusst war, wegen der in der Öffentlichkeit darüber geführten Debatte.188 OLG Oldenburg vom 8.5.2009 – P2P-Tauschbörsen – zum Upload-Vorsatz: Im Zshg. mit einer Verurteilung wegen Verbreitung gewaltpornographischer Schriften hat das OLG eine Grundsatzentscheidung zur Frage des Vorsatzes bei der Teilnahme an Tauschbörsen gefällt. Es ging um die Frage, ob jeder Nutzer einer Tauschbörse sich darüber im Klaren sei, dass bei Nutzung des Programms auch von dem eigenen PC Daten zur Verfügung gestellt würden oder dies zumindest in Kauf genommen werde, was der Angeklagte bestritt. Im vorliegenden Fall waren die rechtswidrigen Daten in einem Ordner des Angeklagten mit der Bezeichnung „incoming“ gespeichert. Das OLG stellte fest, dass dem Angeklagten ein solcher Vorsatz nicht ohne weiteres zu unterstellen sei und dass es keinen Erfahrungssatz dahingehend gäbe, dass ein bloßer auch wiederholter Nutzer einer Tauschbörse wisse oder doch damit rechne, dass er die von ihm heruntergeladenen Dateien schon durch seinen Download anderen Nutzern zur Verfügung stelle.189
17.2.3.3 Öffentliche Wiedergabe Der strafrechtliche Begriff ist mit dem zivilrechtlichen aus § 15 Abs. 2 UrhG, bzw. § 69c Nr. 4 218 UrhG identisch.190 Es handelt sich dabei um ein Tätigkeits- und kein Erfolgsdelikt, daher spielt es auch keine Rolle für die Strafbarkeit, ob tatsächlich die Öffentlichkeit durch die Wiedergabe erreicht wird. Auch neue Nutzungsarten, wie etwa Internet-Tauschbörsen fallen hierunter.191 17.2.4 Das Merkmal „in anderen als den gesetzlich zugelassenen Fällen“ Nach h.M. wird dabei auf die gesetzlichen Schranken des Urheberrechts hingewiesen (negatives Tatbestandsmerkmal) und nicht auf die allgemeinen Rechtfertigungsgründe.192 Für Werke, die nicht Computerprogramme sind, gelten die §§ 44a–63 UrhG.
219
Beispiel:
220
Das Herunterladen in einem P2P-Filesharing-System i.R.v. § 53 UrhG ist nicht strafbar; die dortige Bereitstellung der Werke unter Verstoß gegen §§ 19a, 52 Abs. 3 UrhG hingegen schon.
17.2.5 Subjektiver Tatbestand. Bedingter Vorsatz reicht aus, jedoch nicht Fahrlässigkeit. Der Beschuldigte muss zumindest damit rechnen, alle Tatbestandsvoraussetzungen zu erfüllen.
221
17.2.6 Nichtberechtigung (ohne Einwilligung des Berechtigten) Die Verwertung eines fremden urheberrechtlich geschützten Werkes ist nur dann strafbar, wenn sie ohne Einwilligung des Berechtigten erfolgt. Die Einwilligung ist nicht Tatbestandsmerkmal, sondern schließt die Rechtswidrigkeit aus.193 188 189 190 191 192 193
AG Cottbus v. 25.5.2004 – 95 Ds 1653 Js 15556/04, CR 2004, 782. OLG Oldenburg v. 8.5.2009 – 1 Ss 46/09, MMR 2010, 117. Zum Begriff des § 69c Nr. 4 UrhG: s. Grützmacher, in: Wandtke/Bullinger, UrhR, § 69c Rz. 49. Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 20. Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 21 m.w.N. Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 24, 31.
Hassemer
923
222
E Rz. 223
Strafrecht
17.2.7 Täterschaft und Teilnahme 223 Die Abgrenzung von Täterschaft und Teilnahme wird nach den allgemeinen Grundsätzen (Strafgesetzbuch AT) vorgenommen. Danach ist Täter, wer eine unbefugte Vervielfältigung eigenhändig vornimmt, eigenhändig verbreitet oder öffentlich widergibt.194 So lange die Tat nicht vollendet ist, ist Beihilfe möglich. Strafrechtliche Verantwortung des Anschlussinhabers: 224 Im Strafverfahren legen die Ermittlungsbehörden und Strafgerichte strenge Maßstäbe für die Beurteilung der strafrechtlichen Verantwortung des Anschlussinhabers an und lehnen eine Ahndung in jenen Fällen ab, in welchen der Täter bzw. Handelnde nicht zweifelsfrei feststeht. 225 Rechtsprechungsbeispiel: Urteil des AG Mainz vom 24.9.2009:195 Das AG stellte fest, dass der Anschlussinhaber nicht wegen P2P-Filesharing-Fällen nicht zu bestrafen ist, wenn nicht mit Sicherheit festgestellt werden kann, dass er selbst die tatgegenständlichen Titel zum Download angeboten hat und als Täter auch die Familienangehörige in Betracht kommen
17.2.8 Strafbarkeit des Versuchs 226 Seit 1990 ist auch der Versuch der unerlaubten Verwertung urheberrechtlich geschützter Werke gem. § 106 Abs. 2 UrhG strafbar. 17.3 Eingriffe in verwandte Schutzrechte (§ 108 UrhG) 227 Seit dem Aufkommen der Musik-, Video- und Softwarepiraterie haben die § 108 Abs. 1 Nr. 4 und 5 UrhG Bedeutung bei der Bekämpfung von Raubkopien von Musikwerken und unzulässigen Bootlegs (Mitschnitten) erlangt.196 Unter § 108 Abs. 1 Nr. 7 UrhG fällt – soweit sie Lichtbildschutz gem. § 95 UrhG genießen – der Schutz (audio-)visueller Darstellung von Computerspielen.197 § 108 Nr. 8 UrhG schützt die unzulässige Verwertung von Datenbanken entgegen § 87b UrhG.198 17.4 Strafschärfung bei Gewerbsmäßigkeit (§ 108a UrhG) 228 Die strafschärfende Vorschrift des § 108a UrhG (Qualifikationstatbestand) erfordert keinen Strafantrag. Es handelt sich um ein Offizialdelikt. Die Gewerbsmäßigkeit ist persönlich strafschärfendes Merkmal (§ 28 Abs. 2 StGB).199 Daher muss auch der Teilnehmer gewerbsmäßig gehandelt haben, um nach § 108a UrhG bestraft werden zu können, ansonsten bleibt nur die Bestrafung nach dem Grunddelikt (§§ 106–108 UrhG). 229 Gewerbsmäßigkeit liegt vor, wenn der Täter die Tat in der Absicht begeht, sich durch wiederholte, ggf. auch nur fortgesetzte Begehung eine fortlaufende Einnahmequelle von einiger Dauer und einigem Umfang zu verschaffen.200
194 Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 40. 195 AG Mainz v. 24.9.2009 – 2050 Js 16 878/07, MMR 2010, 117. 196 Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 108 Rz. 1; vgl. a. OLG Frankfurt v. 22.3.2013 – 11 W 8/13, NJW-RR 2013, 755, das unter Eheleuten keine Störerhaftung hinsichtlich des Internetanschlusses festgestellt hat und ebenso bereits OLG Köln v. 16.5.2012 – 6 U 239/11, CR 2012, 534 = K&R 2012, 526 = MMR 2012, 549. 197 Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 106 Rz. 1 und 4. 198 Verfassungsrechtlich bedenklich, vgl. Hildebrandt, in: Wandtke/Bullinger, UrhR, § 108 Rz. 3. 199 Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 108a Rz. 2. 200 Hildebrandt/Reinbacher, in: Wandtke/Bullinger, UrhR, § 108a Rz. 2.
924
Hassemer
Straftaten mit Bezug zur Informationstechnologie
Rz. 233
E 230
Rechtsprechungsbeispiele: LG Braunschweig201: Unerlaubtes gewerbsmäßiges Vervielfältigen und Verbreiten geschützter Software: Der Angeklagte hat sich des gewerbsmäßigen unerlaubten Vervielfältigens urheberrechtlich geschützter Werke in Tateinheit mit gewerbsmäßigem unerlaubtem Verbreiten urheberrechtlich geschützter Werke in 27 Fällen schuldig gemacht und wurde zu einer Gesamtfreiheitsstrafe von drei Jahren verurteilt. BGH vom 11.10.2012 (Vorinstanz: LG München II), zum Verhältnis der §§ 106, 108a UrhG zur unionsrechtlich garantierten Warenfreiheit:202 In der ersten Instanz wurde der Angeklagte wegen Beihilfe zur gewerbsmäßigen unerlaubten Verwertung urheberrechtlich geschützter Werke in 485 Fällen zu einer Gesamtfreiheitsstrafe von zwei Jahren verurteilt, die Revision bestätigte dieses Urteil. Urteile aus dem Verfahren Kino.to: Eines der größten und bekanntesten strafrechtlichen Verfahren im Zshg. mit Urheberrechtsverletzungen dürfte das gegen die Streaming-Plattform Kino.to sein, das begleitet von nationalen und internationalen Polizeiaktionen im Juni 2011 bekannt wurde und mit einer Vielzahl von Urteilen – zuletzt am 13.6.2012 gegen einen der Haupttäter – vor dem LG Leipzig sein vorläufiges Ende fand. In diesem Verfahren wurde nach einer Meldung von Spiegel Online der Gründer und Betreiber des Portals zu 4 Jahren und 6 Monaten Freiheitsstrafe verurteilt.203
17.5 Unerlaubte Eingriffe in technische Schutzmaßnahmen und zur Rechtewahrnehmung erforderliche Informationen (§ 108b UrhG) Zweck der Vorschrift ist die wirksame Durchsetzung des rechtlichen Schutzes gegen tech- 231 nische Umgehungshandlungen und -vorrichtungen (§ 95a UrhG) sowie die Sanktionierung der rechtswidrigen Entfernung und Veränderung von zur Rechtewahrnehmung erforderlichen Informationen (§ 95c UrhG). (Zur Ordnungswidrigkeit vgl. § 111a UrhG). Soweit die Tat zugleich einen Eingriff in einen nach § 2 ZKDSG geschützten zugangskontrollierten Dienst oder Zugangskontrolldienst darstellt, kommt auch eine Strafbarkeit nach § 4 ZKDSG (bzw. § 5 ZKDSG) in Betracht. Wer entgegen § 95a Abs. 1 UrhG eine wirksame technische Maßnahme umgeht, macht sich nach § 108b Abs. 1 und 3 UrhG strafbar.
232
17.6 Strafantrag § 109 UrhG In den Fällen der §§ 106–108 UrhG und des § 108b UrhG wird die Tat nur auf Antrag ver- 233 folgt, es sei denn, die Strafverfolgungsbehörde hält wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten. Die gewerbsmäßige unerlaubte Urheberrechtsverletzung nach § 108a UrhG wird von Amts wegen verfolgt (Offizialdelikt).
201 LG Braunschweig v. 7.7.2003 – 6 KLs1/03, CR 2003, 801. 202 BGH v. 11.10.2012 – 1 StR 213/10, NJW 2013, 93. Der Fall hatte auch noch die sehr interessante Begebenheit, dass der Angeklagte sich vorab anwaltlich über das geplante Geschäftsmodell hat beraten lassen und sich in diesem Zshg. ohne Erfolg auf einen Verbotsirrtum berufen hat (hierzu im Urteil ab Rz. 64 ff.). 203 Meldung Spiegel Online vom 13.6.2012, http://www.spiegel.de/netzwelt/web/kino-to-chef-zu-vierein halb-jahren-haft-verurteilt-a-838819.html, abgerufen am 5.12.2015.
Hassemer
925
F. Die steuerliche Behandlung von Software und IT-Dienstleistungen Rz.
Rz. I. Einführung . . . . . . . . . . . . . . . . . . . 1. Einkommensteuer/Körperschaftsteuer/Gewerbesteuer 1.1 Einkommensteuer/Körperschaftsteuer . . . . . . . . . . . . . . . 1.2 Gewerbesteuer . . . . . . . . . . . . . 2. Umsatzsteuer . . . . . . . . . . . . . . . . . 3. Internationale Fragestellungen . . . II. Bewertung und Bilanzierung von Software . . . . . . . . . . . . . . . . . . 1. Bilanzierung nach HGB/EStG 1.1 Grundlegende Prinzipien, insb. Vorliegen eines Vermögensgegenstands/ Wirtschaftsguts . . . . . . . . . 1.2 Entgeltlich erworbene Standardsoftware . . . . . . . . 1.3 Selbst erstellte Software für den Eigenbedarf (Standardsoftware/Individualsoftware). . . . . . . . . . . . . . . 1.3.1 Bilanzierung nach Handelsrecht . . . . . . . . . . . 1.3.1.1 Aktivierung . . . . . . . . . . . . 1.3.1.2 Folgen der Ausübung des Aktivierungswahlrechts . . 1.3.1.3 Kriterien für die Ausübung des Aktivierungswahlrechts . . . . . . . . . . . . . . . . . 1.3.2 Bilanzierung nach Steuerrecht . . . . . . . . . . . . . . . . . . 1.4 Selbst erstellte Software für den Fremdbedarf . . . . . 1.5 Von Dritten erstellte Individualsoftware . . . . . . . . . . 1.6 Abgrenzung Standardsoftware/Individualsoftware und Anschaffungskosten/ Herstellungskosten/ Erhaltungsaufwand . . . . . . 1.6.1 Abgrenzung Standardsoftware – Individualsoftware . 1.6.2 Anschaffungskosten . . . . . 1.6.3 Maßnahmen zur Erweiterung/Verbesserung der Software . . . . . . . . . . . . . . . 1.6.4 Abgrenzung Erhaltungsaufwand . . . . . . . . . . . . . . . 1.7 Teilgewinnrealisation im Falle einer langfristigen Auftragsfertigung? . . . . . . .
926
Backu/Bayer
1
2 10 17 19 27
1.8
Fragen der Bilanzierung bei Homepages etc. . . . . . . 2. Bilanzierung nach IFRS (International Financial Reporting Standards) 3. Bilanzierung nach US-GAAP . . . . . III. 1. 2. 3. 4.
28 34
37 38 39 44 47 48 49 50
56 57 58 62 63 68
5. 6. 7. 8. 9. 10.
Umsatzsteuerliche Regelungen Einführung/Überblick . . . . . . . . . . Unternehmereigenschaft . . . . . . . . Lieferung oder sonstige Leistung . . Ort der Leistung . . . . . . . . . . . . . . . 4.1 Grundsätze der Bestimmung des Ortes der Leistung . . . . . . . 4.2 Änderung des Leistungsorts elektronisch erbrachter Dienstleistungen im Bereich B2C seit dem 1.1.2015 . . . . . . . . . . . . . . Steuerbefreiung . . . . . . . . . . . . . . . . Regulärer/ermäßigter Steuersatz . . Bemessungsgrundlage. . . . . . . . . . . Entstehung der Umsatzsteuer . . . . Schuldner der Umsatzsteuer . . . . . Rechnungstellung . . . . . . . . . . . . . . 10.1 Pflichtangaben . . . . . . . . . . . . 10.2 Elektronische Rechnungstellung . . . . . . . . . . . . . . . . . . 10.3 Fristen für die Rechnungserteilung . . . . . . . . . . . . . . . . .
IV. Quellensteuer 1. Einführung . . . . . . . . . . . . . . . . . . . 2. Inbound-Konstellation (Überlassung an/Erwerb durch in Deutschland ansässigen Lizenznehmer von einem im Ausland ansässigen Lizenzgeber) 2.1 Voraussetzungen der Quellensteuerpflicht . . 2.2 Modifizierung der Steuerpflicht, Höhe der Steuer etc. durch DBA . . . . . 2.3 Erhebung der Quellensteuer 2.3.1 Vornahme eines Steuerabzugs . . . . . . . . . . . . . . 2.3.2 Vergleichbarkeit des Rechts auf Nutzung mit Immaterialgüterrechten? . . . . . . . . . . . .
69 71 78 84 86 90 95 96
98 109 112 118 121 123 124 125 130 133 134
137 139
141
144
F
Die steuerliche Behandlung von Software und IT-Dienstleistungen
Rz.
Rz. Abgrenzung zeitlich begrenzte/zeitlich unbegrenzte Nutzungsüberlassung . . . . . . . . . . . . . 2.3.4 Einzelne Konstellationen in Bezug auf Software (§§ 49 und 50 EStG) 2.3.4.1 Standardsoftware . . . . . 2.3.4.2 Individualsoftware. . . . 2.3.4.3 Gemischte Verträge . . . 2.4 Entstehung der Steuer, Verfahrensweise. . . . . . 2.5 Entlastung nach § 50d EStG 2.5.1 Systematik des § 50d EStG . . . . . . . . . . 2.5.2 Erstattungsverfahren gemäß § 50d Abs. 1 EStG 2.5.3 Freistellungsverfahren gemäß § 50d Abs. 2 EStG . . . . . . . . . . . . . . . 2.5.4 Ausschluss der Entlastung, § 50d Abs. 3 EStG 2.5.4.1 Zweck des § 50d Abs. 3 EStG . . . . . . . . . . . . . . . 2.5.4.2 Verhältnis zu DBA-Regelungen und zum Gemeinschaftsrecht . . . . . 2.5.4.3 Anwendungsbereich des § 50d Abs. 3 EStG . 2.5.4.4 Ausnahme vom Anwendungsbereich des § 50d Abs. 3 EStG . . . . . . . . . 2.5.4.5 Anspruch auf Entlastung . . . . . . . . . . . . . . . 2.5.4.5.1 Sachliche Entlastungsberechtigung . . . . . . . . 2.5.4.5.1.1 Zu (1): Erzielung von Bruttoerträgen aus eigener Wirtschaftstätigkeit 2.5.4.5.1.2 Zu (2): Wirtschaftliche oder sonst beachtliche Gründe für ihre Einschaltung und Teilnahme am allgemeinen wirtschaftlichen Verkehr mit angemessenem Geschäftsbetrieb . . . . . 2.5.4.5.2 Persönliche Entlastungsberechtigung . . . . 2.5.4.5.3 Dokumentation und Feststellungslast . . . . .
2.6
2.3.3
145
149 155 156 161
165 167 169
Entlastung vom Steuerabzug bei Zahlung von Lizenzgebühren zwischen verbundenen Unternehmen verschiedener Mitgliedstaaten oder der Schweiz, § 50g EStG . . . . . . . . . . 2.7 Gewerbesteuerliche Hinzurechnung . . . . . . 3. Outbound-Konstellation (Überlassung an/Erwerb durch im Ausland ansässigen Lizenznehmer von einem im Inland ansässigen Lizenzgeber) . . . . . . . . . . . . . . . . . . . . . . . . 4. Vertragsgestaltung und Praxistipps V. 1. 2. 3. 4.
171 173 174
5.
176 177
6.
178 7. 179 8.
9. 188 191 192
Verrechnungspreise Begriff „Verrechnungspreise“ . . . . . Bedeutung der Verrechnungspreise Methoden zur Bildung von Verrechnungspreisen – Grundsätze . . . . . . Ausgewählte Probleme 4.1 Überlassung von immateriellen Wirtschaftsgütern . . . . . . . . . . 4.2 Dienstleistungen . . . . . . . . . . . 4.3 Kostenumlagen . . . . . . . . . . . . 4.4 Betriebsstätten . . . . . . . . . . . . . Dokumentation 5.1 Anforderungen an die Dokumentation . . . . . . . . . . . . . . . . . 5.2 Erleichterungen bei kleinen Unternehmen . . . . . . . . . . . . . . Rechtsfolgen, falls die vereinbarten Konzernverrechnungspreise nicht dem Dealing-at-Arm’s-LengthGrundsatz entsprechen. . . . . . . . . . Rechtsfolgen einer unzureichenden Dokumentation . . . . . . . . . . . . . . . Zusammenfassung zu den Voraussetzungen für eine Korrektur im Zusammenhang mit Verrechnungspreisen . . . . . . . . . . . . . . . . . . . . . . . Funktionsverlagerungen 9.1 Begriff der Funktionsverlagerung . . . . . . . . . . . . . . 9.2 Merkmale einer Funktionsverlagerung . . . . . . . . . . . . . . 9.3 Beispiele für unschädliche „Funktionsverlagerungen“ . . 9.4 Steuerliche Behandlung einer Funktionsverlagerung . . . . . . 9.5 Gestaltungsmöglichkeiten 9.5.1 Vermeidung einer Funktionsverlagerung . . . . . . . . . . . . . .
Backu/Bayer
196 203
206 210 216 217 219
229 235 237 239
240 243
245 249
251
253 256 261 262 266
927
F
Die steuerliche Behandlung von Software und IT-Dienstleistungen Rz.
Rz. 9.5.2 Gestaltung der Funktionsverlagerung im Einzelnen . . VI. Cloud Computing. . . . . . . . . . . . . . 1. Inbound-Fall: Cloud-Anbieter im Ausland, Kunde im Inland 1.1 Ertragsteuer/Quellensteuer. . . 1.2 Umsatzsteuer. . . . . . . . . . . . . . 2. Outbound-Fall: Cloud-Anbieter im Inland, Kunde im Ausland 2.1 Ertragsteuer/Quellensteuer. . . 2.2 Umsatzsteuer. . . . . . . . . . . . . . VII. Buchführungs- und Aufbewahrungspflichten 1. Gesetzliche Verpflichtungen . . . . . 2. Durchführung der elektronischen Buchführung im Ausland. . . . . . . .
268 270
273 280
282 286
289
VIII. Steuerliche Beurteilung wichtiger Fallgestaltungen . . . . . . . . . . . . . . . 1. Vertrieb . . . . . . . . . . . . . . . . . . . . . . 1.1 Quellensteuern/Abzugsverpflichtungen . . . . . . . . . . . 1.1.1 Inbound-Konstellation . . . . . 1.1.2 Outbound-Konstellation. . . . 1.2 Umsatzsteuer, Verrechnungspreise . . . . . . . . . . . . . . 2. Apps . . . . . . . . . . . . . . . . . . . . . . . . . 3. Aspekte im Zusammenhang mit Cross-Border-Softwareprojekten . . 4. Tendenzen auf internationaler Ebene . . . . . . . . . . . . . . . . . . . . . . . .
295a 296 297 298 303 304 307 308 310
292
Literatur: Adler/Düring/Schmaltz, Rechnungslegung und Prüfung der Unternehmen, Teilband 1, 6. Aufl. 1995; Alves, Reporting nach US-GAAP, 2. Aufl. 2011; Backu, Quellensteuern bei internationalen Softwareüberlassungs- und Distributionsverträgen, ITRB 2012, 188 ff.; Backu, Elektronische Rechnungstellung, ITRB 2012, 65 ff.; Backu, Steuerliche Aspekte von Cloud Computing und anderen Webservices, ITRB 2011, 184 ff.; Backu, Die Auswirkungen des BilMoG auf die Bilanzierung von Software, ITRB 2010, 166 ff.; Backu/Bayer, Steuerupdate 2015, ITRB 2015, 65 ff.; Backu/Bayer, Mehrwertsteueränderungen in Europa, Konsequenzen für international tätige IT-Unternehmen, UStB 2014, 321 ff.; Backu/Bayer, Internationaler Softwarevertrieb über Distributoren aus steuerlicher Sicht, ITRB 2014, 239 ff.; Backu/Bayer, Steuerupdate 2014, ITRB 2014, 82 ff.; Backu/Bayer, Steuerupdate 2013, ITRB 2013, 35 ff.; Backu/Bayer, Steuerupdate 2016, ITRB 2016, 59 ff.; Backu/Reitsam, Steuerliche Aspekte bei der Softwarebeschaffung, ITRB 2007, 211 ff.; Bärsch/Engelen/Färber, Die Dokumentation von Verrechnungspreisen und das Country-by-Country Reporting – Die neuen Anforderungen der OECD und der EU, DB 2016, 972 ff.; Bartelt/ Geberth/Heggmair, Erster Referentenentwurf zur BEPS-Umsetzung sowie zu zahlreichen Nichtanwendungsvorschriften – Kurzdarstellung des RefE vom 31.5.2016, DB 2016, 1335 ff.; Baumbach/Hopt, Handelsgesetzbuch, 36. Aufl. 2014; Baumhoff/Liebchen, Seminar G: Steuerfragen im Zusammenhang mit immateriellen Wirtschaftsgütern, iStR 2014, 711 ff.; Becker, Anwendung des ermäßigten Steuersatzes auf E-Books, DStR 2014, 462 ff.; Becker, Rechnungsanforderungen und Vorsteuerabzug – Geht der Formalismus der Umsatzsteuer zu weit?, NWB 2016, 1344 ff.; Becker/van der Ham, Doppelbesteuerungsrisiken bei Dienstleistungserbringung im Ausland und mögliche Gegenmaßnahmen, iStR 2014, 581 ff.; Benz/Böhmer, Das BEPS-Projekt der OECD/G20: Vorlage der abschließenden Berichte zu den Aktionspunkten, DB 2015, 2535 ff.; Bergemann/Wingler (Hrsg.), Gewerbesteuer: GewStG, 2012; Birker, Die „Aufteilungsklausel“ des § 50d Abs. 3 EStG n.F., BB 2012, 1961 ff.; Birle u.a., Beck’sches Steuer- und Bilanzrechtslexikon, 2. Aufl. 2016 (zitiert: Bearbeiter, in: Beck’sches Steuer- und Bilanzrechtslexikon, Fundstelle); Bisges, Bilanzierung und Bewertung von Websites und Domains, StB 2012, 309 ff.; Blümich, EStG, KStG, GewStG, 132. EL (Stand: 5/2016); Bohl/Riese/Schlüter (Hrsg.), Beck‘sches IFRS-Handbuch, 5. Aufl. 2016 (zitiert: Bearbeiter, in: Beck‘sches IFRS-Handbuch, Fundstelle); Brüninghaus/Bodenmüller, Tatbestandsvoraussetzungen der Funktionsverlagerung, DStR 2009, 1285 ff.; Buciek, Die Freistellungsbescheinigung nach § 50d Abs. 3 EStG – Anmerkungen zum BFH-Urteil vom 11.10.2000, I R 34/99, iStR 2001, 102 ff.; Bunjes, Umsatzsteuergesetz, 15. Aufl. 2016; Busch, Die finale Fassung der Betriebsstättengewinnaufteilungsverordnung, DB 2014, 2490 ff.; Buschhüter/Striegel (Hrsg.), Internationale Rechnungslegung, 2011; Creed, Steuergestaltung über Lizenz- bzw. Patentboxen, GRUR-Prax 2014, 346 ff.; Crüger/Riedl, Immaterielle Wirtschaftsgüter – aktuelle Entwicklungen zu Verrechnungspreisen, iStR 2014, 625 ff.; Derlien/Wittkowski, Neuerungen bei der Gewerbesteuer – Auswirkungen in der Praxis, DB 2008, 835 ff.; Ditz/Pinkernell/Quilitzsch, BEPS-Reformvorschläge zu Lizenzgebühren und Verrechnungspreisen bei immateriellen Wirtschaftsgütern aus Sicht der Beratungspraxis, iStR 2014, 45 ff.; Dorfmüller, Die aktive Beteiligungsverwaltung – Eine kritische Analyse der Erfordernisse des BMF-Schreibens zu § 50d Abs. 3 EStG i.d.F. des BeitrRLUmsG, iStR 2012, 423 ff.; Dorfmüller/Fischer, Die geplante Neufassung der Anti-Treaty-ShoppingRegelung des § 50d Abs. 3 EStG durch das BeitrRLUmsG, iStR 2011, 857 ff.; Dörre, Besteuerung der Umsätze aus Softwareprojekten, DB 2012, 1409 ff.; Duscher, Nach dem BilMoG: Annäherung an die IFRS im Bereich selbsterstellter immaterieller Vermögensgegenstände in der Bilanzierungspraxis innovativer Un-
928
Backu/Bayer
F
Die steuerliche Behandlung von Software und IT-Dienstleistungen
ternehmen? Fall der biotechnologischen Forschungs- und Entwicklungsprojekte, Zeitschrift für Internationale Rechnungslegung 2014, 149 ff.; Ebenroth/Boujong/Joost/Strohn (Hrsg.), HGB, Band 1, 3. Aufl. 2014; Ebert/Thomsen, Verbleibende Zweifelsfragen in der Praxis bezüglich der Neuerungen beim Reverse-Charge-Verfahren ab dem 1.10.2014, DStR 2015, 145 ff.; Eierle/Wencki, Wird das handelsrechtliche Wahlrecht zur Aktivierung von Entwicklungskosten vom deutschen Mittelstand angenommen?, DB 2014, 1029 ff.; Eisolt, Zulässigkeit von Sammelauskunftsersuchen zu den Nutzern einer Internethandelsplattform – Zugleich Anmerkungen zum Urteil des Niedersächsischen FG vom 23.2.2012, DStR 2012, 1840 ff.; Ellroth/ Förschle/Kozikowski/Winkeljohann (Hrsg.), Beck’scher Bilanzkommentar, 10. Aufl. 2016 (zitiert: Bearbeiter, in: Beck’scher Bilanzkommentar, Fundstelle); Engers/Dyckmans, Die Neuregelung des § 50d Abs. 3 EStG durch das BeitrRLUmsG, Ubg 2011, 929 ff.; Europäische Kommission, Bericht der Kommission an den Rat über Artikel 6 der Richtlinie 2008/8/EG des Rates, COM(2014) 380 final; Europäische Kommission, Erläuterungen zu den Änderungen der EU-Mehrwertsteuervorschriften bezüglich des Ortes von Telekommunikations-, Rundfunk- und elektronischen Dienstleistungen, die 2015 in Kraft treten, veröffentlicht 3.4.2014, S. 77 ff.; Europäische Kommission, Leitfaden zur kleinen einzigen Anlaufstelle für die Mehrwertsteuer, 2013; Europäische Kommission, Steuern: Europäische Kommission verklagt Frankreich und Luxemburg beim Gerichtshof wegen Anwendung eines ermäßigten Mehrwertsteuersatzes auf E-Books, Pressemitteilung IP 13/137; Europäische Kommission, The new SME definition, 2013; Europäische Kommission, Modernisierung der Mehrwertsteuer für den grenzüberschreitenden elektronischen Handel: Kommission leitet öffentliche Konsultation ein, Pressemitteilung IP/15/5719 25.9.2015; Europäische Kommission, Mitteilung der Europäischen Kommission an das Europäische Parlament, den Rat und den Europäischen Wirtschafts- und Sozialausschuss über einen Aktionsplan im Bereich der Mehrwertsteuer, Auf dem Weg zu einem einheitlichen europäischen Mehrwertsteuerraum: Zeit für Reformen, COM (2016) 148 final; Europäische Kommission, Kommission schlägt neue Steuervorschriften zur Förderung des elektronischen Geschäftsverkehrs und von Online-Unternehmen in der EU vor, Pressemitteilung IP/16/4010; Feil/Weigl/Rothballer, Neuregelung der Ortsbestimmung bei an Nichtunternehmer elektronisch erbrachten Dienstleistungen, BB 2014, 2072 ff.; Flick/Wassermeyer/Baumhoff/Schönfeld, Außensteuerrecht, 78. EL (Stand: 4/2016); Franke/Gageur, Zweifelsfragen und Anmerkungen zu den gleich lautenden Ländererlassen zu § 8 Nr. 1 GewStG, BB 2008, 1704 ff.; Freudenberg, Operational Transfer Pricing: Notwendigkeit eines Verrechnungspreismanagements bei Auslandsinvestitionen, BB 2014, 1515 ff.; Frotscher, Treaty Override – causa finita?, iStR 2016, 561 ff.; Frotscher/Geurts, Kommentar zum Einkommensteuergesetz, 191. EL (Stand: 2/2016) (zitiert: Bearbeiter, in: Frotscher/Geurts, EStG, Fundstelle); Frotscher/Drüen, Kommentar zum Körperschaft-, Gewerbe- und Umwandlungssteuergesetz, 130. EL (Stand: 9/2015) (zitiert: Bearbeiter, in: Frotscher/Drüen, KStG, GewStG, UmwStG, Fundstelle); Gelhausen/Kaempfer/Fey, Rechnungslegung und Prüfung nach dem Bilanzrechtsmodernisierungsgesetz, 2009 (zitiert: Gelhausen/Kaempfer/Fey, Rechnungslegung nach BilMoG, Fundstelle); Glanegger/Güroff (Hrsg.), GewStG, 8. Aufl. 2014; Gosch, Körperschaftssteuergesetz, 3. Aufl. 2015; Grambeck, Keine Umsatzsteuerpflicht bei kostenlosen Internetdiensten und Smartphone-Apps, DStR 2016, 2016 ff.; Grambeck, Neuer Leistungsort bei elektronischen Dienstleistungen ab 2015, UR 2013, 241 ff.; Grütters, Kulturstaatsministerin Monika Grütters: Ermäßigte Mehrwertsteuer für E-Books sichert Vielfalt unseres Bücherangebots, Pressemitteilung der Bundesregierung Nr. 12/2014 v. 27.1.2014, abrufbar unter: http://www.bundesregierung.de/Con tent/DE/Pressemitteilungen/BPA/2014/01/2014-01-27-e-books-mehrwertsteuer.html (zitiert: Grütters, Pressemitteilung 12/2014 der Bundesregierung); Haase, Geistiges Eigentum, 2012; Hahn, Treaty Overriding sine ira et studio, iStR 2011, 863 ff.; Hecht/Lampert, Die einkommensteuerrechtliche Behandlung der Überlassung von Software (Teil II), FR 2010, 68 ff.; Heggmair/Riedl/Wutschke, Betriebsstätten von Unternehmen der Digital Economy – Eine kritische Analyse der zu erfüllenden Tatbestandsmerkmale für eine Betriebsttätte in der Digital Economy, iStR 2015, 92 ff.; Heidel/Schall (Hrsg.), HGB, 2. Aufl. 2015; Heinsen/Voß, Ertragsteuerliche Aspekte von Cloud Computing, DB 2012, 1231 ff.; Helios/Hierstetter, Aktuelle Praxisfälle der Kapitalertragsteuer im nationalen und internationalen Konzernsteuerrecht, Ubg 2012, 505 ff.; Hennrichs/Kleindiek/Watrin (Hrsg.), Münchener Kommentar zum Bilanzrecht, 2013 (zitiert: Bearbeiter in MüKo Bilanzrecht, Fundstelle); Hermann/Heuer/Raupach, Einkommensteuer- und Körperschaftsteuergesetz, 274. EL (Stand: 5/2016) (zitiert: Bearbeiter, in: Hermann/Heuer/Raupach, EstG KStG, Fundstelle); Hey, Verletzung fundamentaler Besteuerungsprinzipien durch die Gegenfinanzierungsmaßnahmen des Unternehmensteuerreformgesetzes 2008, BB 2007, 1303 ff.; Hidien, § 8 Nr. 1 GewStG n.F. verstößt gegen die europäische Zins-/Lizenzgebühren-Richtlinie!, DStZ 2008, 131 ff.; Holenstein, Schweizerisches Bundesverwaltungsgericht: Gruppenersuchen der Niederlande nicht zulässig, PStR 2016, 190 ff.; Institut der Wirtschaftsprüfer, IDW RS HFA 11, WPg Supplement 3/2010, 57 ff.; Intveen, E-Invoicing, Verträge über Erstellung, Versand und Archivierung elektronischer Rechnungen, ITRB 2014, 138 ff.; Ismer, Die mehrwertsteuerliche Bemessungsgrundlage bei Glücksspielen, MwStR 2016, 99; Käbisch. Generalthema I: Grenzüberschreitendes Outsourcing – Zweifelsfragen, Strategien und Lösungen, iStR 2014, 674 ff.; Kajüter/Saucke/Hebestreit/Schellhorn, Weltweite Relevanz des IFRS for SMEs – Quo vadis Europäische Union, IRZ 2015, 15 ff.; Kehr, Datenschutzrechtliche Analyse des Auskunftsersuchens gemäß § 208 Abs. 1 S. 1 Nr. 3 AO, PStR 2015, 152 ff.; Keitz/Wenk/Jagosch, HGB-Bilanzierungspraxis nach BilMoG (Teil 1), DB 2011, 2445 ff.; Kessler, Qualifikation der Einkünfte aus dem Online- Vertrieb von Standard-Software nach
Backu/Bayer
929
F
Die steuerliche Behandlung von Software und IT-Dienstleistungen
nationalem und nach DBA-Recht, iStR 2000, 70 ff.; Kessler/Maywald/Peter, Mögliche Auswirkungen des Satelliten-Urteils auf die steuerliche Behandlung von grenzüberschreitenden Internet-Transaktionen, iStR 2000, 425 ff.; Kilian/Heussen, Computerrechts-Handbuch, 32. EL Stand 8/2013; Kirchhof/Söhn/Mellinghoff, Einkommensteuergesetz, 269. EL (Stand: 7/2016); Klein, Abgabenordnung, 13. Aufl. 2016; Köhler/ Goebel/Schmidt, Neufassung des § 50a EStG durch das JStG 2009 – Ende einer Dauerbaustelle?, DStR 2010, 8 ff.; Korn, Einkommensteuergesetz, 93. EL (Stand: 2/2016); Kraft (Hrsg.), Außensteuergesetz: AStG, 2009; Kraft/Gebhardt, Ist die Treaty Shopping Klausel des § 50d Abs. 3 EStG de lege ferenda abkommensund unionsrechtskompatibel?, DB 2012, 80 ff.; Kroppen (Hrsg.), Handbuch Internationale Verrechnungspreise, Band 1, 22. EL (Stand: 5/2016); Küting/Ellmann, Die Herstellungskosten von selbst geschaffenen immateriellen Vermögensgegenständen des Anlagevermögens, DStR 2010, 1300 ff.; Lappé/Schmidtke, Praxisrelevante Fragestellungen im Zusammenhang mit der Einführung des Country-by-Country Reportings, iStR 2015, 693 ff.; Leisner-Egensperger, Treaty Override bei Einschaltung ausländischer Gesellschaften, DStZ 2013, 744 ff.; Lejeune, Softwarevertrieb über Distributoren, UStB 2014, 234 ff.; Lenski/Steinberg, Gewerbesteuergesetz, 116. EL (Stand: 7/2016) (zitiert: Bearbeiter, in: Lenski/Steinberg, GewStG, Fundstelle); Löwe-Krahl, Internethandelsplattform gegenüber der Steuerfahndung auskunftspflichtig, PStR 2015, 319 ff.; Lüdenbach/Hoffmann, Die wichtigsten Änderungen der HGB-Rechnungslegung durch das BilMoG, Steuern und Bilanzen, StuB 2009, 287 ff.; Maßbaum/Müller, Aktuelle Entwicklungen im Bereich der Abzugsteuer nach § 50a EStG bei Lizenzzahlungen und Anordnung des Steuerabzugs, BB 2015, 3031 ff.; Melan/Wecke, Umsatzsteuerpflicht von „kostenlosen“ Internetdiensten und Smartphone-Apps, DStR 2015, 2267 ff.; Melan/Wecke, Einzelfragen der Umsatzsteuerpflicht „kostenloser“ Internetdienste und Smartphone-Apps, DStR 2015, 2811 ff.; Musil, § 50d Abs. 3 EStG – eine unendliche Geschichte?, FR 2012, 149 ff.; Niemann, Dokumentation der Geschäftsbeziehungen mit Auslandsbezug im Mittelstand, DStR 2004, 482 ff.; Oestreicher, Die (reformbedürftigen) Regelungen zur Ermittlung der Verrechnungspreise in Fällen der Funktionsverlagerung, Ubg 2009, 80 ff.; Oppel, Das BEPS-Projekt der OECD/G20 – Kerninhalte der Abschlussberichte und Auswirkungen auf das deutsche (internationale) Steuerrecht, SteuK 2016, 53 ff.; Pellens/Fülbier/Gassen/Sellhorn, Internationale Rechnungslegung, 9. Aufl. 2014; Petersen, Quellensteuer bei Überlassung von Standardsoftware, iStR 2013, 896 ff.; Pfadler, Aufbewahrung von digitalen Belegen, NWB Steuer- und Wirtschaftsrecht 2012, 322 ff.; Pfaff/Osterrieth, Lizenzverträge, 3. Aufl. 2010; Pinkernell, Der OECD-Diskussionsentwurf zu den steuerlichen Herausforderungen der „Digital Economy“ vom 24.3.2014, iStR 2014, 273 ff.; Pinkernell, Cloud Computing – Besteuerung des grenzüberschreitenden B2B- und B2C-Geschäfts, Ubg 2012, 331 ff.; Pinkernell, EuGH-Urteil im Fall UsedSoft gegen Oracle klärt steuerlichen Teilaspekt des grenzüberschreitenden Online-Softwarevertriebs, ISR 2012, 82 ff.; Reimer, Die Zukunft der Dienstleistungsbetriebsstätte, iStR 2009, 378 ff.; Reitsam/Seonbuchner, § 60 – Ordnungsmäßigkeit und Sicherheit von Datenverarbeitung, in: Conrad/Grützmacher, 977 ff.; Richter, Substanzerfordernisse für ausländische Holding- und Zweckgesellschaften – Insbesondere Analyse des § 50d Abs. 3 EStG i.d.F. des BeitrRLUmsG, BB 2012, 1643 ff.; Roderburg/Richter, Verlagerung der elektronischen Buchführung ins Ausland, iStR 2016, 456 ff.; Rogge, Cloud Computing und Steuerrecht, BB 2015, 1823 ff.; Rolfing, Unternehmer qua Indizwirkung? Darlegungs- und Beweislast bei geschäftsmäßigem Handeln in elektronischen Handelsplätzen, MMR 2006, 271 ff.; Ruiner, Zur steuerlichen Dokumentation von Verrechnungspreisen in mittelständischen Konzernen – Gesetzliche Anforderungen und beispielhafter Aufbau, DStR 2012, 1524 ff.; Rupp, Internationales Steuerrecht: Fallgruppen der Funktionsverlagerung und Ausnahmefälle, Haufe Steuer Office Kanzlei-Edition Online, HI3130332, 2012; Schaflitzl/Weidmann, Einschränkungen bei der Entlastung deutscher Abzugssteuern nach § 50d Abs 3 Satz 1 EStG – aktuelle Anwendungsfragen, Beihefter zu DStR 2013, 30 ff.; Schenke, Bestimmung der umsatzsteuerrechtlichen Bemessungsgrundlage von Online-Glücksspielen im Zuge des Kroatien-Steuerrechtsanpassungsgesetztes, UR, 2016, 253; Schlömer/Dittrich, eBay & Recht – Rechtsprechungsübersicht zum Jahr 2010, K&R 2011, 159 ff.; Schlotter, Konkurrenz von Steuerabzugstatbeständen in der beschränkten Steuerpflicht am Beispiel von Vergütungen für Fernsehübertragungsrechte an Sportveranstaltungen, FR 2010, 651 ff.; Schmidt, EStG, 35. Aufl. 2016; Schmidt (Hrsg.), Münchener Kommentar zum Handelsgesetzbuch, Band 4, 3. Aufl. 2013 (zitiert: Bearbeiter, in: MüKoHGB, Fundstelle); Schmidt, Sondervergütungen im Abkommensrecht, DStR 2013, 1704 ff.; Schneidenbach, Sammelauskunftsersuchen der Steuerfahndung zu Nutzerdaten einer Internethandelsplattform, SteuK 2013, 367 f.; Schoppe, Entwurf der Verwaltungsgrundsätze zur Betriebsstättengewinnaufteilung (VwG BsGa), iStR 2016, 615 ff.; Schwarz, Kommentar zur Abgabenordnung (AO), 166. EL (Stand: 9/2015); Sinewe/Frase, Steuerrechtliche Aspekte des Cloud Computing, BB 2011, 2198 ff.; Sölch/Ringleb, Umsatzsteuer, 77. EL (Stand 7/2016); Spatscheck/Stenert, Vertrauensschutz bei innergemeneinschaftlichen Lieferungen, DStR 2015, 104 ff.; Springer Gabler Verlag (Hrsg.), Bilanzierung von Software, Gabler’s Wirtschaftslexikon, abrufbar unter: http://wirtschaftslexikon.gabler.de/Archiv/124902/bi lanzierung-von-software-v9.html; Streit/Kaiser, BFH verengt Nachweismöglichkeiten: Zeugenbeweis nur noch ausnahmsweise zulässig, PStR 2015, 316 ff.; Strunk, Bilanzierung selbsterstellter Webseiten nach IAS, IWB 2002, 23 f.; Suermann, Bilanzierung von Software nach HGB, US-GAAP und IFRS, 2006; Tappe, Steuerliche Betriebsstätten in der „Cloud“, iStR 2011, 870 ff.; Thiel, Die steuerliche Behandlung von Fremdfinanzierungen im Unternehmen, FR 2007, 729 ff.; Valder, GoBD – Finanzverwaltung verschärft Prüfung von Verfahrensdokumentationen, PStR 2016, 69 ff.; Vogel/Lehner, Doppelbesteuerungsabkommen, 6. Aufl. 2015 (zitiert: Bearbeiter, in: Vogel/Lehner, DBA, Fundstelle); Vögele, Geistiges Eigentum –
930
Backu/Bayer
Einfhrung
Rz. 4
F
Intellectual Property, 2014; Vögele/Borstell/Engler, Verrechnungspreise, 4. Aufl. 2015 (zitiert: Bearbeiter, in: Vögele/Borstell/Engler Verrechnungspreise, Fundstelle); Vogt, Steuerpflicht bei sukzessivem Verkauf einer Sammlung auf eBay, ITRB 2015, 235 f.; Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl. 2014; Weigelt, ebay und Umsatzsteuer, UStB 2014, 234 ff.
I. Einführung Die zivilrechtliche Ausgestaltung von Vertragsbeziehungen kann erhebliche steuerliche 1 Konsequenzen nach sich ziehen. Umgekehrt können steuerliche Motivationen bedingen, bestimmte zivilrechtliche Gestaltungen zu wählen. Im Folgenden werden die Schnittstellen zwischen Steuerrecht und IT-Recht unter Berücksichtigung der hierzu vorliegenden Lit. und Rspr. beleuchtet. Nach einer allg. gehaltenen steuerlichen Einführung werden Software und IT-Leistungen mit Blick auf Steuern vom Einkommen und vom Ertrag (Einkommen-, Körperschaft- und Gewerbesteuer) sowie Verkehrssteuern (Umsatzsteuer) behandelt. Hierbei erfolgt eine Berücksichtigung nationaler und grenzüberschreitender Sachverhalte. 1. Einkommensteuer/Körperschaftsteuer/Gewerbesteuer 1.1 Einkommensteuer/Körperschaftsteuer Bei der Einkommensteuer werden verschiedene Einkunftsarten unterschieden, wobei v.a. die nachfolgend genannten im Bereich der Erbringung von IT-Dienstleistungen oder des Erwerbs von Software praktisch relevant sind:
2
– Einkünfte aus Gewerbebetrieb (§§ 15–17 EStG) – Einkünfte aus selbständiger Arbeit (§ 18 EStG) – Einkünfte aus nichtselbständiger Arbeit (§ 19 EStG)1 – Einkünfte aus Vermietung und Verpachtung (§ 21 EStG). Innerhalb der Einkunftsarten wird zwischen den Gewinneinkunftsarten und den Über- 3 schusseinkunftsarten differenziert. Bei den Gewinneinkunftsarten (§ 2 Abs. 2 Satz 1 Nr. 1 EStG) ist der Gewinn maßgeblich für die Bestimmung der steuerpflichtigen Einkünfte, während bei den Überschusseinkunftsarten (§ 2 Abs. 2 Satz 1 Nr. 2 EStG) der Überschuss der Einnahmen über die Werbungskosten relevant ist. Zu den Gewinneinkunftsarten gehören die Einkünfte aus Gewerbebetrieb und aus selbständiger Arbeit, während zu den Überschusseinkunftsarten die Einkünfte aus nichtselbständiger Arbeit und aus Vermietung und Verpachtung gehören. Der Gewinn ermittelt sich bei den Gewinneinkünften aus einem Betriebsvermögensvergleich (§§ 4 Abs. 1, 5 Abs. 1 EStG), falls der Steuerpflichtige aufgrund von handels- und/oder steuerrechtlichen Pflichten zur Buchführung verpflichtet ist2 oder er freiwillig Bücher führt.
1 Diese Einkünfte werden nachfolgend nicht behandelt. 2 Die Verpflichtung, Bücher zu führen, kann sich aus dem Steuerrecht (§ 141 AO) oder aus dem Handelsrecht (§ 140 AO i.V.m. §§ 238 ff. HGB) ergeben: Gemäß § 141 AO sind gewerblich Tätige (d.h. keine selbständig Tätigen i.S.v. § 18 EStG) z.B. dann verpflichtet, Bücher zu führen, wenn sie im Kalenderjahr Umsätze von mehr als 600.000 Euro erzielen oder einen Gewinn aus Gewerbebetrieb von mehr als 60.000 Euro. Aufgrund von § 140 AO i.V.m. §§ 238 ff. HGB sind Kaufleute (d.h. Einzelkaufleute sowie Personen- und Kapitalgesellschaften, nicht aber selbständig Tätige) zur Führung von Büchern verpflichtet, außer bei Einzelkaufleuten mit einem Umsatzerlös von nicht mehr als 600.000 Euro und einem Jahresüberschuss von weniger als 60.000 Euro in zwei aufeinanderfolgenden Geschäftsjahren. Diese Ausnahme aufgrund des Handelsrechts gilt jedoch nur für Einzelkaufleute und nicht für Personenhandelsoder Kapitalgesellschaften. Weitergehend zu den Buchführungspflichten z.B. Rätke, in: Klein, AO, § 140 m.w.N. S.a. Rz. 289 ff.
Backu/Bayer
931
4
F Rz. 5
Die steuerliche Behandlung von Software und IT-Dienstleistungen
Im Ergebnis bedeutet dies, dass die Gewinnermittlung auf Basis der Handels- oder Steuerbilanz erfolgt. Besteht hingegen keine solche Verpflichtung zur Buchführung und werden auch nicht freiwillig Bücher geführt, dann wird der Gewinn gemäß § 4 Abs. 3 EStG anhand des Überschusses der Betriebseinnahmen über die Betriebsausgaben ermittelt.3 In der Praxis erfolgt häufig bei freiberuflich Tätigen die Ermittlung des Gewinns anhand des Überschusses der Betriebseinnahmen über die Betriebsausgaben. Bei dieser sog. 4-III-Rechnung wird eine Ist-Rechnung vorgenommen, sodass grds. Beträge nur dann i.R.d. Gewinnermittlung berücksichtigt werden, wenn diese i.R.d. jeweiligen Wirtschaftsjahres auf dem Konto gebucht worden sind. 5 Bei den Überschusseinkünften bestimmen sich die steuerpflichtigen Einkünfte aus dem Überschuss der zugeflossenen Einnahmen über die verauslagten Werbungskosten. Es wird somit ähnlich wie bei der 4-III-Rechnung eine Ist-Rechnung vorgenommen. 6 Kapitalgesellschaften (z.B. AG, GmbH) erzielen stets gewerbliche Einkünfte (§ 8 Abs. 2 KStG i.V.m. § 8 Abs. 1 KStG). Im Gegensatz dazu können natürliche Personen und Personengesellschaften (GbR, oHG, KG, GmbH & Co. KG) verschiedene Einkünfte erzielen, z.B. Einkünfte aus Gewerbebetrieb, aus selbständiger Tätigkeit oder aus Vermietung und Verpachtung. Von besonderer Bedeutung ist dabei die Abgrenzung zwischen gewerblichen Einkünften und solchen aus selbständiger Tätigkeit. Denn der Gewerbesteuer unterliegen ausschließlich Einkünfte aus gewerblicher Tätigkeit, nicht aber aus selbständiger Tätigkeit. 7 Einkünfte aus selbständiger Tätigkeit4 werden u.a. erzielt bei der Entwicklung von Systemsoftware, der Entwicklung von Anwendersoftware (keine Trivialsoftware),5 der IT-Systemadministration6 und der IT-Projektbetreuung.7 Nicht als selbständige Tätigkeit zu qualifizieren ist jedoch die auf Absatzförderung gerichtete EDV-Beratung.8 8 Zu beachten ist, dass im Falle der Erbringung von nur geringfügigen gewerblichen Tätigkeiten durch die gleiche Personengesellschaft die sog. Abfärberegelung (§ 15 Abs. 3 Nr. 1 EStG) Anwendung findet: D.h. sämtliche Einkünfte und damit auch diejenigen aus selbständiger Tätigkeit gelten als Einkünfte aus gewerblicher Tätigkeit und unterliegen dadurch der Ge-
3 I.R.d. Jahressteuererklärung ist dann eine gesonderte Erklärung über die Einnahmenüberschussrechnung (EÜR) einzureichen. 4 Die selbständige Tätigkeit kann u.a. in Form einer freiberuflichen Tätigkeit (§ 18 Abs. 1 Nr. 1 EStG) oder einer sonstigen selbständigen Tätigkeit (§ 18 Abs. 1 Nr. 3 EStG) erbracht werden. Die Ausübung einer selbständigen Tätigkeit unterscheidet sich vom gewerblichen Betrieb dadurch, dass der Einsatz von Kapital gegenüber der geistigen Arbeit und der eigenen Arbeitskraft in den Hintergrund tritt (BFH v. 31.5.2001 – IV R 49/00, BStBl. II 2001, 828). Erforderlich ist die Erbringung der persönlichen Arbeitsleistung des Berufsträgers anstatt der Erbringung einer Betriebsleistung, die bei Gewerbebetrieben ausreichend ist. Als weiteres Abgrenzungsmerkmal ist erforderlich, dass die Tätigkeit bzw. der Beruf in § 18 EStG ausdrücklich aufgeführt oder den genannten Tätigkeiten ähnlich ist (Wacker, in: Schmidt, EStG, § 18 Rz. 6 m.w.N.). 5 OFD Hannover v. 28.9.2004 – G 1400 - 373 - StO 231/G 1400 - 1836 - StH 241, DStR 2005, 68 f.: Voraussetzung für eine freiberufliche Tätigkeit sei die Entwicklung qualifizierter Software durch eine klassische ingenieurmäßige Vorgehensweise (Planung, Konstruktion, Überwachung) sowie eine Ausbildung, die der eines Ingenieurs zumindest vergleichbar sei. 6 BFH v. 22.9.2009 – VIII R 31/07, BStBl. II 2010, 500 für einen als Systemadministrator tätigen Diplom-Ingenieur. 7 BFH v. 22.9.2009 – VIII R 63/06, BStBl. II 2010, 466; v. 22.9.2009 – VIII R 79/06, BStBl. II 2010, 404. 8 BFH v. 18.4.2007 – XI R 57/05, BFH/NV 2007, 1854.
932
Backu/Bayer
Einfhrung
Rz. 12
F
werbesteuer, außer es werden von der Rspr. festgelegte Bagatellgrenzen nicht überschritten.9 Die Abfärberegelung gilt jedoch nicht bei natürlichen Personen. Übt ein Einzelfreiberufler eine gemischte Tätigkeit aus, so sind freiberufliche und gewerbliche Einkünfte grds. getrennt zu ermitteln, sofern dies nach der Verkehrsauffassung möglich ist.10 Eine solche Trennung scheidet aus, falls Software implementiert und mit zugekaufter Hardware vertrieben wird.11 Ist bspw. ein Arzt in einer Einzelpraxis tätig und entwickelt/vertreibt er Software (ohne dass 9 er sich hierfür mit anderen Personen zusammengeschlossen hat oder z.B. die Gründung einer GmbH erfolgte), so können beide Tätigkeiten voneinander getrennt werden. Vertreibt hingegen ein Arzt, der zusammen mit anderen Ärzten eine Praxis in Form einer GbR betreibt, medizinische Produkte, dann besteht abhängig von den mit dem Vertrieb der medizinischen Produkte erwirtschafteten Umsätzen das Risiko, dass die GbR insgesamt gewerbliche Einkünfte erzielt.12 1.2 Gewerbesteuer Der Gewerbesteuer unterliegt jeder stehende Gewerbebetrieb, soweit er im Inland betrieben 10 wird (§ 2 Abs. 1 Satz 1 GewStG). Damit können natürliche Personen, die ein Gewerbe ausüben, ebenso gewerbesteuerpflichtig sein wie Personengesellschaften und Körperschaften. Ferner wird ein Gewerbebetrieb im Inland betrieben, soweit für ihn im Inland eine Betriebsstätte unterhalten wird (§ 2 Abs. 1 Satz 3 GewStG). Den Ausgangspunkt für die Ermittlung des Gewerbeertrags bildet der Gewinn aus Gewerbe- 11 betrieb (§ 7 Abs. 1 GewStG), der grds. nach den Vorschriften des EStG und des KStG ermittelt wird. I.R.d. Ermittlung des Gewerbeertrags werden zum Gewinn aus Gewerbebetrieb aber bestimmte Beträge hinzugerechnet (§ 8 GewStG) bzw. der Gewinn um bestimmte Beträge gekürzt (§ 9 GewStG). Die Höhe der Gewerbesteuer hängt dabei maßgeblich von dem jeweils geltenden Gewerbesteuerhebesatz ab. Dieser kann erheblich differieren; während der Hebesatz in Grünwald bei München z.B. im Jahr 2016 bei 240 lag, wies Oberhausen einen Hebesatz von 550 auf. Im Zshg. mit der Überlassung von Lizenzen ist besonders die Hinzurechnung nach § 8 Nr. 1 12 lit. f GewStG bedeutsam: § 8 Nr. 1 lit. f Satz 1 GewStG legt fest, dass dem Gewinn die Aufwendungen für die zeitlich befristete Überlassung von geschützten Rechten,13 insb. von Lizenzen, hinzuzurechnen sind, soweit sie bei der Ermittlung des Gewinns abgezogen worden sind. Allerdings gilt für jeden selbständigen Gewerbebetrieb und für die Summe sämtlicher
9 Nur dann, wenn die gewerblichen Einkünfte einen sehr geringfügigen Anteil aufweisen, erfolgt keine Umqualifizierung der Einkünfte aus selbständiger Tätigkeit in gewerbliche Einkünfte. Zuletzt wurde entschieden, dass die Personengesellschaft dann nicht insgesamt gewerbliche Einkünfte erzielt, wenn die Nettoumsatzerlöse aus gewerblicher Tätigkeit 3 % der Gesamtumsatzerlöse der Gesellschaft UND einen Betrag von 24.500 Euro im jeweiligen Veranlagungszeitraum nicht übersteigen (BFH v. 27.8.2014 – VIII R 6/12, DStR 2015, 345 ff.; v. 27.8.2014 – VIII R 16/11, DStRE 2015, 397 ff.; v. 27.8.2014 – VIII R 41/11, DStRE 2015, 400 ff.). Wird eine der beiden vorgenannten Voraussetzungen nicht eingehalten, so liegen insgesamt gewerbliche Einkünfte vor. Damit wurde zwar die Rechtssicherheit für die Steuerpflichtigen erhöht. Allerdings gilt die Grenze von 24.500 Euro absolut, was sich bei hohen Gesamtumsatzerlösen der jeweiligen Personengesellschaft negativ auswirken kann, s.a. Backu/Bayer, ITRB 2016, 59 (60). 10 BFH v. 25.7.2000 – XI B 41/00, BFH/NV 2001, 204. 11 BFH v. 24.4.1997 – IV R 60/95, BStBl. II 1997, 567; v. 18.4.2007 – XI R 57/05, BFH/NV 2007, 1854. 12 Zu der Abfärberegelung und den einzuhaltenden Bagatellgrenzen für eine Vermeidung der Umqualifizierung der selbständigen Einkünfte in gewerbliche Einkünfte s. Rz. 8. 13 Näher zum Begriff z.B. Hofmeister, in: Blümich, EStG, KStG, GewStG, § 8 GewStG Rz. 270 ff. (Stand: 6/2014).
Backu/Bayer
933
F Rz. 13
Die steuerliche Behandlung von Software und IT-Dienstleistungen
Hinzurechnungen nach § 8 Nr. 1 GewStG ein Freibetrag von 100.000 Euro. Bei dem Freibetrag sind demnach nicht nur Lizenzzahlungen, sondern sämtliche anderen gewerbesteuerlichen Hinzurechnungen, wie Miet- und Pachtzinsen, zu berücksichtigen. Erst nach Abzug des Freibetrags hat die jeweilige Hinzurechnung zu erfolgen; bei Lizenzen werden im Ergebnis 6,25 % der Aufwendungen für die zeitlich befristete Überlassung von Rechten bei der Ermittlung des gewerbesteuerlichen Gewinns wieder hinzugerechnet. 13
Die Hinzurechnung ist unabhängig davon, ob die Zahlungen für die befristete Überlassung beim Empfänger der Gewerbesteuer unterliegen oder nicht.14 Die Hinzurechnung verstößt nicht gegen das Unionsrecht15 und insb. auch nicht gegen die Zins- und Lizenzrichtlinie. Diskutiert wird jedoch, ob die Hinzurechnung mit dem Grundgesetz vereinbar ist.16 Hinzuzurechnen sind alle Aufwendungen, die in Bezug auf die zeitlich befristete Überlassung des Rechts entstehen.
14
Ausgenommen von der Hinzurechnung sind nur solche Lizenzen, die ausschließlich dazu berechtigen, daraus abgeleitete Rechte an Dritte zu überlassen (sog. Vertriebslizenzen).17 Sofern für dasselbe Recht sowohl eine eigene Nutzung als auch eine Überlassung zulässig ist, scheidet nach umstrittener Auffassung eine Aufteilung des Entgelts und damit eine teilweise Begünstigung aus.18 Dies gilt gleichfalls bei der Verbindung von Vertriebs- und Herstellungslizenzen. Damit die Vergünstigung in Anspruch genommen werden kann, empfiehlt es sich, für jede Überlassungsart eigenständige Verträge abzuschließen. Erfolgt im Rahmen eines gemischten Lizenzvertrags die Überlassung verschiedener Rechte, bei denen einige auf eine eigene Nutzung und andere auf eine Überlassung gerichtet sind, so ist ein einheitliches Entgelt aufzuteilen; soweit sich das Entgelt auf Vertriebslizenzen bezieht, ist keine Hinzurechnung vorzunehmen.19
14 Hierdurch können sich im Einzelfall Mehrfachbelastungen mit der Gewerbesteuer ergeben. 15 EuGH v. 21.7.2011 – C-397/09, Slg. 2011, I-6455, Rz. 30 ff. – Scheuten Solar Technology: zustimmend z.B. Hofmeister, in: Blümich, EStG, KStG, GewStG, § 8 GewStG Rz. 31 (Stand: 6/2014) m.w.N.; a.A. z.B. Hidien, DStZ 2008, 131 (133). 16 Der BFH hat entschieden, dass die Hinzurechnung mit dem Grundgesetz vereinbar ist (BFH v. 16.10.2012 – I B 128/12, BStBl. II 2013, 30; die gegen den Beschluss eingelegte Verfassungsbeschwerde wurde durch das BVerfG nicht zur Entscheidung angenommen, BVerfG v. 6.5.2013 – 1 BvR 821/13, BFH/NV 2013, 1212 L; BFH v. 16.10.2012 – I B 125/12, BFH/NV 2013, 249; kritisch zur Verfassungsmäßigkeit z.B. Güroff, in: Glanegger/Güroff, GewStG, § 8 Nr. 1 lit. f GewStG Rz. 2; Keß, in: Lenski/ Steinberg, GewStG, § 8 Nr. 1 lit. f GewStG Rz. 5 (Stand: 7/2013); Hey, BB 2007, 1303 (1307); Derlien/ Wittkowski, DB 2008, 835 (842). Eine Vorlage des FG Hamburg an das BVerfG (Az. 1 BvL 8/12, die nunmehr als unzulässig zurückgewiesen worden ist [BVerfG, 15.2.2016, NWB 2016, 1260]) bezog sich nicht auf Hinzurechnungen nach § 8 Nr. 1 lit. f GewStG, sondern lediglich auf Hinzurechnungen nach § 8 Nr. 1 lit. a, d und e GewStG, a.a.O. Rz. 42. 17 Auch bei sog. Vertriebslizenzen ist deshalb auf der letzten Stufe der Überlassungskette eine Zurechnung vorzunehmen, da in diesem Fall keine Weiterüberlassung an Dritte mehr stattfindet (Gleichlautender Erlass betr. Anwendungsfragen zur Hinzurechnung von Finanzierungsanteilen nach § 8 Nr. 1 GewStG i.d.F.d. Unternehmensteuerreformgesetzes 2008 v. 14.8.2007, Erlass v. 2.7.2012, BStBl. I 2012, S. 654 [Rz. 40]). I.Ü. ist darauf hinzuweisen, dass die zur Weiterüberlassung vorgesehenen Rechte ihrerseits nur zur Weiterüberlassung verwendet werden dürfen und keine Bearbeitung stattfinden darf (Gleichlautender Erlass betr. Anwendungsfragen zur Hinzurechnung von Finanzierungsanteilen nach § 8 Nr. 1 GewStG. 18 So z.B. Schnitter, in: Frotscher/Drüen, KStG, GewStG, UmwStG, § 8 GewStG Rz. 282 (Stand: 28.7.2014); Keß, in: Lenski/Steinberg, GewStG, § 8 Nr. 1 lit. f GewStG Rz. 11 (Stand: 7/2013); a.A. Franke/Gageur, BB 2008, 1704 (1709). 19 Nicht der gewerbesteuerlichen Hinzurechnung unterliegen z.B. Lizenzaufwendungen für die Überlassung von ungeschütztem Know-how oder eines Kundenstamms. Werden im Rahmen eines Globallizenzvertrags geschützte und ungeschützte Rechte überlassen, so ist eine Aufteilung vorzunehmen, Baumhoff/Liebchen, iStR 2014, 711 (713) m.w.N.
934
Backu/Bayer
Einfhrung
Rz. 19
F
Eine Hinzurechnung hat regelmäßig dann stattzufinden, wenn mit der zeitlichen Überlas- 15 sung ein Recht auf Nutzung eingeräumt wird und seitens des Überlassenden eine geschützte Position an diesem Recht (z.B. Urheberrecht) besteht. Eine Hinzurechnung scheidet deshalb aus, sofern – die Nutzungsvereinbarung als Übergang des wirtschaftlichen Eigentums anzusehen ist (es liegt dann ein Ratenkauf vor)20 oder – das Recht dem Berechtigten endgültig verbleibt und z.B. ein Rückfall kraft Gesetzes oder kraft Vertrags nicht in Betracht kommt.21 Übertragen auf die Überlassung von Software bedeutet dies:
16
– Werden in Bezug auf Software Nutzungsrechte gegen eine Einmalvergütung erworben, dann handelt es sich gewerbesteuerrechtlich aufgrund des Übergangs des wirtschaftlichen Eigentums um eine zeitlich unbefristete Überlassung, sodass eine Hinzurechnung ausscheidet.22 – Dies soll auch für Trivialprogramme und die jeweiligen Software-Upgrades gelten.23 – Wird hingegen Software zeitlich befristet überlassen, so ist davon auszugehen, dass gewerbesteuerlich hinzuzurechnen ist.24 – Vorstehendes dürfte auch für die Softwareüberlassung im Rahmen eines Dienst- oder Werkvertrags gelten. 2. Umsatzsteuer Die Einkommen-, die Körperschaft- und die Gewerbesteuer knüpfen an das Einkommen des 17 jeweiligen Steuerpflichtigen an. Im Gegensatz dazu sind Transaktionen mit Gütern oder Dienstleistungen umsatzsteuerpflichtig, sofern die konkrete Transaktion von einem Tatbestand des Umsatzsteuergesetzes erfasst wird. Vom UStG erfasst werden insb. die von einem Unternehmer im Rahmen seines Unternehmens in Deutschland gegen Entgelt ausgeführten Lieferungen und sonstigen Leistungen (§ 1 Abs. 1 Nr. 1 UStG).25 Auf die einzelnen Merkmale des UStG wird unten (s. Rz. 84 ff.) im Zshg. mit IT-spezifischen 18 Aspekten eingegangen. 3. Internationale Fragestellungen Bei der Erbringung von IT-Dienstleistungen oder des Erwerbs/der Veräußerung von Software stellen sich oftmals auch Fragen in grenzüberschreitender Hinsicht. So kann z.B. ein im Ausland ansässiges Softwareunternehmen Dienstleistungen im Inland erbringen. Ferner ist es etwa möglich, dass ein in Deutschland ansässiges Unternehmen IT-Produkte durch eine im Ausland belegene Niederlassung verkauft.
20 Gleichlautender Erlass betr. Anwendungsfragen zur Hinzurechnung von Finanzierungsanteilen nach § 8 Nr. 1 GewStG in der Fassung des Unternehmensteuerreformgesetzes 2008 v. 14.8.2007, Erlass v. 2.7.2012, BStBl. I 2012, S. 654 (Rz. 8): Soweit für den Kaufpreis aber eine Verbindlichkeit zu passivieren ist, ist der in der Rate enthaltene Zinsanteil nach § 8 Nr. 1 lit. a GewStG hinzuzurechnen. 21 BFH v. 7.12.1977 – I R 54/75, BStBl. II 1978, 355. 22 So z.B. auch Schnitter, in: Frotscher/Drüen, KStG, GewStG, UmwStG, § 8 GewStG Rz. 277 (Stand: 28.7.2014). 23 Schnitter, in: Frotscher/Drüen, KStG, GewStG, UmwStG, § 8 GewStG Rz. 277 (Stand: 28.7.2014). 24 Maßgeblich ist stets die konkrete vertragliche Gestaltung, so z.B. Mohr, in: Bergemann/Wingler (Hrsg.), Gewerbesteuer: GewStG, § 8 Nr. 1 lit. f GewStG Rz. 397. 25 Daneben unterliegen z.B. die Einfuhr von Gegenständen im Inland (§ 1 Abs. 1 Nr. 4 UStG) und der innergemeinschaftliche Erwerb im Inland gegen Entgelt (§ 1 Abs. 1 Nr. 5 UStG) der Umsatzsteuer.
Backu/Bayer
935
19
F Rz. 20
Die steuerliche Behandlung von Software und IT-Dienstleistungen
20
Zu unterscheiden ist stets zwischen der unbeschränkten und der beschränkten Steuerpflicht. Unbeschränkt steuerpflichtig sind gemäß § 1 Abs. 1 Satz 1 EStG alle natürlichen Personen mit Wohnsitz oder gewöhnlichem Aufenthalt in Deutschland. Gleichfalls unbeschränkt steuerpflichtig sind Körperschaften, Personenvereinigungen und Vermögensmassen, die ihre Geschäftsleitung oder ihren Sitz im Inland haben (§ 1 Abs. 1 KStG). Die unbeschränkte Steuerpflicht erfasst grds. auch Einkünfte des jeweiligen Steuerpflichtigen, die dieser aus Tätigkeiten im Ausland erzielt.
21
Da eine natürliche Person ihren Wohnsitz/gewöhnlichen Aufenthalt in verschiedenen Staaten haben kann und z.T. die Steuerpflicht auch an die Staatsangehörigkeit anknüpft, kann sich im Falle einer Auslandsberührung das Problem der Doppelbesteuerung ergeben. Dies gilt auch bei juristischen Personen, bei denen sich der satzungsmäßige Sitz und der Ort der Geschäftsleitung in unterschiedlichen Staaten befinden können. Um auszuschließen, dass in breitem Umfang eine Doppelbesteuerung stattfindet, sind Maßnahmen zur Vermeidung einer Doppelbesteuerung notwendig. Zur Erreichung dieses Ziels wurden einerseits zwischen Deutschland und einer Vielzahl von Staaten Doppelbesteuerungsabkommen (DBA) abgeschlossen.
22
Andererseits enthält auch das innerstaatliche Steuerrecht verschiedene Möglichkeiten zur Vermeidung einer Doppelbesteuerung. Bei den innerstaatlichen Maßnahmen handelt es sich um den Abzug der ausländischen Steuer bei der Ermittlung der Einkünfte, sog. Abzugsmethode (§ 34c Abs. 2 und Abs. 3 EStG, § 26 Abs. 1 Satz 1 KStG i.V.m. § 34c Abs. 2 und Abs. 3 EStG) und um die Pauschalierung oder den Erlass der Steuer auf ausländische Einkünfte (§ 34c Abs. 5 EStG). In den DBA wird – sofern auf die drohende Doppelbesteuerung das jeweilige DBA anwendbar ist – eine Doppelbesteuerung mit Hilfe der Freistellungsmethode (d.h. Freistellung der im ausländischen Staat erzielten Einkünfte in Deutschland mit Progressionsvorbehalt) oder mit Hilfe der Anrechnungsmethode (d.h. Anrechnung der im ausländischen Staat bezahlten Steuer auf die deutsche Steuer)26 vermieden. Da aber durch die DBA nicht jede Konstellation erfasst wird, können selbst bei Vorhandensein eines DBA nicht sämtliche Risiken einer Doppelbesteuerung ausgeschlossen werden.
23
Die Gefahr der Doppelbesteuerung ist insb. bei Betriebsstätten gegeben, die im deutschen Steuerrecht und in DBA – auch aufgrund unterschiedlicher Zielsetzungen27 – unterschiedlich definiert werden. Es ist im Einzelnen strittig, wann eine Betriebsstätte vorliegt. Grds. stellt jede feste Geschäftseinrichtung oder Anlage, die der Tätigkeit eines Unternehmens dient, eine Betriebsstätte (§ 12 AO) dar. Betriebsstätten sind insb. die Stätte der Geschäftsleitung, Geschäftsstellen, Fabrikations- oder Werkstätten, Warenlager sowie Ein- oder Verkaufsstellen.
24
Oftmals kann eine Betriebsstätte dadurch zu einer Doppelbesteuerung führen, dass in einem Staat eine unbeschränkte Steuerpflicht besteht und dabei auch die Einkünfte aus der Betriebsstätte bei der Ermittlung der steuerpflichtigen Einkünfte erfasst werden; in dem Staat, in dem die Betriebsstätte gelegen ist, unterliegen die durch diese erzielten Einkünfte aber einer sog. beschränkten Steuerpflicht.
25
Beschränkte Steuerpflicht besteht, wenn eine natürliche Person im Inland weder einen Wohnsitz noch ihren gewöhnlichen Aufenthalt hat, keine vorrangige anderweitige Vorschrift eingreift und die jeweilige Person Einkünfte i.S.d. § 49 EStG hat (§ 1 Abs. 4 EStG). Dies gilt entsprechend für juristische Personen ohne Sitz oder Geschäftsleitung im Inland (§ 2 KStG).
26 In Deutschland auch enthalten in § 34c Abs. 1 EStG und in § 26 Abs. 1 KStG. 27 In DBA wird mit Hilfe der Definition der Betriebsstätte einem Staat das Besteuerungsrecht für die durch die Betriebsstätte erzielten Gewinne zugewiesen. Der im deutschen Steuerrecht verwendete Betriebsstättenbegriff dient u.a. dazu, eine Aufteilung der Gewinne zwischen den Betriebsstätten zu ermöglichen.
936
Backu/Bayer
Bewertung und Bilanzierung von Software
Rz. 29
F
Verfügt die natürliche oder juristische Person über Einkünfte i.S.d. § 49 EStG, so unterliegt sie nur mit diesen Einkünften der inländischen Steuerpflicht, sofern z.B. nicht in DBA eine andere Regelung getroffen wird. Wichtige in § 49 Abs. 1 EStG genannte Tatbestände, die eine beschränkte Steuerpflicht begründen, sind z.B. Einkünfte aus Gewerbebetrieb, soweit im Inland eine Betriebsstätte unterhalten wird oder ein ständiger Vertreter bestellt ist (§ 49 Abs. 1 Nr. 2 lit. a EStG), Einkünfte aus Gewerbebetrieb, sofern Rechte gewerbsmäßig an unbeschränkt steuerpflichtige Personen veräußert werden, ohne dass eine Betriebsstätte existiert oder ein Vertreter bestellt ist (§ 49 Abs. 1 Nr. 2 lit. f EStG), Einkünfte aus selbständiger Tätigkeit, die im Inland ausgeübt oder verwertet wird oder worden ist (§ 49 Abs. 1 Nr. 3 EStG), Einkünfte aus nichtselbständiger Tätigkeit, die im Inland ausgeübt oder verwertet wird oder worden ist (§ 49 Abs. 1 Nr. 4 lit. a EStG), Einkünfte aus Vermietung und Verpachtung, z.B. von im Inland belegenen Sachinbegriffen oder Rechten, die nicht zu den Einkünften i.S.d. § 49 Abs. 1 Nr.1-5 EStG gehören (§ 49 Abs. 1 Nr. 6 EStG) sowie sonstige Einkünfte i.S.d. § 22 Nr. 3 EStG, auch wenn sie bei Anwendung dieser Vorschrift einer anderen Einkunftsart zuzurechnen wären, soweit es sich um Einkünfte aus inländischen unterhaltenden Darbietungen, aus der Nutzung beweglicher Sachen im Inland oder aus der Überlassung der Nutzung oder des Rechts auf Nutzung von gewerblichen/technischen/wissenschaftlichen/ähnlichen Erfahrungen, Kenntnissen und Fertigkeiten (§ 49 Abs. 1 Nr. 9 EStG) handelt (näher zu § 49 EStG s. Rz. 134 ff.). Die beschränkte Steuerpflicht wird entweder in gesetzlich festgelegten Fällen im Wege des Steuerabzugs erhoben oder – falls kein Steuerabzug im Gesetz vorgesehen ist – im Wege der Veranlagung.28 Darüber hinaus droht die Gefahr einer Doppelbesteuerung auch im Falle der Nichtanerkennung der Preisbildung zwischen nahestehenden Personen (insb. verbundenen Unternehmen); die zutreffende Festlegung von Preisen zwischen nahestehenden Personen wird unter dem Stichwort „Verrechnungspreise“ diskutiert (s. Rz. 216 ff.).
26
II. Bewertung und Bilanzierung von Software Im Folgenden wird die Bilanzierung nach deutschen Vorschriften,29 dem HGB und dem EStG, behandelt sowie nach dem internationalen Standard IFRS (International Financial Reporting Standards) und den US-Standards GAAP (Generally Accepted Accounting Principles).
27
1. Bilanzierung nach HGB/EStG 1.1 Grundlegende Prinzipien, insb. Vorliegen eines Vermögensgegenstands/Wirtschaftsguts Die verschiedenen Arten, Software zu erwerben (z.B. Anschaffung der Software in Form eines dauerhaften oder nur befristeten Nutzungsrechts (s. Q Rz. 615 ff.) oder Erstellung der Software durch das jeweilige Unternehmen führen dazu, dass Software etc. auch in der Bilanzierung30 unterschiedlich zu behandeln sein kann.
28
Zwar ist grds. aufgrund des sog. Maßgeblichkeitsprinzips (§ 5 Abs. 1 Satz 1 EStG) die Han- 29 delsbilanz für die Steuerbilanz maßgebend, d.h. die handelsbilanziellen Werte sind auch für die Steuerbilanz zugrunde zu legen. Von diesem Prinzip bestehen aber bei selbst erstellten
28 Daneben besteht unter den Voraussetzungen des § 1 Abs. 3 EStG die Möglichkeit, auf Antrag als unbeschränkt einkommensteuerpflichtig behandelt zu werden. Ferner ist unter den Voraussetzungen des § 1 Abs. 3 i.V.m. § 1a Abs. 1 EStG eine fiktive unbeschränkte Steuerpflicht gegeben und gemäß § 2 AStG eine sog. erweitert beschränkte Steuerpflicht. 29 Zur E-Bilanz s. Backu/Bayer, ITRB 2013, 35 f. 30 Zur allgemeinen Bilanzierungspflicht von Gewerbetreibenden s. Rz. 4.
Backu/Bayer
937
Bewertung und Bilanzierung von Software
Rz. 29
F
Verfügt die natürliche oder juristische Person über Einkünfte i.S.d. § 49 EStG, so unterliegt sie nur mit diesen Einkünften der inländischen Steuerpflicht, sofern z.B. nicht in DBA eine andere Regelung getroffen wird. Wichtige in § 49 Abs. 1 EStG genannte Tatbestände, die eine beschränkte Steuerpflicht begründen, sind z.B. Einkünfte aus Gewerbebetrieb, soweit im Inland eine Betriebsstätte unterhalten wird oder ein ständiger Vertreter bestellt ist (§ 49 Abs. 1 Nr. 2 lit. a EStG), Einkünfte aus Gewerbebetrieb, sofern Rechte gewerbsmäßig an unbeschränkt steuerpflichtige Personen veräußert werden, ohne dass eine Betriebsstätte existiert oder ein Vertreter bestellt ist (§ 49 Abs. 1 Nr. 2 lit. f EStG), Einkünfte aus selbständiger Tätigkeit, die im Inland ausgeübt oder verwertet wird oder worden ist (§ 49 Abs. 1 Nr. 3 EStG), Einkünfte aus nichtselbständiger Tätigkeit, die im Inland ausgeübt oder verwertet wird oder worden ist (§ 49 Abs. 1 Nr. 4 lit. a EStG), Einkünfte aus Vermietung und Verpachtung, z.B. von im Inland belegenen Sachinbegriffen oder Rechten, die nicht zu den Einkünften i.S.d. § 49 Abs. 1 Nr.1-5 EStG gehören (§ 49 Abs. 1 Nr. 6 EStG) sowie sonstige Einkünfte i.S.d. § 22 Nr. 3 EStG, auch wenn sie bei Anwendung dieser Vorschrift einer anderen Einkunftsart zuzurechnen wären, soweit es sich um Einkünfte aus inländischen unterhaltenden Darbietungen, aus der Nutzung beweglicher Sachen im Inland oder aus der Überlassung der Nutzung oder des Rechts auf Nutzung von gewerblichen/technischen/wissenschaftlichen/ähnlichen Erfahrungen, Kenntnissen und Fertigkeiten (§ 49 Abs. 1 Nr. 9 EStG) handelt (näher zu § 49 EStG s. Rz. 134 ff.). Die beschränkte Steuerpflicht wird entweder in gesetzlich festgelegten Fällen im Wege des Steuerabzugs erhoben oder – falls kein Steuerabzug im Gesetz vorgesehen ist – im Wege der Veranlagung.28 Darüber hinaus droht die Gefahr einer Doppelbesteuerung auch im Falle der Nichtanerkennung der Preisbildung zwischen nahestehenden Personen (insb. verbundenen Unternehmen); die zutreffende Festlegung von Preisen zwischen nahestehenden Personen wird unter dem Stichwort „Verrechnungspreise“ diskutiert (s. Rz. 216 ff.).
26
II. Bewertung und Bilanzierung von Software Im Folgenden wird die Bilanzierung nach deutschen Vorschriften,29 dem HGB und dem EStG, behandelt sowie nach dem internationalen Standard IFRS (International Financial Reporting Standards) und den US-Standards GAAP (Generally Accepted Accounting Principles).
27
1. Bilanzierung nach HGB/EStG 1.1 Grundlegende Prinzipien, insb. Vorliegen eines Vermögensgegenstands/Wirtschaftsguts Die verschiedenen Arten, Software zu erwerben (z.B. Anschaffung der Software in Form eines dauerhaften oder nur befristeten Nutzungsrechts (s. Q Rz. 615 ff.) oder Erstellung der Software durch das jeweilige Unternehmen führen dazu, dass Software etc. auch in der Bilanzierung30 unterschiedlich zu behandeln sein kann.
28
Zwar ist grds. aufgrund des sog. Maßgeblichkeitsprinzips (§ 5 Abs. 1 Satz 1 EStG) die Han- 29 delsbilanz für die Steuerbilanz maßgebend, d.h. die handelsbilanziellen Werte sind auch für die Steuerbilanz zugrunde zu legen. Von diesem Prinzip bestehen aber bei selbst erstellten
28 Daneben besteht unter den Voraussetzungen des § 1 Abs. 3 EStG die Möglichkeit, auf Antrag als unbeschränkt einkommensteuerpflichtig behandelt zu werden. Ferner ist unter den Voraussetzungen des § 1 Abs. 3 i.V.m. § 1a Abs. 1 EStG eine fiktive unbeschränkte Steuerpflicht gegeben und gemäß § 2 AStG eine sog. erweitert beschränkte Steuerpflicht. 29 Zur E-Bilanz s. Backu/Bayer, ITRB 2013, 35 f. 30 Zur allgemeinen Bilanzierungspflicht von Gewerbetreibenden s. Rz. 4.
Backu/Bayer
937
F Rz. 30
Die steuerliche Behandlung von Software und IT-Dienstleistungen
immateriellen Wirtschaftsgütern Ausnahmen, wie die nachfolgenden Ausführungen zeigen. 30
Ausschlaggebend für die Frage der Bilanzierung ist stets, ob es sich um einen Vermögensgegenstand/Wirtschaftsgut31 handelt. Ein selbständiger Vermögensgegenstand liegt nur vor, wenn dieser selbständig bewertbar und selbständig verkehrsfähig ist. Selbständige Bewertbarkeit ist gegeben, wenn die Herstellungskosten klar diesem Gut zugeordnet werden können.32 Selbständige Veräußerlichkeit bzw. Verkehrsfähigkeit ist zu bejahen, sofern die Güter individuell wirtschaftlich nutzbar sind, sei es durch Veräußerung oder durch Überlassung zur Nutzung.33 Von einem selbständigen Vermögensgegenstand ist z.B. auszugehen bei Software, Nutzungsrechten oder Domainnamen. Fragen, ob es sich entsprechend der genannten Kriterien um einen Vermögensgegenstand handelt, stellen sich hingegen im Zshg. mit Websites bzw. deren Bestandteilen.34
31
Wichtig ist in der Praxis, ob ein oder mehrere Vermögensgegenstände/Wirtschaftsgüter vorliegen. Zwar ist grds. jede Sache i.S.v. § 90 BGB ein selbständiges Wirtschaftsgut. Abweichend vom BGB können jedoch wesentliche Bestandteile bilanzrechtlich selbständige Wirtschaftsgüter sein oder umgekehrt verschiedene Sachen ein einheitliches Wirtschaftsgut darstellen. Maßgeblich ist das Vorliegen einer wirtschaftlichen Einheit.35 Handelt es sich um mehrere Wirtschaftsgüter, so können diese auch einer unterschiedlichen Nutzungsdauer unterliegen. Die Frage der Einheitlichkeit eines Wirtschaftsguts stellt sich insb., wenn Software (evtl. auch im Zshg. mit Hardware) aus verschiedenen Elementen besteht. Für bilanzielle Zwecke wird zwischen sog. Firmware, Systemsoftware und sog. Anwendersoftware unterschieden:36 – Bei Firmware37 handelt es sich um mit dem Computer fest verbundene Programmbausteine, welche Hard- und Software miteinander verbinden und die Elementarfunktionen des Computers steuern.38 In einem solchen Fall stellt die Software i.d.R. einen unselbständigen Bestandteil der Hardware dar. Dies gilt gleichfalls beim Fehlen einer festen Verbindung, sofern die mitgelieferte Software branchenüblich nicht in Rechnung gestellt wird und es keinen gesonderten Markt für diese gibt.39 Die Kosten für die Software sind dann nicht zu aktivieren und abzuschreiben; vielmehr ist die Abschreibungsdauer der Hardware maßgeblich. – Bei der Systemsoftware handelt es sich um die Gesamtheit der im Betriebssystem zusammengefassten Programme. Wird für diese ein gesondertes Entgelt entrichtet, so unterliegt diese den gleichen Regeln wie die Anwendungssoftware. Im Falle des gemeinsamen Erwerbs von Systemsoftware mit der Hardware (sog. Bundling) ist maßgeblich, ob in dem jeweiligen Vertrag eine Aufteilung vorgenommen worden ist oder ob sich getrennte Preise ermitteln lassen. Soweit eine Aufteilung allerdings nicht möglich sein sollte, gelten die Regelungen für Firmware entsprechend. Ein aus Hard- und Software bestehendes Daten-
31 Der BFH hat den handelsrechtlichen Begriff des Vermögensgegenstands mit dem steuerrechtlichen Begriff des Wirtschaftsguts gleichgesetzt; BFH v. 26.2.1975 – I R 72/73, BStBl. II 1976, 13. 32 Merkt, in: Baumbach/Hopt, HGB, § 246 Rz. 4. 33 Merkt, in: Baumbach/Hopt, HGB, § 246 Rz. 5. 34 Hennrichs, in: MüKo Bilanzrecht, § 246 HGB Rz. 66 ff. 35 Wiedmann, in: Ebenroth/Boujong/Joost/Strohn, HGB, § 246 Rz. 13. 36 Zu der vertragstypologischen Einordnung von Verträgen, bei denen die Übertragung verschiedener Wirtschaftsgüter und/oder Erbringung von Leistungen den Vertragsgegenstand bildet: s. T Rz. 14 ff. 37 Zum Patentschutz von Firmware s. H Rz. 60 ff. 38 Gabler’s Wirtschaftslexikon, http://wirtschaftslexikon.gabler.de/Archiv/124902/bilanzierung-von-soft ware-v9.html. So z.B. bei Basic Input/Output System (BIOS). Firmware stellen z.B. auch Steuerungsprogramme für technische Geräte oder für KFZ dar. 39 BFH v. 28.7.1994 – III R 47/92, BStBl. II 1994, 873 (874).
938
Backu/Bayer
Bewertung und Bilanzierung von Software
Rz. 34
F
verarbeitungssystem ist selbst dann, wenn es zivilrechtlich ein zusammenhöriges Wirtschaftsgut bilden sollte, handels-/steuerrechtlich im Regelfall kein einheitliches Wirtschaftsgut.40 – Bei der Anwendungssoftware (z.B. Programme zur Textverarbeitung oder zur Bildbearbeitung) ist zwischen Standard- und Individualsoftware zu unterscheiden. Anwendungssoftware stellt jeweils ein (immaterielles)41 Wirtschaftsgut dar. Die oben erwähnten Grundsätze zum Bundling gelten nur dann entsprechend, wenn Hardware erworben wird, auf der Anwendungssoftware vorinstalliert ist. Ein sich aus mehreren Elementen zusammensetzendes Software-System, das der Steuerung von Geschäftsprozessen dient („Enterprise Ressource Planing Software, ERP-Software“), stellt ein einheitliches Wirtschaftsgut dar.42
Û
Hinweis für die Praxis: Wird Software zusammen mit Hardware erworben, so ist im Vertrag festzulegen, ob die Parteien z.B. bei der Software von einem unselbständigen Bestandteil der Hardware ausgehen (die Festlegung sollte dabei für Dritte nachvollziehbar sein, damit sie z.B. durch die Finanzverwaltung anerkannt wird). Ferner ist noch eine vertragliche Aufteilung der Preise auf die einzelnen Bestandteile vorzunehmen.
32
Stellt Software keinen Bestandteil der Hardware, sondern, wie im Regelfall, ein selbständiges Wirtschaftsgut dar, so ist diese bilanziell ein immaterielles Wirtschaftsgut. Die Anwendung von Bilanzierungsvorschriften und die Inanspruchnahme von Steuervergünstigungen, welche ein materielles Wirtschaftsgut voraussetzen, sind daher grds. ausgeschlossen.43 Bei der Frage der Bilanzierung ist nachfolgend zu unterscheiden zwischen entgeltlich erworbener Standardsoftware, selbst erstellter Software für den Eigenbedarf (Standardsoftware/Individualsoftware), selbst erstellter Software für den Fremdbedarf und von Dritten erstellter Individualsoftware.
33
1.2 Entgeltlich erworbene Standardsoftware Wird Standardsoftware (z.B. Office-Programme) entgeltlich auf Dauer für den Eigenbedarf erworben,44 so ist diese sowohl gemäß Handelsrecht als auch nach Steuerrecht mit den Anschaffungskosten in der Bilanz (Anlagevermögen, Position „Konzessionen, gewerbliche
40 BMF v. 20.1.1992 – IV B 2 - S 2180 - 1/92, DB 1992, 450. 41 Sind Systemsoftware oder Anwendungssoftware als selbständige Vermögensgegenstände zu qualifizieren, so handelt es sich im Regelfall um immaterielle Vermögensgegenstände. Nur ausnahmsweise liegt ein materieller Vermögensgegenstand vor. Dies ist z.B. der Fall, wenn die Anwendungssoftware allgemein zugängliche Datenbestände auf einem Datenträger (etwa Telefon- oder Kursbücher in elektronischer Form) enthält und für ihre Verwendung weder aus dem Inhalt der Software resultierende besondere wirtschaftliche Vorteile (z.B. Nutzung von Kundenkarteien oder Archiven) noch die Fähigkeit der Software zur Steuerung von Abläufen im Vordergrund stehen (IDW RS HFA 11, WPg Supplement 3/2010, 57 Rz. 7). 42 BMF v. 18.11.2005 – IV B 2 - S 2172 - 37/05, BStBl. I 1995, 1025. 43 BFH v. 18.5.2011 – X R 26/09, BStBl. 2012 II, 865. Ausnahmen bestehen bei geringwertigen Wirtschaftsgütern: Übersteigen bei Trivialprogrammen die gesamten Nettoanschaffungskosten für das jeweilige Wirtschaftsgut nicht 150 Euro, so sind die Anschaffungskosten im Jahr der Anschaffung in vollem Umfang abziehbar (§ 6 Abs. 2 Satz 4 EStG). Liegen die Nettoanschaffungskosten zwischen 151 und 410 Euro, so kann der jeweilige Unternehmer wählen, ob er die Nettoanschaffungskosten für diese Wirtschaftsgüter sofort abzieht (§ 6 Abs. 2 EStG) oder ob er sie auf die gewöhnliche Nutzungsdauer abschreibt (§ 7 EStG) oder ob er sie in einen Sammelposten einstellt, der über fünf Jahre linear abzuschreiben ist (§ 6 Abs. 2a EStG). Sog. Poolabschreibungen sind für Wirtschaftsgüter bis zu einem Nettoanschaffungswert von 1.000 Euro möglich (§ 6 Abs. 2a Satz 4 EStG). 44 Zu zivilrechtlichen Fragen bei der Standardsoftwareüberlassung nach Kaufrecht s. M Rz. 108 ff.; R Rz. 158 ff.
Backu/Bayer
939
34
F Rz. 35
Die steuerliche Behandlung von Software und IT-Dienstleistungen
Schutzrechte und ähnliche Rechte und Werte“) zu aktivieren (Aktivierungsgebot).45 Die Anschaffungskosten sind auf die gewöhnliche Nutzungsdauer abzuschreiben,46 was sich direkt auf den Gewinn des jeweiligen Unternehmers/Unternehmens auswirkt (s. Rz. 4). 35
Erwirbt der Käufer die Software für den Fremdbedarf, d.h. wird die Software wieder weiterveräußert, so ist die Software grds. im Umlaufvermögen zu aktivieren.47
36
Erfolgt hingegen die Vereinbarung einer nur vorübergehenden Überlassung der Software (mietähnlich),48 so sind diese Kosten nicht zu aktivieren, sondern stellen sofort abziehbare Betriebsausgaben dar. Allerdings ist die Abgrenzung zwischen Übertragung und Überlassung eines Rechts nicht nach zivilrechtlichen Grundsätzen vorzunehmen. Entscheidend ist vielmehr, ob das Wirtschaftsgut nach allgemeinen Regeln weiterhin dem bisherigen Inhaber zuzurechnen ist (Überlassung) oder ob infolge des Geschäfts eine Zurechnung an den Erwerber zu erfolgen hat (Übertragung).49 1.3 Selbst erstellte Software für den Eigenbedarf (Standardsoftware/Individualsoftware)
37
Bei selbst erstellter Software ist zwischen der handelsrechtlichen und der steuerlichen Bilanzierung zu unterscheiden. 1.3.1 Bilanzierung nach Handelsrecht
38
Entwickelt das Unternehmen die Software selbst, so durften bis zum Inkrafttreten des Bilanzrechtsmodernisierungsgesetzes (BilMoG)50 die entsprechenden Herstellungskosten in der Handelsbilanz nicht aktiviert werden. Seit dem Inkrafttreten des BilMoG darf jedoch gemäß § 248 Abs. 2 Satz 1 HGB eine Aktivierung dieser Kosten in der Handelsbilanz erfolgen (Aktivierungswahlrecht).51 Einem Aktivierungsverbot unterliegen aber weiterhin z.B. selbst geschaffene Marken, Kundenlisten oder vergleichbare Vermögensgegenstände des Anlagevermögens (§ 248 Abs. 2 Satz 2 HGB) wie Aufwendungen zur Verbesserung bestehender oder zum Aufbau neuer Kundenbeziehungen.
45 Anders ist dies, sofern es sich bei der Software um Open Source Software handelt. Bei dieser entstehen keine Anschaffungskosten, sodass auch keine Aktivierung vorzunehmen ist. Oftmals wird die Open Source Software im Zshg. mit Dienstleistungen erworben – bei diesen handelt es sich um sofort abziehbare Betriebsausgaben. Zur Behandlung der Open Source Software in zivilrechtlicher Hinsicht: S.a. G Rz. 497 ff. 46 Da die amtliche Afa-Tabelle für Software keine Angaben enthält, wird i.d.R. von folgenden Nutzungsdauern ausgegangen: drei Jahre bei Standardsoftware (so z.B. Brandis, in: Blümich, EStG, KStG, GewStG, § 7 EStG Rz. 365 (Stichwort: Software; Stand: 10/2014) und fünf Jahre bei Individual- oder ERP-Software. Allerdings wird vereinzelt auch bei Standardsoftware eine längere Nutzungsdauer angenommen (so z.B. FG Nds. v. 16.1.2003 – 10 K 82/99, EFG 2003, 601). Die Abschreibung beginnt mit der Realisierung der Betriebsbereitschaft. Unerheblich ist der Zeitpunkt der tatsächlichen Ingebrauchnahme. 47 Anders ist dies zu beurteilen, wenn die Software z.B. an die Bedürfnisse des zukünftigen Nutzers umfangreich angepasst wird. In diesem Fall kann es sich um selbst erstellte Software handeln. 48 Zu zivilrechtlichen Fragen bei der Standardsoftwareüberlassung nach Mietrecht s. M Rz. 498 ff. 49 Krumm, in: Blümich, EStG, KStG, GewStG, § 5 EStG Rz. 935 (Stand: 8/2015). Wird ein Nutzungsentgelt für mehrere Perioden im Voraus bezahlt, so ist dieses als Rechnungsabgrenzungsposten auszuweisen. Zum Leasing s. z.B. von Freeden, in: Kilian/Heussen, Teil 9, Rz. 103 ff. (Stand: 9/2011). 50 BGBl. I 2009, 1102. Das BilMoG ist am 29.5.2009 in Kraft getreten. 51 Hierdurch soll der zunehmenden Bedeutung immaterieller Vermögensgüter im Wirtschaftsleben Rechnung getragen und z.B. Start-up-Unternehmen die Möglichkeit der verbesserten Außendarstellung eröffnet werden (BilMoG-Begr. Regierungsentwurf, BT-Drs. 16/10067, S. 49. Den ersten Statistiken zufolge wurde von dem Aktivierungswahlrecht für selbst geschaffene immaterielle Wirtschaftsgüter nur sehr zurückhaltend Gebrauch gemacht, so Keitz/Wenk/Jagosch, DB 2011, 2445 (2448); Eierle/Wencki, DB 2014, 1029 ff. m.w.N. Zu den Änderungen durch das BilMoG s. z.B. Backu, ITRB 2010, 166 ff.
940
Backu/Bayer
Bewertung und Bilanzierung von Software
Rz. 41
F
1.3.1.1 Aktivierung Voraussetzung für die Aktivierung von für den Eigenbedarf selbst erstellter Software ist, dass 39 diese einen Vermögensgegenstand i.S.d. § 246 HGB darstellt (s. Rz. 30); bei Software sind diese Voraussetzungen im Regelfall erfüllt.52 Im Falle der Ausübung des Aktivierungswahlrechts sind die Herstellungskosten anzusetzen 40 (§ 253 Abs. 1 HGB). Gemäß § 255 Abs. 2a HGB sind die Herstellungskosten eines selbst geschaffenen immateriellen Vermögensgegenstandes die bei dessen Entwicklung angefallenen Kosten. Abzugrenzen sind die Kosten für die Entwicklung von den Kosten für die Forschung, die keinen Bestandteil der Herstellungskosten darstellen (§ 255 Abs. 2a Satz 4 HGB), sondern als Betriebsausgaben sofort abziehbar sind. Entscheidend für die Abgrenzung zwischen Forschungs- und Entwicklungskosten ist, ob sich die Kosten bereits einem konkreten Vermögensgegenstand zuordnen lassen. Eine solche Zuordnung setzt voraus, dass mit hoher Wahrscheinlichkeit ein einzeln verwertbarer Vermögensgegenstand zur Entstehung gelangen wird.53 Hierfür ist die Erstellung einer genauen Dokumentation erforderlich, sodass an die Abgrenzung zwischen Forschungs- und Entwicklungskosten hohe Anforderungen zu stellen sind.54 Für die Abgrenzung zwischen Forschungs- und Entwicklungskosten gilt:
41
– Aktivierbar sind die Kosten für die Herstellung eines sog. Prototypen. Bei diesem steht nicht der körperliche Gegenstand, sondern die schöpferische Leistung (Entwicklungsleistung) im Vordergrund.55 – Der Entwurf, die Abschätzung und die endgültige Auswahl für neue/verbesserte Produkte/Verfahren/Systeme oder Dienstleistungen stellen nicht aktivierungsfähige Forschungskosten dar. Hingegen ist das Testen der gewählten Alternative für neue/verbesserte Produkte/Verfahren oder Dienstleistungen als Entwicklungskosten aktivierungsfähig.56 – Während die sog. Grundlagenforschung eindeutig den Forschungskosten zuzuordnen und damit nicht aktivierungsfähig ist, muss bei der Zweckforschung eine Unterscheidung getroffen werden: Dient die Zweckforschung der Neuentwicklung von Erzeugnissen, so steht sie noch nicht in einem konkreten Zshg. mit einem bestimmten Erzeugnis und ist somit auch nicht aktivierungsfähig. Im Gegensatz dazu stellt die Zweckforschung, die der Weiterentwicklung von Erzeugnissen dient, eine aktivierungsfähige Position der Entwicklungskosten dar.57
52 Mit der Entwicklung der Software darf erst nach dem 31.12.2009 begonnen worden sein. 53 Herstellungskosten könnten damit bereits berücksichtigt werden, bevor ein Ansatz des Vermögensgegenstandes möglich ist, so zutreffend Lüdenbach/Hoffmann, StuB 2009, 287 (290). Aufgrund einer Zukunftsprognose muss mit hoher Wahrscheinlichkeit davon ausgegangen werden können, dass ein einzeln verwertbarer Vermögensgegenstand des Anlagevermögens zur Entstehung gelangt; Ballwieser, in: MüKoHGB, § 248 Rz. 15. Damit das Objektivierungsproblem gelöst werden kann, soll eine Orientierung an IAS 38.57 erfolgen. Voraussetzungen sind demnach (1) technische Realisierbarkeit, (2) Fertigstellungsabsicht (3) Fähigkeit zu Nutzung und Verkauf (4) Nutzennachweis (5) ausreichende technische, finanzielle und sonstige Ressourcen zur Fertigstellung und (6) verlässliche Bewertbarkeit, so z.B. Ballwieser, in: MüKoHGB, § 248 Rz. 18 m.w.N. Wegen des Zukunftsbezugs ist deshalb auch ein gewisser bilanzpolitischer Gestaltungsspielraum vorhanden. 54 So z.B. Kütting/Ellmann, DStR 2010, 1300 (1305). 55 Aktivierbar sollen die Entwürfe, Konstruktionszeichnungen, Arbeitsmodelle etc. sein, nicht aber die unmittelbar für die Erstellung der Prototypen anfallenden Aufwendungen; Adler/Düring/Schmaltz, Rechnungslegung und Prüfung der Unternehmen, § 255 HGB Rz. 152 m.w.N. 56 Küting/Ellmann, DStR 2010, 1300 (1301). 57 Adler/Düring/Schmaltz, Rechnungslegung und Prüfung der Unternehmen, § 255 HGB Rz. 151.
Backu/Bayer
941
F Rz. 42
Die steuerliche Behandlung von Software und IT-Dienstleistungen
– Schwierig gestaltet sich die Abgrenzung zwischen Forschung und Entwicklung dann, wenn nicht zuerst eine Forschungsphase abgeschlossen wird, an die sich eine Entwicklungsphase anschließt, sondern diese durch einen iterativen Prozess miteinander verknüpft sind, wie dies z.B. bei der sog. Extreme Programmierung und bei der agilen Softwareprogrammierung der Fall ist. Insoweit bestehen Überlegungen, dass die Aktivierung zulässig ist, wenn zwar keine zeitliche Abgrenzung erfolgt, sondern vielmehr die Kosten nachvollziehbar und hinreichend dokumentiert voneinander abgegrenzt werden.58 Allerdings sind diese Überlegungen durch die Finanzverwaltung bislang nicht bestätigt worden, sodass weiterhin Unsicherheit vorhanden ist. 42
43
Überblick zu den aktivierungsfähigen Herstellungskosten: Zu aktivieren
– –
Material- und Fertigungseinzelkosten Angemessene Material- und Fertigungsgemeinkosten, soweit durch die Fertigung veranlasst
Wahlrecht
– – –
Allgemeine Verwaltungskosten Kosten für freiwillige soziale Leistungen Fremdkapitalzinsen (bei Einhaltung weiterer Voraussetzungen)
Verbot
– –
Forschungskosten Vertriebskosten
Û
Hinweis für die Praxis: Überlegungen im Zshg. mit Forschungs- und Entwicklungsaufwendungen: – Abgrenzung zwischen Forschungs- und Entwicklungsaufwendungen (Erfüllung hoher Dokumentationsanforderungen) – Bestimmung des Zeitpunkts, ab dem eine aktivierungsfähige Entwicklungsphase vorliegt – Ausübung der Aktivierungswahlrechte? – Welche Material- und Fertigungsgemeinkosten sind durch die Fertigung veranlasst und angemessen?
1.3.1.2 Folgen der Ausübung des Aktivierungswahlrechts 44
Wird das Aktivierungswahlrecht ausgeübt, so sind aufgrund des Stetigkeitsgebots (§ 246 Abs. 3 HGB) gleiche Sachverhalte einheitlich zu behandeln. Dies bedeutet: Entscheidet sich der Bilanzierende, Entwicklungskosten zu aktivieren, dann ist diese Entscheidung auch für zeitlich nachfolgende Entwicklungskosten bindend.59 Eine Abweichung hiervon ist nur in begründeten Ausnahmefällen möglich (§ 252 Abs. 2 HGB).
45
Die aktivierten immateriellen Wirtschaftsgüter werden unter der Position A.I.1 „selbst geschaffene gewerbliche Schutzrechte und ähnliche Rechte und Werte“ (§ 266 Abs. 2 HGB) aktiviert. Die selbst geschaffenen Wirtschaftsgüter sind abzuschreiben.60 Da im Fall der Ak-
58 Gelhausen/Kaempfer/Fey, Rechnungslegung nach BilMoG, S. 85 Rz. 77. 59 Das Stetigkeitsgebot gilt in sachlicher und in zeitlicher Hinsicht: Vergleichbare Geschäftsvorfälle derselben Periode sind in gleicher Weise darzustellen wie auch über verschiedene Perioden die Darstellung kontinuierlich fortzusetzen ist; Elprana/Jonas, in: Heidel/Schall, HGB § 246 Rz. 77. 60 Sofern die Nutzungsdauer ausnahmsweise nicht verlässlich geschätzt werden kann, gilt für selbst geschaffene immaterielle Vermögensgegenstände des Anlagevermögens eine Nutzungsdauer von zehn Jahren (§ 253 Abs. 3 Satz 3 HGB). Allerdings ist bei der Schätzung der Nutzungsdauer einzubeziehen, welche Nutzungsdauer bei einer entgeltlich erworbenen Software zugrunde gelegt wird (s.o. Rz. 34), sodass im Regelfall die Nutzungsdauer von zehn Jahren nicht zur Anwendung gelangen wird.
942
Backu/Bayer
Bewertung und Bilanzierung von Software
Rz. 50
F
tivierung Handels- und Steuerbilanz auseinanderfallen, ist gemäß § 274 Abs. 1 Satz 1 HGB i.V.m. § 266 Abs. 3 HGB die entsprechende Steuerbelastung (passive latente Steuern) in der Handelsbilanz zu passivieren. Ferner ist aus Gründen des Gläubigerschutzes eine Ausschüttungssperre zu beachten. Gemäß § 268 Abs. 8 HGB dürfen Gewinne nur ausgeschüttet werden, sofern die nach der Ausschüttung verbleibenden frei verfügbaren Rücklagen zuzüglich eines Gewinnvortrags und abzüglich eines Verlustvortrags mindestens den insgesamt angesetzten Beträgen abzüglich der hierfür gebildeten passiven latenten Steuern entsprechen. Im Fall einer Aktivierung von selbst geschaffenen Wirtschaftsgütern ist dies im Anhang zu erläutern. Es ist anzugeben, mit welchen Werten selbst geschaffene Vermögensgegenstände aktiviert worden sind und welche latenten Steuern damit verbunden sind (§ 285 Nr. 28 und Nr. 29 HGB).61
46
1.3.1.3 Kriterien für die Ausübung des Aktivierungswahlrechts Die Aktivierung immaterieller Wirtschaftsgüter eröffnet bilanzpolitische Gestaltungsmög- 47 lichkeiten, sodass z.B. eine höhere Eigenkapitalquote ausgewiesen werden kann. Dies kann bei der Aktivierung immaterieller Wirtschaftsgüter von nicht unerheblichem Wert auch zur Folge haben, dass keine bilanzielle Überschuldung der Gesellschaft gegeben ist. Außerdem wird durch den Ausweis selbst erstellter immaterieller Wirtschaftsgüter eine gewisse Perpetuierung der Entwicklungsleistungen erreicht, was bei Gesprächen mit Investoren von Relevanz sein kann. Allerdings ist aus den einzelnen Bilanzpositionen und den Anhängen zum Jahresabschluss erkennbar, wie die höhere Eigenkapitalquote erzielt wurde. Dies relativiert die Wahrscheinlichkeit, dass bei Entscheidungen über die Gewährung eines Darlehens durch die Aktivierung erhebliche Vorteile erzielt werden. Ferner ist zu berücksichtigen, dass sich aufgrund der erforderlichen Abgrenzung der Forschungs- von den Entwicklungsaufwendungen die Dokumentationspflichten und die Controllinganforderungen erhöhen. Wird das Aktivierungswahlrecht nicht ausgeübt, so ermöglicht dies die Bildung höherer stiller Reserven. Außerdem wird in der Handels- und in der Steuerbilanz eine einheitliche Vorgehensweise erreicht. 1.3.2 Bilanzierung nach Steuerrecht Für die Steuerbilanz gilt in Bezug auf für den Eigenbedarf selbst erstellte Software jedoch weiterhin ein sog. Aktivierungsverbot (§ 5 Abs. 2 EStG): Aktiviert werden dürfen lediglich entgeltlich erworbene Wirtschaftsgüter des Anlagevermögens. Daher sind die Kosten für selbst hergestellte Software des Anlagevermögens sofort abziehbare Betriebsausgaben.62
48
1.4 Selbst erstellte Software für den Fremdbedarf Die Herstellungskosten von Software, die für den Fremdbedarf hergestellt worden ist, müssen hingegen nach Handels- und nach Steuerrecht im Umlaufvermögen aktiviert werden.
49
1.5 Von Dritten erstellte Individualsoftware Gleichfalls aktiviert werden (können) nach Handelsrecht die Kosten für den Erwerb der Soft- 50 ware, wenn diese durch einen Dritten für das jeweilige Unternehmen hergestellt worden ist. Allerdings ist hier weiter zu unterscheiden: Wurde die Individualsoftware aufgrund eines
61 Zu den Folgen der Ausübung des Aktivierungswahlrechts s.a. Backu, ITRB 2010, 166 (167 f.). 62 Zu steuerlichen Aspekten der Softwarebeschaffung s. Backu/Reitsam, ITRB 2007, 211 ff.
Backu/Bayer
943
F Rz. 51
Die steuerliche Behandlung von Software und IT-Dienstleistungen
Werkvertrags erstellt63 (d.h., der Hersteller trägt das Herstellerrisiko) so besteht handelsrechtlich eine Aktivierungspflicht. Ob bei einem Werkvertrag in steuerlicher Hinsicht eine Aktivierung vorzunehmen ist, ist strittig.64 51
Erfolgt hingegen die Herstellung der Software im Rahmen eines Dienstvertrags (d.h. das beauftragende Unternehmen trägt das Herstellungsrisiko), so gelten die gleichen Prinzipien wie bei der Erstellung der Software durch das jeweilige Unternehmen (denn sowohl beim Einsatz unternehmenseigener Ressourcen als auch bei dem Abschluss eines Dienstvertrages trägt das betreffende Unternehmen das Herstellungsrisiko): Damit ist handelsrechtlich ein Aktivierungswahlrecht gegeben. In steuerlicher Hinsicht greift das Aktivierungsverbot ein (§ 5 Abs. 2 EStG), da die Konstellation derjenigen vergleichbar ist, dass die betreffende Software durch das beauftragende Unternehmen selbst hergestellt wird.65 Bei den Kosten handelt es sich deshalb um sofort abziehbare Betriebsausgaben.
52
Die Entscheidung des beauftragenden Unternehmens, mit dem Auftragnehmer einen Dienst- oder einen Werkvertrag abzuschließen, wirkt sich daher auch auf die Gewinnrealisierung aus: Während bei einem Werkvertrag Gewinnrealisierung grds. erst mit der Abnahme (s. Q Rz. 154 ff.) eintritt, erfolgt dies bei einem Dienstvertrag bereits mit dem Abschluss des Vertrags bzw. dem Ablauf der jeweiligen Vertragsperioden. Hierdurch eröffnen sich Gestaltungsmöglichkeiten: Denkbar ist z.B., dass ein Softwareunternehmen in eine Vertriebsund eine Entwicklungsgesellschaft aufgespalten wird. Auf diese Weise stellt der Quellcode Anlagevermögen dar, während die zum Absatz bestimmten Kopien ebenso wie eine werkvertraglich erstellte Individualsoftware als Umlaufvermögen zu qualifizieren sind.66
53
Zu den Anschaffungskosten gehören auch die Kosten für die Implementierung, sofern diese z.B. vom Auftragnehmer oder einem anderen Service-Provider vorgenommen worden ist.
54
Û
Hinweis für die Praxis: Bei der Beauftragung eines Dritten ist i.R.d. vertraglichen Gestaltung auf Folgendes zu achten: – Genaue Formulierung zum Leistungsumfang und damit zu den Fälligkeiten und Zahlungsterminen – Festlegung, wie die Rechnung bezeichnet wird (Abschlagszahlung, Schlussrechnung oder Teilrechnung).
63 Zur zivilrechtlichen Unterscheidung zwischen Dienst- und Werkvertrag s. M Rz. 137 ff. 64 In steuerlicher Hinsicht sind nur die Kosten für den entgeltlichen Erwerb eines immateriellen Wirtschaftsguts aktivierungsfähig und –pflichtig (§ 5 Abs. 2 EStG), nicht aber die Kosten für die Herstellung immaterieller Wirtschaftsgüter. Erfolgt die Herstellung durch Dritte, so gelten die allgemeinen Kriterien sinngemäß (Krumm, in: Blümich, EStG, KStG, GewStG, § 5 EStG Rz. 536 [Stand: 8/2015]; Weber-Grellet, in: Schmidt, EStG, § 5 Rz. 198). Maßgeblich ist demnach, wer das Risiko für die Herstellung trägt (Kulosa, in: Schmidt, EStG, § 6 Rz. 34). Da bei einem Werkvertrag dem Auftraggeber das Risiko nach § 651 BGB verbleibt, ist umstritten (Wolffgang, in: Kirchhof/Söhn/Mellinghoff, EStG, § 5 Rz. C 103 f. m.w.N (Stand: 2/1998)), ob eine Aktivierung zu erfolgen hat oder ob es sich um sofort abziehbaren Aufwand handelt. Als Aufwand kann eine Verbuchung jedoch erst nach der Schlussrechnung erfolgen, zuvor wurden nur Anzahlungen geleistet. Erfolgen Anzahlung und Schlussrechnung in unterschiedlichen Wirtschaftsjahren, so ist ein aktiver Rechnungsabgrenzungsposten zu bilden. 65 BMF v. 18.11.2008 – IV B 2 - S 2172 - 37/05, Ziff. IV. 66 So auch Krumm, in: Blümich, EStG, KStG, GewStG, § 5 EStG Rz. 640 (Stand: 8/2015).
944
Backu/Bayer
Aktivierungspflicht (Umlaufvermögen)
Aktivierungspflicht (Anschaffungskosten)
Abschreibung auf gewöhnliche Nutzungsdauer, außer Anschaffungskosten wegen Vorliegen eines geringwertigen Wirtschaftsguts sofort abziehbar
Fremdbedarf
Eigenbedarf
entgeltlich erworbene Software (Standardsoftware)
Im Fall der Aktivierung: Abschreibung auf gewöhnliche Nutzungsdauer
Aktivierungswahlrecht (Herstellungskosten)
Eigenbedarf
Aktivierung (Umlaufvermögen)
Fremdbedarf
selbst erstellte Software (Individual/Standard)
Bilanzierung nach Handelsrecht
Abschreibung auf gewöhnliche Nutzungsdauer
Aktivierungspflicht (Anschaffungskosten)
Werkvertrag
Im Fall der Aktivierung: Abschreibung auf gewöhnliche Nutzungsdauer
Aktivierungswahlrecht (Herstellungskosten)
Dienstvertrag
von Dritten erstellte Individualsoftware
Bewertung und Bilanzierung von Software Rz. 55
Backu/Bayer
F
Zur Bilanzierung von Software nach Handelsrecht s. das nachfolgende Schaubild: 55
945
F Rz. 56
Die steuerliche Behandlung von Software und IT-Dienstleistungen
1.6 Abgrenzung Standardsoftware/Individualsoftware und Anschaffungskosten/Herstellungskosten/Erhaltungsaufwand 56
Schwierigkeiten bereitet in der Praxis oftmals die Abgrenzung zwischen Standard- und Individualsoftware sowie die Einstufung von Kosten als Anschaffungskosten/Herstellungskosten oder als Erhaltungsaufwand. 1.6.1 Abgrenzung Standardsoftware – Individualsoftware
57
Kauft ein Unternehmen z.B. Standardsoftware und nimmt es unter Einsatz unternehmenseigener Ressourcen umfangreiche Anpassungen vor,67 dann liegt ein Herstellungsvorgang (!) für eine selbst erstellte Software vor, sodass auch der Kaufpreis für die erworbene Standardsoftware in die Herstellungskosten einfließt.68 Maßgeblich für die Beurteilung, ob umfangreiche Anpassungen erfolgt sind und damit ein neuer Vermögensgegenstand vorliegt oder ob noch Standardsoftware gegeben ist, sind die vor und nach der Implementierung und Anpassung vorhandenen Funktionen der Software. 1.6.2 Anschaffungskosten
58
Anschaffungskosten (§ 255 Abs. 1 HGB) können bereits vor dem Anschaffungszeitpunkt anfallen, da es sich hierbei um Kosten handelt, die geleistet werden, um einen konkreten Vermögensgegenstand zu erwerben. Allerdings müssen diese Kosten dem Vermögensgegenstand einzeln zugeordnet werden können. Für die Einordnung als Anschaffungskosten ist eine wirtschaftliche Betrachtungsweise ausschlaggebend. Keine Anschaffungskosten (sondern sofort abziehbare Betriebsausgaben) stellen demnach dar: – Allgemeine Organisationsberatung, Erkennen und Bewerten von Beschaffungsalternativen – Analyse und Optimierung von Geschäftsprozessen – Entwicklung von Grobkonzepten – Feinkonzepte, soweit auf diese Weise nicht bereits Vorarbeiten geleistet werden, die unmittelbar in das Customizing und in die Systeminstallation einfließen.69
59
Als Anschaffungskosten sind Aufwendungen zu qualifizieren, die zur Herstellung der Betriebsbereitschaft notwendig sind, sofern die Kosten direkt/unmittelbar mit der Anschaffung in Zshg. stehen. Dies ist z.B. der Fall bei: – Anteiligen Personalaufwendungen – Customizing, welches der Herstellung der Betriebsbereitschaft dient – Testläufen70
67 Zu zivilrechtlichen Fragestellungen bei der Softwareanpassung s. Q Rz. 1 ff. 68 IDW RS HFA 11, WPg Supplement 3/2010, 57 Rz. 14 (bei den „IDW RS HFA“ handelt es sich um Stellungnahmen des IDW zur Rechnungslegung, die vom Hauptfachausschuss verabschiedet worden sind). Sofern jedoch ausnahmsweise die erworbenen Programmteile durch die Verbindung mit der Individualsoftware nicht untergehen und auch nach der Erstellung der Individualsoftware noch selbständig genutzt werden können, sind diese Erwerbskosten selbständig zu aktivieren. 69 IDW RS HFA 11, WPg Supplement 3/2010, 57, Rz. 27. 70 Diese stellen häufig eine Voraussetzung dafür dar, dass die Software in einen betriebsbereiten Zustand versetzt wird. Anders hingegen bei Piloteinsätzen, da die Software hier bereits überwiegend der betrieblichen Leistungserstellung zumindest dienen könnte, IDW RS HFA 11, WPg Supplement 3/2010, 57 Rz. 35. Bei Piloteinsätzen handelt es sich um sofort abziehbare Betriebsausgaben; BMF v. 18.11.2005 – IV B 2 - S 2172 - 37/05, BStBl. 2005 I, 1025, Rz. 18.
946
Backu/Bayer
Bewertung und Bilanzierung von Software
Rz. 63
F
Lediglich mittelbar der Anschaffung zuzuordnen sind z.B. Schulungsmaßnahmen für Ad- 60 ministratoren,71 Anwenderschulungen72 sowie Aufwendungen für die Anpassung interner betrieblicher Prozesse (sog. reengineering costs), Weiterentwicklung der vorhandenen IT-Infrastruktur (Migration), Altdatenübernahme und Prüfung des ordnungsmäßigen Systemeinsatzes. Hierbei handelt es sich um sofort abziehbare Betriebsausgaben.73 Ist der Anschaffungsvorgang als beendet anzusehen, so müssen danach anfallende Kosten 61 nicht aktiviert werden, außer es liegt eine Wesensänderung oder Erweiterung oder über den ursprünglichen Zustand hinausgehende wesentliche Verbesserung vor. Bei nachträglichen Anschaffungskosten ist schließlich zu berücksichtigen, dass sich die Nutzungsdauer aufgrund der durchgeführten Maßnahmen zur Erweiterung oder Verbesserung der Software verlängert haben kann. 1.6.3 Maßnahmen zur Erweiterung/Verbesserung der Software Maßnahmen zur Erweiterung oder zur über den ursprünglichen Zustand hinausgehenden wesentlichen Verbesserung der Software (z.B. bei zusätzlichen Funktionalitäten/Ausdehnung des Anwendungsbereichs über standardmäßig vorgesehene Einsatzgebiete/wesentlichen Änderungen am Quellcode/Umprogrammierungen im Programmablauf)74 sind unabhängig von den ursprünglichen Aufwendungen für die Anschaffung oder Herstellung der Software in Bezug auf die Aktivierungspflicht zu beurteilen. Führt das Unternehmen, bei dem die Software zum Einsatz kommen soll, die Erweiterungs-/Verbesserungsmaßnahmen selbst durch oder lässt es diese aufgrund eines Dienstvertrags durch ein anderes Unternehmen durchführen, so besteht ein Aktivierungswahlrecht.75 Werden die Erweiterungs-/Verbesserungsmaßnahmen aber auf der Basis eines Werkvertrags vorgenommen, so stellen Erweiterungs-/Verbesserungsmaßnahmen handelsrechtlich (zur steuerlichen Einstufung s. Rz. 50) aktivierungspflichtige Anschaffungskosten dar.76
62
1.6.4 Abgrenzung Erhaltungsaufwand Bei Customizing-Aufwendungen (z.B. Beratungshonoraren, Modifizierung und Zusammen- 63 fügung einzelner Programme, Programmierung, Einrichtung von Schnittstellen, Installation der Programme auf den Computern der betroffenen Mitarbeiter) ist zu differenzieren, ob diese den Zweck haben, Standardsoftware in einen betriebsbereiten Zustand zu versetzen oder ob es sich um eine umfangreiche Bearbeitung/Ergänzung der Software handelt. Soll Standardsoftware in einen betriebsbereiten Zustand versetzt werden, so sind diese Kosten als Anschaffungskosten zu aktivieren, selbst wenn sie im Rahmen eines Dienstvertrags anfallen, da diese einen Teil der Anschaffung darstellen.77 71 Denn dass die Software ohne die Schulungsmaßnahmen für die Administratoren nicht eingesetzt werden kann, ändert nichts an der Betriebsbereitschaft der Software, IDW RS HFA 11, WPg Supplement 3/2010, 57, Rz. 32. 72 Anders hingegen, wenn die Schulungsmaßnahmen der Durchführung eines Customizing dienen, durch welches erst die Betriebsbereitschaft hergestellt wird, BMF v. 18.11.2005 – IV B 2 - S 2172 37/05, BStBl. 2005 I, 1025, Rz. 7. 73 BMF v. 18.11.2005 – IV B 2 - S 2172 - 37/05, BStBl. 2005 I, 1025, Rz. 19; IDW RS HFA 11, WPg Supplement 3/2010, 57, Rz. 33. 74 BMF v. 18.11.2005 – IV B 2 - S 2172 - 37/05, BStBl. 2005 I, 1025, Rz. 8. Bei der Qualifizierung der jeweiligen Aufwendungen ist nicht von Begriffen (z.B. „Extensions“ oder „Modifications“) auszugehen. Vielmehr ist im Einzelfall festzustellen, ob eine Erweiterung/wesentliche Verbesserung vorliegt. 75 Auch bei den nachträglichen Herstellungskosten ist eine Abgrenzung zwischen der Forschungs- und der Entwicklungsphase vorzunehmen. 76 IDW RS HFA 11, WPg Supplement 3/2010, 57 Rz. 16. Steuerlich ist die unfertige Software nach § 5 Abs. 2 EStG zu aktivieren (Krumm, in: Blümich, EStG, KStG, GewStG, § 5 EStG Rz. 533a [Stand: 8/2015]). 77 IDW RS HFA 11, WPg Supplement 3/2010, 57, Rz. 18.
Backu/Bayer
947
F Rz. 64
Die steuerliche Behandlung von Software und IT-Dienstleistungen
64
Maßnahmen, die über die Versetzung der Betriebsbereitschaft hinausgehen (etwa Bereitstellung zusätzlicher Funktionalitäten) sind nicht als Anschaffungskosten zu aktivieren. Vielmehr ist zu prüfen, ob eine Erweiterung/wesentliche Verbesserung vorliegt (s. Rz. 62).
65
Zum Customizing s. das nachfolgende Schaubild:78 Aufwendungen Customizing
Maßnahmen zur Herstellung der Betriebsbereitschaft
sonstige Maßnahmen
aktivierungspflichtige Anschaffungskosten
Maßnahmen zur Erweiterung/Verbesserung der Software
ja
Unternehmer trägt Herstellungsrisiko (Dienstvertrag)
Aktivierungswahlrecht
66
nein
Dritter trägt Herstellungsrisiko (Werkvertrag)
sofort abziehbare Betriebsausgabe
Aktivierungspflicht
Bei Updates und bei Releasewechseln ist zu unterscheiden: steht die Aufrechterhaltung der Funktionsfähigkeit im Vordergrund, so stellen diese sofort abziehbaren Erhaltungsaufwand dar. Haben das Update oder der Release-Wechsel dagegen eine umfassende Überarbeitung der bisherigen Programmfunktion zur Folge, dann wird ein neuer Vermögensgegenstand/ neues Wirtschaftsgut erworben, der/das bei Vorliegen der jeweiligen Voraussetzungen zu aktivieren ist.79 Der alte Vermögensgegenstand/das alte Wirtschaftsgut ist außerplanmäßig abzuschreiben.80 Kommen jedoch lediglich neue Nutzungsmöglichkeiten hinzu und wird die bisher genutzte Lizenz weiter genutzt, so handelt es sich bei den Aufwendungen für die neue Lizenz lediglich um nachträgliche Anschaffungskosten.81 78 Es sollte somit keine Einordnung am Begriff des Customizing erfolgen; vielmehr ist stets zu prüfen, welche Folgen ein bestimmter Aufwand hat (z.B. Herstellung der Betriebsbereitschaft oder neue Funktionen). 79 BMF v. 18.11.2005 – IV B 2 - S 2172 - 37/05, BStBl. 2005 I, 1025, Rz. 10, 16; IDW RS HFA 11, WPg Supplement 3/2010, 57, Rz. 21. 80 Wird jedoch auf den Kaufpreis der neuen Version ein Nachlass aufgrund der bereits genutzten Programmversion gewährt, so ist der Restbuchwert der alten Version bis zur Höhe des gewährten Nachlasses als Bestandteil der Anschaffungskosten der neuen Version anzusehen; so bereits BMF v. 18.11.2005 – IV B 2 - S 2172 - 37/05, BStBl. 2005 I, 1025, Rz. 10. 81 Um nachträgliche Anschaffungskosten handelt es sich auch, wenn nur zusätzliche Nutzungsrechte für weitere Benutzer erworben werden.
948
Backu/Bayer
Bewertung und Bilanzierung von Software
Rz. 70
F
Damit gehören auch Pflege-/Wartungskosten (zu zivilrechtlichen Fragen: s. M Rz. 158 ff., 67 S Rz. 1 ff., S Rz. 51 ff.) grds. zu den sofort abziehbaren Kosten. Ein solcher Abzug ist jedoch ausgeschlossen, wenn in den Wartungskosten ein verdeckter Kaufpreis enthalten ist. Hiervon ist auszugehen, sofern der Abschluss des Wartungsvertrags Einfluss auf die Kaufpreishöhe der Lizenz hat. Es ist dann im Wege der Schätzung eine Aufteilung in Erhaltungsaufwand und in Anschaffungskosten vorzunehmen, es sei denn, der Kaufvertrag bzw. der Wartungsvertrag nimmt bereits eine entsprechende Aufteilung vor. 1.7 Teilgewinnrealisation im Falle einer langfristigen Auftragsfertigung? Zieht sich z.B. die Entwicklung einer Individualsoftware über mehrere Bilanzstichtage hin, 68 so stellt sich die Frage, wie dies bilanziell abzubilden ist. § 252 Abs. 1 Nr. 4 letzter Halbs. HGB beinhaltet das Realisationsprinzip, wonach der Ausweis noch nicht realisierter Gewinne verboten ist. Allerdings sind nach § 252 Abs. 2 HGB Ausnahmen vom Realisationsprinzip zulässig. Nach umstrittener Auffassung soll eine Realisierung zulässig sein, sofern endgültige Teilabrechnungen vorgenommen worden sind, der Vermögensgegenstand übergegangen ist und in den Folgeperioden keine Verluste drohen.82 1.8 Fragen der Bilanzierung bei Homepages etc. Nicht nur bei Software, sondern ebenso bei Homepages stellt sich die Frage, wie diese i.R.d. 69 Erstellung der Bilanzen zu behandeln sind. Nach allgemeinen Grundsätzen können Web-Dateien im Internet immaterielle Wirtschaftsgüter (s. Rz. 30) darstellen; maßgeblich ist insoweit, ob und inwieweit ein gedachter Unternehmenserwerber für diese eine gesonderte Vergütung entrichten würde. Im Regelfall ist die gesamte Website (Summe der zu etwas Eigenständigem verbundenen urheberrechtlichen Rechte an Inhalten [Texte, Bilder, Grafiken, Videosequenzen, Töne, Musik etc.] und der Programmierungen an der Software, die sie darstellen)83 als ein Wirtschaftsgut einzustufen. Insb. bei Internetauftritten im gewerblichen Bereich, die der längerfristigen Präsenz, Darstellung und Imagepflege eines Unternehmen dienen und auch Vertriebsfunktionen erfüllen, sind die Voraussetzungen für das Vorliegen eines immateriellen Wirtschaftsguts regelmäßig gegeben.84 Die für Software geltende betriebsgewöhnliche Nutzungsdauer von drei Jahren soll aufgrund der ständigen Weiterentwicklung der Websites auch für diese gelten.85 Nachträgliche Änderungen von Websites können einzelfallabhängig gemäß den für Software geltenden Grundsätzen als sofort abziehbare Betriebsausgaben oder als aktivierungspflichtige neue immaterielle Wirtschaftsgüter qualifiziert werden.86 Von den Websites zu unterscheiden sind jedoch Güter, welche Kunden von der Unternehmenswebsite downloaden können (z.B. Computerprogramme, Videodateien). Diese sind als eigenständige immaterielle Wirtschaftsgüter zu qualifizieren.87 Die Internetdomain (d.h. die Adresse im Internet) bildet mit der Website keine Einheit,88 70 sondern stellt vielmehr ein selbständiges immaterielles Wirtschaftsgut dar.89
82 So z.B. Schubert/Gadek, in: Beck’scher Bilanzkommentar, § 255 HGB Rz. 461; Adler/Düring/ Schmaltz, Rechnungslegung und Prüfung der Unternehmen, § 252 HGB Rz. 87 ff.; a. A. Tiedchen, in: MüKo Bilanzrecht, § 252 HGB Rz. 74. 83 Krumm, in: Blümich, EStG, KStG, GewStG, § 5 EStG Rz. 644 (Stand: 8/2015). 84 Krumm, in: Blümich, EStG, KStG, GewStG, § 5 EStG Rz. 644 (Stand: 8/2015). 85 Bisges, StB 2012, 309 (313); Hager, in: Haase, Geistiges Eigentum, Rz. 3.22. 86 Krumm, in: Blümich, EStG, KStG, GewStG, § 5 EStG Rz. 644 (Stand: 8/2015). 87 Krumm, in: Blümich, EStG, KStG, GewStG, § 5 EStG Rz. 644 (Stand: 8/2015). 88 Bisges, StB 2012, 309 (311). 89 BFH v. 19.10.2006 – III R 6/05, BStBl II 2007, 301 (303).
Backu/Bayer
949
F Rz. 71
Die steuerliche Behandlung von Software und IT-Dienstleistungen
2. Bilanzierung nach IFRS (International Financial Reporting Standards) 71
Bilanziert ein Unternehmen gemäß IFRS,90 so ergeben sich insb. bei der Bilanzierung selbst erstellter immaterieller Wirtschaftsgüter Abweichungen zu den HGB-Regelungen. Diese basieren darauf, dass für die Bilanzierung nach dem HGB das Vorsichtsprinzip maßgeblich ist, welches dem Gläubigerschutz und der Kapitalerhaltung dient und den Abfluss von Vermögenswerten verhindern soll, solange die Gewinne nicht realisiert sind. Das IFRS hingegen wendet sich in erster Linie an Investoren, sodass die Transparenz im Vordergrund steht.
72
Die Bilanzierung von immateriellen Vermögenswerten, die ein Unternehmen selbst erworben oder selbst geschaffen hat, ist in IAS 38 (International Accounting Standards) geregelt.91 Immaterielle Vermögenswerte sind identifizierbare, nicht monetäre Vermögenswerte ohne physische Substanz.92 Liegt gemäß der vorliegenden Definition ein Vermögenswert vor, so wird dieser Wert in der Bilanz angesetzt, wenn es wahrscheinlich ist, dass der künftige wirtschaftliche Nutzen dem Unternehmen zufließt und die Anschaffungs- oder Herstellungskosten verlässlich bewertet werden können. Dies gilt sowohl in Bezug auf den erstmaligen Ansatz als auch im Hinblick auf nachträglich anfallende Kosten.
73
Bei selbst erstellten immateriellen Vermögenswerten sind die Herstellungskosten anzusetzen, wenn diese verlässlich bewertet werden können (IAS 38.18 (a), IAS 38.21 (b) und IAS 38.65).93 Aktivierungspflichtig sind aber nicht nur die Herstellungskosten, sondern unter bestimmten Voraussetzungen auch die Entwicklungsaufwendungen (IAS 38.57).94 Nicht aktiviert werden dürfen hingegen Forschungsaufwendungen.95
74
Die dadurch erforderliche Unterscheidung zwischen der Forschungs- und der Entwicklungsphase (IAS 38.52) ist – ähnlich bei der Bilanzierung nach HGB – oftmals sehr schwierig. Ferner dürfen auch nach IFRS selbst geschaffene Markennamen nicht als immaterielle Vermögenswerte angesetzt werden (IAS 38.63). Im Anschluss an die Erstbewertung ist eine Folgebewertung nach zwei verschiedenen Methoden möglich (IAS 38.72 ff.), nämlich dem Anschaffungskostenmodell oder dem Neubewertungsmodell. Allerdings kann das Wahlrecht nur für Gruppen von Vermögensgegenständen ausgeübt werden, die in ihrer Art und ihrem Verwendungszweck ähnlich sind. Somit steht ein Wahlrecht nicht für jeden einzelnen Vermögens90 Eine Pflicht, nach IFRS zu bilanzieren, besteht gemäß § 315a Abs. 2 HGB nur für kapitalmarktorientierte Konzernmutterunternehmen, deren Wertpapiere in einem EU-Mitgliedstaat börsennotiert sind. Ferner können kapitalmarktorientierte Konzernmutterunternehmen einen IFRS-Konzernabschluss mit befreiender Wirkung erstellen, sodass sie davon befreit sind, eine Bilanz gemäß HGB aufzustellen. Andere Unternehmen können freiwillig, d.h. zusätzlich zu dem HGB-Abschluss, einen Abschluss nach IFRS erstellen. 91 Nicht anwendbar ist IAS 38, sofern die Bilanzierung in anderen Standards vorrangig geregelt ist. Z.B. könnte die Erstellung/Modifikation von Software im Kundenauftrag IAS 18 (Revenues) betreffen. Es ist somit im Einzelfall sorgfältig zu prüfen, welcher Standard anzuwenden ist. Auch wird die Zuordnung im Einzelfall nicht immer eindeutig sein können, so auch Fuchs, in: Buschhüter/Striegel, Internationale Rechnungslegung, IAS 38 Rz. 12 m.w.N., einschließlich der Abgrenzung zu anderen Standards. Zur Bilanzierung von Software nach IFRS: Ramscheid, in: Beck’sches IFRS-Handbuch § 4 Rz. 54 ff. 92 Näher zu den einzelnen Merkmalen Fuchs, in: Buschhüter/Striegel, Internationale Rechnungslegung, IAS 38 Rz. 20 ff. 93 Die IFRS werden von einem privatrechtlichen Verein nationaler Verbände von Rechnungslegern und Wirtschaftsprüfern mit dem Sitz in London veröffentlicht. Der privatrechtliche Verein nannte sich in der Vergangenheit IASC und führt nun, seit 2001, die Umbenennung in IASB. IAS sind die vom IASC verabschiedeten, weiterhin gültigen Standards. IFRS sind die vom IASB verabschiedeten Standards, wobei „IFRS“ auch als Oberbegriff für beide Standards verwendet wird. Die IFRS werden nur verbindlich, wenn und soweit sie in Rechtsakten für verbindlich erklärt werden. Dies erfolgt durch VO 1606/2002 (ABl. 2002 Nr. L 243/1), geändert durch VO 297/2008 (ABl. 2008 Nr. L 97/62). 94 Zur Beurteilung nach HGB s.o. Rz. 40 ff. Die Kriterien des IAS 38.57 werden nunmehr auch in Deutschland zur Abgrenzung zwischen aktivierungsfähigen Entwicklungsaufwendungen und nicht aktivierungsfähigen Forschungsaufwendungen verwendet. 95 Diese sind in der Periode als Aufwand zu erfassen, in der sie angefallen sind (IAS 38.54).
950
Backu/Bayer
Bewertung und Bilanzierung von Software
Rz. 77
F
gegenstand zur Verfügung. Zudem ist das Neubewertungsmodell nur anzuwenden, wenn für die jeweiligen immateriellen Vermögenswerte ein aktiver Markt existiert.96 Planmäßig abzuschreiben sind jedoch ausschließlich Vermögenswerte mit begrenzter Nutzungsdauer. Vermögenswerte mit unbegrenzter Nutzungsdauer unterliegen einem jährlichen Test auf Werthaltigkeit (sog. Impairmenttest). In Bezug auf eine selbst erstellte eigene Internetpräsenz gelten die Prinzipien des SIC-32.97 75 Demnach stellen unternehmenseigene Internetseiten grds. einen immateriellen Vermögenswert i.S.v. IAS 38 dar. Eine Aktivierungspflicht gemäß IAS 38 besteht demnach nur, wenn die Internetseite einen voraussichtlichen wirtschaftlichen Nutzen erfüllen wird (z.B. dadurch, dass über die Internetseite eine Online-Bestellung möglich ist und Umsatzerlöse erwirtschaftet werden). Die anzusetzende (geschätzte) Nutzungsdauer hat kurz zu sein (SIC-32.10). Wird eine Website, wie im Regelfall, sowohl für die Imagebildung als auch für den Verkauf von Produkten/Dienstleistungen genutzt, so liegt ein einheitlicher Vermögensgegenstand vor. Den IAS ist nicht zu entnehmen, wie die Abgrenzung im Einzelfall vorzunehmen ist. Es wird aufgrund der Website im Regelfall kaum festgelegt werden können, wo der Schwerpunkt der Betätigung liegt. Denkbar erscheint es, stets dann von einem wirtschaftlichen Nutzen auszugehen, wenn die Website auch zum Verkauf von Produkten/Dienstleistungen genutzt wird. Zu aktivieren sind diejenigen Kosten, welche der Website direkt oder aufgrund eines nachvollziehbaren Verteilungsschlüssels zugeordnet werden können. Nicht aktiviert werden dürfen Kosten, welche dem Bilanzierenden dadurch entstehen, dass die Produkte/Dienstleistungen auf der Website angeboten bzw. vertrieben werden (z.B. Kosten für die Erstellung von Fotos); diese sind vielmehr sogleich gewinnmindernd abzuziehen. Ebenfalls gilt dies für Kosten, die durch den laufenden Betrieb der Internetpräsenz entstehen.98 Für kleine und mittelgroße Unternehmen wurden gesonderte Rechnungslegungsstandards 76 entworfen, nämlich die IFRS for SME (International Financial Reporting Standards for small and medium-sized entities). Diese Vorschriften basieren auf den IFRS, sind jedoch als eigenständige Rechnungslegungsvorschriften anzusehen. Insb. beinhalten diese IFRS Vereinfachungen, um den besonderen Bedürfnissen kleiner und mittelgroßer Unternehmen gerecht zu werden.99 Allerdings sind die IFRS-SME auf europäischer Ebene nicht verbindlich und stehen derzeit auch in Widerspruch zu der europäischen Bilanzrichtlinie.100 Wesentliche Unterschiede zwischen der Bilanzierung nach HGB und nach IAS bestehen demnach darin, dass nach HGB für selbst geschaffene immaterielle Vermögensgegenstände Aktivierungswahlrechte vorhanden sind101 und dass bei der Bilanzierung nach IAS im Gegensatz zur Bewertung nach HGB nicht nur eine Folgebewertung möglich ist, sondern auch eine Neubewertung.102 96 Näher Fuchs, in: Buschhüter/Striegel, Internationale Rechnungslegung, IAS 38 Rz. 108 ff. 97 Bei den „SIC“ handelt es sich um verbindliche Auslegungsregeln der Standards. SIC-32 beinhaltet dabei eine verbindliche Auslegung zu der Frage, unter welchen Voraussetzungen die Kosten für die Erstellung einer Website aktiviert werden können. Nicht anwendbar ist SIC-32 jedoch für den Erwerb, die Entwicklung und den Betrieb der Hardware einer Internetseite. Die Bilanzierung dieser Kosten richtet sich nach IAS 16. 98 Strunk, IWB 2002, 23 (24). 99 Ein Überblick über die IFRS-SME findet sich bei Driesch, in: Beck’sches IFRS-Handbuch § 46 Rz. 46 ff.; Pellens, in: Pellens/Fülbier/Gassen/Sehlhorn, Internationale Rechnungslegung, S. 346 f. 100 RL 2013/34/EU (ABl. 2013 Nr. L 182/19), Näher zu dem Widerspruch und zu einem Ausblick in die Zukunft: Driesch, in: Beck’sches IFRS-Handbuch § 4 Rz. 6 ff.; Kajüter/Saucke/Hebestreit/Schellhorn, IRZ 2015, 15 (20 ff.). 101 Zusammenfassend s. Ramscheid, in: Beck’sches IFRS-Handbuch, § 4 Rz. 163 ff. 102 Diese ist aber nur zulässig, wenn die Zugangsbewertung zu Anschaffungs- oder Herstellungskosten erfolgt ist; eine Ausnahme besteht jedoch bei selbst erstellten immateriellen Wirtschaftsgütern: Konnten während des Entwicklungsprozesses mangels der Ansatzkriterien die entsprechenden Kosten nicht aktiviert werden, so kann die Neubewertung auch unter Einbeziehung dieser ehemaligen Kosten erfolgen; Vögele, Geistiges Eigentum – Intellectual Property, C, Rz. 97.
Backu/Bayer
951
77
F Rz. 78
Die steuerliche Behandlung von Software und IT-Dienstleistungen
3. Bilanzierung nach US-GAAP 78
Die Bilanzierung nach US-GAAP dient vergleichbar der Bilanzierung nach IFRS dem Schutz der Investoren.103 In den letzten Jahren wurden erhebliche Anstrengungen zur Angleichung der US-GAAP an IFRS unternommen, ohne dass eine vollständige erzielt werden konnte.
79
Der Begriff des immateriellen Vermögenswerts nach US-GAAP entspricht materiell demjenigen des IFRS. Immaterielle Wirtschaftsgüter, die entgeltlich erworben worden sind, unterliegen grds. einer Ansatzpflicht.
80
Bei selbständig geschaffenen immateriellen Wirtschaftsgütern bestehen im Gegensatz zur Bilanzierung nach HGB und nach IFRS Ansatzverbote sowohl in der Forschungs- als auch in der Entwicklungsphase. Die Kosten für selbst erstellte immaterielle Wirtschaftsgüter sind im Regelfall als Aufwand zu buchen, denn der überwiegende Teil der Kosten ist dem Bereich Forschung und Entwicklung zuzuordnen, die prinzipiell nicht aktiviert werden dürfen. In Ausnahmefällen sind die Kosten doch zu aktivieren, sofern der immaterielle Vermögenswert einen eigenständigen Nutzen und eine begrenzte Nutzungsdauer besitzt und selbständig veräußerbar ist.
81
Soll neu erstellte Software zukünftig vermarktet werden, so erfolgt eine Unterteilung des Verfahrens in folgende Schritte:104 – Sämtliche Kosten bis zur Erreichung der sog. technischen Machbarkeit sind als Aufwand sofort abzugsfähig.105 – Kosten, die nach der technischen Machbarkeit bis zur Marktreife entstehen (etwa für das Programmieren und Testen des Programms), sind zu aktivieren. Die Aktivierung endet, wenn das Programm an die Kunden ausgeliefert werden kann. – Kosten für die Vervielfältigung des Programms, die Herstellung und die Verpackung106 sind als Herstellungskosten für Vorräte anzusehen und zu aktivieren. – Kosten für nachfolgende Wartung und Support stellen sofort abziehbaren Aufwand dar.
82
Das vorstehende Prinzip wird auch bei der internen Nutzung von selbst erstellter Software angewandt (und stellt damit eine Ausnahme vom Aktivierungsverbot für selbst geschaffene Wirtschaftsgüter dar). Gleichfalls aktiviert werden die Kosten für die Entwicklung von Websites.
83
Immaterielle Vermögenswerte sind über die Nutzungsdauer abzuschreiben; es ist diejenige Nutzungsdauer anzuwenden, die den Nutzungsverlauf am besten wiedergibt, sonst ist die lineare Abschreibung zu wählen. Von Bedeutung ist, dass im Gegensatz zu der Bewertung anhand IFRS eine Neubewertung von immateriellen Wirtschaftsgütern nicht möglich ist, vielmehr ist eine Bilanzierung zu den fortgeführten Anschaffungskosten vorzunehmen.
103 Näher zu US-GAAP Vögele, Geistiges Eigentum – Intellectual Property, C Rz. 22, 50 ff. Zur Bilanzierung nach US-GAAP s.a. Suermann, Bilanzierung von Software nach HGB, US-GAAP und IFRS, S. 75 ff. (die Ausführungen zur Bilanzierung nach HGB sind aufgrund mittlerweile in Kraft getretener Änderungen aber nicht mehr aktuell). 104 Alves, Reporting nach US-GAAP, S. 136 f. m.w.N. 105 Technische Machbarkeit bedeutet, dass das Unternehmen alle erforderlichen Schritte (Anforderungsanalyse, Programmdesign, Festlegung der Spezifikationen) durchgeführt hat, um mit der endgültigen Erstellung des Programms beginnen zu können. 106 Dies war insb. in früheren Jahren von Bedeutung, als Programme nicht mehrheitlich via Download erworben worden sind.
952
Backu/Bayer
Umsatzsteuerliche Regelungen
Rz. 87
F
III. Umsatzsteuerliche Regelungen 1. Einführung/Überblick Die Umsatzsteuer wird in Form der Mehrwertsteuer erhoben.107 Das Recht der Umsatzsteuer 84 ist in der Europäischen Union weitgehend harmonisiert und basiert nunmehr auf der Mehrwertsteuersystemrichtlinie.108 Richtlinien der Europäischen Union bedürfen prinzipiell der Umsetzung durch den jeweiligen nationalen Gesetzgeber in das nationale Recht. Daneben werden auf europäischer Ebene auch unmittelbar geltende Verordnungen erlassen, die oftmals Durchführungsbestimmungen in Bezug auf die Richtlinien beinhalten.109 Der Umsatzsteuer unterliegen Umsätze aus Lieferungen und sonstigen Leistungen, die ein 85 Unternehmer im Inland gegen Entgelt im Rahmen seines Unternehmens ausführt (§ 1 Abs. 1 Nr. 1 UStG) oder die Einfuhr von Gegenständen im Inland (§ 1 Abs. 1 Nr. 4 UStG) und der innergemeinschaftliche Erwerb im Inland gegen Entgelt (§ 1 Abs. 1 Nr. 5 UStG). Im IT-Bereich verfügt § 1 Abs. 1 Nr. 1 UStG über die größte Bedeutung, da hiervon nicht nur die Lieferungen eines z.B. in Deutschland ansässigen Unternehmens erfasst werden, sondern etwa auch das Erbringen von Dienstleistungen. 2. Unternehmereigenschaft Gemäß der Definition des § 2 Abs. 1 Satz 1 UStG ist Unternehmer, wer eine gewerbliche oder 86 berufliche Tätigkeit selbständig ausübt. Gewerblich oder beruflich ist jede nachhaltige Tätigkeit zur Erzielung von Einnahmen (§ 2 Abs. 1 Satz 3 UStG). Unternehmer sind damit Gewerbetreibende wie juristische Personen (z.B. GmbH, AG), Personengesellschaften (z.B. GbR, oHG, KG, GmbH & Co. KG) oder Einzelkaufleute. Daneben sind z.B. auch Freiberufler, Vermieter/Verpächter und sonstige Personen als Unternehmer einzustufen, sofern sie nachhaltig entgeltliche Leistungen erbringen oder erbringen wollen. Nicht erforderlich ist eine Gewinnerzielungsabsicht.110 Auch ausländische Unternehmer können Unternehmer i.S.d. § 2 UStG sein. Rechtsfolge der Einstufung als Unternehmer ist, dass der Unternehmer verpflichtet ist, die Umsatzsteuer an das Finanzamt abzuführen. Die Umsatzsteuer wird jedoch nicht erhoben, sofern der Nettoumsatz im vorangegangenen Kalenderjahr 17.500 Euro nicht überstiegen hat und im laufenden Kalenderjahr 50.000 Euro voraussichtlich nicht übersteigen wird (§ 19 Abs. 1 Satz 1 UStG, sog. Kleinunternehmerprivileg).111 Macht ein Umsatzsteuerpflichtiger von diesem Kleinunternehmerprivileg Gebrauch, so ist er jedoch auch nicht zum Vorsteuerabzug gemäß § 15 UStG berechtigt.112
107 Bei der Umsatzsteuer handelt es sich nach deutschem Recht um eine Verkehrssteuer. Der EuGH sieht diese materiell als Verbrauchssteuer an. 108 Richtlinie vom 28.11.2006, RL 2006/112/EG; zuletzt geändert durch Art. 1 ÄnderRL 2013/61/EU v. 17.12.2013. Zur Entwicklung des Umsatzsteuerrechts in Europa s. Backu/Bayer, UStB 2014, 321 ff. 109 Ausnahmsweise kann zugunsten des Steuerpflichtigen eine Richtlinie auch unmittelbar anwendbar sein, wenn die Richtlinie nicht rechtzeitig in nationales Recht umgesetzt worden ist und die Regelungen der Richtlinie für eine unmittelbare Anwendbarkeit hinreichend klar und genau sind (so z.B. EuGH v. 6.7.1995 – C-62/93, Slg. 1995, I-1883 – Soupergaz). 110 Klenk, in: Sölch/Ringleb, Umsatzsteuer, § 2 UStG Rz. 10 (Stand: 3/2016). 111 Die Einzelheiten der Berechnung der Umsatzgrenzen sind in § 19 Abs. 1 Satz 2 und Abs. 3 UStG enthalten. 112 Erreicht ein Unternehmer diese Umsatzgrenzen nicht, kann er aber dennoch gegenüber dem Finanzamt erklären, dass er auf die Anwendung des Kleinunternehmerprivilegs verzichtet. Diese Erklärung bindet den Unternehmer nach Eintritt der Unanfechtbarkeit der Steuerfestsetzung für mindestens fünf Kalenderjahre (§ 19 Abs. 2 Satz 2 UStG). Ein Verzicht auf das Kleinunternehmerprivileg kommt v.a. dann in Betracht, wenn der Kleinunternehmer einen nicht nur unerheblichen Vorsteuerabzug geltend machen kann. Denn nur bei einem Verzicht auf das Kleinunternehmerprivileg kann er die von ihm auf die Betriebsausgaben entrichtete Umsatzsteuer als Vorsteuerabzug berücksichtigen.
Backu/Bayer
953
87
F Rz. 88
Die steuerliche Behandlung von Software und IT-Dienstleistungen
88
Auch Personen, die sich selbst als „Privatpersonen“ begreifen, sind Unternehmer i.S.d. Umsatzsteuergesetzes, wenn sie sich z.B. in ihrer Freizeit gewerblich betätigen.113 Praktisch relevant wurde dies in letzter Zeit oftmals bei Verkäufen über das Internet, z.B. über eBay. Ob die Tätigkeit im Einzelfall als nachhaltig und somit als unternehmerisch anzusehen ist, beurteilt der BFH anhand des Gesamtbilds der Verhältnisse – dieses ist aufgrund von verschiedenen Kriterien zu ermitteln, die unterschiedlich gewichtet werden können.114 Beispiele sind etwa die Dauer und die Intensität des Tätigwerdens, die Höhe der vereinnahmten Entgelte, die Beteiligung am Markt und die Zahl der ausgeführten Umsätze. Nicht von Bedeutung ist allerdings, ob bereits beim Wareneinkauf eine Wiederverkaufsabsicht vorhanden war.115
89
Betätigungen bei ebay etc. führen zu verstärkter Aufmerksamkeit der Finanzverwaltung.116 So haben das FG Nds. und der BFH bereits über Klagen gegen ein Sammelauskunftsbegehren der Finanzverwaltung entschieden.117 Der BFH ist dabei zu dem Ergebnis gelangt, dass sowohl vertragliche Vereinbarungen mit einem Auftragsdatenverarbeiter als auch Geheimhaltungspflichten gegenüber Kunden und/oder Vertragspartnern unbeachtlich sind.118 In Bezug auf die Verhältnismäßigkeitsprüfung bestehen bei einem Sammelauskunftsbegehren niedrige Hürden: Ein evtl. Vertrauen der betroffenen Nutzer auf eine (z.B. aufgrund der Verwendung von Pseudonymen) weitgehend gewährleistete Anonymität wird nach der bislang ergangenen Rspr. nicht als schutzwürdig erachtet. Unverhältnismäßig ist ein Sammelauskunftsbegehren regelmäßig, wenn von einem Dritten Auskünfte gefordert werden, die die Finanzverwaltung auf andere Weise einfacher und ohne größere Belastung Dritter erlangen könnte. Keine einfachere Möglichkeit stelle insb. eine Auswertung des Impressums von Personen dar, die sich selbst als gewerbliche Verkäufer einstufen. Denn auf diese Weise könnten solche Personen nicht erfasst werden, die als Privatverkäufer agieren, bei denen aber aufgrund der Anzahl der Verkäufe zumindest fraglich ist, ob sie nicht die Voraussetzungen einer gewerblichen Tätigkeit erfüllen. Als hinreichenden Anlass für ein Sammelauskunftsersuchen sah es das FG Nds. an, dass sich bei der Überprüfung von Nutzern anderer Internethandelsplattformen gezeigt hatte, dass ein hoher Anteil von steuerunehrlichen Nutzern vorhanden sei und damit im Onlinehandel ein strukturelles Vollzugsdefizit vorliege.119 Zudem vertraten sowohl der BFH als auch das FG Nds. die Auffassung, dass die fehlende Herausgabe der Daten nicht auf das Datenschutzrecht gestützt werden könne. Verstößt das die Daten herausgebende inländische Unternehmen durch die Herausgabe z.B. gegen ausländisches Datenschutzrecht, so sei dies unerheblich. Die extraterritoriale Wirkung finanzbehördlicher Maßnahmen soll demnach zulässig sein, wenn sie zur Durchsetzung des Steueranspruchs gegen inländische Steuerpflichtige notwendig sei. Auch fänden gemäß § 1 Abs. 2 TMG die in den §§ 11–15a 113 Zu den zivilrechtlichen Konsequenzen einer Einstufung als Unternehmer: s. B Rz. 6 ff. 114 BFH v. 4.9.2008 – V R 10/06, BFH/NV 2009, 230; FG Köln v. 6.2.2013 – 14 K 1469/11, bestätigt durch BFH v. 22.11.2013 – X B 35/13 und v. 9.11.2014 – XI B 6/14. S.a. Schlömer/Dittrich, K&R 2011, 159. 115 BFH v. 26.4.2012 – V R 2/11, Rz. 36, BStBl II 2012, 634 ff.; in dem konkreten Fall wurden durch die Steuerpflichtigen innerhalb von fünf Jahren etwa 1.200 Verkaufsvorgänge getätigt. Zur Abgrenzung der Unternehmereigenschaft von privater (Sammel-)Tätigkeit s.a. BFH v. 27.1.2011 – V R 21/09 Rz. 22 ff., BStBl. II 2011, 524 ff.; FG Köln v. 4.3.2015 – 14 K 188/13, EFG 2015, 1103. S. hierzu auch Vogt, ITRB 2015, 235; FG Münster v. 19.6.2015 – 14 K 3865/12 E U, EFG 2015, 1498. 116 Wissenswert ist auch, dass das Internet mit Hilfe des X-Pider-Systems nach im elektronischen Geschäftsverkehr tätigen und in Deutschland steuerpflichtigen Unternehmen durchsucht wird, die aber (umsatzsteuerlich) nicht registriert sind; BT-Drs. 16/7782, S. 1. Allerdings sollen die durch dieses System erzeugten Daten nicht schlüssig sein, sodass es den Daten an der Nutzbarkeit fehle (Bundesrechnungshof, BT-Drs. 16, 3200, S. 206). 117 FG Nds. v. 23.2.2012 – 5 K 397/10, EFG 2012, 1222 ff.; aufgehoben durch den BFH v. 16.5.2013 – II R 15/12, DStRE 2013, 1068 ff., und an das FG Nds. zurückverwiesen. Das FG hat im Jahr 2015 die Klage gegen das Sammelauskunftsbegehren zurückgewiesen, 30.6.2015 – 5 K 177/13, EFG 2015, 1662 ff. Zu dem letzten Urteil des FG s. z.B. Löwe-Krahl, PStR 2015, 319 ff. 118 S. hierzu z.B. Backu/Bayer, ITRB 2014, 82 (82 f.). Ferner zum Sammelauskunftsbegehren: Eisolt, DStR 2012, 1840 (1843); Schneidenbach, SteuK 2013, 367 f. Ausfühlich zu den verschiedenen Verfahren Weigelt, UStB 2014, 234 ff. 119 Ein strukturelles Vollzugsdefizit macht ein Handeln des Gesetzgebers erforderlich.
954
Backu/Bayer
Umsatzsteuerliche Regelungen
Rz. 92
F
TMG enthaltenen Vorschriften über den Datenschutz für den Bereich der Besteuerung keine Anwendung. Ein Auskunfts- und Vorlageverweigerungsrecht ergebe sich ferner nicht aus dem Bundesdatenschutzgesetz. Denn bei einem i.Ü. rechtmäßigen Auskunftsersuchen liege keine Verletzung datenschutzrechtlicher Vorschriften vor.120 Übt eine bereits unternehmerisch tätige natürliche Person (z.B. Vertrieb von Software) zusätzliche Tätigkeiten aus, die nicht dem Gegenstand ihres Unternehmens zugeordnet werden können (etwa Verkäufe über eBay), so ist nach deutscher Rechtslage nicht abschließend geklärt, ob es sich bei der zusätzlich ausgeübten Tätigkeit automatisch um eine unternehmerische handelt oder ob dies im Einzelfall zu prüfen ist.121
89a
3. Lieferung oder sonstige Leistung Das UStG unterscheidet zwischen Lieferungen und sonstigen Leistungen. Maßgeblich ist diese Unterscheidung u.a. für die Bestimmung des Ortes der Leistung.
90
Gemäß § 3 Abs. 1 UStG liegt eine Lieferung vor, sofern einem anderen die Verfügungsmacht 91 über einen Gegenstand verschafft wird. § 3 Abs. 9 UStG legt fest, dass unter sonstigen Leistungen sämtliche Leistungen zu verstehen sind, die keine Lieferungen sind; es findet daher eine Negativabgrenzung statt.122 Sonstige Leistungen sind insb. Dienstleistungen, Gebrauchs- und Nutzungsüberlassungen. Große Bedeutung besitzen i.R.d. sonstigen Leistung auf elektronischem Weg erbrachte sonstige Leistungen. Diese stellen Leistungen dar, die über das Internet oder über ein elektronisches Netz erbracht werden und deren Erbringung ohne Informationstechnologie überhaupt nicht möglich wäre.123 Auf elektronischem Weg erbrachte sonstige Leistungen sind insb.:124 – Bereitstellung von Websites, Webhosting, Fernwartung von Programmen und Ausrüstungen (einschließlich Online-Bereitstellung von Speicherplatz nach Bedarf); – Bereitstellung von Software und deren Aktualisierung (einschließlich Gewährung des Zugangs zu oder das Herunterladen von Software und Updates, Bannerblocker, Herunterladen von Treibern, automatisierte Online-Installation von Filtern auf Websites und automatisierte Online-Installation von Firewalls);125 – Bereitstellung von Bildern (etwa Gewährung des Zugangs zu oder das Herunterladen von Desktop-Gestaltungen, Fotos, Bildern und Bildschirmschonern);
120 Kritisch zu der Frage, ob die datenschutzrechtlichen Vorschriften durch die AO verdrängt werden: Kehr, PStR 2015, 152 ff. 121 Der BFH hat dies bislang offen gelassen, BFH v. 12.8.2015 – XI R 43/13, DStR 2015, 2175 ff. In dem konkreten Fall hat der BFH bereits aufgrund der Nachhaltigkeit der Tätigkeit (s.o. Rz. 88) eine unternehmerische Tätigkeit bejaht. Der EuGH hat hingegen entschieden, dass eine unternehmerisch tätige natürliche Person für jede weitere, auch nur gelegentlich ausgeübte Tätigkeit als Unternehmer anzusehen sei, EuGH v. 13.6.2013 – C-62/13, DStR 2013, 1328 ff. 122 Im Bereich der IT liegt weit überwiegend keine Lieferung, sondern eine sonstige Leistung vor. Daher wird bei der Bestimmung des Ortes der Leistung fast ausschließlich auf die sonstige Leistung eingegangen. 123 Art. 7 Abs. 1 VO 282/2011. 124 Abschn. 3a.12 Abs. 3 UStAE, basierend auf Art. 7 Abs. 2 VO 282/2011. 125 Gleichfalls soll eine elektronische Dienstleistung die Online-Nutzung von Standardsoftware darstellen. Da der Kunde keine Programmkopie zum Download erhält, handelt es sich dabei zwar nicht um die Überlassung eines digitalen Produkts. Allerdings genügt nach UStAE auch die „Gewährung des Zugangs“. Damit stellt auch die i.R.d. Cloud Computing erfolgende Online-Nutzung von Standardsoftware eine elektronisch erbrachte Dienstleistung dar; näher mit Verweis auf die EU-Vorschriften Pinkernell, Ubg 2012, 331 (341).
Backu/Bayer
955
92
F Rz. 93
Die steuerliche Behandlung von Software und IT-Dienstleistungen
– Bereitstellung von Texten und Informationen (z.B. E-Books und andere elektronische Publikationen, Abonnements von Online-Zeitungen, Online-Nachrichten, Werbung in elektronischen Netzen und Bereitstellung von Werbeplätzen); – Bereitstellung von Datenbanken (Suchmaschinen, Internetverzeichnisse etc.); – Zurverfügungstellung eines Chat-Raums;126 – Bereitstellung von Musik (etwa Gewährung des Zugangs zu oder das Herunterladen von Musik auf PC, Mobiltelefone etc. und die Gewährung des Zugangs zu oder das Herunterladen von Jingles, Ausschnitten und anderen Tönen); – Bereitstellung von Filmen und Spielen, einschließlich Glücksspielen und Lotterien;127 – Bereitstellung von Sendungen und Veranstaltungen (z.B. aus den Bereichen Politik, Kultur, Kunst, Sport, Wissenschaft und Unterhaltung). Hierzu gehört auch der Web-Rundfunk, der ausschließlich über das Internet/ähnliche elektronische Netze ausgestrahlt wird, ohne dass gleichzeitig eine Ausstrahlung auf herkömmlichem Weg erfolgt. Ferner gehört dazu die Bereitstellung von über ein Rundfunk- oder Fernsehnetz, das Internet oder ein ähnliches elektronisches Netz verbreitete Rundfunk- oder Fernsehsendungen, die der Nutzer zum Anhören oder Anschauen zu einem von ihm bestimmten Zeitpunkt aus einem von dem Mediendiensteanbieter bereitgestelltem Programm auswählt, wie Fernsehen auf Abruf oder Video-on-Demand; – Erbringen von Audio- und audiovisuellen Inhalten über Kommunikationsnetze, die weder durch einen Mediendiensteanbieter noch unter dessen redaktioneller Verantwortung erfolgt; – Weiterleitung von Audio- und audiovisuellen Inhalten eines Mediendiensteanbieters über Kommunikationsnetze durch einen anderen Unternehmer als den Mediendiensteanbieter; – Erbringen von Fernunterrichtsleistungen; – Online-Versteigerungen (sofern diese nicht bereits als Web-Hosting-Leistungen einzustufen sind) über automatisierte Datenbanken mit Dateneingabe durch den Leistungsempfänger, die kein oder nur wenig menschliches Eingreifen erfordern (etwa Online-Marktplatz, Online-Einkaufsportal); – Internet-Service-Pakete, die mehr als nur die Gewährung des Zugangs zum Internet ermöglichen und weitere Elemente umfassen (z.B. Nachrichten, Wetterbericht, Reiseinformationen, Spielforen, Web-Hosting, Zugang zu Chatlines etc.); – Internettelefonie. 93
Oftmals setzt sich eine Leistung aus mehreren Bestandteilen zusammen (z.B. Liefer- und Dienstleistungselemente). Eine solche Leistung ist eine einheitliche Leistung, wenn ein Teil als Hauptleistung und ein Teil als Nebenleistung anzusehen ist. Als Nebenleistung ist eine Leistung einzuordnen, sofern sie keinen eigenen Zweck hat, sondern sie z.B. nur das Mittel dazu darstellt, die Hauptleistung unter optimalen Bedingungen in Anspruch zu nehmen.128 Die Nebenleistung teilt umsatzsteuerrechtlich das Schicksal der Hauptleistung. Beinhaltet eine einheitliche Leistung Liefer- und Dienstleistungselemente, ist sie entweder als Liefe126 BFH v. 1.6.2016 – XI R 29/14, BFH/NV 2016, 1646. Dem Urteil liegt folgende Konstellation zugrunde: Bei einer Online-Partnervermittlung berechtigt die entgeltliche Mitgliedschaft zum Zugriff auf Informationen anderer Mitglieder und ermöglicht die direkte Kontaktaufnahme. Eine elektronisch erbrachte Dienstleistung lag deshalb vor, da der mit der Mitgliedschaft verfolgte Zweck ohne eine Datenbank mit automatischer Such- und Filterfunktion nicht möglich war und im entschiedenen Fall die menschliche Beteiligung gering war. 127 Ob tatsächlich alle Arten von über das Internet angebotenen Glücksspielen als elektronisch erbrachte Leistungen qualifiziert werden können (einschließlich Live-Casinos oder Sportwetten), ist noch nicht entschieden. 128 Martin, in: Sölch/Ringleb, Umsatzsteuer, § 3 UStG Rz. 532 (Stand: 9/2012).
956
Backu/Bayer
Umsatzsteuerliche Regelungen
Rz. 97
F
rung oder als sonstige Leistung einzugruppieren. Maßgeblich soll die objektive Gesamtbetrachtung aus der Sicht eines fiktiven Durchschnittsverbrauchers sein.129 Bei Leistungen der elektronischen Datenverarbeitung gelten in Bezug auf die Abgrenzung 94 zwischen Lieferung und sonstiger Leistung folgende Grundsätze:130 – Hardware kann den Gegenstand einer Lieferung bilden. Hardware ist zusammen mit gelieferter Software als eine einheitliche Leistung anzusehen, sofern die Systemsoftware mit der Hardware ohne gesonderte Berechnung und ohne Aufteilbarkeit des Entgelts zur Verfügung gestellt wird;131 – Die Veräußerung von Standardsoftware auf Datenträgern oder von Updates ist als eine Lieferung zu qualifizieren;132 dies gilt gleichfalls bei dem Vertrieb von E-Books/Filmen/ Musik/Hörbüchern auf Datenträgern; – Die Übertragung standardisierter Software auf elektronischem Weg ist eine sonstige Leistung; vergleichbares gilt bei dem Vertrieb von E-Books/Filmen/Musik/Hörbüchern etc. auf elektronischem Weg; – Die Überlassung nicht standardisierter Software stellt gleichfalls eine sonstige Leistung dar, da hier der Dienstleistungscharakter im Vordergrund steht. Dies gilt ebenso bei der Überlassung von Standardsoftware, bei der umfangreiche Anpassungen (zu beurteilen anhand Umfang, Kosten, Dauer) vorgenommen werden und auch dann, wenn zwei getrennte Preise bezahlt werden.133 4. Ort der Leistung Der Ort der Leistung ist entscheidend dafür, ob der Umsatz in Deutschland steuerbar ist. Ein Umsatz, bei dem der Ort der Leistung nicht in Deutschland liegt, ist in Deutschland nicht steuerbar. Wo der Ort der sonstigen Leistung liegt, bestimmt § 3a UStG.
95
4.1 Grundsätze der Bestimmung des Ortes der Leistung § 3a UStG wurde in den vergangenen Jahren so modifiziert, dass bei sonstigen Leistungen 96 häufig der Ort des Leistungsempfängers (sog. Bestimmungslandprinzip) den Leistungsort darstellt. Grds. liegt nach der Systematik des UStG aber bei einer sonstigen Leistung der Leistungsort dort, von dem aus der Unternehmer sein Unternehmen betreibt (§ 3a Abs. 1 Satz 1 UStG). Diese Regelung findet etwa dann Anwendung, wenn die Leistung gegenüber Personen erbracht wird, die keine Unternehmer sind (Nicht-Unternehmer, d.h. B2C-Bereich) und wenn keine andere vorrangige Bestimmung maßgeblich ist (Auffangvorschrift). Wird die Leistung gegenüber einem Unternehmer (sog. B2B-Bereich) für dessen Unternehmen ausgeführt, so gilt die Leistung am Sitz des Empfängers als ausgeführt (§ 3a Abs. 2 Satz 1 UStG). Hingegen liegt der Leistungsort am Sitz des Leistungserbringers (§ 3a Abs. 1 Satz 1 UStG), wenn die Leistung zwar für einen Unternehmer, aber ausschließlich für den privaten Bedarf des Personals oder eines Gesellschafters bestimmt sind (§ 3a Abs. 2 Satz 3 UStG). Handelt es sich um eine Lieferung, so ist grds. zu unterscheiden, ob der Gegenstand durch den Lieferer, den Abnehmer oder einen beauftragten Dritten befördert wird oder nicht. Er129 EuGH v. 11.2.2010 – C-88/09, Slg. 2010, I-1049 – Graphic Procédé; BFH v. 3.6.2009 – XI R 34/08, BStBl II 2010, 857. 130 Näher z.B. Martin, in: Sölch/Ringleb, Umsatzsteuer, § 3 UStG Rz. 52 (Stand: 3/2016). 131 BFH v. 28.7.1994 – III R 47/92, BStBl II 1994, 873 (874). 132 Abschn. 3.5 Abs. 2 Nr. 1 UStAE. 133 EuGH v. 27.10.2005 – C-41/04, Slg. 2005, I-9433 – Levob Verzekeringen BV u.a.; Abschn. 3.5 Abs. 3 Nr. 8 UStAE. Soweit (auch) eine urheberrechtliche Verwendung – z.B. Vervielfältigung und Verbreitung des Programms oder einzelner Programmteile – vereinbart ist, stellt diese nach Auffassung der Verwaltung im Regelfall nur eine Nebenleistung zur Überlassung des Know-how dar.
Backu/Bayer
957
97
F Rz. 98
Die steuerliche Behandlung von Software und IT-Dienstleistungen
folgt keine Beförderung oder Versendung, dann wird die Lieferung grds. dort ausgeführt, wo sich der Gegenstand zum Zeitpunkt der Verschaffung der Verfügungsmacht befindet (§ 3 Abs. 7 Satz 1 UStG).134 Findet eine Beförderung/Versendung statt, so ist maßgeblich, wo die Beförderung/Versendung beginnt (§ 3 Abs. 6 Satz 1 UStG). Schließen mehrere Unternehmer über einen Gegenstand Umsatzgeschäfte ab und gelangt der Gegenstand unmittelbar vom ersten an den letzten Abnehmer (sog. Reihengeschäft), dann ist für die Bestimmung des Ortes der Leistung gleichfalls ausschlaggebend, wo die Beförderung/Versendung beginnt (§ 3 Abs. 6 Satz 1 UStG). 4.2 Änderung des Leistungsorts elektronisch erbrachter Dienstleistungen im Bereich B2C seit dem 1.1.2015 98
Zum 1.1.2015 traten bei der Bestimmung des Ortes der Leistung Änderungen ein, wenn eine elektronisch erbrachte Dienstleistung an einen Nicht-Unternehmer erbracht wird. Dies war dadurch bedingt, dass es vor dem 1.1.2015 den Unternehmen möglich war, aus den unterschiedlichen Umsatzsteuersätzen in der Gemeinschaft Vorteile zu ziehen. Denn maßgeblich für die Höhe des Steuersatzes war bei sonstigen Leistungen an Nicht-Unternehmer der Steuersatz am Sitz des jeweiligen Unternehmens, d.h. des Leistenden. Damit konnten aus den differierenden Umsatzsteuersätzen in der Gemeinschaft seitens der Unternehmen Wettbewerbsvorteile generiert werden. Im Bereich B2C waren diejenigen Länder für den Vertrieb von Apps etc. besonders attraktiv, die generell einen niedrigen Steuersatz aufweisen oder die z.B. für bestimmte Leistungen einen ermäßigten Steuersatz gewähren. Dies galt u.a. für Luxemburg, wo der Umsatzsteuersatz generell 15 % betrug.
99
Seit dem 1.1.2015 bestimmt sich hingegen aufgrund von Art. 5 RL 2008/8/EG (diese Vorschrift ändert Art. 58 RL 2006/112/EG),135 für alle elektronisch erbrachten Dienstleistungen, Telekommunikations-, Rundfunk- und Fernsehleistungen, die an einen Nicht-Unternehmer erbracht werden, der Ort der Leistung nach dem Sitz des Leistungsempfängers (Bestimmungslandprinzip im Gegensatz zu dem bisher geltenden Ursprungslandprinzip).136 Neben der Ansässigkeit des Leistungsempfängers ist auch sein Wohnsitz oder sein gewöhnlicher Aufenthalt von Bedeutung.137 Dies gilt nur dann nicht, wenn die Vorschriften über die tatsächliche Nutzung oder Auswertung anwendbar sind.138 Um die praktische Handhabung zu erleichtern, sind bereits mehrere unmittelbar anwendbare Verordnungen ergangen.139 134 Näher zur Systematik der Prüfung der Leistungsorte, zu den Einzelheiten der Bestimmung und zu vorrangigen Sonderregeln: Martin, in: Sölch/Ringleb, Umsatzsteuer, § 3 UStG Rz. 445 ff. (Stand: 9/2012). 135 Art. 5 RL 2008/8/EG (Abdruck in ABl. 2008 Nr. L 44/11). 136 § 3a Abs. 5 UStG n.F. setzt das in der RL 2008/8/EG enthaltene Bestimmungslandprinzip in deutsches Recht um. 137 Eine nichtsteuerpflichtige juristische Person gilt dort als ansässig, wo Handlungen zu ihrer zentralen Verwaltung ausgeführt werden oder der Ort jeder anderen Niederlassung, wenn diese eine Struktur aufweist, dass Dienstleistungen, die für den eigenen Bedarf dieser Niederlassung erbracht werden, empfangen und dort verwendet werden können (Art. 13a VO 282/2011 [eingefügt durch VO 1042/2013]). Nicht geregelt ist jedoch, welcher der beiden Alternativen Vorrang zukommt, sodass Unsicherheiten verbleiben. In dem seit dem 1.1.2015 geltenden UStAE wird festgelegt, dass als Leistungsort vorrangig der Ort maßgeblich sein soll, an dem die Handlungen zur zentralen Verwaltung der juristischen Person vorgenommen werden, soweit keine Anhaltspunkte dafür vorliegen, dass die Leistung an deren Betriebsstätte genutzt oder ausgewertet wird (Abschn. 3a.9a Abs. 2 Nr. 1 UStAE). 138 Erfolgt die tatsächliche Nutzung oder die Auswertung außerhalb der Gemeinschaft, so können sich die Mitgliedstaaten darauf einigen, dass diese Konstellation so behandelt wird, als läge der Ort außerhalb der Gemeinschaft. Entsprechendes gilt, wenn die Nutzung/Auswertung innerhalb der Gemeinschaft erfolgt (Art. 59a RL 2006/112/EG, eingefügt durch RL 2008/8/EG). 139 VO 282/2011 (Abdruck in ABl. 2011 Nr. L 77/1) beinhaltet insb. Regelungen zum steuerbaren Umsatz und zum Ort des steuerbaren Umsatzes (Art. 7 VO 282/2011) nennt ferner beispielhaft Leistungen, die als elektronische Dienstleistung i.S.d. Richtlinie 2006/112/EG zu qualifizieren sind); Änderungen erfolgten durch VO 1042/2013 (Abdruck in ABl. 2013 Nr. L 284/1). VO 815/2012 (Abdruck in ABl. 2012 Nr. L 249/3) regelt z.B. Einzelheiten zu dem Informationsaustausch zwischen den Mitglied-
958
Backu/Bayer
Umsatzsteuerliche Regelungen
Rz. 100
F
Wichtig sind in diesem Zshg. insb. die nachfolgenden Festlegungen:
100
– Eine Person gilt nur dann als Nicht-Unternehmer, wenn diese Person gegenüber dem leistenden Unternehmer keine Umsatzsteueridentifikationsnummer verwendet.140 – Sind Leistungsempfänger in verschiedenen Mitgliedstaaten ansässig oder weicht der gewöhnliche Aufenthalt vom Wohnsitz ab, so geht der gewöhnliche Aufenthalt dem Wohnsitz vor, außer es bestehen Anhaltspunkte dafür, dass die Leistung am Wohnsitz erbracht wird.141 – Maßgeblich für die Bestimmung des Ortes des Dienstleistungsempfängers sind eine Vielzahl von widerlegbaren Vermutungen in Art. 24a und Art. 24b VO 1042/2013. Dies soll dazu dienen, für den leistenden Unternehmer Rechtssicherheit zu schaffen. – Bspw. wird bei WLAN-Hot-Spots oder bei Internetcafés vermutet, dass der Nicht-Unternehmer an diesem Ort ansässig ist/seinen gewöhnlichen Aufenthalt hat und die Dienstleistung hier genutzt wird.142 – Werden Telekommunikations-, Rundfunk- und Fernsehdienstleistungen oder elektronische Dienstleistungen über mobile Netze erbracht, dann wird vermutet, dass der Dienstleistungsempfänger in dem Mitgliedstaat, der durch den Ländercode der verwendeten SIM-Karte bezeichnet ist, ansässig ist oder seinen gewöhnlichen Aufenthalt hat.143 – Die genannten Beweismittel kann ein Leistungserbringer durch drei einander nicht widersprechende Beweismittel nach Art. 24f VO 1042/2013 widerlegen.144 – In Art. 24f VO 1042/2013 werden die folgenden Beweismittel genannt, die eine Ansässigkeit des Dienstleistungsempfängers vermuten und mit denen der Leistungserbringer z.B. andere Vermutungen widerlegen kann: die Rechnungsanschrift, die IP-Adresse und der Ort, an dem das für die Zahlung verwendete Bankkonto geführt wird.145 Daneben können weitere wirtschaftlich relevante Informationen als Beweismittel dienen, etwa die bisherige Einkaufs- oder Nutzungshistorie des jeweiligen Dienstleistungsempfängers.146
140 141 142 143
144
145 146
staaten. Die VO 967/2012 (Abdruck in ABl. 2012 Nr. L 290/1) enthält Konkretisierungen zur Identifizierung des Steuerpflichtigen, zu den Berichtspflichten, zur Mehrwertsteuererklärung, den Zahlungen und den Aufzeichnungen, die vom Steuerpflichtigen zu führen sind. Näher zu der seit dem 1.1.2015 geltenden Regelung aus Sicht der Kommission: Kommissionsbericht, COM (2014) 380 final. Art. 18 VO 282/2011 (dem entspricht Abschn. 3a.9a Abs. 1 Satz 2 UStAE). Hat eine Person erst eine Umsatzsteueridentifikationsnummer beantragt, so soll es genügen, wenn er mitteilt, dass er eine solche beantragt hat (Art. 18 Abs. 1 lit. b VO 282/2011). Art. 24 VO 282/2011, eingefügt durch VO 1042/2013. Dies wurde auch in Abschn. 3a.9a Abs. 2 Nr. 2 UStAE geregelt. Art. 24a Abs. 1 VO 1042/2013. Dies wurde gleichfalls in Abschn. 3a.9a Abs. 3 Satz 1 UStAE geregelt. Art. 24b VO 1042/2013. Geregelt auch in Abschn. 3a.9a Abs. 4 Nr. 2 UStAE. Wird eine Leistung unter anderen Bedingungen als den in diesem Absatz und dem vorstehenden Absatz genannten erbracht, so wird vermutet, dass der Empfänger dort seinen Wohnsitz oder gewöhnlichen Aufenthalt hat, der vom Leistungserbringer unter Verwendung von zwei einander nicht widersprechenden Beweismitteln nach Art. 24f VO 1042/2013 als solcher bestimmt wird (Art. 24b lit. d VO 1042/2013; dem entspricht Abschn. 3a.9a Abs. 5 UStAE). Dies wurde auch in Abschn. 3a.9a Abs. 6 UStAE geregelt. Der Fiskus kann Vermutungen widerlegen, wenn es Hinweise auf falsche Anwendung oder Missbrauch durch den Leistungserbringer gibt, Art. 24d Abs. 2 VO 1042/2013 (Abschn. 3a.9a Abs. 7 UStAE). Ob z.B. Vermutungen nach Art. 24f VO 1042/2013 widerleglich sind bzw. welche Voraussetzungen insoweit gelten, ist nicht geregelt. Art. 24f VO 1042/2013. Es steht im Belieben des jeweiligen Leistungserbringers, welche sonstige wirtschaftlich relevante Information er als Beweismittel i.S.v. Art. 24f VO 1042/2013 zugrunde legen möchte. Auf diese Weise soll der Tatsache Rechnung getragen werden, dass die einzelnen Leistungserbringer über sehr unterschiedliche Geschäftsmodelle verfügen und sich auf unterschiedliche Beweismittel verlassen; Euro-
Backu/Bayer
959
F Rz. 101
Die steuerliche Behandlung von Software und IT-Dienstleistungen
101 Werden sonstige Dienstleistungen über ein Telekommunikationsnetz, über eine Schnittstelle oder über einen Appstore erbracht, so ist davon auszugehen, dass ein in diese Leistungserbringung eingeschalteter Steuerpflichtiger im eigenen Namen, aber für Rechnung des Anbieters dieser Dienstleistung tätig ist. Dies gilt nicht, wenn der Anbieter vom Steuerpflichtigen ausdrücklich als Leistungserbringer genannt wird und dies in den vertraglichen Vereinbarungen zwischen den Parteien zum Ausdruck kommt. Diese Voraussetzungen gelten in Deutschland z.B. als erfüllt, wenn in den Rechnungen die sonstige Leistung und der Erbringer dieser Leistung angegeben sind (§ 3 Abs. 11a UStG).147 102 Die seit dem 1.1.2015 geltenden Regelungen148 zum Leistungsort hätten potentiell einen erheblichen Mehraufwand für den leistenden Unternehmer zur Folge gehabt, da sich dieser in jedem EU-Mitgliedstaat registrieren und seine Umsätze hätte erklären müssen. Um dies zu vermeiden, wurde das Konzept der sog. einzigen Anlaufstelle (sog. „Mini-One-Stop-Shop“, abgekürzt als MOSS),149 das bereits für im Drittland ansässige Unternehmer bestand,150 in ähnlicher Form auf die seit dem 1.1.2015 geltende Regelung übertragen. Auf diese Weise werden Registrierung, Abgabe der Umsatzsteuererklärung und die Entrichtung der Umsatzsteuer über eine einzige zentrale Anlaufstelle in dem jeweiligen Mitgliedstaat abgewickelt. Auch die Zahlung der Umsatzsteuer erfolgt an diejenige Anlaufstelle, bei der die Registrierung vorgenommen worden ist; die Anlaufstelle verteilt die Umsatzsteuer auf die einzelnen Staaten. Allerdings ist für den jeweiligen Unternehmer nicht der Umsatzsteuersatz desjenigen Mitgliedstaats maßgeblich, in welchem die Registrierung erfolgt ist, sondern in welchem der jeweilige Nicht-Unternehmer ansässig ist. Denn andernfalls hätte für den Unternehmer wiederum die Möglichkeit bestanden, sich in einem Mitgliedstaat mit geringen Umsatzsteuersätzen registrieren zu lassen. Damit wird sich der Aufwand für die Buchhaltung potenziell erhöhen.151 Die Regelung wurde durch § 18h UStG152 in nationales Recht
147
148
149
150
151
152
960
päische Kommission, Erläuterungen zu den Änderungen der EU-Mehrwertsteuervorschriften („praktischer Leitfaden“), veröffentlicht 3.4.2014, S. 77 ff. Die Regelung trat am 1.1.2015 in Kraft. Inhaltlich basiert dies auf Art. 9a VO 282/2011, eingefügt durch VO 1042/2013. Durch diese Regelung wird auch der Inhalt des § 45h Abs. 4 TKG aufgenommen, der für Leistungen der Telekommunikation eine dem § 3 Abs. 11a UStG vergleichbare Regelung enthielt (dies wurde als sog. Branchenlösung bezeichnet). Näher z.B. zur Neuregelung Feil/Weigl/ Rothballer, BB 2014, 2072 (2075 ff.). Zu den Risiken der Branchenlösung ab 2015: Grambeck, UR 2013, 241 (246 f.). Da unter den Begriff der „sonstigen Leistung“ eine Vielfalt von verschiedenen Leistungen subsumiert werden kann, besitzt die am 1.1.2015 in Kraft getretene Neuregelung eine hohe Bedeutung. Nicht von der Neuregelung betroffen ist jedoch bspw. die Lieferung von Waren, die im Internet bestellt werden. Hierbei handelt es sich nicht um eine sonstige Leistung, sondern um eine Lieferung. Näher hierzu Kommission, Leitfaden zur kleinen einzigen Anlaufstelle für die Mehrwertsteuer, abrufbar unter: http://ec.europa.eu/taxation_customs/resources/documents/taxation/vat/how_vat_works/ telecom/one-stop-shop-guidelines_de.pdf (abgerufen am 21.8.2016); Dieser Leitfaden ist zwar rechtlich nicht bindend, enthält aber praktische und informelle Erläuterungen darüber, wie aus Sicht der Generaldirektion für Steuern und Zölle das Unionsrecht anzuwenden ist. In Kommissionsdokumenten wird die „kleine einzige Anlaufstelle“ z.T. auch als „KEA“ bezeichnet. Dieses Verfahren wird abgekürzt als VOES (Vat on eServices) oder ECOM (eCommerce). Das Verfahren gilt für Unternehmen mit Sitz außerhalb der EU, die an in der EU ansässige private Leistungsempfänger elektronische Dienstleistungen erbringen. Nehmen die jeweiligen Unternehmen an diesem Verfahren teil, so können sie sich im Mitgliedstaat ihrer Wahl registrieren, dort ihre Steuererklärungen für sämtliche von ihnen in der EU erbrachten Leistungen abgeben und den fälligen Steuerbetrag zahlen. Die einzelnen Mitgliedstaaten tauschen in regelmäßigen Abständen die Informationen über Registrierungen etc. aus und leiten für andere Mitgliedstaaten erhaltene Zahlungen an diese weiter. Jedoch sind in Bezug auf die Höhe des Mehrwertsteuersatzes die Sätze der einzelnen Mitgliedstaaten maßgeblich. Geregelt ist dieses Verfahren in § 18 Abs. 4c und Abs. 4d UStG. Die Kommission hat empfohlen, dass die jeweiligen Mitgliedstaaten zur Verringerung des Verwaltungsaufwandes auf die Vorlage einer Rechnung verzichten sollen, wenn die Unternehmen in den Anwendungsbereich der MOSS fallen und ab dem 1.1.2015 an Endverbraucher liefern (Kommissionsbericht, COM (2014) 380 final). § 18h UStG enthält die Umsetzung der Regelungen zur MOSS und trat am 1.10.2014 in Kraft (eingefügt durch Art. 28 Abs. 4 StÄnd-AnpG-Kroatien). Das Inkrafttreten bereits zum 1.10.2014 hatte
Backu/Bayer
Umsatzsteuerliche Regelungen
Rz. 103
F
umgesetzt. In Deutschland nimmt die Funktion der einzigen Anlaufstelle das Bundeszentralamt für Steuern wahr. Nimmt ein in Deutschland ansässiger Unternehmer an dem MOSS-Verfahren teil, so muss er die entsprechenden Erklärungen gegenüber dem Bundeszentralamt für Steuern abgeben. Der Unternehmer ist dann verpflichtet, sämtliche die EU betreffende Umsätze über diese Anlaufstelle abzuwickeln.153 Es stellt aber die Entscheidung jedes einzelnen Unternehmers dar, ob er von § 18h UStG Gebrauch machen möchte oder nicht.154 Nimmt er die Erleichterungen in Anspruch, so muss eine Anzeige gegenüber dem Bundeszentralamt für Steuern vor Beginn des Besteuerungszeitraums erfolgen, in welchem er die MOSS-Regelung nutzen will (§ 18h Abs. 1 Satz 3 UStG).155 Ein in einem anderen Mitgliedstaat der EU ansässiger Unternehmer, der elektronische Leistungen/Rundfunk- und Fernsehleistungen/sonstige Leistungen auf dem Gebiet der Telekommunikation (ausschließlich) an in Deutschland ansässige Nicht-Unternehmer erbringt, kann alternativ zu der MOSS-Regelung auch in Deutschland Umsatzsteuererklärungen abgeben (Anwendung von § 18 Abs. 1–Abs. 4 UStG).156 Pflichten des jeweiligen Unternehmers bei Inanspruchnahme der MOSS:
103
– Im Vorfeld: – Abgrenzung: welche sonstigen Leistungen werden grenzüberschreitend erbracht? – Differenzierung: an wen werden die Leistungen erbracht (an anderen Unternehmer oder an Nicht-Unternehmer)?157 – Nur bei grenzüberschreitenden Leistungen in Form von Telekommunikationsdienstleistungen, Rundfunk- und Fernsehdienstleistungen und/oder sonstigen Leistungen auf elektronischem Weg an Nicht-Unternehmer finden die Regelungen des MOSS Anwendung, nicht aber bei Leistungen an Unternehmer (bei diesen wird das sog. ReverseCharge-Verfahren durchgeführt) – Ermittlung der Ansässigkeit des jeweiligen Nicht-Unternehmers und des dort geltenden Umsatzsteuersatzes – Die Rechnung des Leistungserbringenden muss grds. den Anforderungen des Ansässigkeitsstaates des Nicht-Unternehmers genügen (s.u. Rz. 124 ff.) – Übermittlung von Erklärungen für den jeweiligen Besteuerungszeitraum (vierteljährlich) an die Anlaufstelle (Deutschland: Bundeszentralamt für Steuern), bis zum 20. nach Ab-
153 154 155
156 157
den Hintergrund, dass es Unternehmen ermöglicht werden sollte, die MOSS-Regelung ab dem 1.1.2015 in Anspruch zu nehmen. Hierfür war ein gewisser zeitlicher „Vorlauf“ notwendig. Zu den Einzelheiten des Verfahrens für im Inland ansässige Unternehmer s. Abschn. 18h.1 UStAE, für im Gemeinschaftsgebiet ansässige Unternehmer s. Abschn. 18.7 b UStAE. Von der MOSS-Regelung werden jedoch die Umsätze in solchen Mitgliedstaaten nicht erfasst, in denen der jeweilige Unternehmer über einen Sitz oder eine Betriebsstätte verfügt (§ 18h Abs. 1 Satz 1 und Satz 2 i.V.m. Abs. 5 UStG). Die Berücksichtigung ausländischer Vorsteuer erfolgt allerdings nicht im MOSS-Verfahren, sondern im Vorsteuer-Vergütungsverfahren (§ 18g UStG). Erfüllt der Unternehmer nicht (mehr) die Voraussetzungen für eine Teilnahme am MOSS-Verfahren, so stellt dies das Bundeszentralamt für Steuern durch Verwaltungsakt fest (§ 18h Abs. 2 und Abs. 4 UStG). Auch der Unternehmer kann seine Teilnahme an dem MOSS-Verfahren für die Zukunft widerrufen (§ 18h Abs. 1 Sätze 4 und 5 UStG). § 18 Abs. 4e UStG findet dagegen Anwendung, wenn der Leistungserbringer von der MOSS-Regelung Gebrauch gemacht hat, er aber in einem anderen Land des Gemeinschaftsgebiets ansässig ist. Näher hierzu: Treiber, in: Sölch/Ringleb, Umsatzsteuer, § 18 UStG Rz. 120 ff. (Stand: 4/2015). Der Nachweis der Unternehmereigenschaft erfolgt durch die Angabe der Umsatzsteueridentifikationsnummer. Diese kann beim Bundeszentralamt für Steuern durch eine sog. qualifizierte Bestätigungsanfrage überprüft werden (s. http://evatr.bff-online.de/eVatR); wobei auch einige weitere Informationen abgefragt werden können. Eine bloße Überprüfung der Unternehmereigenschaft ist gleichfalls über die Homepage der Europäischen Kommission möglich, http://ec.europa.eu/taxation_ customs/vies/vieshome.do.
Backu/Bayer
961
F Rz. 104
Die steuerliche Behandlung von Software und IT-Dienstleistungen
lauf des Besteuerungszeitraums; die geschuldete Mehrwertsteuer ist durch den Unternehmer selbst zu berechnen und an die Anlaufstelle abzuführen (§ 18h Abs. 3 Sätze 2 und 3 UStG) – Führen von Aufzeichnungen über diejenigen Umsätze, welcher der Sonderregelung (§ 18h UStG) unterfallen: diese müssen so ausführlich sein, dass die Steuerbehörden des Mitgliedstaats des Verbrauchs feststellen können, ob die Umsatzsteuererklärung korrekt ist.158 Anzugeben sind z.B. getrennt nach einzelnen Mitgliedstaaten unter die Sonderregelung fallende Umsätze an Nicht-Unternehmer, der sich ergebende Steuerbetrag (aufgegliedert nach den jeweiligen anwendbaren nationalen Steuersätzen)159 und welche Mehrwertsteuersätze anzuwenden sind. – Aufzeichnungen sind zehn Jahre lang aufzubewahren. 104 Daher sind auch bei Inanspruchnahme der MOSS durch das jeweilige Unternehmen in Bezug auf die nicht-grenzüberschreitenden Leistungen die üblichen umsatzsteuerlichen Pflichten zu erfüllen: – Abgabe der Umsatzsteuervoranmeldung in den für den jeweiligen Unternehmer maßgeblichen Zeiträumen160 – Einzelfallabhängig: Abgabe zusammenfassender Meldung161 105 Trotz der Einrichtung der MOSS kann ein und dasselbe Unternehmen, welches in einem EU-Mitgliedstaat ansässig ist, durch jede einzelne Verwaltung eines EU-Mitgliedstaats162 geprüft werden. Die einzelnen Verwaltungen müssen ihre Auskunftsersuchen nicht koordinieren, sodass die Gefahr besteht, dass seitens der Unternehmen Kapazitäten gebunden werden.163 Nicht auszuschließen ist ferner, dass die einzelnen Mitgliedstaaten in Bezug auf die gleiche Dienstleistung Umsatzsteuerforderungen gegen die dienstleistungserbringenden Unternehmen erheben. Insoweit sind ausschließlich die einzelnen Mitgliedstaaten zuständig.164 Deshalb können auch verschiedene Mitgliedstaaten an die dienstleistungserbringen158 Dies folgt aus § 18h Abs. 4 UStG i.V.m. Art. 369k RL 2006/112/EG. 159 Wie die Bemessungsgrundlage zu bestimmen ist, folgt auch aus dem nationalen Recht. Hieraus können sich für den Leistungserbringer nicht unerhebliche Risiken ergeben. 160 Die Umsatzsteuervoranmeldung ist elektronisch an das zuständige Finanzamt zu übermitteln; ein IT-Dienstleister hat keinen Anspruch auf Nichtanwendung der elektronischen Übermittlung infolge von Sicherheitsbedenken und einer Geheimhaltungsverpflichtung gegenüber Kunden (FG Bremen v. 26.6.2014 – 2 K-12/14-2). In einem anderen Verfahren wurde dies in Bezug auf die elektronische Übermittlung der ESt-Erklärung bestätigt (FG BW v. 23.3.2016 – 7 K 3192/15, EFG 2016, 723). 161 Lieferungen an Unternehmen über innergemeinschaftliche Grenzen hinweg werden i.d.R. als steuerfreie innergemeinschaftliche Lieferungen behandelt. Im Bestimmungsland müssen die Waren aber vom Erwerber der Umsatzsteuer unterworfen werden. Führen Unternehmen innergemeinschaftliche Lieferungen aus oder Lieferungen i.R.v. innergemeinschaftlichen Dreiecksgeschäften oder werden innergemeinschaftliche sonstige Leistungen erbracht, so müssen sie zu diesem Zweck eine sog. Zusammenfassende Meldung beim Bundeszentralamt für Steuern (BZSt) abgeben. 162 D.h. derzeit durch 28 verschiedene Mitgliedstaaten (einschließlich des Vereinigten Königreichs). Erfolgt eine zu späte Entrichtung oder in zu geringer Höhe, wenden sich nach einer ersten Mahnung durch das BZSt die nationalen Behörden direkt an den jeweiligen Steuerpflichtigen (Art. 63a VO 282/2011, eingefügt durch VO 967/2012). 163 So auch Kommissionsbericht, COM (2014) 380 final. Die Kommission hat im September 2015 eine öffentliche Konsultation eingeleitet, um zu ermitteln, wie Mehrwertsteuerzahlungen auf Transaktionen im grenzüberschreitenden Handel vereinfacht werden können, Kommission, Pressemitteilung v. 25.9.2015, IP/15/5719. Zudem wurde im Jahr 2016 ein Aktionsplan veröffentlicht, Kommission, COM (2016) 148 final, auf dessen Basis die Kommission neue Steuervorschriften zur Förderung des elektronischen Geschäftsverkehrs und von Online-Unternehmen in der EU vorgeschlagen hat; Kommission, Pressemitteilung v. 1.12.2016, IP/16/4010. Demnach soll es den Mitgliedstaaten ermöglicht werden, auf E-Books/Online-Zeitungen und die entsprechenden Druckerzeugnisse die gleichen Steuersätze anzuwenden. Daneben sollen für Kleinunternehmen/Start-ups Vereinfachungen gelten. 164 Zur Vermeidung der Gefahr einer Doppelbesteuerung schlägt die Kommission vor, dass die Mitgliedstaaten eine leicht zugängliche Kontaktstelle einrichten und dies der Kommission mitteilen, damit
962
Backu/Bayer
Umsatzsteuerliche Regelungen
Rz. 107
F
den Unternehmen herantreten und Forderungen wegen der Nichtzahlung der Umsatzsteuer erheben.165 Die Änderung des Leistungsortes bei sonstigen Leistungen an Nicht-Unternehmer hat aber 106 nicht nur in steuerlicher Hinsicht erhebliche Auswirkungen, sondern ebenfalls in betriebswirtschaftlicher Hinsicht: I.R.d. Preiskalkulation ist zu berücksichtigen, dass die Umsatzsteuersätze im Ansässigkeitsstaat des jeweiligen Nicht-Unternehmers maßgeblich sind; bei Anwendung des regelmäßigen Steuersatzes haben diese Sätze eine Bandbreite von 17 % (Luxemburg) bis 27 % (Ungarn). Auch ist es wichtig, dass der Unternehmer auf seiner Homepage entsprechende Formulare hinterlegt, die insb. bei den Privatkunden die Inanspruchnahme der MOSS ermöglichen.166 Seit dem 1.1.2015 geltende Regelung für die Bestimmung des Leistungsorts für elektronisch erbrachte Dienstleistungen:167 Dienstleistung erbracht von
an Unternehmer
an EUVerbraucher
an EUVerbraucher
Nicht-EUVerbraucher
Nicht-EUUnternehmen
(EU-Land 2)
(EU-Land 1)
(EU-Land 2)
EU-Erbringer (EU-Land 1)
Leistungsort: EU-Land 2 Keine USt in Rechnung gestellt Unternehmer (Empfänger) schuldet USt (Umkehrung Steuerschuldnerschaft, sog. reverse-chargeVerfahren)
Leistungsort: EU-Land 1 Steuer abzuführen in EU-Land 1 durch Erbringer
Leistungsort: EU-Land 2 Steuer abzuführen in EU-Land 2 durch Erbringer
Leistungsort: Nicht-EU Keine MWSt innerhalb der EU
Leistungsort: Nicht-EU Keine MWSt innerhalb der EU
EU-Erbringer (EU-Land 2)
Leistungsort: Inlandsfall; keine Besonder- EU-Land 1 heiten bei USt Steuer abzuführen in EU-Land 1 durch Erbringer
Leistungsort: EU-Land 2 Steuer abzuführen in EU-Land 2 durch Erbringer
Leistungsort: Nicht-EU Keine MWSt innerhalb der EU
Leistungsort: Nicht-EU Keine MWSt innerhalb der EU
eine möglichst vollständige Liste auf der Webseite der Kommission veröffentlicht werden kann. Eine solche Stelle soll als erste Anlaufstelle für die Lösung von Doppelbesteuerungsfällen dienen (Kommissionsbericht, COM (2014) 380 final). Allerdings kann auch auf diese Weise die Gefahr einer Doppelbesteuerung nicht verhindert werden, sodass die entsprechenden Risiken die Unternehmen tragen. 165 Erfolgt eine zu späte Entrichtung der Mehrwertsteuer oder nicht in der notwendigen Höhe, werden nach einer entsprechenden Mahnung durch die zentrale Anlaufstelle sich die nationalen Behörden direkt an den jeweiligen Unternehmer wenden und ihn z.B. auf Zahlung in Anspruch nehmen (Art. 63b VO 282/2011 in der Fassung der VO 967/2012). 166 Abzufragen sind hierbei folgende Punkte: Name und Anschrift des Kunden mit Angabe des Wohnsitzlandes; Angabe der Umsatzsteueridentifikationsnummer; ist der Kunde Unternehmer oder Privatperson? Falls er Unternehmer ist: erfolgt die Verwendung ausschließlich für private Zwecke; E-Mail-Adresse für Übersendung der Rechnung. 167 Vgl. http://ec.europa.eu/taxation_customs/taxation/vat/how_vat_works/telecom/index_de.htm#ex planatory_notes (abgerufen am 21.8.2016).
Backu/Bayer
963
107
F Rz. 108
Die steuerliche Behandlung von Software und IT-Dienstleistungen
Dienstleistung erbracht von
Nicht-EUErbringer*
an Unternehmer
an EUVerbraucher
an EUVerbraucher
(EU-Land 2)
(EU-Land 1)
(EU-Land 2)
Leistungsort: EU-Land 2 Keine USt in Rechnung gestellt Unternehmer schuldet USt (Umkehrung Steuerschuldnerschaft, sog. reverse-chargeVerfahren)
Leistungsort: EU-Land 1 Steuer abzuführen in EU-Land 1 durch Erbringer
Leistungsort: EU-Land 2 Steuer abzuführen in EU-Land 2 durch Erbringer
Nicht-EUVerbraucher
Leistungsort: Nicht-EU Keine MWSt innerhalb der EU
Nicht-EUUnternehmen
Leistungsort: Nicht-EU Keine MWSt innerhalb der EU
* anders, wenn eine Nutzung in einem Mitgliedstaat erfolgt, welcher Regelungen zur tatsächlichen Nutzung/Auswertung anwendet. Diese Option wurde in Deutschland in § 3a Abs. 6 Satz 1 Nr. 3 und Satz 2 UStG umgesetzt. Demnach liegt z.B. auch dann, wenn ein Drittlandsunternehmer eine elektronische Leistung im B2C-Bereich in das EU-Land 2 erbringt, der Leistungsort trotzdem in Deutschland, wenn die Leistung dort genutzt oder ausgewertet wird.
108 Zu der Frage, welche umsatzsteuerlichen Vorschriften für die Abgabe der Umsatzsteuererklärungen eines in Deutschland ansässigen Unternehmers maßgeblich sind, s. das nachfolgende Schaubild: In Deutschland ansässiger Unternehmer
Leistungsort in Deutschland
Leistungsort in einem anderen Mitgliedstaat
Leistungsort in einem Drittstaat
§ 18 Abs. 1 – Abs. 4 UStG
Wahl des Unternehmers
Einhaltung der Regelungen des jeweiligen Drittstaats
§ 18h UStG (MOSS)
Einhaltung der Regelungen des jeweiligen Mitgliedstaats, ggf. Abgabe von Umsatzsteuererklärungen in dem jeweiligen Mitgliedstaat
5. Steuerbefreiung 109 Bestimmte Umsätze unterliegen nicht der Umsatzsteuer. Diese sind in den §§ 4–8 UStG geregelt. Bedeutsam sind vorliegend die innergemeinschaftlichen Lieferungen (§ 4 Nr. 1 lit. b i.V.m. § 6a UStG). Eine innergemeinschaftliche Lieferung steht unter folgenden kumulativen Voraussetzungen: (1) Der Unternehmer oder Abnehmer hat den Gegenstand der Lieferung in das übrige Gemeinschaftsgebiet befördert oder versendet 964
Backu/Bayer
Umsatzsteuerliche Regelungen
Rz. 112
F
(2) Der Abnehmer ist (a) ein Unternehmer, der den Gegenstand der Lieferung für sein Unternehmen erworben hat oder (b) eine juristische Person, die nicht Unternehmer ist oder die den Gegenstand der Lieferung nicht für ihr Unternehmen erworben hat oder (c) bei der Lieferung eines neuen Fahrzeugs auch jeder andere Erwerber und (3) Der Erwerb des Gegenstands der Lieferung unterliegt beim Abnehmer in einem anderen Mitgliedstaat den Vorschriften der Umsatzbesteuerung Innergemeinschaftlichen Lieferungen kommen insb. bei dem Verkauf von Standardsoftware 110 auf Datenträgern in Betracht, wobei diese Vertriebsform immer weniger Bedeutung besitzt. Damit die innergemeinschaftliche Lieferung von der Umsatzsteuer befreit ist, muss der liefernde Unternehmer sämtliche genannten Voraussetzungen für das Vorliegen einer innergemeinschaftlichen Lieferung beleg- und buchmäßig nachweisen (§ 6a Abs. 3 UStG i.V.m. §§ 17a–17c UStDV). Erforderlich als Nachweis ist eine sog. Gelangensbestätigung168 oder andere in § 17a UStDV ausdrücklich genannte Belege. Die Gelangensbestätigung kann auch elektronisch übermittelt oder als Sammelbestätigung ausgestellt werden.169 Auf die Erfüllung dieser formellen Anforderungen ist großer Wert zu legen.170 Einige der in § 4 UStG genannten Steuerbefreiungen sind verzichtbar, sodass die jeweilige 111 Lieferung/sonstige Leistung im Falle des Verzichts dennoch umsatzsteuerpflichtig ist. § 9 UStG enthält eine abschließende Aufzählung, wann auf die Steuerbefreiung verzichtet werden kann; bei innergemeinschaftlichen Lieferungen ist dies nicht der Fall. 6. Regulärer/ermäßigter Steuersatz Für Lieferungen und sonstige Leistungen gilt ein Steuersatz von 19 % (§ 12 Abs. 1 UStG). 112 Bei bestimmten Umsätzen, die ausdrücklich in § 12 Abs. 2 UStG festgelegt sind, ermäßigt sich der Steuersatz auf 7 %. Allg. bekannt dürfte sein, dass z.B. Printmedien (Bücher etc.) nur dem ermäßigten Steuersatz von 7 % unterliegen.171 Diese Vergünstigung können IT-Leistungen und/oder elektronische Medien nicht in Anspruch nehmen: 168 Der zwingende Inhalt einer Gelangensbestätigung ist § 17a Abs. 2 Satz 1 Nr. 2 UStDV zu entnehmen. Ein Beispiel für eine Gelangensbestätigung enthält auch BMF v. 16.9.2013 – IV D 3 - S7141/13/ 10001. 169 Erfolgt eine elektronische Übermittlung, so sind die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu wahren: Eine elektronisch (erhaltene) Gelangensbestätigung muss somit in elektronischer und unveränderter Form während der abgaberechtlichen Aufbewahrungsfristen aufbewahrt werden (zu den Aufbewahrungspflichten s. Rz. 289 ff.). 170 Der EuGH hat entschieden, dass die Umsatzsteuerbefreiung nicht allein vom Vorliegen bestimmter Belege abhängig gemacht werden darf, sofern die Voraussetzungen auch anderweitig nachgewiesen werden können (EuGH v. 6.9.2012 – C-273/11, DB 2012, 2315 [2319] – Mecsek-Gabon Kft.; v. 27.9.2012 – C-587/10, DB 2012, 2436 [2439] – VSTR. Der Nachweis mit Hilfe dieser Belege stellt damit keine materiell-rechtliche Voraussetzung für die Steuerbefreiung der innergemeinschaftlichen Lieferung dar (näher z.B. Spatscheck/Stenert, DStR 2015, 104). Der formelle Fehler des Steuerpflichtigen ist dann aber bei der Entscheidung, ob die Steuerbefreiung zu gewähren ist, nicht zu vernachlässigen, wenn der Verstoß gegen die formellen Anforderungen den sicheren Nachweis verhindert, dass die materiellen Anforderungen erfüllt wurden (EuGH v. 27.9.2007 – C-146/05, Slg. 2007, I-7861 – Collée). Somit ist es für die betroffenen Unternehmen zur Vermeidung steuerlicher Risiken empfehlenswert, die formellen Anforderungen einzuhalten. Stehen die materiellen Voraussetzungen nämlich nicht fest, so kann der Nachweis im Regelfall auch nicht durch Zeugen geführt werden (BFH v. 19.3.2015 – V R 14/14, BFH/NV 2015, 1529 ff.). Nur ausnahmsweise kann von dem belegmäßigen Nachweis abgesehen werden. Der Steuerpflichtige muss dann aber auch darlegen und beweisen, dass die Voraussetzungen für einen Ausnahmefall gegeben sind. S.a. Streit/Kaiser. PStR 2015, 316. 171 Seit dem 1.1.2015 wurde der Umsatzsteuersatz für Hörbücher auf 7 % gesenkt (§ 12 Abs. 2 Nr. 1 UStG i.V.m. Anlage 2 Nr. 50). Dies gilt nicht nur im Falle des Verkaufs, sondern auch für die Vermie-
Backu/Bayer
965
F Rz. 113
Die steuerliche Behandlung von Software und IT-Dienstleistungen
113 Auf den Verkauf von E-Books ist in Deutschland der Regelsteuersatz anzuwenden.172 Erfolgt der Verkauf eines gedruckten Buchs zusammen mit einem E-Book (sog. Bundle), so handelt es sich dabei um zwei Leistungen, die umsatzsteuerlich verschiedenen Steuersätzen unterliegen.173 Wird das Bundle in Form eines Gesamtverkaufspreises abgegeben, dann ist der Kaufpreis sachgerecht auf beide Leistungen aufzuteilen.174. 114 Der ermäßigte Steuersatz von 7 % findet etwa auf sonstige Leistungen Anwendung, deren Inhalt in der Einräumung, Übertragung und Wahrnehmung von Rechten nach dem Urheberrechtsgesetz besteht (§ 12 Abs. 2 Nr. 7 lit. c UStG). Vereinbarungen über die urheberrechtliche Nutzung von Standardsoftware sind jedoch nicht unter diese Ausnahmevorschrift zu subsumieren,175 weshalb der reguläre Steuersatz von 19 % maßgeblich ist. 115 Wird individuell auf die Bedürfnisse des Anwenders entwickelte Software überlassen, so sind zwar die Voraussetzungen des § 12 Abs. 2 Nr. 7 lit. c UStG erfüllt, sofern der Rechtsinhaber dem Leistungsempfänger aufgrund des wirtschaftlichen Gehalts als Hauptbestandteil das Recht zur Verwertung des Werks durch Vervielfältigung und Verbreitung (Rechte des § 69c Nr. 1–4 UrhG) gewährt.176 Diese Voraussetzung liegt nach der Rspr. aber nicht vor, wenn dieses Recht nur als Nebenfolge eingeräumt wird. Ist der wirtschaftliche Gehalt auf die Anwendung gerichtet, dann muss der Regelsteuersatz angewandt werden. Für die Beurteilung, ob die in § 69c UrhG gewährten Rechte als Haupt- oder lediglich als Nebenfolge eingeräumt werden, ist von den vertraglichen Vereinbarungen und von den tatsächlichen Leistungen auszugehen.177 Ergänzend sind objektive Anzeichen von Bedeutung (z.B. wirkliche Durchführung der Vervielfältigung und Verbreitung).178 Im Ergebnis führt dies zu Rechtsunsicherheit und zu einer durchgehenden Anwendung des Regelsteuersatzes.179
172
173
174 175
176 177
178 179
966
tung von Hörbüchern (BMF v. 1.12.2014 – IV d2 - S7225/01/10002). Damit die Steuerermäßigung zur Anwendung gelangen kann, muss ein körperlicher Gegenstand in Gestalt eines Speichermediums (digital oder analog) übertragen oder vermietet werden. Nicht unter den ermäßigten Steuersatz fällt aber nach derzeitiger Rechtslage das Herunterladen von Hörbüchern aus dem Internet. Hierbei liegt eine elektronisch erbrachte Leistung vor. Wird jedoch gegen Zahlung eines Gesamtverkaufspreises ein gedrucktes Buch abgegeben und zugleich ein elektronischer Zugang zum Hörbuch eingeräumt, dann ist der Gesamtverkaufspreis aufzuteilen (Abschn. 10.1 Abs. 11 UStAE). In Bezug auf den Verkauf von E-Books liegt zwar noch keine Entscheidung des BFH vor. Der BFH hat jedoch entschieden, dass auf die Online-Ausleihe sog. E-Books nicht der ermäßigte, sondern der reguläre Steuersatz Anwendung findet (BFH v. 3.12.2015 – V R 43/13, DStR 2016, 315 ff.). Es ist deshalb anzunehmen, dass der BFH derzeit auch auf den Verkauf von E-Books den regulären Steuersatz anwenden wird. Eine Reduzierung der Steuersätze für E-Books könnte sich aber durch Entwicklungen auf EU-Ebene ergeben, s. Rz. 105. BMF v. 2.6.2014 – IV D 2 - S 7200/13/10005. Jedoch wurde es durch die Finanzverwaltung bei Umsätzen bis zum 1.1.2016 nicht beanstandet, wenn ein gedrucktes Buch und die Gewährung eines Zugangs zu einem E-Book zu einem Gesamtverkaufspreis abgegeben wurden und auf diesen Gesamtverkaufspreis der ermäßigte Steuersatz angewandt wurde, BMF v. 7.11.2014 – IV D 2 - S 7200/13/10005. UStAE Abschn. 10.1 Abs. 11. Werden beide Leistungen auch einzeln angeboten, dann ist das Verhältnis der Einzelverkaufspreise für die Aufteilung zugrunde zu legen. Unzulässig soll es hingegen sein, eine Aufteilung nach den betrieblichen Kosten vorzunehmen. BFH v. 13.3.1997– V R 23/97, BStBl. II 1997, 372: Die urheberrechtliche Nutzung von Standardsoftware stellt nur einen Bestandteil einer einheitlichen wirtschaftlichen Gesamtleistung dar, die gerade nicht in der Übertragung urheberrechtlicher Nutzungsrechte besteht. Vielmehr ist diese nur als unselbständige Nebenleistung zur Verschaffung der Software einzustufen. BFH v. 13.9.2001 – V R 13/01, BStBl II 2002, 287 ff. Der BFH stellt in seinen Urteilen maßgeblich darauf an, ob der Auftraggeber die Software tatsächlich vertreibt: BFH v. 27.9.2001 – V R 14/01, BStBl II 2002, 114 ff.; v. 17.1.2002 – V R 13/01; v. 25.11.2004 – V R 25/04, BStBl II 2005, 419 ff.; v. 25.11.2004 – V R 26/04, BStBl II 2005, 419 ff.; v. 25.11.2004 – V R4/04, BStBl II 2005, 415 ff.; v. 25.11.2004 – V R 12/03. BFH v. 25.11.2004 – V R 25/04 und V R 26/04, BStBl. 2005 II, 419. Im Regelfall ist davon auszugehen, dass die urheberrechtliche Rechtseinräumung als unselbständige Nebenleistung anzusehen ist, so z.B. BFH v. 16.8.2001 – V R 42/99, DStRE 2002, 179 ff. Kritisch Dörre, DB 2012, 1409 ff.
Backu/Bayer
Umsatzsteuerliche Regelungen
Rz. 118
F
Die Frage, ob der reguläre oder der ermäßigte Steuersatz zur Anwendung gelangt, wurde in 116 Bezug auf die Überlassung von Software/damit im Zshg. stehender Leistungen in den letzten Jahren – soweit ersichtlich – nicht mehr durch die deutschen Finanzgerichte entschieden.180 Dies hat folgenden Hintergrund: Wird unzutreffenderweise durch den Auftragnehmer der ermäßigte Steuersatz zugrunde gelegt, zeigt sich aber später, dass dies nach Auffassung der Finanzverwaltung nicht gerechtfertigt war, so besteht nicht nur eine Steuernachforderung von 12 % gegen den Auftraggeber, sondern zusätzlich noch ein Zinsanspruch gemäß § 233a AO. Der Auftragnehmer würde damit das Risiko tragen, einen diesbezüglichen Erstattungsanspruch gegen den Auftraggeber geltend machen zu können. Frankreich und Luxemburg haben noch im Jahr 2015 auf E-Books einen ermäßigten Steuer- 117 satz erhoben.181 Dies stand im Widerspruch zu den gemeinschaftsrechtlichen Vorschriften, da diese explizit festlegen, wann ein ermäßigter Steuersatz angewandt werden kann. Auch führt die Anwendung ermäßigter Steuersätze zu Wettbewerbsverzerrungen zulasten der anderen Staaten.182 Der EuGH hat deshalb 2015 im Rahmen eines Vertragsverletzungsverfahrens entschieden, dass Frankreich und Luxemburg durch die Erhebung des ermäßigten Steuersatzes gegen ihre Verpflichtungen aus der RL 2006/112/EG verstoßen haben.183 Luxemburg hat daraufhin auf E-Books keinen ermäßigten Steuersatz mehr erhoben, während Frankreich den ermäßigten Steuersatz beibehalten hat. In einem anderen Vorabentscheidungsersuchen wurde durch den EuGH184 vertreten, dass auf gedruckte Bücher und E-Books unterschiedliche Steuersätze angewandt werden können, wenn der Grundsatz der steuerlichen Neutralität beachtet wird. Sind gedruckte Bücher und E-Books nach Sicht des Durchschnittsverbrauchers des jeweiligen Mitgliedstaats nicht gleichartig, so wird durch die Anwendung unterschiedlicher Steuersätze die steuerliche Neutralität nicht verletzt. Dies zeigt auch, dass das System der Ermäßigung des Umsatzsteuersatzes auf der Ebene der EU der Reform bedarf und dass trotz des in den Richtlinien zur Mehrwertwertsteuer enthaltenen Ziels einer harmonisierten Umsatzsteuer erhebliche nationale Unterschiede verbleiben. 7. Bemessungsgrundlage Der Umsatz wird sowohl bei Lieferungen als auch bei sonstigen Leistungen nach dem Entgelt bemessen (§ 10 Abs. 1 Satz 1 UStG). Unter Entgelt ist dabei alles zu verstehen, was der Leistungsempfänger aufwendet, um die Leistung zu erhalten, jedoch abzüglich der Umsatzsteuer (§ 10 Abs. 1 Satz 2 UStG). Verkauft ein Unternehmer Waren über Handelsplattformen, so muss der Unternehmer an die Handelsplattform monatlich Gebühren bezahlen. Auch wenn die Handelsplattform (wie in der Praxis üblich) die Gebühren bei der Veräußerung der Waren mit dem Veräußerungserlös verrechnet, dann ist für die Ermittlung der Bemessungsgrundlage durch den Veräußerer die Verrechnung unerheblich. Bemessungsgrundlage für die Ermittlung des Umsatzes zwischen dem Veräußerer und dem Leistungsempfänger ist der Veräußerungserlös. In Bezug auf
180 S. Rz. 113. 181 Frankreich hat 5,5 % gegenüber dem regulären Steuersatz von 20 % und Luxemburg den ermäßigten Steuersatz von 3 % gegenüber dem regulären Steuersatz von 17 % (bis zum 31.12.2014: 15 %) erhoben. Z.T. wird auch in Deutschland die Forderung erhoben (im Ergebnis zur Vermeidung von Steuernachteilen), auf E-Books einen ermäßigten Steuersatz anzuwenden, so z.B. Becker, DStR 2014, 462 (464 ff.); Grütters, Pressemitteilung 12/2014 der Bundesregierung. In einem weiteren Schritt ist dann wie Becker die Frage zu stellen, ob auch die Visualisierung ermöglichende Software lediglich dem ermäßigten Steuersatz unterliegt. Zu neueren Entwicklungen auf EU-Ebene s. Rz. 105. 182 Kommission, Pressemitteilung v. 21.2.2013, IP/13/137. 183 EuGH v. 5.3.2015 – C-479/13 – Kommission/Frankreich und C-502/13 – Kommission Luxemburg. 184 EuGH v. 11.9.2014 – C-219/13 – K Oy.
Backu/Bayer
967
118
F Rz. 119
Die steuerliche Behandlung von Software und IT-Dienstleistungen
die Handelsplattform liegt zwischen dem Veräußerer und der Handelsplattform ein weiteres Leistungsverhältnis vor, das gesondert zu beurteilen ist.185 119 Nicht zum vereinbarten Entgelt gehören sog. durchlaufende Posten (§ 10 Abs. 1 Satz 6 UStG). Hierbei handelt es sich um Beträge, die ein Unternehmer im Namen und für Rechnung eines anderen vereinnahmt und verausgabt. Der Unternehmer, der die Beträge erhält, darf selbst aus eigenem Recht keinen Anspruch auf diese Beträge haben. Ein Beispiel für einen durchlaufenden Posten stellt z.B. beim Einsatz von Vermittlern (Agent, Handelsvertreter, Makler) die vermittelte Leistung dar, sofern ersichtlich ist, für wen die Vermittlungstätigkeit stattfindet. 120 Wird zwischen dem Leistenden um dem Leistungsempfänger keine Vereinbarung getroffen, dann beinhaltet der jeweils genannte Betrag bereits die Umsatzsteuer (sog. Bruttovereinbarung), sodass der Leistungserbringer in wirtschaftlicher Hinsicht womöglich einen niedrigeren Betrag vereinnahmt als geplant.186 Werden IT-Dienstleistungen kostenlos in Anspruch genommen, so ist äußerst zweifelhaft,187 ob die Zurverfügungstellung der Daten durch den Nutzer als Gegenleistung für die Inanspruchnahme der IT-Dienstleistung zu qualifizieren ist und deshalb über umsatzsteuerliche Relevanz verfügt.188 Bemessungsgrundlage bei Online-Glücksspielen soll nicht der Spieleinsatz, sondern der Bruttospielertrag sein, mit der Konsequenz, dass von den vereinnahmten Einsätzen die an die Spieler ausgeschütteten Gewinne abgezogen werden.189 8. Entstehung der Umsatzsteuer 121 Bei der Entstehung der Umsatzsteuer ist zu unterscheiden, ob die Umsatzsteuer nach vereinbarten Entgelten oder nach vereinnahmten Entgelten berechnet wird. Im Falle der Berechnung nach vereinbarten Entgelten (§ 16 Abs. 1 Satz 1 UStG) entsteht die Steuer mit Ablauf des Voranmeldungszeitraums,190 in dem die Leistungen ausgeführt worden sind (§ 13 Abs. 1 Nr. 1 lit. a) Satz 1 UStG). Unerheblich ist somit, ob bereits eine Bezahlung der Lieferung/sonstigen Leistung durch den Leistungsempfänger stattgefunden hat. Wird die Steuer nach vereinnahmten Entgelten berechnet, so entsteht die Steuer mit Ablauf des Voranmeldungszeitraums, in dem das Entgelt vereinnahmt worden ist (§ 13 Abs. 1 Nr. 1 lit. b UStG). Eine Berechnung nach vereinnahmten Entgelten ist nur zulässig, wenn das Finanzamt dies auf Antrag des Steuerpflichtigen gestattet hat und die Voraussetzungen des § 20 UStG erfüllt sind. 122 Erfolgt eine Berechnung nach vereinbarten Entgelten und liegen Teilleistungen vor, dann entsteht die Steuer mit Ablauf des Zeitraums, in dem die Leistung erbracht worden ist. Um Teilleistungen im vorgenannten Sinne handelt es sich, wenn für bestimmte Teile einer wirtschaftlich teilbaren Leistung das Entgelt gesondert vereinbart wird. Beispiele für Teilleistungen stellen – vorausgesetzt es liegt eine entsprechende Vereinbarung vor – die Softwaremiete oder die Softwareentwicklung dar, bei der Teilabnahmen (s. Q Rz. 339 ff.) geschuldet sind.191 185 Ggf. kann der Veräußerer aber die von der Handelsplattform berechneten Gebühren unter den Voraussetzungen des § 15 UStG als Vorsteuer abziehen. OFD Karlsruhe v. 19.2.2015 – S 7200 Karte 18, DStR 2015, 2241. 186 Anders ist dies, sofern die Parteien eine sog. Nettovereinbarung treffen. 187 S.a. Backu/Bayer, ITRB 2016, 59 (62); Grambeck, DSHR 2016, 2026. 188 So aber Melan/Wecke, DStR 2015, 2267; Melan/Wecke, DStR 2015, 2811. 189 Vgl. Ismer, MwStR 2016, 99 und Schenke, UR 2016, 253 mit Hinweisen zum Meinungsstand und auf die Position des Mehrwertsteuerausschusses. 190 Wie sich der Voranmeldungszeitraum bestimmt, ist in § 18 Abs. 2 und Abs. 2a UStG geregelt. 191 Werden Anzahlungen vereinnahmt, bevor die Leistung/Teilleistung ausgeführt worden ist, so entsteht die Steuer mit Ablauf des Voranmeldungszeitraums, in dem das Entgelt/Teilentgelt vereinnahmt worden ist (§ 13 Abs. 1 Nr. 1 lit. a Satz 4 UStG).
968
Backu/Bayer
Umsatzsteuerliche Regelungen
Rz. 125
F
9. Schuldner der Umsatzsteuer Die Umsatzsteuer schuldet im Regelfall der leistende Unternehmer (§ 13a Abs. 1 Nr. 1 UStG). 123 Werden jedoch sonstige Leistungen durch einen im Ausland ansässigen Unternehmer erbracht, so schuldet im Regelfall nicht der leistende Unternehmer, sondern der unternehmerische Leistungsempfänger die Umsatzsteuer (sog. Reverse-Charge-Verfahren, § 13b Abs. 5 UStG). Daneben erfolgt eine Umkehr der Steuerschuldnerschaft bei bestimmten, im UStG genannten Lieferungen.192 Die Umkehr der Steuerschuldnerschaft findet unabhängig davon statt, ob der Empfänger (Unternehmer) Leistungen für seinen unternehmerischen oder nichtunternehmerischen Bereich bezieht. Derjenige Leistungsempfänger, der sonstige Leistungen als Nicht-Unternehmer bezieht, schuldet somit prinzipiell nicht die Umsatzsteuer.193 10. Rechnungstellung Rechnung ist jedes Dokument, mit dem über eine Lieferung oder über eine sonstige Leistung abgerechnet wird. Unerheblich ist, wie dieses Dokument im Geschäftsverkehr bezeichnet wird (§ 14 Abs. 1 Satz 1 UStG). Die Echtheit der Herkunft der Rechnung, die Unversehrtheit des Inhalts und ihre Unversehrbarkeit müssen gewährleistet sein (§ 14 Abs. 1 Satz 2 UStG). Der Unternehmer kann selbst entscheiden, wie die vorgenannten Voraussetzungen gewährleistet werden. In Betracht kommen z.B. jegliche innerbetriebliche Kontrollverfahren (§ 14 Abs. 1 Sätze 5 und 6 UStG).194
124
10.1 Pflichtangaben Rechnungen müssen den in § 14 Abs. 4 UStG genannten Mindestinhalt aufweisen.195 Dieser 125 Mindestinhalt ist wichtig, da nur bei Vorliegen einer korrekten Rechnung der Vorsteuerabzug zulässig ist (§ 15 Abs. 1 Satz 1 Nr. 1 Satz 2 UStG). Der Vorsteuerabzugsberechtigte muss prüfen und dokumentieren, dass die Rechnung den erhaltenen Leistungen entspricht und die formalen Voraussetzungen eingehalten sind. Liegt keine ordnungsgemäße Rechnung vor, so stellt sich die Frage, ob/welche Mindestanforderungen eine Rechnung erfüllen muss, damit sie einer Korrektur zugänglich ist, wie lange eine Korrektur einer unvollständigen Rechnung zulässig ist und auf welchen Zeitpunkt eine Korrektur zurückwirkt. Der EuGH hat i.R.v. Vorabentscheidungsersuchen eine weitgehende Korrektur zugelassen.196
192 Seit dem 1.10.2014 ist auch bei der Lieferung von Tablet-Computern und Spielekonsolen der leistende Unternehmer Steuerschuldner (§ 13b Abs. 5, Abs. 2 Nr. 10 UStG), wenn die Summe der für sie in Rechnung zu stellenden Entgelte im Rahmen eines wirtschaftlichen Vorgangs mindestens 5.000 Euro beträgt. Zu Problemfeldern in der Praxis: Ebert/Thomsen, DStR 2015, 145 (147 f.). 193 Wird jedoch in einer Rechnung ein zu hoher Steuerbetrag ausgewiesen oder erfolgt ein Steuerausweis durch einen Aussteller, der nicht zum Ausweis der Steuer berechtigt ist, so schuldet derjenige, der den unzutreffenden Steuerausweis vornimmt, den zu hoch/unberechtigt ausgewiesenen Steuerbetrag (§ 14c UStG). 194 Das innerbetriebliche Kontrollverfahren muss einen verlässlichen Prüfpfad zwischen Rechnung und Leistung schaffen. Dies ist z.B. auch gewährleistet, wenn ein manueller Abgleich der Rechnung mit vorhandenen geschäftlichen Unterlagen möglich ist (Abschn. 14.4 Abs. 6 UStAE). 195 In Einzelfällen kann von den Anforderungen des § 14 Abs. 4 UStG auch abgewichen werden (§ 14 Abs. 6 UStG). Näher zu einzelnen Anforderungen des § 14 Abs. 4 UStG: Becker, NWB 2016, 1344 ff. 196 EuGH v. 15.9.2016 – C-518/14, DStR 2016, 2211 ff. – Senate GmbH. Gem. dieser Entscheidung können Rechnungen, bei denen die USt-IdNr. fehlte, noch für die Vergangenheit berichtigt werden. Fraglich wird sein, wie das Urteil in der Praxis umgesetzt wird. S.a. EuGH v. 15.9.2016 – C-516/14, DStR 2016, 2216 ff. – Barlis 06.
Backu/Bayer
969
F Rz. 126
Die steuerliche Behandlung von Software und IT-Dienstleistungen
126 Wird die Rechnung nicht durch den leistenden Unternehmer ausgestellt, sondern durch den Leistungsempfänger oder einen beauftragten Dritten,197 so muss die Rechnung die Bezeichnung „Gutschrift“ enthalten198 (§ 14 Abs. 4 Satz 1 Nr. 10 UStG).199 Für den Fall, dass der jeweilige Sachverhalt eine Auslandsberührung aufweist (z.B. Leistender oder Leistungsempfänger befindet sich im Ausland), ist im Einzelfall zu prüfen, das Recht welches Staats auf die Rechnungsstellung anwendbar ist. Unter den nachfolgenden Voraussetzungen ist nicht das deutsche Umsatzsteuerrecht, sondern das Recht des anderen EU-Mitgliedstaats auf die Rechnungstellung anwendbar (§ 14 Abs. 7 UStG): (1) Unternehmer ist nicht im Inland, sondern in einem anderen EU-Mitgliedstaat ansässig (2) Leistungsort liegt in Deutschland (3) Leistungsempfänger schuldet die Umsatzsteuer 127 Zwar sind im Gebiet der EU die Vorschriften zur Rechnungsstellung weitgehend angeglichen. Allerdings bestehen insb. hinsichtlich der Erleichterungen, von denen z.T. Gebrauch gemacht werden kann (§ 14 Abs. 6 UStG), Unterschiede zwischen den einzelnen Mitgliedstaaten. Die Anwendung des Rechts des anderen Mitgliedstaats kann jedoch verhindert werden, sofern die Parteien eine sog. Abrechnung im Gutschriftsverfahren vereinbaren. Im Falle der Anwendung des § 14 Abs. 7 UStG werden auch die Vorschriften über die Ansässigkeit eines Unternehmers im Ausland relevant: Ansässigkeit im Ausland ist selbst dann gegeben, wenn der Unternehmer zwar im Inland seinen ausschließlichen Wohnsitz oder gewöhnlichen Aufenthalt, im Ausland aber seinen Sitz, den Ort der Geschäftsleitung oder eine Betriebsstätte hat.200 128 Zur Verdeutlichung folgendes Beispiel: Für die Abrechnung eines in Deutschland ansässigen IT-Unternehmens mit seinem in einem Mitgliedstaat ansässigen freien Mitarbeiter, der Entwicklungsleistungen im EU-Ausland erbringen soll, ist aufgrund von § 14 Abs. 6 UStG für die Rechnungsstellung das Recht des anderen EU-Mitgliedstaates anwendbar. Dies gilt nur dann nicht, wenn die Parteien z.B. vertraglich eine Abrechnung im Gutschriftsverfahren201 vereinbaren, was daher aus Sicht des IT-Unternehmens vorzugswürdig sein kann. 129 I.Ü. müssen Rechnungen, bei denen der Leistungsempfänger der Steuerschuldner ist, die Angabe „Steuerschuldnerschaft des Leistungsempfängers“ enthalten (§§ 14a Abs. 5, 13b Abs. 2 UStG).202
197 Werden durch den Rechnungsaussteller oder den Rechnungsempfänger Dritte eingesetzt und werden bei der Abrechnung personenbezogene Daten ohne Einwilligung der Betroffenen verarbeitet, so ist die Einschaltung von Dritten nur unter den Voraussetzungen einer AuftragsDV i.S.v. § 11 BDSG zulässig. 198 Der Empfänger einer Gutschrift schuldet die zu Unrecht ausgewiesene Umsatzsteuer zumindest dann, sofern er sich die Gutschrift zu Eigen gemacht hat, FG Münster v. 9.9.2014 – 15 K 2469/13 U, EFG 2014, 2180. 199 Diese Voraussetzung besteht erst seit dem 30.6.2013. Zulässig ist z.B. auch die Angabe „Self-Billing“ oder eine entsprechende Formulierung in anderen Amtssprachen. Für die Vornahme des Vorsteuerabzugs soll eine andere Bezeichnung dann unschädlich sein, wenn die Bezeichnung hinreichend eindeutig ist (BMF v. 25.10.2013 – IV D 2 - S7280/12/10002). 200 Hierbei ist allerdings zu berücksichtigen, dass der Begriff der Betriebsstätte in umsatzsteuerlicher Hinsicht mit der Definition der Betriebsstätte in § 12 AO (s.o. Rz. 23) oder in DBA nicht identisch ist. Im Regelfall gelten für die Annahme einer Betriebsstätte nach dem UStG engere Voraussetzungen. Näher zur Betriebsstätte in umsatzsteuerlicher Hinsicht: Korn, in: Bunjes, UStG, § 3a Rz. 13. 201 Wird in einer Gutschrift zu Unrecht eine Umsatzsteuer ausgewiesen, dann schuldet der Empfänger der Gutschrift die Umsatzsteuer zumindest dann, wenn er sich die Gutschrift zu Eigen macht (z.B. indem die Gutschriften unterzeichnet und an den Ersteller der Gutschriften zurückgesandt werden), FG Münster v. 9.9.2014 – 15 K 2469/13 U. 202 Zulässig ist es auch, eine andere Bezeichnung zu verwenden, die diesem Begriff in einer anderen EUAmtssprache entspricht (BMF v. 25.10.2013 – IV D 2 - S7280/12/10002 enthält die maßgeblichen Formulierungen in den einzelnen Amtssprachen).
970
Backu/Bayer
Quellensteuer
Rz. 135
F
10.2 Elektronische Rechnungstellung Mit Zustimmung des Empfängers können Rechnungen auch elektronisch ausgestellt werden (§ 14 Abs. 1 Satz 7 UStG).203 Die Zustimmung bedarf keiner bestimmten Form und kann z.B. auch in Allgemeinen Geschäftsbedingungen enthalten sein oder nachträglich erklärt werden. Es genügt gleichfalls, wenn die Beteiligten diese Verfahrensweise nur tatsächlich übereinstimmend praktizieren (Abschn. 14.4. Abs. 1 UStAE).
130
Elektronische Rechnungen (§ 14 Abs. 1 Satz 8 UStG) sind Rechnungen, welche in einem elek- 131 tronischen Format ausgestellt und empfangen werden. Die Übermittlung ist z.B. möglich per E-Mail (ggf. Beifügung als Anhang in Form einer Bilddatei oder eines Textes), De-Mail, Computer-Fax, Fax-Server, Web-Download oder per elektronischem Datenaustausch – Electronic Data Interchange, EDI (Abschn. 14.4 Abs. 2 UStAE). Auch bei elektronischen Rechnungen muss – wie bei Papierrechnungen – die Echtheit der Herkunft, die Unversehrtheit des Inhalts und die Lesbarkeit der Rechnung gewährleistet sein (Abschn. 14.4 Abs. 3 UStAE). Wird bei einer elektronischen Rechnung keine qualifizierte elektronische Signatur verwendet oder die Rechnung im Rahmen elektronischen Datenaustauschs übermittelt, so müssen die Echtheit, die Unversehrtheit und die Lesbarkeit durch ein innerbetriebliches Kontrollverfahren sichergestellt werden (§ 14 Abs. 1 Satz 5 und 6 UStG). Für den Fall einer Umsatzsteuer-Nachschau (§ 27b Abs. 2 Satz 2 UStG), die auch außerhalb von Außenprüfungen und ohne vorherige Ankündigung erfolgen kann, ist zu gewährleisten, dass auf elektronische Rechnungen auch ein elektronischer Datenzugriff möglich ist. I.Ü. müssen auch elektronische Rechnungen die Pflichtangaben des § 14 Abs. 4 UStG enthalten.204
132
10.3 Fristen für die Rechnungserteilung Ferner sind Fristen für die Rechnungserteilung zu beachten: Rechnungen eines im Inland ansässigen Unternehmers über eine sonstige Leistung an einen im sonstigen Gemeinschaftsgebiet ansässigen Unternehmer sind bis zum 15. des Folgemonats auszustellen (§ 14a Abs. 1 Satz 2 UStG). Dies gilt gleichfalls für innergemeinschaftliche Lieferungen (§ 14a Abs. 3 Satz 1 UStG).205
133
IV. Quellensteuer 1. Einführung Werden Rechte durch im Ausland ansässige Personen-/Kapitalgesellschaften oder natürliche Personen an Lizenznehmer mit Sitz in Deutschland überlassen, so kann auch dieser Vorgang der deutschen Besteuerung unterliegen (sog. Inbound-Fall). Dies gilt gleichfalls im umgekehrten Fall (sog. Outbound-Fall).
134
Selbst Personen, die in Deutschland weder ihren Wohnsitz noch ihren gewöhnlichen Aufenthalt haben, können in Deutschland einkommensteuerpflichtig sein (beschränkt einkommensteuerpflichtig, § 1 Abs. 4 EStG), wenn sie inländische Einkünfte i.S.d. § 49 EStG haben. Entsprechendes gilt für juristische Personen (§ 2 Nr. 1 i.V.m. § 8 Abs. 1 KStG), die in Deutsch-
135
203 Praktische Hinweise zur elektronischen Rechnungstellung enthält BMF v. 2.7.2012 – IV D 2 – S 7287-a/09/10004:003. S. auch Backu, ITRB 2012, 65 ff.; Backu/Bayer, ITRB 2013, 35 (36 f.). 204 Zur Vertragsgestaltung bei Verträgen über die elektronische Rechnungstellung: Intveen, ITRB 2014, 138 (140 ff.). 205 Die Nichteinhaltung dieser Fristen soll keine Ordnungswidrigkeit darstellen (BMF v. 25.10.2013 – IV D 2 - S 7280/12/10002.
Backu/Bayer
971
Quellensteuer
Rz. 135
F
10.2 Elektronische Rechnungstellung Mit Zustimmung des Empfängers können Rechnungen auch elektronisch ausgestellt werden (§ 14 Abs. 1 Satz 7 UStG).203 Die Zustimmung bedarf keiner bestimmten Form und kann z.B. auch in Allgemeinen Geschäftsbedingungen enthalten sein oder nachträglich erklärt werden. Es genügt gleichfalls, wenn die Beteiligten diese Verfahrensweise nur tatsächlich übereinstimmend praktizieren (Abschn. 14.4. Abs. 1 UStAE).
130
Elektronische Rechnungen (§ 14 Abs. 1 Satz 8 UStG) sind Rechnungen, welche in einem elek- 131 tronischen Format ausgestellt und empfangen werden. Die Übermittlung ist z.B. möglich per E-Mail (ggf. Beifügung als Anhang in Form einer Bilddatei oder eines Textes), De-Mail, Computer-Fax, Fax-Server, Web-Download oder per elektronischem Datenaustausch – Electronic Data Interchange, EDI (Abschn. 14.4 Abs. 2 UStAE). Auch bei elektronischen Rechnungen muss – wie bei Papierrechnungen – die Echtheit der Herkunft, die Unversehrtheit des Inhalts und die Lesbarkeit der Rechnung gewährleistet sein (Abschn. 14.4 Abs. 3 UStAE). Wird bei einer elektronischen Rechnung keine qualifizierte elektronische Signatur verwendet oder die Rechnung im Rahmen elektronischen Datenaustauschs übermittelt, so müssen die Echtheit, die Unversehrtheit und die Lesbarkeit durch ein innerbetriebliches Kontrollverfahren sichergestellt werden (§ 14 Abs. 1 Satz 5 und 6 UStG). Für den Fall einer Umsatzsteuer-Nachschau (§ 27b Abs. 2 Satz 2 UStG), die auch außerhalb von Außenprüfungen und ohne vorherige Ankündigung erfolgen kann, ist zu gewährleisten, dass auf elektronische Rechnungen auch ein elektronischer Datenzugriff möglich ist. I.Ü. müssen auch elektronische Rechnungen die Pflichtangaben des § 14 Abs. 4 UStG enthalten.204
132
10.3 Fristen für die Rechnungserteilung Ferner sind Fristen für die Rechnungserteilung zu beachten: Rechnungen eines im Inland ansässigen Unternehmers über eine sonstige Leistung an einen im sonstigen Gemeinschaftsgebiet ansässigen Unternehmer sind bis zum 15. des Folgemonats auszustellen (§ 14a Abs. 1 Satz 2 UStG). Dies gilt gleichfalls für innergemeinschaftliche Lieferungen (§ 14a Abs. 3 Satz 1 UStG).205
133
IV. Quellensteuer 1. Einführung Werden Rechte durch im Ausland ansässige Personen-/Kapitalgesellschaften oder natürliche Personen an Lizenznehmer mit Sitz in Deutschland überlassen, so kann auch dieser Vorgang der deutschen Besteuerung unterliegen (sog. Inbound-Fall). Dies gilt gleichfalls im umgekehrten Fall (sog. Outbound-Fall).
134
Selbst Personen, die in Deutschland weder ihren Wohnsitz noch ihren gewöhnlichen Aufenthalt haben, können in Deutschland einkommensteuerpflichtig sein (beschränkt einkommensteuerpflichtig, § 1 Abs. 4 EStG), wenn sie inländische Einkünfte i.S.d. § 49 EStG haben. Entsprechendes gilt für juristische Personen (§ 2 Nr. 1 i.V.m. § 8 Abs. 1 KStG), die in Deutsch-
135
203 Praktische Hinweise zur elektronischen Rechnungstellung enthält BMF v. 2.7.2012 – IV D 2 – S 7287-a/09/10004:003. S. auch Backu, ITRB 2012, 65 ff.; Backu/Bayer, ITRB 2013, 35 (36 f.). 204 Zur Vertragsgestaltung bei Verträgen über die elektronische Rechnungstellung: Intveen, ITRB 2014, 138 (140 ff.). 205 Die Nichteinhaltung dieser Fristen soll keine Ordnungswidrigkeit darstellen (BMF v. 25.10.2013 – IV D 2 - S 7280/12/10002.
Backu/Bayer
971
F Rz. 136
Die steuerliche Behandlung von Software und IT-Dienstleistungen
land weder einen Sitz noch eine Geschäftsleitung besitzen. Die deutsche Besteuerung wird durch einen Steuerabzug erreicht (§ 50a EStG; Bezeichnung als Quellensteuer). Durch DBA oder durch die in nationales Recht umgesetzte Zins- und Lizenzrichtlinie der EU (Umsetzung in § 50g EStG) kann im Wege der Freistellung oder der Erstattung eine Quellensteuerreduktion erzielt werden. 136 Werden Lizenzzahlungen durch einen im Ausland ansässigen Lizenznehmer an einen in Deutschland ansässigen Lizenzgeber geleistet, dann ist es von den Steuergesetzen des jeweiligen ausländischen Staates abhängig, ob der Lizenznehmer verpflichtet ist, einen Teil der Vergütung einzubehalten und an die zuständigen ausländischen Finanzbehörden abzuführen. Der Lizenzgeber erhält dann eine Vergütung, die um die einzubehaltende Quellensteuer reduziert wird, was ggf. vertraglich entsprechend vorgesehen werden sollte (s. aber auch Rz. 210 ff.). Ordnet ein DBA eine Reduzierung oder eine Freistellung von der Quellenbesteuerung an, so kann bei den zuständigen Finanzbehörden im Ausland die Freistellung oder Erstattung von Quellensteuer beantragt werden.206 Ist eine Freistellung oder Erstattung nicht möglich, dann kann unter den Voraussetzungen des § 34c EStG die im Ausland einbehaltene Quellensteuer auf die deutsche Steuer angerechnet werden. 2. Inbound-Konstellation (Überlassung an/Erwerb durch in Deutschland ansässigen Lizenznehmer von einem im Ausland ansässigen Lizenzgeber) 2.1 Voraussetzungen der Quellensteuerpflicht 137
§ 49 EStG legt fest, welche Einkünfte eine beschränkte Steuerpflicht begründen. Im Zshg. mit dem Verkauf von Software, der Überlassung von Nutzungsrechten und dem Bezug von Leistungen über das Internet sind insb. die nachfolgenden Tatbestände von Bedeutung, wobei zu erwarten ist, dass die Relevanz der Vorschrift auch i.R.v. Betriebsprüfungen weiter steigen wird:207 – Gewerbliche Einkünfte aus einer inländischen Betriebsstätte oder aufgrund eines im Inland tätigen ständigen Vertreters (§ 49 Abs. 1 Nr. 2 lit. a EStG) In der Praxis hat dieser Tatbestand aber nur geringe Relevanz, z.B. bei – Vertrieb über einen inländischen Appstore – Erbringen von Leistungen mittels einer inländischen Server-Betriebsstätte208 oder – Verkauf von Standardsoftware per Datenträger durch inländische Betriebsstätte oder ständigen Vertreter.209 206 Die entsprechenden Antragsformulare sind auf der Website des Bundeszentralamts für Steuern abrufbar (www.bzst.de). 207 Diskutiert wird insb. seitens der Finanzverwaltung, ob bei der Nutzung ausländischer Datenbanken gleichfalls § 49 EStG verwirklicht wird; im Einzelnen hierzu und zu weiteren praxisrelevanten Fragen z.B. Maßbaum/Müller, BB 2015, 3031 (3034). 208 Dies könnte z.B. beim Cloud Computing der Fall sein, wenn der Anbieter die Leistungen dadurch erbringt, dass sich die zur Leistungserbringung erforderlichen Hochleistungsserver (inländische „Serverfarm“) in Deutschland befinden. In der Praxis wird dies häufig nicht der Fall sein, die Server stehen in EU-Mitgliedstaaten, die ein positives steuerliches Umfeld bieten, so z.B. Pinkernell, Ubg 2012, 331 (333). Eine Server-Betriebsstätte stellt sogar dann eine Betriebsstätte dar, wenn sie vollautomatisch ohne Personal betrieben werden kann. Die Anwesenheit von Personal ist keine Voraussetzung für das Vorliegen einer Betriebsstätte (BFH v. 30.10.1996 – II R 12/92, BStBl. II 1997, 12; v. 16.12.2009 – I R 56/08, BStBl. II 2010, 492. 209 OFD München v. 28.5.1998 – S 2303 34/11 St 41/42, FR 1998, 755 (756); BFH v. 28.10.2008 – IX R 22/08, BStBl. II 2009, 527. Nach bislang h.M. löst der Verkauf von Standardsoftware per Datenträger i.Ü. keine beschränkte Steuerpflicht eines ausländischen Anbieters aus. Der Verkauf von Standardsoftware wird zivilrechtlich als „Sachkauf“ eingestuft. Nunmehr wurde aber durch den BFH entschieden (BFH v. 18.5.2011 – X R 26/09, BStBl. II 2011, 865), dass der Kauf eines Computerprogramms die Anschaffung eines immateriellen Wirtschaftsguts darstellt. Es wird deshalb diskutiert, ob nicht
972
Backu/Bayer
Quellensteuer
Rz. 137
F
Ob eine Betriebsstätte gegeben ist, kann im Einzelfall oftmals nicht zweifelsfrei bestimmt werden und ist insb. bei Dienstleistungsbetriebsstätten problematisch.210 Betriebsstätte (§ 12 AO) stellt jede feste Geschäftseinrichtung oder Anlage dar, die der Tätigkeit eines Unternehmens dient. Der Unternehmer muss eine eigene Verfügungsmacht über die Einrichtung/Anlage besitzen. Diese muss nicht rechtlich abgesichert sein (z.B. durch ausdrückliche Vereinbarung) und kann sogar von Dritten abgeleitet sein. Nicht genügend ist aber das Tätigwerden in den Räumen des Vertragspartners.211 Beispiele für ständige Vertreter (§ 13 AO) sind z.B. Handelsvertreter, Kommissionäre, Handlungs-/Vermittlungsgehilfen. Für eine Anwendbarkeit des § 49 Abs. 1 Nr. 2 lit. a EStG ist ferner Voraussetzung, dass die Erträge aus den Immaterialgüterrechten im Betriebsstättenergebnis der inländischen Betriebsstätte vereinnahmt werden müssen. – Gewerbliche Einkünfte, die nicht als Einkünfte aus selbständiger Arbeit oder aus nichtselbständiger Arbeit zu qualifizieren sind, durch im Inland ausgeübte oder verwertete künstlerische/sportliche/artistische/unterhaltende oder ähnliche Darbietungen (§ 49 Abs. 1 Nr. 2 lit. d EStG) Unter diese Vorschrift zu subsumieren sind z.B. Live-Übertragungen im Internet.212 – Gewerbliche Einkünfte, die nicht aus einer inländischen Betriebsstätte oder von einem inländischen Vertreter stammen, aus Vermietung/Veräußerung von Rechten, wobei die Rechte in einer inländischen Betriebsstätte des Kunden verwertet werden (§ 49 Abs. 1 Nr. 2 lit. f EStG) Dies stellt die zentrale Vorschrift für die Überlassung von Software durch eine ausländische Kapitalgesellschaft an inländische Unternehmen/Unternehmer dar. Strittig ist jedoch, ob diese Vorschrift nicht nur auf die zeitlich begrenzte Überlassung, sondern auch auf die zeitlich unbegrenzte Überlassung insb. von Individualsoftware Anwendung findet.213 Eine Verwertung des Rechts in einer inländischen Betriebsstätte ist nur gegeben, wenn das Recht in dieser Einrichtung wirtschaftlich nutzbar gemacht wird.214 Dies setzt wiederum voraus, dass das Recht einer eigenständigen Nutzung zugänglich ist.215 Beispiel: Eine GmbH in Deutschland erhält von ausländischer Kapitalgesellschaft eine Vertriebslizenz, in deren Rahmen sie Datenträger herstellt und verbreitet.
210 211 212 213 214 215
bei einem B2B-Softwareverkauf eine Verwertung in einer inländischen Betriebsstätte vorliegt (näher z.B. Petersen, iStR 2013, 896 [901 m.w.N.]) und folglich eine beschränkte Steuerpflicht i.S.v. § 49 Abs. 1 Nr. 2 lit. f EStG gegeben ist. Somit ist infolge der BFH-E. aus dem Jahr 2011 neue Rechtsunsicherheit eingetreten, ob der Erwerb von Standardsoftware per Datenträger auch dann, wenn diese nicht durch eine inländische Betriebsstätte oder einen ständigen Vertreter verkauft wird, zur beschränkten Steuerpflicht nach § 49 Abs. 1 Nr. 2 lit. f EStG führt. Reimer, iStR 2009, 378. BFH v. 4.6.2008 – I R 30/07, BStBl. 2008 II, 922 ff. Haase, in: Haase, Geistiges Eigentum, Rz. 8.69. Für eine Anwendung auf die zeitlich begrenzte und die unbegrenzte Überlassung z.B. Haase, in: Haase, Geistiges Eigentum Rz. 8.87; Loschelder, in: Schmidt, EStG, § 49 Rz. 56. Wohl auch Frotscher, in: Frotscher/Geurts, EStG, § 49 Rz. 205 (Stand: 1.10.2014). BFH v. 12.11.1986 – I R 38/83, BStBl. 1987 II, 377 (378); v. 12.11.1986 – I R 69/83, BStBl. 1987 II, 379 (381). BFH v. 5.11.1992 – I R 41/92, BStBl. 1993 II, 407 (409). Ob ein Recht einer eigenständigen Nutzung zugänglich ist, wird besonders bei Rechten, die dem Kunden bei gewissen Formen des Cloud Computing eingeräumt werden, unterschiedlich beurteilt (s.a. Rz. 274 ff.).
Backu/Bayer
973
F Rz. 138
Die steuerliche Behandlung von Software und IT-Dienstleistungen
– Einkünfte aus selbständiger Arbeit, die im Inland ausgeübt oder verwertet worden ist (§ 49 Abs. 1 Nr. 3 EStG) Dieser Tatbestand erfasst die Softwareüberlassung durch natürliche Personen; in der Praxis hat diese Norm nur geringe Bedeutung. – Einkünfte aus der Vermietung/Verpachtung von Rechten, (…) deren Verwertung in einer inländischen Betriebsstätte des Kunden erfolgt (§ 49 Abs. 1 Nr. 6 EStG)216 Bei der Softwareüberlassung durch eine ausländische Kapitalgesellschaft wird § 49 Abs. 1 Nr. 6 EStG durch § 49 Abs. 1 Nr. 2 lit. f EStG verdrängt. – Auffangtatbestand § 49 Abs. 1 Nr. 9 EStG: sonstige Einkünfte aus der Nutzung beweglicher Sachen im Inland oder des Know-how Unter Know-how i.S.d. § 49 Abs. 1 Nr. 9 EStG ist nur Know-how zu verstehen, welches nicht geschützt ist, sodass diese Vorschrift auf die Überlassung gesetzlich geschützter Rechte (z.B. Urheberrechte) nach der Rspr. des BFH keine Anwendung findet.217 138 Sofern die tatbestandlichen Voraussetzungen des § 49 EStG erfüllt sind, unterliegt die jeweilige Person der beschränkten Steuerpflicht. Die jeweiligen Rechtsfolgen (einschließlich der Erhebung der Quellensteuer) ergeben sich aus §§ 50 ff. EStG. 2.2 Modifizierung der Steuerpflicht, Höhe der Steuer etc. durch DBA 139 Besteht eine beschränkte Steuerpflicht, so wird im Falle der Anwendbarkeit eines DBA oftmals die inländische Besteuerung ausgeschlossen oder beschränkt. Soweit der Regelungsinhalt eines DBA reicht, hat das DBA Vorrang vor den §§ 49 ff. EStG. Dies gilt aber nur, als der Regelungsinhalt des DBA nicht durch spezielle Regelungen wieder überlagert wird (sog. Treaty Override).218 D.h: Obwohl ein DBA z.B. eine inländische Besteuerung beschränkt, kann in bestimmten Fällen die Anwendbarkeit dieser DBA-Klausel durch nationale Regelungen ausgeschlossen werden! 140 Ein DBA überlagert oder modifiziert eine bestehende Steuerpflicht durch Freistellung oder Anrechnung. Ob der ausländische Staat von seinem Besteuerungsrecht tatsächlich Gebrauch macht oder nicht, ist unerheblich, außer das DBA oder das deutsche Steuerrecht enthalten entsprechende Rückfallklauseln.
216 Offen gelassen wurde die Anwendung dieser Vorschrift für Live-Fernsehübertragungsrechte an inländischen Sportveranstaltungen, BFH v. 4.3.2009 – I R 6/07, BStBl 2009 II, 625 (628). 217 BFH v. 20.7.1988 – I R 174/85, BStBl. II 1989, 87 ff. unter Verweis auf BT-Drs. 7/1509, S. 13 und BTDrs. 7/1871. S. 3, aus denen hervorgeht, dass die Vorschrift lediglich die Überlassung von Sachen und „Know-how“ erfassen soll; zustimmend z.B. Petersen, iStR 2013, 896 ff.; Pinkernell, Ubg 2012, 331 (335). A.A. wohl FG Bdb. v. 4.4.2012 – 12 V 12204/11, DStRE 2012, 1518. 218 Aus § 50d EStG wird deutlich, dass auch im Fall der Anwendbarkeit eines DBA ein Steuerabzug unter den in § 50d EStG enthaltenen Voraussetzungen möglich ist. Es handelt sich daher bei dieser Vorschrift um ein sog. Treaty Override. Generell ist fraglich, ob ein Treaty Override zulässig ist, s. z.B. Hahn, iStR 2011, 863 ff.; Schmidt, DStR 2013, 1704 ff. Auch durch den BFH wurden etwa in Bezug auf das in § 50d Abs. 8 EStG enthaltene Treaty Override Bedenken geäußert und die Frage, ob dieses zulässig ist, dem BVerfG vorgelegt, so z.B. BFH v. 10.1.2012 – I R 66/09, DStR 2012, 949 ff. Das BVerfG hat nunmehr entschieden, dass ein Treaty Override zulässig sein kann – 15.12.2015 – 2 BvL 1/12, NJW 2016, 1295 ff. S.a. Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 3 ff. (Stand: 30.1.2014); Frotscher, iStR 2016, 561 ff.; Wagner, in: Blümich, EStG, KStG, GewStG, § 50d EStG Rz. 16 ff. m.w.N. (Stand: 11/2014).
974
Backu/Bayer
Quellensteuer
Rz. 145
F
2.3 Erhebung der Quellensteuer 2.3.1 Vornahme eines Steuerabzugs Bei einem Teil der beschränkt steuerpflichtigen Einkünfte wird die Einkommensteuer nicht im Wege der Veranlagung,219 sondern im Wege des Steuerabzugs erhoben (ähnlich bei der Lohnsteuer und der Kapitalertragsteuer in §§ 38, 44 EStG). Ein Steuerabzug erfolgt nur, wenn dies in § 50a EStG ausdrücklich festgelegt ist. Wird ein Steuerabzug vorgenommen, so hat dieser grds. abgeltende Wirkung (§ 50 Abs. 2 Satz 1 EStG,220 § 32 Abs. 1 Nr. 2 KStG)221. Unterliegen Einkünfte des beschränkt Steuerpflichtigen nicht dem Steuerabzug, so ist ein Veranlagungsverfahren durchzuführen.222
141
Ein Steuerabzug erfolgt gemäß § 50a Abs. 1 Nr. 3 EStG bei Einkünften eines beschränkt 142 Steuerpflichtigen, die aus Vergütungen für die Überlassung der Nutzung oder des Rechts auf Nutzung von Rechten, insb. von Urheberrechten und gewerblichen Schutzrechten, herrühren.223 Dies bezieht sich auf beschränkt steuerpflichtige Einkünfte i.S.d. § 49 Abs. 1 Nr. 2, 3, 6 und 9 EStG. Erfasst wird damit nach herrschender Auffassung nur die zeitlich begrenzte Nutzungsüberlassung.224 Der Steuerabzug beträgt 15 % (§ 50a Abs. 2 Satz 1 EStG). Hinzu kommt noch der Solidaritätszuschlag, sodass effektiv ein Steuerabzug i.H.v. 15,825 % zu erfolgen hat.
143
2.3.2 Vergleichbarkeit des Rechts auf Nutzung mit Immaterialgüterrechten? Der Begriff des Rechts ist im Steuerrecht nicht definiert, sodass aufgrund der Einheitlichkeit 144 der Rechtsordnung auf das Zivilrecht abzustellen ist. § 50a Abs. 1 Nr. 3 EStG ist gemäß der Rspr. des BFH weit auszulegen. Zwar wird ausdrücklich die „Überlassung von Urheberrechten“ in § 50a Abs. 1 Nr. 3 EStG erwähnt. Allerdings ist für die Anwendbarkeit des § 50a Abs. 1 Nr. 3 EStG eine Vergleichbarkeit mit einem Immaterialgüterrecht nicht erforderlich.225 Es muss sich nur um eine Rechtsposition handeln, die an einen anderen überlassen werden kann,226 wobei unerheblich ist, ob dingliche oder schuldrechtliche Rechtspositionen überlassen werden227 und ob die Überlassung originär vom Rechtsinhaber oder derivativ von einem Berechtigten erfolgt.228 2.3.3 Abgrenzung zeitlich begrenzte/zeitlich unbegrenzte Nutzungsüberlassung Dem Quellensteuerabzug unterliegen ausschließlich Einkünfte, die als Vergütung für die 145 Überlassung der Nutzung oder des Rechts auf Nutzung von Rechten bezahlt werden. Unter „Überlassung“ der Nutzung ist nach Auffassung der Verwaltung nur die zeitlich befristete 219 Ein Beispiel für eine Steuer, die im Wege der Veranlagung erhoben wird, stellt die Einkommensteuer dar. 220 Zu den Ausnahmen s. § 50 Abs. 2 Satz 2 EStG. 221 Zu den Ausnahmen s. § 32 Abs. 2 KStG. 222 Dies gilt gleichfalls, wenn der Steuerabzug ausnahmsweise keine abgeltende Wirkung besitzt. 223 § 73a Abs. 2 und Abs. 3 EStDV. 224 BT-Drs. 16/10189, S. 62; Backu, ITRB 2012, 188 (189); Frotscher, in: Frotscher/Geurts, EStG § 49 Rz. 206 (Stand: 30.1.2014), § 50a Rz. 68 (Stand: 4.2.2015); Haase, in: Haase, Geistiges Eigentum, Rz. 8.190; Hecht/Lampert, FR 2010, 68 (70); Loschelder, in: Schmidt, EStG, § 50a EStG Rz. 13 m.w.N.; Petersen, iStR 2013, 896 (897); Pinkernell, ISR 2012, 82 f. 225 Die Aufzählung ist nicht abschließend, BFH v. 27.5.2009 – I R 86/07, BStBl. 2010 II, 120 (121); v. 19.12.2007 – I R 19/06, BStBl. 2010 II, 398; zustimmend z.B. M. Klein, in: Hermann/Heuer/Raupach, EStG KStG, § 49 EStG Rz. 931 (Stand: 6/2014). 226 BFH v. 16.5.2001 – I R 64/99, BStBl. 2003 II, 641 (643). 227 BFH v. 7.12.1977 – I R 54/75, BStBl. 1978 II, 355 (356); v. 1.12.1982 – I B 11/82, BStBl. 1983 II, 367 (368); Loschelder, in: Schmidt, EStG, § 49 Rz. 113 m.w.N.; M. Klein, in: Hermann/Heuer/Raupach, EStG KStG, § 49 EStG Rz. 931 (Stand: 6/2014). 228 BFH v. 19.12.2007 – I R 19/06, BStBl. 2010 II, 398.
Backu/Bayer
975
F Rz. 146
Die steuerliche Behandlung von Software und IT-Dienstleistungen
Überlassung zu verstehen.229 Abzugrenzen ist deshalb, ob eine zeitliche begrenzte oder eine zeitlich unbegrenzte (oftmals auch bezeichnet als „Verkauf“) Nutzungsüberlassung gegeben ist.230 Gemäß einem BMF-Schreiben liegt eine zeitlich begrenzte Überlassung von Rechten vor, wenn das Nutzungsrecht dem durch Vertrag Berechtigten nicht endgültig verbleibt, sein Rückfall kraft Gesetzes oder Vertrags nicht ausgeschlossen ist oder eine vollständige Übertragung, wie bei urheberrechtlich geschützten Rechten, nicht zulässig ist (§ 29 Abs. 1 UrhG).231 146 Nach Auffassung des BFH liegt eine zeitlich beschränkte Nutzungsüberlassung auch dann vor, wenn das Recht aufgrund einer im Einzelfall getroffenen Vereinbarung im Fall eines Vergleichs- oder Insolvenzverfahrens ersatzlos an den Lizenzgeber zurückfallen kann.232 Diese Auffassung wird zwar zumindest in Bezug auf einfache Nutzungsrechte (z.T.) abgelehnt.233 Jedoch zeigt dies, dass selbst bei einer endgültigen Übertragung der Nutzungsrechte und bei einer Bezeichnung als „unbefristete Überlassung“ oder als „Kauf“ nach Auffassung des BFH lediglich eine zeitlich begrenzte Nutzungsüberlassung vorliegen kann mit der Konsequenz, dass der Vorgang der Abzugssteuer unterliegt. Entscheidend kommt es auf die konkreten Regelungen des Vertrages im Einzelfall an.234 147 Eine endgültige Nutzungsüberlassung ist auch gegeben, sofern mit der Nutzungsüberlassung das wirtschaftliche Eigentum endgültig übergeht.235 In dem BMF-Schreiben sind jedoch keine Beispiele dazu enthalten, wann im Zshg. mit Software von einem Übergang des wirtschaftlichen Eigentums auszugehen ist. Diskutiert wird im Schrifttum, ob aufgrund der kurzen wirtschaftlichen Lebensdauer einer Programmversion bei der Softwaremiete i.S.v. § 50a Abs. 1 Nr. 3 EStG von einer endgültigen Nutzungsüberlassung und nicht nur von einer zeitlich beschränkten Nutzungsüberlassung auszugehen ist.236 148
Û
Hinweis für die Praxis: Zur Reduzierung des Quellensteuerrisikos sollten i.R.d. Vertragsgestaltung Konstellationen vermieden werden, aus denen eine lediglich zeitlich begrenzte Nutzungsüberlassung geschlossen werden kann (z.B. durch die Aufnahme von automatischen Rückfallrechten).
2.3.4 Einzelne Konstellationen in Bezug auf Software (§§ 49 und 50 EStG) 2.3.4.1 Standardsoftware 149 Erfolgt ein „Verkauf“ von Standardsoftware per Datenträger, so unterliegt die zeitlich unbefristete Nutzungsüberlassung nach verbreiteter Auffassung selbst dann nicht gemäß § 50a Abs. 1 Nr. 3 EStG der Quellensteuer, sofern die Veräußerung über eine inländische Be-
229 230 231 232 233 234
BMF v. 25.11.2010 – IV C 3 - S 2303/09/10002, Rz. 23. Zur Abgrenzung in zivilrechtlicher Hinsicht s. R Rz. 191 ff., R Rz. 212 ff., R Rz. 277. BMF v. 25.11.2010 – IV C 3 - S 2303/09/10002. BFH v. 22.1.1988 – III B 9/87, BStBl. 1988 II, 537 (537 f.). Petersen, iStR 2013, 896 (903). In einem früheren und mittlerweile wohl überholten Urteil hat der BFH entschieden, dass eine zeitlich beschränkte Überlassung auch dann gegeben ist, sofern dem Urheber bei Einräumung eines ausschließlichen Nutzungsrechts ein gesetzlich nicht abdingbares Rückrufsrecht zusteht, falls der Inhaber das überlassene Recht nicht oder lediglich unzureichend ausübt (BFH v. 1.12.1982 – I B 11/82, BStBl. 1983 II, 367 [368]). Dies würde aber dazu führen, dass ausschließlich eingeräumte Rechte in keinem Fall endgültig überlassen werden können, da dem Urheber stets ein unabdingbares Rückrufsrecht verbleibt. Bei einfachen Nutzungsrechten besteht allerdings kein solches Rückrufsrecht (BGH v. 26.3.2009 – I ZR 153/06, BGHZ 180, 344 [354]). Daher kann das Rückrufsrecht gemäß § 41 UrhG (= Rückrufsrecht wegen Nichtausübung) einer endgültigen Nutzungsüberlassung nicht entgegenstehen. Ein Rückruf aufgrund einer gewandelten Überzeugung (§ 42 UrhG) scheidet bei Standardsoftware ohnehin aus; so z.B. auch Petersen, iStR 2013, 896 (902). 235 BMF v. 25.11.2010 – IV C 3 - S 2303/09/10002, Rz. 24. 236 So z.B. Petersen, iStR 2013, 896 (903) m.w.N (z.B. zur verbrauchenden Rechtsüberlassung).
976
Backu/Bayer
Quellensteuer
Rz. 152
F
triebsstätte oder über einen ständigen Vertreter stattfindet,237 § 49 Abs. 1 Nr. 2 lit. a EStG (s. Rz. 137).238 Denn ein Quellensteuerabzug nach § 50a Abs. 1 Nr. 3 EStG ist bei einer zeitlich unbefristeten Nutzungsüberlassung nicht möglich.239 Findet der Verkauf von Standardsoftware, wie inzwischen üblich, per Download statt, so ist noch nicht abschließend geklärt, ob der Verkauf eine beschränkte Steuerpflicht (§ 49 Abs. 1 Nr. 2 lit. f EStG) zur Folge hat. Soweit ersichtlich, haben sich bislang weder deutsche Finanzgerichte noch Verwaltungsanweisungen mit dieser Thematik befasst. Im Anschluss an die EuGH-E. „Used-Soft“240 wird mit stichhaltigen Argumenten davon ausgegangen, dass die Verbreitung per Datenträger und per Download urheberrechtlich gleichwertig sind. Folglich ist der Erwerb eines zeitlich unbefristeten Nutzungsrechts an Standardsoftware per Download als Veräußerungsvorgang anzusehen, der keine Nutzungsüberlassung beinhaltet.241 Weniger überzeugend wäre die Annahme einer Nutzungsüberlassung, sodass im B2BFall eine beschränkte Steuerpflicht nach § 49 Abs. 1 Nr. 2 lit. f EStG bestehen würde. Ausgeschlossen ist jedenfalls eine Abzugsverpflichtung nach § 50a Abs. 1 Nr. 3 EStG, denn es liegt eine zeitlich unbegrenzte Überlassung von Software vor.
150
Ebenso wie ein Download zu beurteilen ist der Verkauf von Anwendungsprogrammen für Smartphones, die der Hersteller über einen speziellen Online-Marktplatz anbietet (sog. Apps).242
151
Bei der Überlassung von gebrauchter Software (zum Zivilrecht s. G Rz. 385 ff.) stellt sich die 152 Frage, welche Auswirkungen dies in steuerlicher Sicht hat. Hierbei wird es sich im Regelfall um die Überlassung von Standardsoftware handeln und zwar um eine zeitlich unbegrenzte Überlassung. Damit die Voraussetzungen des § 49 Abs. 1 Nr. 2 lit. a oder Nr. 2 lit. f EStG erfüllt sind, muss die Software durch eine inländische Betriebsstätte verkauft werden oder die Überlassung an einen im Inland ansässigen Unternehmer erfolgen. Die Konstellation wurde bislang – soweit ersichtlich – noch nicht entschieden. Es ist nicht erkennbar, dass die Überlassung von gebrauchter Software anders zu beurteilen ist als die Erstüberlassung von Standardsoftware, sodass die obigen Ausführungen entsprechend gelten.
237 So z.B. Frotscher, in: Frotscher/Geurts, EStG § 49 Rz. 206 (Stand: 1.10.2014), § 50a Rz. 68 (Stand: 4.2.2015); Haase, in: Haase, Geistiges Eigentum, Rz. 8.190; Hecht/Lampert, FR 2010, 68 (70); Kessler, iStR 2000, 70 (73 m.w.N.); Loschelder, in: Schmidt, EStG, § 50a Rz. 13 m.w.N.; Pinkernell, ISR 2012, 82 f. 238 Nimmt man an, dass auch bei einer zeitlich unbeschränkten Nutzungsüberlassung eine Verwertung in einer inländischen Betriebsstätte i.S.d. § 49 Abs. 1 Nr. 2 lit. f EStG vorliegt, dann besteht eine Quellensteuerabzugspflicht nach § 50a Abs. 1 Nr. 3 EStG. 239 In urheberrechtlicher Sicht ist zwischen dem Verbreitungsrecht und dem Vervielfältigungsrecht zu unterscheiden: Das urheberrechtliche Verbreitungsrecht des Herstellers (§§ 17 Abs. 1, 69c Nr. 3 UrhG) erschöpft sich mit dem Verkauf des Datenträgers an Kunden durch Inverkehrbringen einer Programmkopie. Zwar steht dem Hersteller nach dem Verkauf weiterhin ein Vervielfältigungsrecht in Bezug auf die Programmkopie zu (§§ 16 Abs. 1, 69c Nr. 1 UrhG). Dies hat aber ertragsteuerlich nicht die Einordnung als Lizenzvertrag zur Folge. Denn dem Käufer ist die Vervielfältigung gesetzlich gestattet, sofern sie der bestimmungsgemäßen Benutzung des Programms oder der Erstellung einer Sicherungskopie dient (§ 69d Abs. 1 und Abs. 2 UrhG). Der wirtschaftliche Gehalt des Softwareverkaufs besteht in der dauerhaften Übertragung der Programmkopie, nicht jedoch in der Einräumung kommerzieller Verwertungsbefugnisse im Hinblick auf ein Urheberrecht; Pinkernell, ISR 2012, 82 (83). 240 EuGH v. 3.7.2012 – C-128/11, GRUR 2012, 904 ff. – UsedSoft. Diesem Urteil zufolge ist in Bezug auf die Erschöpfung des Verbreitungsrechts nicht zwischen dem Verkauf eines Datenträgers und dem Softwarevertrieb per Download zu unterscheiden. Beide Bezugsarten sind urheberrechtlich gleichwertig. 241 Pinkernell, ISR 2012, 82 (84); vgl. auch Petersen, iStR 2013, 896 (901 ff.). 242 Pinkernell, ISR 2012, 82 (84).
Backu/Bayer
977
F Rz. 153
Die steuerliche Behandlung von Software und IT-Dienstleistungen
153 Handelt es sich um die zeitlich begrenzte Überlassung von Standardsoftware (z.B. dadurch, dass sich die Software nach Ablauf des vertraglich vereinbarten Nutzungszeitraums automatisch deaktiviert), so wird bei Erfüllen der Voraussetzungen nach § 49 Abs. 1 Nr. 2 lit. f EStG (s. Rz. 137) vielfach die Quellensteuerabzugsverpflichtung nach § 50a Abs. 1 Nr. 3 EStG greifen.243 154 Zukünftig wird der Online-Verkauf von Standardsoftware vermehrt durch Dienstleistungsmodelle ersetzt werden, bei denen der Kunde über den Browser oder eine andere Schnittstelle auf eine Software zugreift, die ausschließlich auf dem Server des Anbieters läuft (Application Service Providing = ASP, Software as a Service = SaaS).244 Im Browserfenster wird eine Benutzeroberfläche angezeigt, die vom Server des Anbieters erzeugt wird. Allerdings sind mit diesen Nutzungsformen neue (steuerliche) Zweifelsfragen verbunden.245 2.3.4.2 Individualsoftware 155 Um Individualsoftware handelt es sich nicht nur dann, wenn Software für die Bedürfnisse des jeweiligen Kunden erstellt wird, sondern auch bei umfangreichen Anpassungsmaßnahmen von Standardsoftware. Liegt eine zeitlich befristete Überlassung vor, so werden i.d.R. die Voraussetzungen des § 49 Abs. 1 Nr. 2 lit. f EStG erfüllt sein. Da eine zeitlich begrenzte Rechtsüberlassung vorliegt, sind auch die Voraussetzungen des Quellensteuerabzugs nach § 50a Abs. 1 Nr. 3 EStG gegeben. Erfolgt die Überlassung der Individualsoftware zeitlich unbegrenzt, dann ist strittig, ob auch diese eine Quellensteuerabzugsverpflichtung zur Folge hat. Nach umstrittener Auffassung soll eine Quellensteuerabzugsverpflichtung zu bejahen sein, da das Urheberrecht ein nicht übertragbares Recht darstellt (§ 29 UrhG). Derartige Rechte sind nach Auffassung der Finanzverwaltung als zeitlich befristete Nutzungsüberlassung anzusehen.246 Dies ist jedoch nicht sachgerecht, weil der Lizenznehmer aufgrund der Einräumung ausschließlicher und zeitlich unbefristeter Nutzungsrechte das wirtschaftliche Eigentum erwirbt, sodass dann keine Quellensteuerabzugsverpflichtung besteht.247 2.3.4.3 Gemischte Verträge 156 Ist Inhalt eines Vertrags, dass neben der Überlassung der Software zusätzliche Leistungen (z.B. Beratungsleistungen) erbracht werden, dann ist eine Aufteilung der Vergütung vorzunehmen, denn die Erbringung der zusätzlichen Leistungen wird im Regelfall keine Überlassung von Rechten beinhalten. Der Aufteilungsmaßstab sollte plausibel sein und sich bereits aus dem Vertrag ergeben. Es ist jedoch nicht auszuschließen, dass die Finanzverwaltung einen anderen Aufteilungsmaßstab anerkennt bzw. zusätzliche Darlegungen im Hinblick auf den gewählten Aufteilungsmaßstab notwendig sind. Im Rahmen einer Betriebsprüfung werden hierbei regelmäßig Diskussionen geführt werden, die Finanzverwaltung kann das Entgelt auch im Schätzungswege aufteilen (§ 162 AO).248
243 So z.B. Backu, ITRB 2012, 188 (189); Haase, in: Haase, Geistiges Eigentum, Rz. 8.190; Hecht/Lampert, FR 2010, 68 (70); Loschelder, in: Schmidt, EStG, § 49 Rz. 113, § 50a Rz. 13; Petersen, iStR 2013, 896 (902). Zwar erfolgt die Bezahlung der Vergütung erstens für die Überlassung der Programmkopie und zweitens für die Einräumung der urheberrechtlichen Nutzungsbefugnis, sodass im Grunde die bezahlte Vergütung aufzuspalten ist und der Abzugsverpflichtung nur der auf die Einräumung der urheberrechtlichen Nutzungsbefugnis entfallende Teil unterliegt. Indem der Programmkopie aber ohne die urheberrechtliche Nutzungsbefugnis ein Wert von nahe Null zukommt, unterliegt faktisch fast die gesamte Vergütung der Quellenabzugssteuerverpflichtung. 244 So z.B. auch Pinkernell, ISR 2012, 82 (84). 245 Zur zivilrechtlichen Gestaltung s. U Rz. 121 ff., U Rz. 125 ff.; zur steuerlichen Beurteilung s. Rz. 270 ff. 246 BMF v. 25.11.2010 – IV C 3 - S 2303/09/10002, Rz. 23. 247 S. etwa Pinkernell, ISR 2012, 82 (84 f.). 248 BMF v. 25.11.2010 – IV C 3 - S 2303/09/10002, Rz. 96.
978
Backu/Bayer
Quellensteuer
Rz. 161
F
Gegenstand von Web-Hosting-Verträgen (zum Zivilrecht s. W Rz. 302 ff.) können verschie- 157 dene Leistungen sein, etwa die Überlassung von Speicherplatz, verbunden mit einer vertraglich fixierten Übertragungskapazität, die Programmierung und Pflege der Website bis hin zur Verfügungstellung von Software. Daher ist beim jeweiligen Vertrag genau zu prüfen, welche Leistungen aufgrund des Vertrags erbracht werden und ob die einzelnen Vertragsbestandteile möglicherweise einen Tatbestand verwirklichen können, der eine beschränkte Steuerpflicht des Anbieters zur Folge hat.249 Auch bei der steuerlichen Beurteilung von ASP-Leistungen ist im Detail zu prüfen, welche Leistungen Vertragsgegenstand sind.250 Werden neben der Überlassung der Software ausschließlich Hotline-Leistungen erbracht, so unterliegt die Hotline-Leistung nicht der beschränkten Steuerpflicht und damit keiner Quellensteuerabzugsverpflichtung.251
158
Die grenzüberschreitende Erteilung einer Bearbeitungs- und Vervielfältigungslizenz hat in- 159 ländische Einkünfte i.S.d. § 49 Abs. 1 Nr. 2 lit. f oder Nr. 6 EStG zur Folge, sofern der Lizenznehmer das Recht in der inländischen Betriebsstätte verwertet.252 Als Folge hiervon entsteht auch eine Abzugsverpflichtung nach § 50a Abs. 1 Nr. 3 EStG. Ob z.B. eine vertragliche Aufteilung der Gesamtvergütung eines Lizenzvertrags erfolgen kann (etwa in einen Vergütungsbestandteil für die Begründung des Alleinvertriebsrechts und in einen Vergütungsbestandteil für die Einräumung des Rechts zur Weiterentwicklung) wurde offen gelassen. Nicht möglich ist es aber, die Vergütungsbestandteile nachträglich im Wege der Schätzung der Begründung der verschiedenen Rechte zuzuordnen.253
Û
Hinweis für die Praxis: Sind vertraglich verschiedene Leistungen geschuldet, so ist im Vertrag darauf zu achten, dass auch die einzelnen Vergütungsbestandteile eindeutig und nachvollziehbar den einzelnen Leistungen zugeordnet und entsprechend bepreist werden.
160
2.4 Entstehung der Steuer, Verfahrensweise Die Steuer entsteht in dem Zeitpunkt, in dem die Vergütung dem Gläubiger zufließt (§ 50a Abs. 5 Satz 1 EStG). Der Steuerabzug ist vom Schuldner der Vergütung für Rechnung des Gläubigers vorzunehmen. Da aber Steuerschuldner der Gläubiger der Vergütung ist (§ 50a Abs. 5 Satz 2 EStG), kann er z.B. in Anspruch genommen werden, wenn der Schuldner der Vergütung den Abzug nicht vorschriftsmäßig vorgenommen hat. D.h. der Gläubiger haftet nicht nur dann, wenn überhaupt kein Abzug erfolgt, sondern auch dann, falls dem Schuldner der Vergütung bei der Berechnung des Steuerabzugs Fehler unterlaufen.
249 S. hierzu aufgrund der Vergleichbarkeit Rz. 270 ff. 250 Der BGH stuft ASP als „besitzlose Sachmiete“ ein (BGH v. 15.11.2006 – XII ZR 120/04, NJW 2007, 2394), sodass weder eine Nutzungsüberlassung eines Urheberrechts i.S.v. § 49 Abs. 1 Nr. 2 lit. f EStG noch Einkünfte aus der Nutzungsüberlassung einer Sache i.S.v. § 49 Abs. 1 Nr. 9 EStG vorliegen. Durch den BFH wurde entschieden (BFH v. 17.2.2000 – I R 130/97, BFH/NV 2000, 1182), dass die Vermietung eines Satellitentransponders eine Dienstleistung darstellt, wenn eine Übertragungsleistung geschuldet ist. Nicht vollkommen auszuschließen ist zwar, dass das im Ausland vorgehaltene Computerprogramm auf digitalem Weg eine Wirkung entfaltet, die im Ergebnis als Nutzung angesehen werden kann und eine beschränkte Steuerpflicht zur Folge hat; Kessler/Maywald/Peter, iStR 2000, 425 (430). Bei typischen ASP-Verträgen liegen nach wohl h.M. keine inländischen Einkünfte vor. Jedoch ist die Rechtslage im Ergebnis ungeklärt. Näher zu ASP-Verträgen aus zivilrechtlicher Sicht U Rz. 125 ff. 251 S. hierzu aufgrund der Vergleichbarkeit Rz. 270 ff.; vgl. zu den einzelnen Vertragstypen auch Pinkernell, Ubg 2012, 331 (332). 252 FG München v. 23.5.2001 – 1 K 3026/97, DStRE 2002, 160 (161); bestätigt durch BFH v. 27.2.2002 – I R 62/01, BFH/NV 2002, 1142. 253 FG München v. 23.5.2001 – 1 K 3026/97, DStRE 2002, 160 (162).
Backu/Bayer
979
161
F Rz. 162
Die steuerliche Behandlung von Software und IT-Dienstleistungen
162 Auf Verlangen des Gläubigers hat der Schuldner der Vergütung dem Gläubiger bestimmte Angaben nach amtlich vorgeschriebenem Muster zu bescheinigen (§ 50a Abs. 5 Satz 6 EStG): – den Namen und die Anschrift des Gläubigers – die Art der Tätigkeit und die Höhe der Vergütung in Euro – den Zahlungstag – den Betrag der einbehaltenen und abgeführten Steuer nach § 50a Abs. 2 oder Abs. 3 EStG. 163 Der Schuldner hat die innerhalb eines Kalendervierteljahrs einbehaltene Steuer von Vergütungen i.S.d. § 50a Abs. 1 EStG jeweils bis zum zehnten des dem Kalendervierteljahr folgenden Monats an das Bundeszentralamt für Steuern abzuführen (§ 73e Satz 1 EStDV). Ferner hat der Schuldner bis zum gleichen Zeitpunkt dem Bundeszentralamt für Steuern eine Steueranmeldung über den Gläubiger, die Höhe der Vergütungen i.S.v. § 50a Abs. 1 EStG, die Höhe und Art der von der Bemessungsgrundlage des Steuerabzugs abgezogenen Betriebsausgaben oder Werbungskosten und die Höhe des Steuerabzugs zu übersenden (§ 73e Satz 2 EStDV).254 Allerdings ist darauf hinzuweisen, dass nach dem Wortlaut des § 50a Abs. 3 Satz 1 EStG im Falle eines Steuerabzugs nach § 50a Abs. 1 Nr. 3 EStG von den Einnahmen die Betriebsausgaben oder Werbungskosten nicht abgezogen werden dürfen. D.h. maßgeblich für den Abzug ist nach dem Gesetzeswortlaut die gesamte Höhe der Einnahmen. Ein im Jahr 2014 erlassenes BMF-Schreiben beinhaltete nunmehr, dass über den ausdrücklichen Gesetzeswortlaut hinausgehend auch in den Fällen des § 50a Abs. 1 Nr. 3 EStG ein Abzug von Betriebsausgaben oder Werbungskosten zulässig ist.255 Voraussetzungen für einen Abzug sind: – Die Betriebsausgaben/Werbungskosten stehen in einem unmittelbaren wirtschaftlichen Zusammenhang mit den Einnahmen. Ein unmittelbarer Zshg. besteht, sofern die Betriebsausgaben/Werbungskosten es dem Vergütungsgläubiger erst ermöglichen, die konkrete Überlassungsleistung zu erbringen und diese exklusiv für den Schuldner der Vergütung erfolgt. Exklusivität liegt nicht vor, sofern die Aufwendungen den Vergütungsgläubiger zu einer Rechteverwertung gegenüber weiteren Personen berechtigen. Es ist somit unerheblich, ob faktisch eine mehrmalige Rechteverwertung vorgenommen wird oder nicht. und – Die Ausgaben werden in einer für das Bundeszentralamt für Steuern nachprüfbaren Form nachgewiesen oder wurden vom Schuldner der Vergütung übernommen. 164 Welche Auswirkung die Abzugsmöglichkeit von Betriebsausgaben/Werbungkosten bei § 50a Abs. 1 Nr. 3 EStG in der Praxis haben wird, ist noch nicht geklärt. Festzuhalten bleibt aber, dass auch bei § 50a Abs. 1 Nr. 3 EStG der Steuerabzug auf der zweiten Stufe wieder aufleben kann (§ 50a Abs. 4 Satz 2 EStG).256
254 Näher zur Geltendmachung von Aufwendungen, zur Durchführung des Veranlagungsverfahrens, zum anzuwendenden Steuersatz, zu den Nachweispflichten und zu einem Steuerabzug auf der zweiten Stufe: Köhler/Goebel/Schmidt, DStR 2010, 8 ff. Kommt es jedoch aufgrund von § 50a Abs. 3 EStG zu einem sog. Nettoabzug, so kann der Steuerabzug auf der zweiten Stufe wieder aufleben (§ 50a Abs. 4 Satz 2 EStG). 255 BMF v. 17.6.2014 – IV C 3 - S 2303/10/10002 :001, Rz. 7. 256 Ein solcher Steuerabzug auf der zweiten Stufe wird z.B. dann relevant, sofern der Vergütungsgläubiger seinerseits Lizenznehmer ist und eine Unterlizenz erteilt (Frotscher, in: Frotscher/Geurts, EStG, § 50a Rz. 125a [Stand: 4.2.2015], mit Hinweis auf BFH v. 27.7.2011 – I R 32/10, BStBl. II 2014, 513). Im Zshg. mit der Erteilung der Unterlizenzen ist z.B. auch noch nicht geklärt, ob im Falle der Berechtigung, mehrere Unterlizenzen zu erteilen, ein Steuerabzug nach § 50a Abs. 3 EStG möglich ist.
980
Backu/Bayer
Quellensteuer
Rz. 168
F
2.5 Entlastung nach § 50d EStG 2.5.1 Systematik des § 50d EStG Sieht ein zwischen Deutschland und einem anderen Staat abgeschlossenes DBA vor, dass 165 vom Steuerabzug nach § 50a EStG erfasste Erträge keinem oder nur einem geringen Steuerabzug unterliegen, so kann dem Steuerpflichtigen unter den Voraussetzungen des § 50d EStG eine Entlastung gewährt werden. Dies gilt gleichfalls, wenn es sich um Zahlungen von Lizenzgebühren zwischen verbundenen Unternehmen verschiedener Mitgliedstaaten der Europäischen Union oder der Schweiz handelt (§ 50g EStG). Gemäß den in § 50d Abs. 1 EStG genannten Voraussetzungen ist eine Entlastung durch Erstattung der bereits abgeführten Steuer zu gewähren oder unter den Voraussetzungen des § 50d Abs. 2 EStG eine Freistellung vom Steuerabzug vor Zahlung der Vergütung an den Gläubiger. Keine Entlastung ist jedoch möglich, wenn ein Ausschlusstatbestand i.S.v. § 50d Abs. 3 EStG vorliegt. Nach der allgemeinen abgabenrechtlichen Beweislastregel muss der jeweilige Steuerpflichtige die für ihn günstigen Tatsachen darlegen. D.h. der Steuerpflichtige muss z.B. vortragen, dass das jeweilige DBA nur einen niedrigeren Steuersatz vorsieht.257
166
2.5.2 Erstattungsverfahren gemäß § 50d Abs. 1 EStG § 50d Abs. 1 Satz 1 EStG legt fest, dass ein Steuerabzug auch dann erfolgen kann, wenn die betreffenden Einkünfte z.B. aufgrund eines DBA oder aufgrund von § 50g EStG steuerfrei sind258 oder nur nach einem niedrigeren Steuersatz259 besteuert werden.260 Damit geht § 50d EStG den Regelungen des DBA vor, soweit das Steuerabzugsverfahren betroffen ist (Grundsatz des Fortbestands des Quellensteuerabzugs).261 Allerdings bleibt der Anspruch des Gläubigers auf völlige oder teilweise Erstattung der einbehaltenen und abgeführten Steuer (§ 50d Abs. 1 Satz 2 EStG) unberührt. Kennzeichnend für § 50d Abs. 1 EStG ist somit ein zweistufiges Verfahren (Steuerabzug mit anschließender Erstattung).262 (1) Überblick über das Erstattungsverfahren, Anwendungsbereich
167
168
Vergütung i.S.v. § 50a EStG263 (unerheblich ist, ob nach DBA oder nach § 50g EStG ein niedrigerer Abzug, ggf. auch in Höhe von null, möglich ist)264
257 Haase, in: Haase, Geistiges Eigentum, Rz. 8.231. 258 In diesen DBA ist entsprechend dem OECD-Musterabkommen (Art. 12) vorgesehen, dass ausschließlich der Ansässigkeitsstaat des Lizenzgebers über das Recht verfügt, Lizenzgebühren zu besteuern (so z.B. das DBA zwischen Deutschland und den USA und das DBA zwischen Deutschland und der Schweiz). 259 Die jeweils geltenden DBA sind auf der Website des Bundesfinanzministeriums abrufbar (www.bun desfinanzministerium.de). So erlaubt das DBA zwischen Deutschland und Luxemburg nur einen Quellensteuerabzug in Höhe von 5 %. 260 Diese Regelung ist auch mit der Richtlinie 2003/49/EG (ABl. 2003 Nr. L 157/49) vereinbar. 261 Wagner, in: Blümich, EStG, KStG, GewStG, § 50d EStG Rz. 27 (Stand: 11/2014). Dies stellt ein sog. Treaty Override dar. Näher s. Rz. 139. 262 Während für den Steuerabzug das Betriebsfinanzamt zuständig ist, verfügt für das Erstattungsverfahren das Bundeszentralamt für Steuern über die ausschließliche Zuständigkeit. 263 Daneben kann es sich auch um Vergütungen i.S.v. § 43b EStG handeln; solche sind vorliegend aber nicht von Bedeutung. 264 Ist nach DBA nur ein geringerer Abzug oder überhaupt kein Abzug möglich, so beinhaltet das zweistufige Verfahren ein sog. Treaty Override (s. Rz. 139). Zwar enthält das in § 50d Abs. 1 EStG vorgesehene Verfahren, von dem Steuerabzug nur bei Vorliegen einer Freistellungsbescheinigung abzusehen, einen Verstoß gegen die Dienstleistungsfreiheit (Art. 56 AEUV). Dieser Verstoß ist jedoch aufgrund der Notwendigkeit, die Steuererhebung sicherzustellen, gerechtfertigt (EuGH v. 3.10.2006 – C-290/04, Slg. 2006, I-9461 – Scorpio).
Backu/Bayer
981
F Rz. 168
Die steuerliche Behandlung von Software und IT-Dienstleistungen
(2) 1. Stufe: Abzugsverfahren § 50d Abs. 1 Satz 1 EStG – Vornahme des Abzugs durch den Schuldner265 der Vergütung (s. Rz. 141 ff.) – Vergütungsschuldner kann sich im Haftungsverfahren266 nicht darauf berufen, dass der Vergütungsgläubiger eine geringere Steuer schuldet (§ 50d Abs. 1 Satz 13 EStG). Da aus dem Wortlaut des § 50d Abs. 1 Satz 13 EStG aber nur hervorgeht, dass eine aufgrund von Abkommen (d.h. aufgrund von DBA) geschuldete geringere Steuer nicht zu berücksichtigen ist, Richtlinien (hier: § 50g EStG) jedoch ausdrücklich nicht erwähnt werden, wird diskutiert, ob § 50g EStG im Haftungsverfahren zu berücksichtigen ist.267 (3) 2. Stufe: Erstattungsverfahren § 50d Abs. 1 Satz 2 EStG – Voraussetzung: nach DBA oder nach § 50g EStG ist ein Steuerabzug nur mit einem geringeren Steuersatz oder überhaupt kein Steuerabzug zulässig268 – Rechtsgrundlage: § 37 Abs. 2 AO – Materiell Erstattungsberechtigter: Vergütungsgläubiger269 Dies gilt nicht nur, wenn die Steuer ordnungsgemäß einbehalten und abgeführt worden ist, sondern auch, wenn der Vergütungsschuldner für die Steuer in Haftung genommen worden ist oder er sie aufgrund eines Nachforderungsbescheids entrichten muss. In einer solchen Konstellation besitzt der Vergütungsschuldner im Regelfall im Innenverhältnis einen Erstattungsanspruch gegen den Vergütungsgläubiger.270 Hat der Vergütungsschuldner die Steuer zwar einbehalten, jedoch nicht an das Finanzamt abgeführt, so steht dem Vergütungsgläubiger kein Erstattungsanspruch zu (Wortlaut des § 50d Abs. 1 Satz 2 EStG: „einbehaltenen und abgeführten Steuer“).271 – Kein Ausschluss der Erstattung nach § 50d Abs. 3 EStG – Durchführung des Erstattungsverfahrens – Antrag ist nach amtlich vorgeschriebenem Vordruck beim Bundeszentralamt für Steuern zu stellen272
265 Wird nicht der Schuldner der Vergütung, sondern außerhalb des Abzugsverfahrens der Gläubiger in Anspruch genommen, so ist § 50d EStG nicht anwendbar. 266 Die Haftung folgt aus § 50a Abs. 5 Satz 4 EStG. 267 Für eine Berücksichtigung z.B. Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 25 (Stand: 30.1.2014): Die Verwaltung handele ermessensfehlerhaft, wenn sie den Abzugsverpflichteten in Anspruch nehme, obwohl feststehe/durch einfache Ermittlungen festgestellt werden könne, dass die Voraussetzungen des § 50g EStG vorlägen und daher der Abzugssteuersatz „null“ betrage. 268 Sieht das DBA daher nur einen niedrigeren Steuersatz vor, so wird lediglich die Differenz zwischen dem deutschen Steuersatz und dem DBA-Steuersatz zurückerstattet. 269 Der Vergütungsgläubiger kann den Vergütungsschuldner aber zum Stellen des Antrags bevollmächtigen (BT-Drs. 14/7341, S. 13); dies stellt ein Wirksamkeitserfordernis für einen Antrag des Vergütungsschuldners dar, FG Köln v. 28.1.1999 – 2 K 4074/97, EFG 1999, 649 (650 f.). 270 So auch Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 30 (Stand: 30.1.2014). Das Prozedere sollte auch vertraglich abgesichert werden. 271 Ebenso BFH v. 24.8.2011 – I R 85/10, BFH/NV 2012, 559. In solchen Fällen ist der Vergütungsgläubiger darauf beschränkt, einen Anspruch gegen den Vergütungsschuldner geltend zu machen; Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 31 f. (Stand: 30.1.2014). 272 Wird der Antrag nicht auf amtlich vorgeschriebenem Vordruck gestellt, ist er unwirksam. Aus dem beschriebenen Prozedere ergibt sich aber auch, dass es zur Durchsetzung des Erstattungsanspruchs keiner Einkommensteuer-Veranlagung bedarf, BFH v. 12.10.1995 – I R 39/95, BStBl. II 1996, 87 f.
982
Backu/Bayer
Quellensteuer
Rz. 170
F
– Beifügung einer Ansässigkeitsbescheinigung, in den Fällen des § 50g EStG ggf. auch eine Betriebsstättenbescheinigung (§ 50d Abs. 4 EStG) – Die Frist zum Stellen des Antrags endet vier Jahre nach Ablauf des Kalenderjahres, in dem die Vergütung bezogen worden ist (§ 50d Abs. 1 Satz 9 EStG).273 Jedoch endet die Frist nicht vor Ablauf von sechs Monaten nach dem Zeitpunkt der Entrichtung der Steuer (§ 50d Abs. 1 Satz 10 EStG).274 – Grundlage für die Erstattung Die Entscheidung des Bundeszentralamts für Steuern, dass keine oder lediglich eine geringere Steuer entstanden ist als die einbehaltene und abgeführte Steuer, ist bindend.275 Entscheidet das Bundeszentralamt für Steuern, dass keine Erstattung gewährt wird oder nur über einen geringeren Betrag als einbehalten und abgeführt, so kann dagegen im Wege des Einspruchs vorgegangen werden. – Der zu erstattende Betrag ist nicht zu verzinsen, außer es liegt ein Fall des § 50g EStG vor (§ 50d Abs. 1a EStG). 2.5.3 Freistellungsverfahren gemäß § 50d Abs. 2 EStG Um das aufwendige Verfahren der Einbehaltung/Abführung der Steuer und deren anschlie- 169 ßende Erstattung (§ 50d Abs. 1 EStG) zu vermeiden, sieht § 50d Abs. 2 EStG ein Freistellungsverfahren vor.276 (1) Anwendungsbereich
170
u. a. Vergütungen i.S.v. § 50a EStG (2) Verfahren – Antrag ist auf einem vom Bundeszentralamt für Steuern vorgeschriebenen amtlichen Vordruck zu stellen. – Antragsberechtigt ist der Vergütungsgläubiger (dieser kann den Vergütungsschuldner aber zur Antragstellung bevollmächtigen)277. – Beifügung einer Ansässigkeitsbescheinigung, in den Fällen des § 50g EStG ggf. auch eine Betriebsstättenbescheinigung278 (§ 50d Abs. 4 EStG) (3) Voraussetzungen der Freistellung – Adressat der Freistellungsbescheinigung und Vergütungsgläubiger müssen identisch sein.279
273 Sofern ein DBA eine kürzere Frist beinhaltet (häufig drei Jahre), so gilt auch in diesen Fällen die Frist des § 50d Abs. 1 Satz 10 EStG, wenn sie länger ist (BMF v. 7.5.2002 – IV B 4 - S 2293 - 26/02, Abschn. 2.2.). 274 Bedeutsam ist dies, wenn ein Steuerabzug nicht vorgenommen worden ist und der Vergütungsschuldner dafür haftet (oftmals bei einer sog. verdeckten Gewinnausschüttung); Frotscher, in: Frotscher/ Geurts, EStG, § 50d Rz. 43 (Stand: 30.1.2014). 275 Dies stellt einen Freistellungsbescheid nach § 155 Abs. 1 Satz 3 AO und folglich einen Steuerbescheid i.S.v. § 50d Abs. 1 Satz 3 EStG dar. 276 Zum Freistellungsverfahren allg. vgl. BMF v. 7.5.2002 – IV B 4 - S 2293 - 26/02; bei Lizenzgebühren vgl. BZSt v. 9.10.2002 – St II 4 - S 1300 - 17/02, BStBl I 2002, 916 ff. 277 FG Köln v. 24.2.2000 – 2 K 6260/98, EFG 2000, 1189 f. 278 Wagner, in: Blümich, EStG, KStG, GewStG, § 50g EStG Rz. 87 (Stand: 11/2014). 279 FG München v. 19.5.2004 – 1 V 2703/03, EFG 2004, 1538.
Backu/Bayer
983
F Rz. 171
Die steuerliche Behandlung von Software und IT-Dienstleistungen
– Nach DBA oder § 50g EStG ist kein Steuerabzug oder nur ein Steuerabzug zu einem geringeren Steuersatz möglich. – Kein Ausschluss nach § 50d Abs. 3 EStG (4) Wirkung der Freistellung – Die Freistellungsbescheinigung führt dazu, dass der Steuerabzug unterbleiben oder nur mit einem geringeren Steuersatz erfolgen kann. Die Steueranmeldung nach § 73e Satz 2 EStDV ist aber dennoch vorzunehmen (s. Rz. 163). – Die Freistellungsbescheinigung schützt den Schuldner vor Nachforderungen oder Haftungsansprüchen. – Schuldner darf nur von dem Steuerabzug absehen, wenn ihm die Freistellungsbescheinigung im Zeitpunkt der Zahlung vorliegt (§ 50d Abs. 2 Satz 5 EStG).280 – Die Freistellungsbescheinigung ist zukunftsbezogen; auf bereits zugeflossene Zahlungen findet diese keine Anwendung. – Die Bescheinigung wird für mindestens ein Jahr und höchstens für drei Jahre erteilt. – Die Freistellung ist ein Verwaltungsakt und kein Steuerbescheid.281 (5) Weitere Pflichten des Vergütungsgläubigers Der Wegfall der Voraussetzungen der Steuerfreistellung (d.h. kein oder nur ein geringerer Steuerabzug) ist dem Bundeszentralamt für Steuern unverzüglich anzuzeigen. 2.5.4 Ausschluss der Entlastung, § 50d Abs. 3 EStG 2.5.4.1 Zweck des § 50d Abs. 3 EStG 171 § 50d Abs. 3 EStG legt fest, dass eine ausländische Gesellschaft unter bestimmten Voraussetzungen keinen Anspruch auf Entlastung nach § 50d Abs. 1 oder Abs. 2 EStG besitzt. Zweck ist es zu vermeiden, dass ein nach einem DBA oder einer EU-Richtlinie nicht entlastungsberechtigter Steuerpflichtiger sich aufgrund der Zwischenschaltung einer Kapitalgesellschaft eine sonst nicht vorhandene Entlastungsberechtigung verschafft („Treaty Shopping“ bzw. „Directive Shopping“). Solche Kapitalgesellschaften werden in diesem Zshg. oftmals als funktionslose Zwischengesellschaften bezeichnet. Wann eine derartige funktionslose Gesellschaft gegeben sein soll, wird in § 50d Abs. 3 EStG näher definiert. 172 Bei § 50d Abs. 3 EStG handelt es sich um eine spezielle Vorschrift zur Verhinderung missbräuchlicher Gestaltungen.282 Sie legt typisierend den Missbrauch fest. Ein besonderer Nachweis des Missbrauchs oder der Missbrauchsabsicht ist somit nicht mehr erforderlich.283 Folglich wird beim Vorliegen der in § 50d Abs. 3 EStG enthaltenen Merkmale unwiderleglich eine Missbrauchsabsicht vermutet.284
280 Hierdurch wird die Rückwirkung der Freistellungsbescheinigung faktisch ausgeschlossen. 281 Eine Aufhebung der Freistellungsbescheinigung erfolgt deshalb gemäß §§ 130, 131 AO, so die wohl h. M.: BFH v. 11.10.2000 – I R 34/99, BStBl II 2001, 291 (292); v. 28.10.1999 – I R 35/98, BFH/NV 2001, 881; Buciek, iStR 2001, 102 (104). 282 BT-Drs. 16/2712, S. 60. § 50d Abs. 3 EStG stellt somit eine besondere Ausgestaltung des allgemeinen Verbots des Rechtsmissbrauchs nach § 42 AO dar. 283 Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 63c (Stand: 30.1.2014). 284 § 50d Abs. 3 EStG wurde mit Wirkung ab dem 1.1.2012 durch das BeitrRLUmsG (BGBl. I 2011, 2592 ff.) umfassend geändert. Zu der Historie des § 50d Abs. 3 EStG s. z.B. Kraft/Gebhardt, DB 2012, 80.
984
Backu/Bayer
Quellensteuer
Rz. 175
F
2.5.4.2 Verhältnis zu DBA-Regelungen und zum Gemeinschaftsrecht Beruht die Steuerentlastung auf einem DBA, das eine Missbrauchsklausel enthält, dann verdrängt diese die Missbrauchsklausel des § 50d Abs. 3 EStG.285 Z.T. wird aber in DBA auf die nationalen Vorschriften zur Vermeidung von Missbräuchen verwiesen, sodass § 50d Abs. 3 EStG Anwendung findet und dies keinen Verstoß gegen das DBA beinhaltet.286 Fehlt in einem DBA allerdings eine Missbrauchsklausel, dann stellt sich die Frage, ob § 50d Abs. 3 DBA als sog. Treaty Override (zum Treaty Override s. Rz. 139) zu qualifizieren ist.287 Darüber hinaus wird auch diskutiert, ob § 50d Abs. 3 EStG einen Verstoß gegen Gemeinschaftsrecht beinhaltet, denn durch die Vorschrift wird u.a. die Niederlassungsfreiheit eingeschränkt.288
173
2.5.4.3 Anwendungsbereich des § 50d Abs. 3 EStG Bei der ausländischen Gesellschaft289 kann es sich um eine Personen290 – oder um eine Kapitalgesellschaft handeln. Im Anwendungsbereich des § 50g EStG muss die Gesellschaft allerdings eine bestimmte Rechtsform aufweisen.
174
Sofern nicht eine ausländische Gesellschaft, sondern lediglich eine Betriebsstätte zwischen- 175 geschaltet wird, ist § 50d Abs. 3 EStG nicht anwendbar. Dies gilt gleichfalls bei Zwischenschaltung einer natürlichen Person. Wird jedoch eine Gestaltung gewählt, bei der § 50d Abs. 3 EStG wegen der Konzeption der Zwischenschaltung nicht eingreift, so greift die allgemeine Missbrauchsvorschrift des § 42 AO ein.
285 BFH v. 19.12.2007 – I R 21/07, BStBl II 2008, 619 (621). Eine solche Missbrauchsklausel beinhaltet z.B. Art. 28 DBA-USA. 286 Das DBA Schweiz 2002 enthält eine allgemeine Verweisung auf die nationalen Vorschriften zur Vermeidung von Missbräuchen, und damit auf § 50d Abs. 3 EStG; BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, BStBl I 2012, 171, Rz. 10. Die jeweilige Missbrauchsvorschrift des DBA hat dann zur Folge, dass entgegenstehende Regelungen des DBA keine Anwendung mehr finden. 287 Für eine Einstufung als Treaty Override z.B. Musil, FR 2012, 149 (150); Leisner-Egensperger, DStZ 2013, 744 ff. m.w.N; Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 64b, 121c (Stand: 30.1.2014); denn § 50d Abs. 3 EStG schränke die Berechtigung zur Reduzierung der Quellensteuer nach DBA ein. Andere Vertreter des Schrifttums qualifizieren § 50d Abs. 3 EStG nicht als Treaty Override, da die DBA generell unter einem Missbrauchsvorbehalt stünden (so z.B. BT-Drs. 12/5630, S. 65); zustimmend z.B. Wagner, in: Blümich, EStG, KStG, GewStG, § 50d EStG Rz. 67 (Stand: 11/2014). 288 Es ist allerdings einzuräumen, dass der EuGH auch das Interesse der Mitgliedstaaten an einer Wahrung des Besteuerungsrechts bereits in einigen E. anerkannt hat (EuGH v. 29.3.2007 – C-347/04, Slg. 2007-I, 2647 – Rewe-Zentralfinanz; v. 13.3.2007 – C-524/04, Slg. 2007, I-2107 – Test Claimonts in the Thin Cap Group Litigation). Dies könnte dazu führen, dass § 50d Abs. 3 EStG nicht gegen das Gemeinschaftsrecht verstößt. Im Schrifttum ist die Frage umstritten; ausführlich z.B. Wagner, in: Blümich: EStG, KStG, GewStG, § 50d EStG Rz. 68 ff. (Stand: 11/2014). Der EuGH hat ferner entschieden, dass der nationale Gesetzgeber verhindern könne, dass Steuerpflichtige mittels künstlicher, jeder wirtschaftlichen Realität barer Gestaltungen der Steuer entgehen, die normalerweise für durch Tätigkeiten im Inland erzielte Gewinne geschuldet wird (EuGH v. 12.9.2006 – C-196/04, Slg. 2006, I-7995 – Cadbury Schweppes). Jedoch ist zu bezweifeln, dass die unwiderleglichen Vermutungen des § 50d Abs. 3 EStG diese Voraussetzungen erfüllen. Kritisch in Bezug auf einen Verstoß gegen Gemeinschaftsrecht z.B. auch Kraft/Gebhardt, DB 2012, 80 ff.: Demnach sei z.B. fraglich, ob die in § 50d Abs. 3 Satz 4 EStG enthaltene Umkehrung der Feststellungslast mit den gemeinschaftsrechtlichen Anforderungen übereinstimme. Ferner sei durch § 50d Abs. 3 Satz 2 EStG ein Verstoß gegen Gemeinschaftsrecht gegeben, da ausschließlich auf die Merkmale des im Ausland ansässigen Rechtsträgers abzustellen sei. Hierin sieht z.B. Leisner-Egensperger, DStZ 2013, 744 (752), auch einen Verstoß gegen das Grundgesetz. 289 Eine Gesellschaft ist ausländisch, wenn sie in Deutschland weder Sitz (§ 11 AO) noch Geschäftsleitung (§ 10 AO) hat. Sofern eine Entlastungsberechtigung aufgrund eines DBA gewährt wird, ist anhand des DBA zu beurteilen, wo die Gesellschaft ansässig ist. 290 Dies kann z.B. praktisch relevant werden bei einer Entlastungsberechtigung aufgrund eines DBA für Lizenzgebühren.
Backu/Bayer
985
F Rz. 176
Die steuerliche Behandlung von Software und IT-Dienstleistungen
2.5.4.4 Ausnahme vom Anwendungsbereich des § 50d Abs. 3 EStG 176 Ein Anspruch auf Entlastung ist gegeben, wenn mit der Hauptgattung der Aktien der ausländischen Gesellschaft ein wesentlicher oder regelmäßiger Handel an einer anerkannten Börse stattfindet oder für die ausländische Gesellschaft die Vorschriften des Investmentsteuergesetzes gelten (§ 50d Abs. 3 Satz 5 EStG; sog. Börsenklausel).291 Diese Gesellschaften sind daher stets entlastungsberechtigt, unabhängig von Art und Umfang ihrer Tätigkeit. 2.5.4.5 Anspruch auf Entlastung 177 Während die Fragen des Verhältnisses des § 50d Abs. 3 EStG zu DBA-Regelungen und zum Gemeinschaftsrecht v.a. in gerichtlichen Verfahren von Bedeutung sind, spielt der Aspekt, unter welchen Voraussetzungen kein Anspruch auf Entlastung besteht, in der Praxis bei vielfältigen Fragen (z.B. auch Umstrukturierungen) eine bedeutende Rolle. Der komplizierte Wortlaut des § 50d Abs. 3 EStG wird leichter verständlich, wenn geprüft wird, unter welchen Voraussetzungen ein Anspruch auf Entlastung besteht.292 Ein Anspruch auf Entlastung kann aufgrund einer sachlichen oder einer persönlichen Entlastungsberechtigung zu bejahen sein. Sind die Voraussetzungen für eine sachliche Entlastungsberechtigung nicht oder in bestimmtem Umfang nicht erfüllt, so sind insoweit die Voraussetzungen für eine persönliche Entlastungsberechtigung zu prüfen. Wann nach Auffassung der Finanzverwaltung die Voraussetzungen für eine sachliche oder persönliche Entlastungsberechtigung erfüllt sind, ergibt sich aus einem BMF-Schreiben.293 2.5.4.5.1 Sachliche Entlastungsberechtigung 178 Eine ausländische Gesellschaft besitzt einen Anspruch auf Entlastung (sachliche Entlastungsberechtigung), wenn bzw. soweit die ausländische Gesellschaft (1) Bruttoerträge aus eigener Wirtschaftstätigkeit erzielt294 oder (2) für ihre Einschaltung wirtschaftliche oder sonst beachtliche Gründe bestehen und eine Teilnahme am allgemeinen wirtschaftlichen Verkehr mit angemessenem Geschäftsbetrieb vorliegt. 2.5.4.5.1.1 Zu (1): Erzielung von Bruttoerträgen aus eigener Wirtschaftstätigkeit 179 Eine eigene Wirtschaftstätigkeit liegt nur vor, wenn die Tätigkeit über die Vermögensverwaltung hinausgeht.295 Hält eine ausländische Gesellschaft Anteile an inländischen Gesellschaften, handelt es sich lediglich dann um eine eigene Wirtschaftstätigkeit, sofern Beteiligungen von einigem Gewicht erworben worden sind, um gegenüber den Gesellschaften, an denen Beteiligungen erworben worden sind, geschäftsleitende Funktionen wahrzunehmen (sog. aktive Beteiligungsverwaltung). Nach Auffassung der Finanzverwaltung ist es für eine aktive Beteiligungsverwaltung erforderlich, dass gegenüber mindestens zwei296 anderen in-
291 292 293 294
Auf diese Voraussetzung wird im Einzelnen nicht näher eingegangen. So z.B. auch Schaflitzl/Weidmann, DStR-Beih. 2013, 30 (31). BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016. Bruttoerträge sind die Solleinnahmen ohne durchlaufende Posten und Umsatzsteuer; Schaflitzl/ Weidmann, DStR-Beih. 2013, 30 (31). 295 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 5.1. 296 Kritisch hierzu z.B. Schaflitzl/Weidmann, DStR-Beih. 2013, 30 (32). Ebenso Dorfmüller/Fischer, iStR 2011, 857 (860); Dorfmüller, iStR 2012, 423 (424 f.); Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 89 (Stand: 30.1.2014).
986
Backu/Bayer
Quellensteuer
Rz. 182
F
ländischen297 Konzerngesellschaften geschäftsleitende Funktionen ausgeübt werden. Ob eine Beteiligung von einigem Gewicht erworben worden ist, hängt jedoch nicht von der Höhe der kapitalmäßigen Beteiligung ab. Vielmehr ist dies davon abhängig, dass auf die Geschäfte der Beteiligungsgesellschaften tatsächlich Einfluss genommen wird.298 Geschäftsleitende Funktionen werden nach Auffassung der Finanzverwaltung durch Führungsentscheidungen ausgeübt, die sich durch ihre langfristige Natur (Strategieentscheidungen), Grundsätzlichkeit und Bedeutung auszeichnen. Mündliche Entscheidungen ohne hinreichende Dokumentation reichen zum Nachweis der geschäftsleitenden Funktion nicht aus.299 Eine aktive Beteiligungsverwaltung ist auch gegeben, wenn etwa Dienstleistungen gegenüber einer oder mehreren Konzerngesellschaften erbracht werden,300 eine Abrechnung wie unter fremden Dritten erfolgt (s. Rz. 219 ff.) und die Leistungen gegen gesondertes Entgelt erbracht werden.301 Die aktive Beteiligungsverwaltung ist somit von der bloßen passiven Beteiligungsverwal- 180 tung abzugrenzen, was in der Praxis oftmals mit erheblichen Schwierigkeiten verbunden sein wird. Nicht genügend für eine aktive Beteiligungsverwaltung ist demnach die bloße Ausübung von Gesellschafterrechten oder die Übertragung wesentlicher Geschäftsfunktionen auf Dritte (§ 50d Abs. 3 Satz 3 EStG). Dies gilt gleichfalls bei der Durchführung nur einzelner Geschäftsfunktionen, z.B. Lizenzverwertung.302 Bei der Beurteilung, ob eine aktive Beteiligungsverwaltung vorliegt, sind stets nur die Verhältnisse der jeweiligen ausländischen Gesellschaft von Bedeutung. Auf die Tätigkeit anderer Konzerngesellschaften darf aufgrund des Wortlauts von § 50d Abs. 3 Satz 1 EStG („eigene Wirtschaftstätigkeit der ausländischen Gesellschaft“) nicht abgestellt werden.
181
Die Frage, ob eine aktive oder eine passive Beteiligungsverwaltung gegeben ist, stellt sich in der Praxis insb. bei Holdingkonstruktionen. Die Voraussetzungen einer aktiven Beteiligungsverwaltung sind bei einer sog. geschäftsleitenden Holding erfüllt. Für das Vorliegen einer geschäftsleitenden Holding ist es ausreichend, wenn nur einige der nachfolgend genannten Tätigkeiten durch die Holding ausgeübt werden:303
182
– Konzernleitung (z.B. Vorstand, Geschäftsführung, Aufsichtsrat, Gesellschafterversammlung der Muttergesellschaft, rechtliche Organisation des Gesamtkonzerns, zentrale Investitions-, Produkt-, Finanz- und Absatzplanung sowie -koordination) – Koordination und allgemeines Management (z.B. horizontale Koordination von konkreten Maßnahmen zwischen Tochtergesellschaften, vertikale Koordination von konkreten Maßnahmen zwischen Mutter- und Tochtergesellschaft) – Unterstützung im Personalbereich (z.B. Einrichtung/Durchführung von Trainingsprogrammen, Unterstützung bei der Einstellung von [leitenden] Angestellten, Entwicklung von Richtlinien für die Entlohnung) – Finanz- und Rechnungswesen (Konzernbuchhaltung, -budgetierung und -finanzierung, Entwicklung von Rechnungslegungsgrundsätzen, Vereinheitlichung und Pflege des EDVSystems, Unterstützung bei der Finanzplanung, konzernweite Führungs- und Reportingsysteme, Unterstützung bei der Kostenrechnung)
297 Dies könnte aus dem Wortlaut von Rz. 5.2 des BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016 entnommen werden. Kritisch hierzu Schaflitzl/Weidmann, DStR-Beih. 2013, 30 (32), der dies europarechtlich als nicht vertretbar ansieht. Ebenso Dorfmüller, iStR 2012, 423 (424 f.). 298 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 5.2. 299 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 5.3. 300 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 5.1. 301 Dies soll eine Verrechnung gegen Kostenumlagen ausschließen. 302 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 5.3. 303 Näher zu dieser Liste: Schönfeld, in: Flick/Wassermeyer/Baumhoff/Schönfeld, Außensteuerrecht, § 50d Abs. 3 EStG Rz. 188 (Stand: 11/2007).
Backu/Bayer
987
F Rz. 183
Die steuerliche Behandlung von Software und IT-Dienstleistungen
– Rechts-, Steuer- und Unternehmensberatung (einschließlich Markenschutz) – Produktüberwachung (z.B. Unterstützung bei der Produktplanung in Bezug auf Wettbewerb und Kundenakzeptanz, überwachende Qualitätskontrolle) – Marketing und Vertrieb (z.B. strategische Gesamtplanung der Gruppe, Marktstudien, Bildung einer Corporate Identity, Vermittlung von Kunden, sonstige Unterstützung bei der Werbung) – Nutzungsüberlassung, Darlehensgewährung und sonstige Leistungen (z.B. Überlassung materieller und/oder immaterieller Wirtschaftsgüter). 183 Allerdings werden im Einzelfall stets Unsicherheiten verbleiben, ob eine Geschäftsholding gegeben ist oder nicht. Patentverwaltungsgesellschaften, die nicht selbst aktiv in der Forschung und Entwicklung oder im Ankauf immaterieller Wirtschaftsgüter tätig sind, können die Steuerentlastung nicht in Anspruch nehmen.304 184 Bei den gestalterischen Überlegungen darf jedoch nicht vernachlässigt werden, dass die Etablierung einer geschäftsleitenden Holding mit dem Risiko verbunden ist, entweder durch die inländische Gesellschaft eine ausländische Geschäftsleitungsbetriebsstätte oder durch die ausländische Geschäftsholding eine inländische Geschäftsleitungsbetriebsstätte zu begründen. Dies kann zu negativen steuerlichen Konsequenzen führen (u.a. Entstrickung von Wirtschaftsgütern).305 Es ist deshalb kaum möglich, Gestaltungsempfehlungen zu geben.306 185 Bruttoerträge einer ausländischen Gesellschaft, die mit der eigenen wirtschaftlichen Tätigkeit in einem wirtschaftlich funktionalen Zusammenhang stehen, gelten gleichfalls als Erträge aus eigener Wirtschaftstätigkeit. Dies gilt ebenso für Zinserträge, die aus der verzinslichen Anlage entlastungsberechtigter Gewinne derselben Gesellschaft erzielt werden.307 Offen bleibt, wie zu verfahren ist, wenn etwa aufgrund einer bloßen Minderheitsbeteiligung keine aktive Beteiligungsverwaltung ausgeübt werden kann, die Beteiligung aber z.B. aufgrund von Branchennähe zu dem Bereich der eigenen Wirtschaftstätigkeit der ausländischen Gesellschaft gehört. Aus dem BMF-Schreiben geht nicht hervor, ob dies für eine sachliche Entlastungsberechtigung in jedem Fall genügend ist.308 186 Gemäß der Auffassung der Verwaltung erfolgt die Ermittlung der Entlastungsquote nach der sog. gesellschaftsbezogenen Aufteilungsmethode.309 Für die Berechnung der Entlastungsquote werden sämtliche von der ausländischen Gesellschaft erzielten Bruttobeträge berücksichtigt. Die Berechnung der Entlastungsquote erfolgt aus dem Verhältnis von unschädli-
304 Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 87a (Stand: 30.1.2014). 305 Schönfeld, in: Flick/Wassermeyer/Baumhoff/Schönfeld, Außensteuerrecht, § 50d Abs. 3 EStG Rz. 189 (Stand: 11/2007). 306 Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 149 (Stand: 30.1.2014), diskutiert verschiedene Gestaltungen unter Hinweis auf jeweils damit verbundene Risiken. 307 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 5. 308 Bei Lizenzzahlungen könnte aus dem BMF-Schreiben (BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 12) die Schlussfolgerung gezogen werden, dass dies für eine Entlastungsberechtigung ausreichend ist (so z.B. Richter, BB 2012, 1643 [1646]). Zur Lösung der Frage, ob selbst bei Minderheitsbeteiligungen an dem Erfordernis der aktiven Beteiligungsverwaltung festzuhalten ist (und damit keine sachliche Entlastungsberechtigung gegeben wäre), wird in der Lit. z.T. gefordert, die Kriterien für einen Teilbetrieb anzuwenden, so z.B. Engers/Dyckmans, Ubg 2011, 929 (931): Hierbei sind Beteiligungen z.B. einem Teilbetrieb zuzuordnen, wenn diese dem Aufbau von Geschäftsbeziehungen dienen. Dividendenausschüttungen wären demnach als Erträge aus eigener Wirtschaftstätigkeit einzustufen, wenn die Anteile einem (Teil-) Betrieb der ausländischen Gesellschaft zuzuordnen wären. 309 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 12. Zu den Konsequenzen der quotenmäßigen Aufteilung: Birker, BB 2012, 1961 (1964).
988
Backu/Bayer
Quellensteuer
Rz. 189
F
chen Bruttoerträgen (aktive Bruttoerträge [s. Rz. 179 ff.] und nicht aktive Bruttoerträge, die aber dennoch entlastungsberechtigt sind [s. Rz. 188 ff.]) zu den Gesamtbruttoerträgen. Die Entlastungsquote wird dann auf jeden mit Quellensteuer behafteten Bruttoertrag angewandt, unabhängig davon, ob er schädlich oder unschädlich ist. Im Gegensatz dazu wird bei der ertragsbezogenen Aufteilungsmethode jeder einzelne Ertrag, welcher der Quellensteuer unterliegt, auf seine Schädlichkeit oder Unschädlichkeit überprüft. Nur für unschädliche Bruttoerträge besteht ein Anspruch auf Erstattung, nicht aber für schädliche.310 Im Schrifttum ist umstritten,311 welche Aufteilungsmethode zur Anwendung gelangen soll.312 Festzuhalten bleibt, dass beide Methoden in den jeweiligen Konstellationen zu unterschiedlichen Ergebnissen führen können. 187
Beispiel: Die Summe aller unschädlichen Bruttoerträge einer Gesellschaft beträgt 700.000 Euro; die Bruttoerträge insgesamt 1.000.000 Euro. Bei Anwendung der gesellschaftsbezogenen Aufteilungsmethode beläuft sich die Entlastungsberechtigung für sämtliche Erträge nur auf 70 %. Gelangt hingegen die ertragsbezogene Aufteilungsmethode zur Anwendung, so besteht bei Erträgen, die selbst ausschließlich aus eigener Wirtschaftstätigkeit stammen, in vollem Umfang eine Entlastungsberechtigung.
2.5.4.5.1.2 Zu (2): Wirtschaftliche oder sonst beachtliche Gründe für ihre Einschaltung und Teilnahme am allgemeinen wirtschaftlichen Verkehr mit angemessenem Geschäftsbetrieb Ob wirtschaftliche oder sonst beachtliche Gründe für die Einschaltung der ausländischen Gesellschaft und ihre Teilnahme am allgemeinen wirtschaftlichen Verkehr vorliegen und es sich um einen angemessenen Geschäftsbetrieb handelt, beurteilt sich ausschließlich anhand der Verhältnisse der ausländischen Gesellschaft, § 50d Abs. 3 Satz 2 EStG.
188
Keine beachtlichen Gründe für die Einschaltung einer ausländischen Gesellschaft stellen sämtliche Gründe dar, die sich aus den Verhältnissen des Konzernverbundes ergeben, z.B. Koordination, Aufbau der Kundenbeziehung, Kosten, gesamtunternehmerische Konzeption.313 Ein wirtschaftlicher Grund liegt insb. dann vor, sofern mit der ausländischen Gesellschaft die Aufnahme einer eigenwirtschaftlichen Tätigkeit geplant ist und entsprechende Aktivitäten nachgewiesen sind.314 Der Umfang des Geschäftsbetriebs richtet sich nach dem Geschäftszweck der antragstellenden ausländischen Gesellschaft. Als weitere beachtliche Gründe werden im BMF-Schreiben rechtliche, politische oder auch religiöse Gründe genannt.315 Offen bleibt aber, welche Gründe hierunter zu subsumieren sind. Daher wird zu
189
310 Näher zu den beiden Aufteilungsmethoden, auch mit ausführlichen Beispielen: Schaflitzl/Weidmann, DStR-Beih. 2013, 30 (35 f.). 311 Insb. ist auch umstritten, ob die gesellschaftsbezogene Aufteilungsmethode, die zu starren Ergebnissen führt, mit Gemeinschaftsrecht vereinbar ist. Denn der EuGH fordert, dass bei einer starren Missbrauchsklausel zwingend die Möglichkeit des Gegenbeweises gegeben sein muss (EuGH v. 12.9.2006 – C-196/04, Slg. 2006 I-7995, Rz. 70 – Cadbury Schweppes). Dies ist bei einer quotalen Umqualifizierung gerade nicht der Fall. 312 Während sich die gesellschaftsbezogene Aufteilungsmethode auf den Wortlaut des § 50d Abs. 3 EStG stützen kann, spricht für die ertragsbezogene Aufteilung die Gesetzesbegründung (BT-Drs. 17/7524, S. 14) und die in der vorherigen Fußnote zitierte Rspr. des EuGH. Für eine Anwendung der ertragsbezogenen Aufteilungsmethode z.B. Dorfmüller/Fischer, iStR 2011, 857 (860 f.); Engers/Dyckmans, Ubg 2011, 929 (932); Richter, BB 2012, 1643 (1645). 313 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 6. 314 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 6. 315 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 6. Diese Formulierung war zwar bereits im JStG 2007 enthalten gewesen (Gesetzesbegründung, BT-Drs. 16/2712, S. 60), doch auch insoweit fehlt es an einer Erläuterung, welche Konstellationen hierunter zu verstehen sind.
Backu/Bayer
989
F Rz. 190
Die steuerliche Behandlung von Software und IT-Dienstleistungen
Recht befürchtet, dass nur wirtschaftliche Gründe, nicht aber sonstige Gründe zu einer sachlichen Entlastungsberechtigung führen können.316 190 Eine Teilnahme am allgemeinen wirtschaftlichen Verkehr mit angemessenem Geschäftsbetrieb erfordert ein „greifbares“ Vorhandensein von qualifiziertem Personal vor Ort bei der ausländischen Gesellschaft, Geschäftsräume und technische Kommunikationsmittel. Die Finanzverwaltung klärt dies mit Hilfe von standardisierten Fragebögen.317 2.5.4.5.2 Persönliche Entlastungsberechtigung 191 Liegen die Voraussetzungen für eine sachliche Entlastungsberechtigung zumindest z.T. nicht vor, so ist zu prüfen, ob eine persönliche Entlastungsberechtigung gegeben ist. Eine persönliche Entlastungsberechtigung besteht, wenn die hinter der ausländischen Gesellschaft stehenden Gesellschafter die Entlastung in Anspruch nehmen könnten, sofern sie die Einkünfte unmittelbar erzielen würden. Der entsprechende Gesellschafter muss deshalb aufgrund eines DBA oder einer europäischen Richtlinie eine Entlastungsberechtigung in Anspruch nehmen können und der jeweilige Gesellschafter muss sachlich und persönlich entlastungsberechtigt sein. Ist etwa ein Gesellschafter der ausländischen Gesellschaft nicht entlastungsberechtigt (z.B. fehlende Ansässigkeit in einem Staat, in dem aufgrund eines DBA eine Entlastungsberechtigung besteht), so ist die mittelbare Entlastungsberechtigung nachfolgender Gesellschafter unerheblich. 2.5.4.5.3 Dokumentation und Feststellungslast 192 Die Finanzverwaltung verlangt eine „hinreichende“ Dokumentation, um den Nachweis zu erbringen, dass die jeweilige Holding die Funktion einer geschäftsleitenden Holding ausübt.318 193 Nach Auffassung der Finanzverwaltung liegt die Feststellungslast bezüglich der Voraussetzungen des § 50d Abs. 3 EStG bei der ausländischen Gesellschaft. D.h. diese trägt das Risiko dafür, dass nach Auffassung der Finanzverwaltung das Vorliegen der Voraussetzungen nicht ausreichend nachgewiesen werden kann.319 Es ist für den Steuerpflichtigen dringend empfehlenswert, dies bei der Vornahme seiner Dokumentation zu beachten, da andernfalls das Risiko besteht, dass ihm die Entlastung nach § 50d Abs. 3 EStG versagt wird.
316 Helios/Hierstetter, Ubg 2012, 505 (509); Schaflitzl/Weidmann, DStR-Beih. 2013, 30 (33). 317 Schaflitzl/Weidmann, DstR-Beih. 2013, 30 (33); BMF v. 24.1.2012 – IV B3 - S 2411/07/10016, Rz. 7: Auch für das greifbare „Vorhandensein“ stellt es ein wichtiges Indiz dar, wenn die Geschäfte zwischen den Gesellschaften einem Fremdvergleich standhalten; s.a. Rz. 219 ff. 318 Kritisch z.B. Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 89a (Stand: 30.1.2014). 319 BMF v. 24.1.2012 – IV B 3 - S 2411/07/10016, Rz. 13. A.A. z.B. Frotscher, in: Frotscher/Geurts, EStG, § 50d Rz. 130 (Stand: 30.1.2014), der aufgrund des Wortlauts des § 50d Abs. 3 Satz 4 EStG davon ausgeht, dass der Steuerpflichtige nur für das Vorliegen wirtschaftlich oder sonst beachtlicher Gründe (sowie für einen angemessen eingerichteten Gewerbebetrieb) die Feststellungslast trägt. § 50d Abs. 3 Satz 4 EStG stelle eine lex specialis zu § 90 As. 2 AO dar (diese Vorschrift ordnet für Vorgänge mit Auslandsberührung eine erhöhte Mitwirkungspflicht des Steuerpflichtigen an).
990
Backu/Bayer
Quellensteuer
Rz. 194
F
Zu § 49 EStG und der Frage der Entlastungsberechtigung s. die nachfolgenden Schaubilder: 194 Beschränkte Steuerpflicht, § 49 I EStG
ja
nein
Quellensteuerabzugsverpflichtung (§ 50a I Nr. 3 EStG)?
Keine Pflicht zur Abgabe einer Steuererklärung in Deutschland
ja
nein
Grundsätzlich Quellensteuerabzug
Pflicht zur Abgabe einer Steuererklärung in Deutschland
Vorliegen einer Freistellungsbescheinigung § 50d II EStG?
ja
Kein Quellensteuerabzug, Entlastung wg. Freistellungsbescheinigung*
nein
Erstattung der Quellensteuer, § 50d I EStG*
* Voraussetzung: Kein Ausschluss nach § 50d III EStG
Backu/Bayer
991
F Rz. 195
Die steuerliche Behandlung von Software und IT-Dienstleistungen
195 Erzielt die mit Quellensteuer belastete ausländische Gesellschaft Erträge aus eigener Wirtschaftstätigkeit? = Sachliche Entlastungsberechtigung Teil 1
nein
z. T.
ja
Liegen in Bezug auf die Einschaltung der ausländischen Gesellschaft wirtschaftliche/ sonstige beachtliche Gründe vor UND ist ein angemessen eingerichteter Geschäftsbetrieb der ausländischen Gesellschaft vorhanden?
= Sachliche Entlastungsberechtigung Teil 2
nein
ja
Entlastungsberechtigung
Persönliche Entlastungsberechtigung
Entlastungsberechtigung des Gesellschafters (DBA/EU-RL) UND erfüllen die Gesellschafter die Voraussetzungen der sachlichen Entlastungsberechtigung Teil 1 oder Teil 2?
nein
ja
Keine Entlastungsberechtigung
2.6 Entlastung vom Steuerabzug bei Zahlung von Lizenzgebühren zwischen verbundenen Unternehmen verschiedener Mitgliedstaaten oder der Schweiz, § 50g EStG 196 Auf Antrag sind innerhalb der Gemeinschaft Lizenzzahlungen zwischen verbundenen Unternehmen vollständig vom Steuerabzug zu befreien, was in § 50g EStG umgesetzt worden 992
Backu/Bayer
Quellensteuer
Rz. 201
F
ist: Im Inland ansässige Unternehmen oder im Inland gelegene Betriebsstätten eines in einem EU-Mitgliedstaat ansässigen Unternehmens, die als Schuldner z.B. Lizenzgebühren an ein in einem anderen EU-Mitgliedstaat ansässiges verbundenes Unternehmen oder an eine in einem anderen Mitgliedstaat gelegene Betriebsstätte eines Unternehmens eines anderen EU-Mitgliedstaats als Gläubiger zahlen, können auf Antrag den Quellensteuerabzug bei Lizenzgebühren unterlassen (§ 50g Abs. 1 EStG).320 Die Pflicht zur Befreiung geht auf die Richtlinie 2003/49/EG321 zurück. Gleichfalls findet die auf Antrag zu gewährende Befreiung Anwendung, wenn eines der Unternehmen in der Schweiz ansässig ist oder eine Betriebsstätte in der Schweiz besitzt und das andere Unternehmen in der Europäischen Union ansässig ist bzw. dort über eine Betriebsstätte verfügt (§ 50g Abs. 6 EStG). Die Regelung soll nur für Sonderfälle Bedeutung besitzen, da die entsprechenden Befreiungen bereits in dem DBA zwischen Deutschland und der Schweiz enthalten sind.322 § 50g Abs. 6 EStG gelangt deshalb lediglich dann zur Anwendung, sofern die Anwendung des § 50g Abs. 6 EStG für den Steuerpflichtigen günstiger ist als die Regelungen des DBA. Dies soll zu bejahen sein, falls – ein verbundenes Unternehmen, das in Deutschland ansässig ist, Lizenzgebühren an die 197 schweizerische Betriebsstätte eines Unternehmens zahlt, das in einem anderen EU-Mitgliedstaat ansässig ist. Voraussetzung ist, dass das DBA zwischen diesem anderen EUMitgliedstaat und der Schweiz eine Quellensteuer auf Lizenzzahlungen vorsieht. Die Quellensteuerbefreiung des DBA zwischen Deutschland und der Schweiz ist vorliegend nicht anwendbar, da die schweizerische Betriebsstätte aus diesem nicht berechtigt ist. – ein Unternehmen, welches in der Schweiz ansässig ist, unter den Voraussetzungen des 198 § 50g Abs. 3 Nr. 5 lit. b EStG an einem Unternehmen in Deutschland und an einem Unternehmen in einem anderen EU-Mitgliedstaat beteiligt ist (Schwestergesellschaften). Wenn zwischen diesen Schwestergesellschaften Lizenzgebühren bezahlt werden und das DBA zwischen Deutschland und dem anderen EU-Staat Quellensteuern auf Lizenzgebühren zulässt, ist aufgrund der Ansässigkeit des Mutterunternehmens in der Schweiz § 50g Abs. 1 EStG anwendbar.323 § 50g EStG beinhaltet keine Regelungen für das Antragsverfahren, diese sind vielmehr in § 50d Abs. 2 und Abs. 4 EStG enthalten. Der Schuldner kann demnach selbst bei Vorliegen der Voraussetzungen des § 50g Abs. 1 EStG den Quellensteuerabzug nur unterlassen, wenn ihm der Vergütungsgläubiger vor Zahlung der Vergütung eine Freistellungsbescheinigung vorgelegt hat (zum Verfahren s. Rz. 169 f.).
199
Wie die einzelnen in der Vorschrift verwendeten Begriffe zu verstehen sind (insb. der des Unternehmens), ergibt sich aus § 50g Abs. 3 EStG.
200
In § 50g Abs. 2 EStG sind verschiedene Ausnahmen enthalten, die zur Folge haben, dass z.B. für den Vergütungsschuldner dennoch eine Quellensteuerabzugsverpflichtung besteht. Durch § 50g Abs. 2 EStG sollen Fälle erfasst werden, in denen materiell keine Zinsen oder Lizenzgebühren vorliegen, sondern die tatsächliche wirtschaftliche Gestaltung hinter der Vereinbarung von Zinsen/Lizenzgebühren verdeckt wird.324 Dies ist etwa bei verdeckten Gewinnausschüttungen der Fall (§ 50g Abs. 2 Nr. 1 lit. a EStG). Entsprechendes gilt, wenn die Lizenzgebühren zwischen den Parteien nicht vereinbart worden wären, wenn es sich um fremde Dritte handeln würde (§ 50g Abs. 2 Nr. 2 EStG).
201
320 Die Regelung gilt damit nicht für Zahlungen durch eine in Deutschland belegene Betriebsstätte eines Unternehmens, das weder in der EU noch in der Schweiz ansässig ist. Ein Gemeinschaftsbezug muss, wie aus dem Wortlaut der Vorschrift hervorgeht, in mehrfacher Hinsicht erfüllt sein. 321 Sog. Zins- und Lizenzrichtlinie, abgedruckt in ABl. 2003 Nr. L 157/49. 322 BT-Drs. 16/1545, S. 17. 323 Die vorherigen Beispiele sind entnommen aus Frotscher, in: Frotscher/Geurts, EStG, § 50g Rz. 74 (Stand: 15.2.2012). 324 So z.B. Frotscher, in: Frotscher/Geurts, EStG, § 50g Rz. 31 (Stand: 15.2.2012).
Backu/Bayer
993
F Rz. 202
Die steuerliche Behandlung von Software und IT-Dienstleistungen
202 Ferner gelangt § 50g EStG nicht zur Anwendung, wenn ein Missbrauch vorliegt (§ 50g Abs. 4 EStG). Danach ist die Steuerbefreiung zu verweigern, sofern einer der hauptsächlichen Beweggründe der Transaktion Steuervermeidung oder Missbrauch ist. Zusätzlich zu § 50g Abs. 4 EStG ist § 50d Abs. 3 EStG anwendbar. Weitergehende Befreiungen von Zinsen/Lizenzgebühren nach DBA bleiben unberührt (§ 50g Abs. 5 EStG).325 2.7 Gewerbesteuerliche Hinzurechnung 203 Zu beachten ist, dass sich bei den sog. Inbound-Fällen, d.h. der Überlassung von Lizenzen durch einen ausländischen Lizenzgeber an einen inländischen Lizenznehmer auch gewerbesteuerliche Auswirkungen ergeben können. Gemäß § 8 Nr. 1 lit. f Satz 1 GewStG326 sind dem Gewinn die Aufwendungen für die zeitlich befristete Überlassung von Rechten, insb. von Lizenzen, hinzuzurechnen, soweit sie bei der Ermittlung des Gewinns abgezogen worden sind. Hinzuzurechnen sind alle Aufwendungen, die in Bezug auf die zeitlich befristete Überlassung des Rechts entstehen. Zu den Aufwendungen für die Überlassung von Rechten kann auch die Quellensteuer nach § 50a Abs. 1 Nr. 3 EStG gehören.327 Die spätere Erstattung an den Überlassenden ist unerheblich. 204 Allerdings hat § 49 Abs. 1 Nr. 2 lit. f EStG keine unmittelbaren Auswirkungen auf die Gewerbesteuer. Denn ein im Ausland ansässiger Unternehmer unterliegt nur dann und insoweit der Gewerbesteuer, als er im Inland eine Betriebsstätte betreibt (§ 2 Abs. 1 Sätze 1 und 3 GewStG). Voraussetzung für eine Gewerbesteuerpflicht ist somit, dass im Inland eine Betriebsstätte i.S.d. § 12 AO unterhalten wird. Knüpft die beschränkte Steuerpflicht gemäß § 49 Abs. 1 Nr. 2 lit. a EStG an eine Betriebsstätte an, so können sich auch gewerbesteuerliche Auswirkungen ergeben. In den Konstellationen des § 49 Abs. 1 Nr. 2 lit. f EStG wird aber regelmäßig keine Betriebsstätte begründet. 205 Einstweilen frei. 3. Outbound-Konstellation (Überlassung an/Erwerb durch im Ausland ansässigen Lizenznehmer von einem im Inland ansässigen Lizenzgeber) 206 Leistet ein im Ausland ansässiger Lizenznehmer an einen in Deutschland ansässigen Lizenzgeber Lizenzzahlungen, so ist es von den Steuergesetzen der anderen Staaten abhängig, ob der Lizenznehmer verpflichtet ist, einen Teil der Vergütung einzubehalten und an die zuständigen ausländischen Finanzbehörden abzuführen. Sofern das DBA eine Quellensteuerabzugsverpflichtung vorsieht, erhält der in Deutschland ansässige Lizenzgeber eine Vergütung, die um die einzubehaltende Quellensteuer reduziert wird. Oftmals ordnet das DBA auch eine Reduzierung oder eine Freistellung von der Quellenbesteuerung an. In diesem Fall kann bei den zuständigen Finanzbehörden im Ausland die Freistellung oder Erstattung von Quellensteuer beantragt werden.328 Ist eine Freistellung oder Erstattung nicht möglich, so kann unter den Voraussetzungen des § 34c EStG die im Ausland einbehaltene Quellensteuer auf die deutsche Steuer angerechnet werden.
325 Zu Diskussionen über die Erhebung einer erweiterten Quellensteuer auf Lizenzgebühren: Ditz/Pinkernell/Quilitzsch, iStR 2014, 45 ff. 326 Allg. zur Gewerbesteuer und den Hinzurechnungen nach § 8 Nr. 1 lit. f GewStG s. Rz. 10 ff. 327 Keß, in: Lenski/Steinberg, GewStG, § 8 Nr. 1 lit. f GewStG Rz. 18 (Stand: 7/2013). Zustimmend z.B. Schnitter, in: Frotscher/Drüen, KStG, GewStG, UmwStG, § 8 GewStG Rz. 285. 328 Für eine Vielzahl von Staaten sind Antragsformulare auf der Website des Bundeszentralamts für Steuern unter dem Reiter „Internationale Steuern“ abrufbar.
994
Backu/Bayer
Quellensteuer
Rz. 212
F
Sofern Gläubiger der Vergütung ein im Inland ansässiges Unternehmen oder eine im Inland 207 belegene Betriebsstätte ist und der Schuldner der Vergütung in einem anderen EU-Mitgliedstaat oder in der Schweiz ansässig ist, beinhaltet § 50h EStG329 ergänzende Regelungen: Erhält ein in Deutschland ansässiges Unternehmen oder eine in Deutschland belegene Be- 208 triebsstätte als Vergütungsgläubiger Lizenzzahlungen, ist die aufgrund der Zins- und Lizenzrichtlinie (2003/49) vorzunehmende Steuerbefreiung in dem ausländischen Quellenstaat nur anzuwenden, wenn der Steuerpflichtige nachweist, dass er von den Vergünstigungen der Richtlinie Gebrauch machen darf. Es ist somit der Nachweis zu führen, dass das Unternehmen, welches die Zahlungen erhält, in Deutschland ansässig ist bzw. die Betriebsstätte, an die die Zahlungen vorgenommen werden, in Deutschland belegen ist.330 Dieser Nachweis ist durch eine Ansässigkeitsbescheinigung i.S.v. § 50h EStG zu führen. Über den Wortlaut des § 50h EStG hinausgehend sind in bestimmten Konstellationen noch weitergehende Bescheinigungen erforderlich: Dies ist z.B. dann der Fall, sofern ein in Deutschland ansässiges Unternehmen eine Betriebsstätte in einem EU-Mitgliedstaat oder in der Schweiz unterhält und Lizenzzahlungen an diese Betriebsstätte erfolgen. Unter diesen Voraussetzungen ist nicht nur eine Belegenheitsbescheinigung der ausländischen Finanzbehörde für die Betriebsstätte erforderlich, sondern auch eine Bescheinigung des für das Unternehmen zuständigen Finanzamts, dass das Unternehmen in Deutschland ansässig ist.331 Die Ansässigkeitsbescheinigung wird grds. in deutscher Sprache erteilt. Allerdings läge 209 wohl ein Ermessensfehler der Finanzverwaltung vor, sofern diese die Erteilung der Ansässigkeitsbescheinigung in einer anderen gängigen Sprache (insb. in Englisch) verweigern würde.332 Die Erteilung der Ansässigkeitsbescheinigung ist jeweils durch das örtlich zuständige Finanzamt vorzunehmen.333 4. Vertragsgestaltung und Praxistipps Sehen vertragliche Regelungen vor, dass ein Vertragspartner nicht für eine mögliche Quel- 210 lensteuer haftet, so haben diese Regelungen gegenüber den Finanzbehörden keine Wirkung. Solche Klauseln haben lediglich im Verhältnis zwischen den Parteien eine klare Zuordnung von Pflichten zur Folge. Oftmals sind in Verträgen sog. Nettovereinbarungen bzw. gross-up clauses334 enthalten. Die- 211 se sehen vor, dass der Lizenznehmer den vereinbarten Betrag ohne Berücksichtigung etwaiger steuerlicher Abzugsverpflichtungen an den Lizenzgeber zu bezahlen hat. Somit trägt in derartigen Konstellationen allein der Lizenznehmer das Risiko für das Bestehen einer Abzugsverpflichtung. Auch kann sich auf diese Weise (da aufgrund der Konzeption als Nettovereinbarung auf den gesamten Betrag die Quellensteuer erhoben wird) die insgesamt an das Finanzamt abzuführende Quellensteuer erhöhen.335 Aus den obigen Ausführungen ergibt sich, dass der in Deutschland ansässige Lizenznehmer 212 bei Auslandssachverhalten sehr genau prüfen sollte, ob eine Abzugsverpflichtung besteht. 329 § 50h EStG stellt die spiegelbildliche Vorschrift zu § 50g EStG dar: Während § 50g EStG die Konstellation regelt, dass Schuldner der Vergütung ein in Deutschland ansässiges Unternehmen oder eine in Deutschland belegene Betriebsstätte ist, trifft § 50 h EStG eine Regelung zu der Konstellation, dass der Vergütungsgläubiger in Deutschland ansässig ist. 330 Frotscher, in: Frotscher/Geurts, EStG, § 50h Rz. 1 (Stand: 18.2.2013). 331 Frotscher, in: Frotscher/Geurts, EStG, § 50h Rz. 10 (Stand: 18.2.2013). 332 Frotscher, in: Frotscher/Geurts, EStG, § 50h Rz. 11 (Stand: 18.2.2013). 333 Zum Verfahren bei der Erteilung von Ansässigkeitsbescheinigungen: OFD Frankfurt v. 20.12.2010 – S 1301 A-86-St 58. 334 Diese Klauseln haben auch Auswirkungen bei der Umsatzsteuer (s. Rz. 120). 335 Der deutsche Vergütungsschuldner hat dies bei der Quellensteuer zu berücksichtigen (H 50a.2 „Übersicht“: hieraus ergeben sich auch die konkreten Berechnungssätze bei Vereinbarung einer Nettovergütung.
Backu/Bayer
995
F Rz. 213
Die steuerliche Behandlung von Software und IT-Dienstleistungen
In Zweifelsfällen ist die Vorlage einer Freistellungsbescheinigung zu fordern oder sicherheitshalber ein entsprechender Einbehalt der Vergütung vorzunehmen. Liegt eine solche Freistellungsbescheinigung noch nicht vor, so kann diese auch durch den inländischen Lizenznehmer beantragt werden, sofern er hierzu durch den Lizenzgeber bevollmächtigt worden ist.336 213 Erfolgt kein ordnungsgemäßer Einbehalt oder keine ordnungsgemäße Abführung der Steuer, dann haftet der inländische Lizenznehmer (Haftungsschuldner). Es besteht zudem das Risiko, dass er die abgeführte Quellensteuer von dem ausländischen Unternehmen nicht mehr erstattet erhält. Auch der Erstattungsanspruch gegenüber dem Bundeszentralamt für Steuern kann nur dann durch den Lizenznehmer geltend gemacht werden, sofern der beschränkt Steuerpflichtige einen entsprechenden Antrag stellt oder er den Lizenznehmer hierzu bevollmächtigt – der Lizenznehmer ist somit auf eine Mitwirkung des Lizenzgebers angewiesen. Ferner kann sich die Vergütung im Ergebnis zusätzlich erhöhen, da der Lizenznehmer – sofern er die Vergütung bereits an den Lizenzgeber bezahlt hat – zusätzlich noch die Quellensteuer an die Finanzbehörden abführen muss. 214 Abhängig von der Konstellation (Inbound- oder Outbound-Fall) sind unterschiedliche Steuerklauseln in den jeweiligen Vertrag aufzunehmen.337 In diesem Zshg. sind auch die Mitwirkungspflichten der einzelnen Parteien zu regeln. 215 Besondere Fragen stellen sich bei sog. Kreuzlizenzen. Derartige Verträge beinhalten eine gegenseitige nicht-exklusive Lizenzgewährung, was in der Praxis häufig mit Wettbewerbern erfolgt oder falls sich beide Lizenzen gegenseitig ergänzen. Die steuerliche Behandlung derartiger Verträge, insb. die Frage, ob diese als Lizenzvertrag einzustufen sind, ist vollkommen ungeklärt. Zur Erhöhung der Rechtssicherheit sollen dennoch vertragliche Regelungen getroffen werden – ob diese allerdings von der Finanzverwaltung (z.B. im Rahmen einer Betriebsprüfung) akzeptiert werden, wird ohne die Beantragung einer verbindlichen Auskunft nicht geklärt werden können. 215a Insgesamt verbleiben zahlreiche Unsicherheiten und es erscheint fraglich, ob die bestehenden Regelungen geeignet sind, der zunehmenden Digitalisierung Rechnung zu tragen.
V. Verrechnungspreise 1. Begriff „Verrechnungspreise“ 216 Unter „Verrechnungspreisen“ sind diejenigen Preise zu verstehen, die konzernangehörige Unternehmen untereinander für Lieferungen oder Leistungen verrechnen. Anders als bei Unternehmen, die verschiedenen Konzernen zuzuordnen sind, ist bei konzernangehörigen Unternehmen nicht zwingend ein Interessensgegensatz vorhanden. Daher wäre es möglich, dass mit Hilfe der Festlegung von Preisen zwischen international tätigen Unternehmen eine Gewinnplanung im Konzern stattfindet unter Ausnutzung der unterschiedlichen nationalen Steuerregeln und eines international bestehenden Steuergefälles. Da diese Aspekte auch in der Finanzverwaltung bekannt sind, unterliegt die Festlegung und die Dokumentation von Verrechnungspreisen auf nationaler und auf internationaler Ebene einer intensiven Überprüfung. Allerdings sind in den einzelnen Staaten oftmals unterschiedliche Standards in Bezug
336 Es sollte jedoch eine ausreichend lange Bearbeitungszeit durch das Bundeszentralamt für Steuern eingeplant werden. 337 Zu einem Formulierungsvorschlag: Backu, ITRB 2012, 188 (190 f.). Weitergehende Formulierungsvorschläge für unterschiedliche Konstellationen sind enthalten auf http://www.ip-tax.de/Tax-Klau seln.htm (abgerufen am 21.8.2016).
996
Backu/Bayer
F Rz. 213
Die steuerliche Behandlung von Software und IT-Dienstleistungen
In Zweifelsfällen ist die Vorlage einer Freistellungsbescheinigung zu fordern oder sicherheitshalber ein entsprechender Einbehalt der Vergütung vorzunehmen. Liegt eine solche Freistellungsbescheinigung noch nicht vor, so kann diese auch durch den inländischen Lizenznehmer beantragt werden, sofern er hierzu durch den Lizenzgeber bevollmächtigt worden ist.336 213 Erfolgt kein ordnungsgemäßer Einbehalt oder keine ordnungsgemäße Abführung der Steuer, dann haftet der inländische Lizenznehmer (Haftungsschuldner). Es besteht zudem das Risiko, dass er die abgeführte Quellensteuer von dem ausländischen Unternehmen nicht mehr erstattet erhält. Auch der Erstattungsanspruch gegenüber dem Bundeszentralamt für Steuern kann nur dann durch den Lizenznehmer geltend gemacht werden, sofern der beschränkt Steuerpflichtige einen entsprechenden Antrag stellt oder er den Lizenznehmer hierzu bevollmächtigt – der Lizenznehmer ist somit auf eine Mitwirkung des Lizenzgebers angewiesen. Ferner kann sich die Vergütung im Ergebnis zusätzlich erhöhen, da der Lizenznehmer – sofern er die Vergütung bereits an den Lizenzgeber bezahlt hat – zusätzlich noch die Quellensteuer an die Finanzbehörden abführen muss. 214 Abhängig von der Konstellation (Inbound- oder Outbound-Fall) sind unterschiedliche Steuerklauseln in den jeweiligen Vertrag aufzunehmen.337 In diesem Zshg. sind auch die Mitwirkungspflichten der einzelnen Parteien zu regeln. 215 Besondere Fragen stellen sich bei sog. Kreuzlizenzen. Derartige Verträge beinhalten eine gegenseitige nicht-exklusive Lizenzgewährung, was in der Praxis häufig mit Wettbewerbern erfolgt oder falls sich beide Lizenzen gegenseitig ergänzen. Die steuerliche Behandlung derartiger Verträge, insb. die Frage, ob diese als Lizenzvertrag einzustufen sind, ist vollkommen ungeklärt. Zur Erhöhung der Rechtssicherheit sollen dennoch vertragliche Regelungen getroffen werden – ob diese allerdings von der Finanzverwaltung (z.B. im Rahmen einer Betriebsprüfung) akzeptiert werden, wird ohne die Beantragung einer verbindlichen Auskunft nicht geklärt werden können. 215a Insgesamt verbleiben zahlreiche Unsicherheiten und es erscheint fraglich, ob die bestehenden Regelungen geeignet sind, der zunehmenden Digitalisierung Rechnung zu tragen.
V. Verrechnungspreise 1. Begriff „Verrechnungspreise“ 216 Unter „Verrechnungspreisen“ sind diejenigen Preise zu verstehen, die konzernangehörige Unternehmen untereinander für Lieferungen oder Leistungen verrechnen. Anders als bei Unternehmen, die verschiedenen Konzernen zuzuordnen sind, ist bei konzernangehörigen Unternehmen nicht zwingend ein Interessensgegensatz vorhanden. Daher wäre es möglich, dass mit Hilfe der Festlegung von Preisen zwischen international tätigen Unternehmen eine Gewinnplanung im Konzern stattfindet unter Ausnutzung der unterschiedlichen nationalen Steuerregeln und eines international bestehenden Steuergefälles. Da diese Aspekte auch in der Finanzverwaltung bekannt sind, unterliegt die Festlegung und die Dokumentation von Verrechnungspreisen auf nationaler und auf internationaler Ebene einer intensiven Überprüfung. Allerdings sind in den einzelnen Staaten oftmals unterschiedliche Standards in Bezug
336 Es sollte jedoch eine ausreichend lange Bearbeitungszeit durch das Bundeszentralamt für Steuern eingeplant werden. 337 Zu einem Formulierungsvorschlag: Backu, ITRB 2012, 188 (190 f.). Weitergehende Formulierungsvorschläge für unterschiedliche Konstellationen sind enthalten auf http://www.ip-tax.de/Tax-Klau seln.htm (abgerufen am 21.8.2016).
996
Backu/Bayer
Verrechnungspreise
Rz. 219
F
auf die Bildung und die Dokumentation der Verrechnungspreise vorhanden, weshalb sogar das Risiko einer Doppelbesteuerung besteht.338 2. Bedeutung der Verrechnungspreise Erfolgt z.B. die Überlassung von Software zwischen Unternehmen, die dem gleichen Konzern angehören, so ist auch das Thema Verrechnungspreise von Bedeutung.339 Die Art und Weise der Bildung von Verrechnungspreisen und/oder der Vereinbarung von sonstigen Bedingungen ist stets dann von Relevanz, wenn ein Unternehmen/Unternehmer aus einer Geschäftsbeziehung zum Ausland mit einer ihm nahestehenden Person Einkünfte erzielt, diese Einkünfte aber möglicherweise (!) durch die Art und Weise der Bildung der Preise gemindert werden (§ 1 Abs. 1 Satz 1 AStG). Wann eine Person nahestehend ist, wird gesetzlich ebenso definiert (§ 1 Abs. 2 AStG) wie der Begriff Geschäftsbeziehung (§ 1 Abs. 4 AStG). Um eine nahestehende Person handelt es sich demnach,
217
– wenn der ausländische Unternehmer an dem inländischen Unternehmer zu mindestens einem Viertel unmittelbar oder mittelbar beteiligt ist oder umgekehrt oder – wenn der ausländische Unternehmer auf den inländischen Unternehmer unmittelbar oder mittelbar einen beherrschenden Einfluss ausüben kann oder umgekehrt oder – wenn sowohl das inländische als auch das ausländische Unternehmen durch eine dritte Person beherrscht werden. Hiermit sind Schwestergesellschaften gemeint, an denen eine dritte Person (z.B. Muttergesellschaft) beteiligt ist oder – wenn außerhalb der konkreten Geschäftsbeziehung eine Einflussnahme von einigem Gewicht ausgeübt werden kann oder – wenn der ausländische/inländische Unternehmer ein eigenes Interesse an der Einkunftserzielung des jeweils anderen hat. Dies zeigt, dass in einer Vielzahl von Situationen ein Nahestehen gegeben sein kann, sodass 218 der Verrechnungspreisproblematik große praktische Bedeutung zukommt. Die Festlegung von Verrechnungspreisen bildet auch einen Schwerpunkt von Außenprüfungen. 3. Methoden zur Bildung von Verrechnungspreisen – Grundsätze Maßstab für die Bildung eines Verrechnungspreises ist derjenige Preis, der auch unter frem- 219 den Dritten unter gleichen Umständen vereinbart worden wäre (Fremdvergleichsgrundsatz, sog. Dealing-at-Arm’s-Length-Prinzip § 1 Abs. 1 AStG). Unterschieden wird auf nationaler Ebene340 zwischen einem konkreten (d.h. bezogen auf tatsächlich existente Rechtsgeschäfte zwischen fremden Dritten) und einem hypothetischen Fremdvergleich (d.h. bezogen auf Bedingungen von hypothetischen/fiktiven Geschäftsvorfällen). Vergleichsmaßstab für den hypothetischen Fremdvergleich ist die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Dies bedeutet, dass es in der unternehmerischen Disposition liegt, bestimmte Entscheidungen zu treffen (z.B. Produktionsstandort, Entscheidung zwischen Eigen- und Fremdbezug) und sich aus derartigen Entscheidungen, sofern sie mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters getroffen worden sind, kein steuerlicher Nachteil ergeben darf. Allerdings ist der ordentliche und gewissenhafte Geschäftsleiter auch
338 Sind mehr als zwei Staaten involviert, so kann sogar in mehr als zwei Staaten eine Doppelbesteuerung drohen. 339 S. z.B. auch Fey, in: Beck’sches Steuer- und Bilanzrechtslexikon, Stichwort „Verrechnungspreise“ (Stand: 1.1.2007). 340 Auch auf internationaler Ebene ist der Fremdvergleichsgrundsatz für die Bildung der Verrechnungspreise ausschlaggebend. Der Fremdvergleichsgrundsatz ist in DBA sowie in Art. 9 OECD-MA normiert.
Backu/Bayer
997
F Rz. 220
Die steuerliche Behandlung von Software und IT-Dienstleistungen
verpflichtet, eine im Einzelfall geeignete Methode zur Bestimmung der Verrechnungspreise anzuwenden. 220 In § 1 Abs. 3 Satz 1 AStG werden als Methoden zur Bildung von Verrechnungspreisen die Preisvergleichsmethode,341 die Wiederverkaufspreismethode und die Kostenaufschlagsmethode genannt. Diese sind vorrangig zur Ermittlung angemessener Verrechnungspreise anzuwenden. 221 Die drei genannten Standardmethoden haben Vorrang vor anderen Methoden der Festlegung der Verrechnungspreise (§ 1 Abs. 3 Satz 1 AStG). Zwar liegt es grds. im Ermessen der Parteien, welche Standardmethode zur Anwendung gelangt. Jedoch darf die Standardmethode nicht zu fehlerhaften Ergebnissen führen. Deshalb muss im Rahmen einer Funktions- und Risikoanalyse dargelegt werden, warum die jeweilige Methode zur Festlegung der Verrechnungspreise gewählt worden ist. Die Funktions- und Risikoanalyse ist stets transaktionsbezogen durchzuführen, denn ein Unternehmen kann viele verschiedene Funktionen ausüben. 222 Die Praxis unterscheidet im Wesentlichen zwei Typen von Unternehmen: Routineunternehmen und Strategieträger (Entrepreneure).342 Charakteristisch für Routineunternehmen ist, dass sie Routinefunktionen ausüben, lediglich in geringem Umfang Wirtschaftsgüter einsetzen und somit nur geringe Risiken tragen. Es wird unterstellt, dass Routineunternehmen geringe, jedoch stabile Gewinne erzielen. Bei Strategieträgern handelt es sich dagegen um Unternehmen, die über wesentliche materielle und immaterielle Wirtschaftsgüter verfügen, für den Unternehmenserfolg entscheidende Funktionen ausüben und erhebliche Risiken tragen. Es wird deshalb regelmäßig davon ausgegangen, dass einem Strategieträger der sog. Residualgewinn zusteht, d.h. das Konzernergebnis nach Abzug der Vergütung für Routineunternehmen. Neben den Routineunternehmen und den Strategieträgern erkennt die Finanzverwaltung auch Mittelunternehmen an.343 Als Mittelunternehmen sind Unternehmen zu qualifizieren, die unter Berücksichtigung der Funktionen, Risiken und eingesetzten immateriellen Wirtschaftsgüter weder als Strategieträger noch als Routineunternehmen einzustufen sind.344 223 Wesentlich für die Funktions- und Risikoanalyse sind die betriebswirtschaftliche Funktion (z.B. Produktion, Vertrieb), der Einsatz von materiellen und immateriellen Vermögensgegenständen und das durch das Unternehmen zu tragende Risiko. Zu beurteilen ist auch der Einfluss dieser Faktoren auf den Gewinn und Verlust. Im Bereich des Vertriebs wird i.R.d. Funktions- und Risikoanalyse z.B. zwischen dem Handelsvertreter, dem Kommissionär, dem Eigenhändler mit verminderten Funktionen und Risiken sowie dem vollwertigen Eigenhändler unterschieden. Ob eine umfassende Vergleichbarkeit der unternehmerischen Einheit, nur eine eingeschränkte Vergleichbarkeit oder überhaupt keine Vergleichbarkeit gegeben ist, stellt die Finanzverwaltung oft mit Hilfe von Datenbankanalysen fest. 224 Bei der Preisvergleichsmethode345 ist sowohl ein Vergleich mit Preisvereinbarungen am Markt möglich (äußerer Preisvergleich) als auch mit Preisen, die das jeweilige Unternehmen gegenüber Dritten vereinbart hat (innerer Preisvergleich). Oftmals wird sich aus den Vergleichspreisen eine Bandbreite ergeben, weshalb grds. jeder Preis innerhalb dieser Bandbreite als angemessen anzusehen wäre. Im Regelfall sind die Geschäfte jedoch nur eingeschränkt
341 Auch bezeichnet als Drittvergleichsmethode oder als Comparable Uncontrolled Price Method (CUP). 342 BMF v. 12.4.2005 – IV B 4 - S 1341 - 1/05 (Verwaltungsgrundsätze-Verfahren), Rz. 3.4.10.2. 343 Dies stellt im internationalen Vergleich eine Besonderheit dar. 344 BMF v. 12.4.2005 – IV B 4 - S 1341 - 1/05 (Verwaltungsgrundsätze-Verfahren), Rz. 3.4.10.2. 345 BMF v. 23.2.1983 – IV C 5 - S 1341 - 4/83 (Verwaltungsgrundsätze), Rz. 2.2.2. Näher hierzu z.B. Vögele/Witt/Braukmann, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. G, Rz. 29 ff.
998
Backu/Bayer
Verrechnungspreise
Rz. 228
F
vergleichbar, sodass die Bandbreite eingeschränkt wird.346 Bei Anwendung der Preisvergleichsmethode spielt die Ermittlung von Vergleichsunternehmen, die tatsächlich vergleichbare Funktionen ausüben, eine große Rolle. Häufig wird es in der Praxis aber kaum möglich sein, vergleichbare Unternehmen zu ermitteln, da z.B. die Produkte oder Dienstleistungen bzw. die vereinbarten vertraglichen Bedingungen stark voneinander abweichen und folglich ein vergleichbarer Preis nicht oder nur unter großem Aufwand ermittelt werden kann. Bei der Wiederverkaufsmethode347 bildet die Grundlage der Berechnung der Absatzpreis, zu 225 dem die Sache/Leistung an den Dritten abgegeben wird. Der angemessene Verrechnungspreis wird wie folgt ermittelt: Angemessener Verrechnungspreis = Marktpreis bei Verkauf an Fremde – marktübliche Brutto-Marge des Wiederverkäufers. Die Wiederverkaufsmethode weist Ähnlichkeiten zu der Situation eines Handelsvertreters oder eines Kommissionärs auf. Daher gelangt die Wiederverkaufsmethode v.a. bei Vertriebsunternehmen zum Einsatz. Allerdings ist auch bei der Wiederverkaufsmethode die Ermittlung vergleichbarer Tatbestände erforderlich, was ebenso wie bei der Preisvergleichsmethode in der Praxis kaum möglich ist. Somit ist auch die Bestimmung einer marktüblichen Bruttomarge mit Schwierigkeiten verbunden. Eine weitere wichtige Standardmethode stellt die Kostenaufschlagsmethode348 dar. Hierbei 226 wird von den Kosten des Herstellers bzw. des Leistenden349 ausgegangen und darauf ein angemessener Gewinnaufschlag berechnet. Beim Gewinnaufschlag ist das Risiko des Herstellers/Leistenden zu berücksichtigen. Die Kostenaufschlagsmethode gelangt insb. bei Dienstleistungen zur Anwendung, da Vergleichspreise kaum ermittelt werden können. Neben diesen drei Standardmethoden sind noch andere Methoden von Bedeutung.350 Gemäß 227 der Finanzverwaltung kann auch die geschäftsvorfallbezogene Nettomargenmethode351 angewandt werden,352 sofern die Standardmethoden wegen des Fehlens von Fremdvergleichsdaten ausscheiden und es sich um ein Unternehmen mit sog. Routinefunktion handelt. Dies kann auch bei Unternehmen der Fall sein, die z.B. konzerninterne Dienstleistungen erbringen, wenn die Dienstleistungen ohne Weiteres am Markt in Auftrag gegeben werden könnten oder bei Unternehmen mit Vertriebsfunktionen. Bei dieser Methode wird der Gewinn des jeweiligen Unternehmens aus einer konzerninternen Transaktion ermittelt und mit Gewinnen verglichen, die unabhängige vergleichbare Unternehmen aus gleichartigen Geschäften erzielt haben.353 Neben der geschäftsvorfallbezogenen Nettomargenmethode stellt eine weitere transaktions- 228 bezogene Gewinnmethode die geschäftsvorfallbezogene Gewinnaufteilungsmethode dar.354 Diese teilt den aus einem konzerninternen Geschäft stammenden gemeinsamen Gewinn der Konzerngesellschaften nach wirtschaftlich vernünftigen Aspekten auf. Die Aufteilung soll dabei einem Fremdvergleich entsprechen. Der Aufteilungsmaßstab bemisst sich nach dem Mehrwert, den das jeweilige Unternehmen aus der Transaktion erzielt. Die Gewinnauf346 Die Einzelheiten ergeben sich aus § 1 Abs. 3 Satz 3 und 4 AStG. 347 Diese wird auch als Resale Price Method (RPM) bezeichnet; s.a. BMF v. 23.2.1983 – IV C 5 - S 1341 4/83 (Verwaltungsgrundsätze), Rz. 2.2.3. Näher hierzu z.B. Vögele/Witt/Braukmann, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. G, Rz. 165 ff. 348 Diese wird auch als Cost Plus Method bezeichnet; s.a. BMF v. 23.2.1983 – IV C5 - S1341 - 4/83 (Verwaltungsgrundsätze), Rz. 2.2.4. Näher hierzu z.B. Vögele/Witt/Braukmann, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. G, Rz. 171 ff. 349 Es sind Kostenrechnungsverfahren anzuwenden, die betriebswirtschaftlichen Grundsätzen entsprechen. Im Regelfall wird in der Praxis von einer Bewertung zu Vollkosten ausgegangen. 350 Kraft, in: Kraft, AStG, § 1 Rz. 237 ff. 351 Auch bezeichnet als „Transactional net margin method“, TNMM. 352 BMF v. 12.4.2005 – IV B 4 - S 1341 - 1/05 (Verwaltungsgrundsätze-Verfahren), Rz. 3.4.10.3. 353 Näher zur Nettomargenmethode und den Vor- und Nachteile: Vögele/Raab, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. D, Rz. 350 ff. 354 Diese wird auch als „Profit Split Method“ bezeichnet.
Backu/Bayer
999
F Rz. 229
Die steuerliche Behandlung von Software und IT-Dienstleistungen
teilungsmethode ist nach Auffassung der deutschen Finanzverwaltung ausschließlich beim Versagen der Standardmethoden zulässig und nur geeignet für die Gewinnabgrenzung eines Unternehmens, das sog. Entrepreneur-Funktionen wahrnimmt.355 Anfällig für Korrekturen durch die Finanzverwaltung ist insoweit insb. die Gewinnaufteilung.356 Weitere Methoden sind in Deutschland nicht als üblich anzusehen. Einzelfallabhängig kann es jedoch sinnvoll sein, diese Methoden z.B. zur Verprobung anzuwenden.357 Ferner finden die Methoden z.T. im Ausland Anwendung.358 Schwierig ist die Bestimmung angemessener Verrechnungspreise auch bei Änderungen (z.B. der Vertriebsform) oder dem Eintritt in einen neuen Markt. 4. Ausgewählte Probleme 4.1 Überlassung von immateriellen Wirtschaftsgütern 229 Der Begriff des immateriellen Wirtschaftsguts359 wird weit definiert, darunter sind z.B. nicht nur Lizenzen, Patente oder Marken zu verstehen, sondern auch Know-how, Geschäftsgeheimnisse und Rechte.360 230 Werden z.B. Lizenzen überlassen, so ist grds. abhängig vom Einzelfall als angemessener Verrechnungspreis ein bestimmter Prozentsatz vom Umsatz oder ein fester Betrag anzusehen.361 I.R.v. Betriebsprüfungen wird eine Überprüfung von Verrechnungspreisen oftmals anhand der sog. Lizenzkartei durchgeführt.362 Dabei handelt es sich um eine Datensammlung, in der von der deutschen Finanzverwaltung bereits geprüfte Lizenzvereinbarungen enthalten sind; diese Lizenzvereinbarungen betreffen nur unabhängige Unternehmen.363 Allerdings kann der jeweilige Steuerpflichtige die Daten aus der Lizenzkartei nicht überprüfen, sodass die Verwendung der Daten nicht unumstritten ist.364 Insb. kann der Steuerpflichtige nicht ersehen, ob durch den Betriebsprüfer tatsächlich nur ein Vergleich mit vergleichbaren Lizenzvereinbarungen erfolgt, d.h. welche preisrelevante Faktoren die Lizenzgebührenvereinbarung zwischen den fremden Dritten beeinflusst haben. Die Praxis verwendet bei Betriebsprüfungen gerne auch die sog. „Knoppe-Formel“.365 Diese Formel wird ausschließlich zu Verprobungszwecken (und oftmals zu Ungunsten des Steuerpflichtigen) angewandt, auf die Durchführung einer Funktions- und Risikoanalyse wird verzichtet. Gemäß der KnoppeFormel ist für den Lizenzgeber für die zur Nutzung überlassenen immateriellen Wirtschafts-
355 356 357 358 359 360 361 362 363 364 365
BMF v. 12.4.2005 – IV B 4 - S 1341 - 1/05, BStBl I 2005, 570, Tz. 3.4.10.3. lit. c). Näher Pohl, in: Blümich, EStG, KStG, GewStG, § 1 AStG Rz. 92 (Stand: 5/2015). Kraft, in: Kraft (Hrsg.), AStG, § 1 Rz. 238. Unterschieden wird dabei zwischen gewinnorientierten Methoden und globalen Aufteilungsmethoden. Die globale Aufteilungsmethode entspricht aber nicht dem Fremdvergleichsgrundsatz, da hier nicht an bestimmte Geschäfte, sondern an Gesamtgrößen angeknüpft wird. Näher zu aktuellen Entwicklungen bei Verrechnungspreisen immaterieller Wirtschaftsgüter: Crüger/ Riedl, iStR 2014, 625 ff. OECD Verrechnungspreisrichtlinien 2010, Ziff. 6.2 f. BMF v. 23.2.1983 – IV C 5 - S 1341 - 4/83, BStBl. I S. 218, Tz. 5.2.2. Rechtsgrundlage für das Führen der sog. Lizenzkartei stellt § 88a AO dar. Die Verfassungsmäßigkeit von § 88a AO wurde durch den BFH (BFH v. 30.7.2003 – VII R 45/02, BStBl. II 2004, 387) und das BVerfG (BVerfG v. 10.3.2008 – 1 BvR 2388/03, NJW 2008, 2099) bestätigt. Näher zur Lizenzkartei: Engler/Gotsis, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. O Rz. 553 ff. m.w.N. Ausführlich zu den Bedenken gegen die Verwendung der Lizenzkartei: Engler/Gotsis, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. O Rz. 554 m.w.N. Näher hierzu z.B. Baumhoff, in: Flick/Wassermeyer/Baumhoff/Schönfeld, Außensteuerrecht, § 1 AStG Rz. 1482 (Stand: 3/2016). Zu den im Schrifttum hiergegen geäußerten Bedenken: Engler/Gotsis, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. O Rz. 628 ff. m.w.N. Insb. wird bei dieser pauschalen Berechnung der Wert der Lizenz nicht berücksichtigt (dieser kann abhängig von deren Innovationsfähigkeit sehr hoch sein) und es wird von einem pauschalen Ansatz von 25 % bis 33,3 % ausgegangen, obwohl sich verschiedene Faktoren auf das Betriebsergebnis auswirken können – das Problem schwankender Gewinne bzw. Verluste bleibt daher ungelöst.
1000 Backu/Bayer
Verrechnungspreise
Rz. 234
F
güter ein Anteil von 25 % bis 33,3 % des vorkalkulierten Gewinns des Lizenznehmers aus den Lizenzprodukten ohne Berücksichtigung der Lizenzvergütung vorzusehen. 231
Beispiel: Eine deutsche Konzerngesellschaft (= Lizenznehmer) erwirtschaftet aus dem Einsatz einer Lizenz einen jährlichen Gewinn (vor Lizenzaufwand) von 12 Mio. Euro, bei einem Gesamtumsatz von 100 Mio. Euro. 25 % bis 33,3 % von 12 Mio. Euro ergeben 3 bis 4 Mio. Euro. Bezogen auf den Umsatz des Lizenzgebers von 100 Mio. Euro errechnet sich eine angemessene Lizenzgebühr zwischen 3 und 4 %.366
In der Praxis werden oftmals Lizenzverträge abgeschlossen, die sich auf mehrere immateriel- 232 le Wirtschaftsgüter beziehen.367 Weist der Lizenzvertrag für die zur Nutzung überlassenen immateriellen Wirtschaftsgüter keine gesonderten Lizenzsätze aus (sog. Globallizenz), dann gestaltet sich die Prüfung der Angemessenheit der Lizenzgebühren noch schwieriger als bei Einzellizenzen. Gemäß den Grundsätzen der deutschen Finanzverwaltung können Lizenzen nur dann zusammengefasst werden, sofern sie technisch und wirtschaftlich eine Einheit bilden.368 Zwar vertreten das Schrifttum369 und z.B. die Richtlinien der OECD,370 dass auch Globallizenzen steuerlich anerkannt werden müssen. Allerdings wird deren Vereinbarung zumindest Diskussionen mit der Finanzverwaltung in Bezug auf deren steuerliche Anerkennung zur Folge haben. Werden im Rahmen eines Lizenzvertrags weitere Dienstleistungen erbracht, so muss geprüft werden, ob es sich dabei um eine unbedeutende Nebenleistung (z.B. Einweisung des Lizenznehmers) oder um eine Leistung mit eigenem Gewicht (z.B. laufende technische oder beratende Unterstützung) handelt. Liegt eine lediglich unbedeutende Nebenleistung vor, so ist der Verzicht auf einen separaten Preis wohl anzuerkennen. Eigenständige Dienstleistungen müssen hingegen gesondert in Rechnung gestellt werden; hierfür sind die in Bezug auf Dienstleistungen geltenden Verrechnungspreisgrundsätze anzuwenden.371
Û
Hinweise für die Praxis:
233
234
– Für eigenständige Dienstleistungen (insb. laufende Dienstleistungen) sind separate Verträge oder getrennte Entgelte zu vereinbaren. – Im Fall der Nutzungsüberlassung verschiedener immaterieller Wirtschaftsgüter sind keine Globallizenzen, sondern Einzellizenzen vorzusehen. Dies vermeidet Diskussionen mit der Finanzverwaltung. Ferner können für die einzelnen Lizenzen unterschiedliche Lizenzsätze vereinbart werden, was die Vergleichbarkeit mit branchenüblichen Sätzen erhöht. – Es ist nicht nur bei der Überlassung von bilanziell erfassten Wirtschaftsgütern darauf zu achten, dass hierbei die Grundsätze der Verrechnungspreisbildung eingehalten werden. Vielmehr kann auch bei der Überlassung von Know-how etc. die Anwendung der Verrechnungspreisgrundsätze erforderlich sein.372
366 Beispiel nach Engler/Gotsis, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. O Rz. 628. 367 Näher hierzu Engler/Gotsis, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. O Rz. 458 ff. m.w.N. 368 BMF v. 23.2.1983 – IV C 5 - S 1341 - 4/83, BStBl. I S. 218, Tz. 5.2.1. 369 Kroppen, Handbuch Internationale Verrechnungspreise, Band1, § 1 AStG zu Tz. 5.2.1 (Stand: 9/1983). 370 OECD, Verrechnungspreisrichtlinien 2010, Rz. 6.18. 371 Näher hierzu Engler/Gotsis, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. O Rz. 462 m.w.N. 372 Weiterführend Engler/Gotsis, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. O Rz. 463 ff.
Backu/Bayer
1001
F Rz. 235
Die steuerliche Behandlung von Software und IT-Dienstleistungen
4.2 Dienstleistungen 235 Wie bereits oben (s. Rz. 226) erwähnt, wird bei Dienstleistungen i.d.R. die Kostenaufschlagsmethode angewandt.373 Jedoch dürfen nach Auffassung der Finanzverwaltung solche Leistungen nicht verrechnet werden, die aus der Einbindung in einen Konzern folgen. Verrechenbar sind nach Auffassung der Finanzverwaltung die folgenden Dienstleistungen:374 – Beratung in wirtschaftlichen und rechtlichen Angelegenheiten – Buchhaltung – Zeitlich begrenzte Überlassung von Arbeitskräften – Aus- und Fortbildung – Soziale Sicherheit der Arbeitnehmer – Koordinierung von Waren- und Materialbeschaffung – Marktübliche Bereitstellung von Dienstleistungen auf Abruf, sofern nachgewiesen wird, dass die Tochtergesellschaft diese benötigt und dass sie tatsächlich in angemessenem Umfang Dienstleistungen abgerufen hat 236 Nicht verrechenbar sind jedoch nach Auffassung der Finanzverwaltung:375 – das Recht, den Konzernnamen zu führen376 – Kosten von Gesellschafterversammlungen – Kosten der Konzernführung – Rechtliche Organisation des Konzerns im Ganzen einschließlich der allgemeinen Organisation – Verwaltung von Beteiligungen 4.3 Kostenumlagen 237 Bei sog. Umlagen erbringen verbundene Unternehmen im gemeinsamen Interesse Leistungen in einem Pool. Die Leistungen müssen im Interesse der empfangenden Unternehmen erbracht werden und einen Vorteil erwarten lassen, etwa durch Ersparnis von Aufwand oder Steigerung der Erlöse. Die Kosten der zu erbringenden Leistung sind umlagefähig, wenn ein vorheriger schriftlicher Vertrag abgeschlossen worden ist und der Vertrag folgende Aspekte regelt:377 – Nennung der Poolmitglieder und sonstiger nahestehender Nutznießer – Genaue Beschreibung der vertragsgegenständlichen Leistungen – Ermittlung der umzulegenden Aufwendungen, Methode der Aufwandserfassung von Abweichungen – Ermittlung des Nutzens der Poolmitglieder – Ermittlung des Umlageschlüssels 373 374 375 376
BMF v. 23.2.1983 – IV C 5 - S 1341 - 4/83, BStBl. I S. 218, Tz. 3.2.3.2. BMF v. 23.2.1983 – IV C 5 - S 1341 - 4/83, BStBl. I S. 218, Tz. 6.3.1. BMF v. 23.2.1983 – IV C 5 - S 1341 - 4/83, BStBl. I S. 218, Tz. 6.3.2. Kosten für die Überlassung eines Warenzeichens können jedoch verrechnet werden: Zu unterscheiden ist zwischen der Nutzung des Konzernnamens/Firmenlogo und der Nutzung eines produktbezogenen Markenrechts. Die Nutzungsüberlassung des Firmennamens ist als bloßer Rückhalt im Konzern nicht verrechenbar. Sind der Konzernname/Firmenlogo dagegen als Warenzeichen anzusehen und ist diesem im Einzelfall ein eigenständiger Wert beizumessen, so kann hierfür ein eigenständiges Entgelt gefordert werden, BFH v. 21.1.2016 – I R 22/14, DStR 2016, 1155 ff. 377 Näher hierzu BMF v. 30.12.1999 – IV B 4 - S 1341-14/99, insb. Rz. 5.1.1.
1002 Backu/Bayer
Verrechnungspreise
Rz. 240
F
– Beschreibung, wie der Wert der anfänglichen und der späteren Leistungsbeiträge der Poolmitglieder ermittelt und einheitlich auf alle Poolmitglieder verrechnet wird – Art und Umfang der Rechnungskontrolle (z.B. bei Vorkasse, Zeitpunkt) – Bestimmungen über die Anpassung an veränderte Verhältnisse – Vertragsdauer – Bestimmungen über die Vertragsauflösung sowie ggf. Voraussetzungen und Folgen des Eintritts neuer Poolmitglieder und des vorzeitigen Austritts bisheriger Poolmitglieder – Vereinbarungen über den Zugriff auf die Unterlagen und Aufzeichnungen über den Aufwand und die Leistungen des leistungserbringenden Unternehmens – Zuordnung der Nutzungsrechte aus zentralen Aktivitäten des Pools im Fall der Forschung und Entwicklung. Der Umlagevertrag muss mit einer sachgerechten Dokumentation verknüpft sein.378 Ferner ist es erforderlich, dass die Vereinbarungen des Umlagevertrags eingehalten werden.
238
4.4 Betriebsstätten Auch bei der Abgrenzung des Gewinns zwischen Stammhaus und Betriebsstätte379 bzw. 239 zwischen einzelnen Betriebsstätten sind die Verrechnungspreisgrundsätze einzuhalten. Zur Anwendung des Fremdvergleichsgrundsatzes ist eine Betriebsstätte wie ein eigenständiges und unabhängiges Unternehmen zu behandeln, es sei denn, die Zugehörigkeit der Betriebsstätte zum Unternehmen erfordert eine andere Vorgehensweise. Die einzelnen Voraussetzungen, die für das Eingreifen der sog. Selbständigkeitsfunktion der Betriebsstätte erforderlich sind, ergeben sich aus § 1 Abs. 5 Sätze 3 und 4 AStG. Wie der Fremdvergleichsgrundsatz konkret bei Betriebsstätten anzuwenden ist, legt die Betriebsstättengewinnaufteilungsverordnung (BsGAV) im Einzelnen fest. Für die Ermittlung des Betriebsstättengewinns ist als erster Schritt eine Funktions- und Risikoanalyse der Betriebsstätte durchzuführen, in einem zweiten Schritt eine Vergleichbarkeitsanalyse der Geschäftstätigkeit. Darüber hinaus ist für die Betriebsstätte eine Hilfs- und Nebenrechnung vorzunehmen, in der alle Bestandteile zu berücksichtigen sind, die der Betriebsstätte zugeordnet worden sind. Ferner findet eine fiktive Zuordnung von Betriebseinnahmen und Betriebsausgaben statt.380 5. Dokumentation 5.1 Anforderungen an die Dokumentation Über Art und Inhalt der Geschäftsbeziehungen zu nahe stehenden Personen sind bei Sach- 240 verhalten mit Auslandsbezug Aufzeichnungen zu erstellen (§ 90 Abs. 3 AO). Anforderungen zu Art und Umfang der Aufzeichnungen beinhaltet die Gewinnabgrenzungsaufzeichnungsverordnung (GAufzV).381 Die Aufzeichnungen können schriftlich oder elektronisch erfolgen
378 Im Einzelnen s. BMF v. 30.12.1999 – IV B 4 - S 1341-14/99, insb. Rz. 5.1.2, 5.1.3. und 5.1.4. 379 Zum Begriff der Betriebsstätte s. Rz. 23. Hiervon zu unterscheiden ist der Begriff der Betriebsstätte i.S.d. UStG, s. Rz. 127. 380 Die BsGAV ist auf Wirtschaftsjahre anzuwenden, die nach dem 31.12.2014 beginnen. Näher zur BsGAV z.B. Busch, DB 2014, 2490 ff. Näher zu dem Entwurf der Verwaltungsgrundsätze zur Betriebsstättengewinnaufteilung z.B. Schoppe, iStR 2016, 615 ff. 381 Ausführlich zu den gesetzlichen Vorschriften: Vögele/Vögele, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. E Rz. 75 ff. Zu den gesetzlichen Anforderungen und mit Beispielen für eine Verrechnungspreisdokumentation bei mittelständischen Unternehmen: Ruiner, DStR 2012, 1524 ff.
Backu/Bayer
1003
F Rz. 241
Die steuerliche Behandlung von Software und IT-Dienstleistungen
(§ 2 Abs. 1 Satz 1 GAufzV) und sind grds. in deutscher Sprache zu erstellen (§ 2 Abs. 5 Satz 1 GAufzV).382 Notwendig ist eine Sachverhalts- und eine Angemessenheitsdokumentation. 241 Die Aufzeichnungen sind zehn Jahre lang aufzubewahren. Maßgeblich für Art, Inhalt und Umfang der Aufzeichnungspflichten ist jeweils der Einzelfall. Aufzuzeichnen sind gemäß § 4 GAufzV: – Allgemeine Informationen über Beteiligungsverhältnisse, Geschäftsbetrieb und Organisationsaufbau – Informationen zu Geschäftsbeziehungen mit verbundenen Unternehmen – Funktions- und Risikoanalyse – Verrechnungspreisanalyse (Dokumentation, welche Verrechnungspreismethode angewandt wurde, weshalb diese Methode am besten geeignet ist und wie die fremdvergleichskonformen Verrechnungspreise konkret berechnet wurden) 242 Liegen besondere Umstände vor, so müssen zusätzliche Aufzeichnungen erstellt werden (§ 5 GAufzV). Dies wird z.B. relevant bei der Änderung von Geschäftsstrategien, Umlageverträgen, Funktionsverlagerungen oder bei Verrechnungspreiszusagen ausländischer Steuerverwaltungen. Die Aufzeichnungen sind zeitnah zu erstellen, d.h. innerhalb von sechs Monaten nach Ablauf des Wirtschaftsjahres, in dem das betreffende Verpflichtungsgeschäft abgeschlossen worden ist. Eine Vorlage der Aufzeichnungen ist innerhalb von 60 Tagen nach Aufforderung vorzunehmen (§ 90 Abs. 3 Satz 8 AO). Die Anforderung erfolgt im Regelfall zur Durchführung einer Außenprüfung. 5.2 Erleichterungen bei kleinen Unternehmen 243 Unterschreiten Unternehmen bestimmte Einkunftsgrenzen (sog. kleinere Unternehmen) oder erzielen sie aus den Geschäften mit Nahestehenden andere Einkünfte als Gewinneinkünfte, so ist es ausreichend, wenn die entsprechenden Unterlagen erst nach Aufforderung durch das Finanzamt erstellt werden (§ 6 Abs. 1 GAufzV). Dies kann z.B. im Rahmen einer Betriebsprüfung der Fall sein. Um kleinere Unternehmen i.S.d. § 6 Abs. 2 GAufzV handelt es sich bei Unternehmen, bei denen – die Summe der Entgelte für die Lieferung von Gütern oder Waren aus Geschäftsbeziehungen mit nahe stehenden Personen 5 Mio. Euro im laufenden Wirtschaftsjahr nicht übersteigt und – die Summe der Vergütungen für andere Leistungen als die Lieferung von Gütern oder Waren aus Geschäftsbeziehungen mit nahe stehenden Personen nicht mehr als 500.000 Euro beträgt. 244 Allerdings ist fraglich, ob mit einem gewissen zeitlichen Abstand noch Aufzeichnungen erstellt werden können, die den Anforderungen des Finanzamts genügen. Es ist daher anzuraten, selbst bei Erfüllung der Voraussetzungen für das Vorliegen kleinerer Unternehmen die Aufzeichnungen zeitnah vorzunehmen. 6. Rechtsfolgen, falls die vereinbarten Konzernverrechnungspreise nicht dem Dealing-at-Arm’s-Length-Grundsatz entsprechen 245 Entsprechen die vereinbarten Verrechnungspreise nicht dem Dealing-at-Arm’s-LengthGrundsatz, so erfolgt in Deutschland eine Einkommensberichtigung. Neben den Berichtigungsvorschriften des § 1 AStG werden die Einkünfte auch über die Vorschriften der verdeck382 Auf Antrag des Steuerpflichtigen kann die Steuerbehörde Ausnahmen hiervon zulassen (§ 2 Abs. 5 Satz 2 GAufzV).
1004 Backu/Bayer
Verrechnungspreise
Rz. 249
F
ten Gewinnausschüttung und der verdeckten Einlage korrigiert. Das Verhältnis von § 1 AStG zu den Korrekturvorschriften zur verdeckten Gewinnausschüttung und der verdeckten Einlage ist umstritten. Nach Auffassung der Finanzverwaltung ist jedoch davon auszugehen, dass – unter der Voraussetzung, dass die Anwendung des Fremdvergleichsgrundsatzes nach § 1 Abs. 1 AStG zu weitergehenden Berichtigungen als die Anwendung anderer Vorschriften führt – die weiteren Berichtigungen (§ 1 Abs. 1 AStG) zusätzlich neben der Rechtsfolge der verdeckten Gewinnausschüttung oder der verdeckten Einlage anzuwenden sind.383 Findet durch die Bildung von Verrechnungspreisen eine Vermögensverschiebung von einer 246 inländischen Tochtergesellschaft an eine ausländische Muttergesellschaft statt, d.h. sind die Verrechnungspreise, die durch die Tochtergesellschaft bezahlt werden mussten, zu gering, so ist das Einkommen der Tochtergesellschaft um den abgeflossenen Betrag, der mittels eines Fremdvergleichs zu ermitteln ist, zu erhöhen.384 Im umgekehrten Fall ist die steuerliche Behandlung in Deutschland davon abhängig, ob eine evtl. Gewinnberichtigung der ausländischen Finanzbehörden durch die deutschen Steuerbehörden anerkannt wird. Sofern dies der Fall ist, stellt die verdeckte Gewinnausschüttung einschließlich der anzurechnenden Ertragsteuern in Deutschland eine Betriebseinnahme dar.385 Verdeckte Einlagen sind Vermögensmehrungen in Gestalt einer schuldrechtlichen Leistung, die deren wahre Grundlage im Gesellschaftsverhältnis verdeckt. D.h. die inländische Gesellschaft erhält von der ausländischen Gesellschaft einen höheren Geldbetrag als bei einem Vergleich mit fremden Dritten angemessen wäre. Die Zahlung des höheren Geldbetrags wird z.B. mit Hilfe eines Lizenzvertrags „verschleiert“. Die Anschaffungskosten der Beteiligung werden bei der Muttergesellschaft als Folge des Vorliegens einer verdeckten Einlage mit dem Wert der verdeckten Einlage als nachträgliche Anschaffungskosten aktiviert, was zu einer Besteuerung bei der Muttergesellschaft führt.386
247
Ist eine Gewinnberichtigung nach § 1 AStG vorzunehmen, so erfolgt dies außerhalb der Bilanz. Dies hat zur Folge, dass sich z.B. eine Erhöhung des Beteiligungsansatzes anders als bei einer verdeckten Einlage nicht über eine sog. Teilwertabschreibung gewinnmindernd auswirken kann. Aufgrund der Subsidiarität des § 1 AStG kommt eine Gewinnminderung mit Hilfe dieser Vorschrift nur zur Anwendung, falls eine unentgeltliche oder verbilligte Nutzungsüberlassung oder Dienstleistungserbringung einer deutschen Muttergesellschaft an ihre ausländische Tochtergesellschaft vorliegt.
248
7. Rechtsfolgen einer unzureichenden Dokumentation Verletzt der jeweilige Steuerpflichtige die Dokumentationspflichten (z.B. durch Nichtvorlage, Unverwertbarkeit oder fehlende zeitnahe Erstellung), so wird gemäß § 162 Abs. 3 AO widerlegbar vermutet, dass der Steuerpflichtige höhere Einkünfte hatte, als von ihm erklärt worden sind. Die Finanzverwaltung darf eine Schätzung zulasten des Steuerpflichtigen vornehmen und ist berechtigt, den Schätzrahmen der Bemessungsgrundlage zulasten des Steuerpflichtigen voll auszuschöpfen. Es tritt dann eine Beweislastumkehr ein. Folglich muss der Steuerpflichtige nachweisen, dass es zu keiner Einkünfteminderung gekommen ist. 383 Kraft, in: Kraft, Außensteuergesetz, § 1 AStG Rz. 157. Noch nicht abschließend geklärt ist, ob zuerst eine Korrektur im Wege der vGA erfolgt und dann erst § 1 AStG zur Anwendung gelangt, oder ob sogleich eine Korrektur nach § 1 AStG stattfindet. Hierzu und zu der Frage, wann keine Konkurrenz bestehen kann: Vögele/Raab, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. A, Rz. 358 ff. 384 Zu der weiteren Behandlung der verdeckten Gewinnausschüttung s. z.B. Fey, in: Beck’sches Steuerund Bilanzrechtslexikon, Stichwort: „Verrechnungspreise“, Rz. 39 (Stand: 1.1.2007). 385 Weitergehend z.B. Fey, in: Beck’sches Steuer- und Bilanzrechtslexikon, Stichwort: „Verrechnungspreise“, Rz. 40 (Stand: 1.1.2007); Vögele/Raab, in: Vögele/Borstel/Engler, Verrechnungspreise, Kap. A, Rz. 361 ff. 386 Näher hierzu Fey, in: Beck’sches Steuer- und Bilanzrechtslexikon, Stichwort: „Verrechnungspreise“, Rz. 41 (Stand:1.1.2007).
Backu/Bayer
1005
249
F Rz. 250
Die steuerliche Behandlung von Software und IT-Dienstleistungen
250 Darüber hinaus besteht die Möglichkeit, dass die Finanzverwaltung Strafzuschläge festsetzt. Im Falle der Nichtvorlage von Aufzeichnungen/Vorlage nicht verwertbarer Aufzeichnungen ist die Finanzbehörde berechtigt, einen Zuschlag von mindestens 5 % und höchstens von 10 % des positiven Mehrbetrags der Einkünfte aus den Geschäftsbeziehungen mit nahe stehenden Personen festzusetzen, mindestens jedoch 5.000 Euro. Bei verspäteter Vorlage verwertbarer Aufzeichnungen kann ein Zuschlag von bis zu 1 Mio. Euro, mindestens aber 100 Euro pro Tag der Fristüberschreitung festgesetzt werden. 8. Zusammenfassung zu den Voraussetzungen für eine Korrektur im Zusammenhang mit Verrechnungspreisen 251 Für eine Verrechnungspreiskorrektur müssen folgende Voraussetzungen erfüllt sein: – Grenzüberschreitende Beziehung des Steuerpflichtigen zum Ausland (§ 1 Abs. 5 AStG) – Geschäftsbeziehung besteht zu einer nahe stehenden Person (§ 1 Abs. 2 AStG) – Konkrete Bedingungen der Geschäftsbeziehung führen zu einer Einkünfteminderung des inländischen Steuerpflichtigen (§ 1 Abs. 1 AStG) – Der Geschäftsbeziehung liegen andere Bedingungen zugrunde als bei fremden Dritten (keine Übereinstimmung mit dem Dealing-at-Arm’s-Length-Prinzip) 252 Als Rechtsfolge sind die Einkünfte des Steuerpflichtigen so anzusetzen, wie sie sich unter denjenigen Bedingungen ergeben hätten, die unter fremden Dritten vereinbart werden (§ 1 Abs. 1 Satz 1 AStG). 9. Funktionsverlagerungen 9.1 Begriff der Funktionsverlagerung 253 Funktionsverlagerungen sind dadurch gekennzeichnet, dass durch inländische Unternehmen Aktivitäten (z.B. Produktion, Vertrieb, Forschung und Entwicklung, Finanzierung) etwa auf ausländische Tochtergesellschaften übertragen werden.387 Unterschieden werden verschiedene Formen der Funktionsverlagerung, nämlich die Übertragung der Funktion auf Tochtergesellschaften (sog. Funktionsausgliederung),388 die Überlassung von Funktionen (sog. Funktionsabspaltung)389 und die Abschmelzung bzw. Aufstockung390 von Funktionen.391 254 Die Verlagerung betrieblicher Funktionen in niedrig besteuernde Staaten kann zur Folge haben, dass künftige Erträge aus der Ausübung dieser Funktionen einer günstigeren Besteue387 Funktionsverlagerungen sind auch in der umgekehrten Konstellation möglich: Für die Beurteilung der steuerlichen Folgen ist dann das Recht desjenigen Staates maßgeblich, aus dem die Funktion wegverlagert wird. Diesbezügliche Fragestellungen bleiben vorliegend außer Betracht. Allerdings ist darauf hinzuweisen, dass der Fremdvergleichsgrundsatz und deshalb auch die Regelungen zur Bewertung einer Funktionsverlagerung gleichfalls für solche Fallgestaltungen gelten. Deshalb kann es in einer solchen Konstellation zur Aktivierung immaterieller Wirtschaftsgüter und damit zu Abschreibungspotenzial kommen (s.a. Verwaltungsgrundsätze Funktionsverlagerung, BMF v. 13.10.2010 – IV B 5 - S 1341/08/10003, Rz. 3). 388 Bei dieser wird die Funktion ins Ausland verlagert und gleichzeitig die Funktion im Inland aufgegeben. Dem verlagernden Unternehmen ist es nicht mehr möglich, die Funktion selbst auszuüben. 389 Lediglich ein Teil der vom übertragenden Unternehmen wahrgenommenen Funktion, der aber einen eigenständigen Aufgabenbereich bildet, wird einer verbundenen Gesellschaft überlassen. Ein solcher Vorgang wird oftmals als „Outsourcing“ bezeichnet. Das übertragende Unternehmen behält deshalb einen Teil der Funktion sowie die damit verbundenen immateriellen Wirtschaftsgüter. 390 Um ein Abschmelzen einer Funktion handelt es sich, sofern ein Unternehmen auf schuldrechtlicher Basis Risiken und Verantwortlichkeiten an ein verbundenes Unternehmen abgibt und danach ein geringeres Funktionsprofil hat. Im Falle der Aufstockung einer Funktion gilt dies umgekehrt. 391 Näher zu den verschiedenen Formen der Funktionsverlagerung Borstell/Wehnert, in: Vögele/Borstell/ Engler, Verrechnungspreise, Kap. R, Rz. 75 ff.
1006 Backu/Bayer
Verrechnungspreise
Rz. 259
F
rung unterliegen. In diesem Zshg. ist erstens zu prüfen, mit welchen steuerlichen Konsequenzen der Verlagerungsvorgang selbst verbunden ist:392 Funktionsverlagerungen führen oftmals zur Aufdeckung stiller Reserven, sodass die Besteuerung von Funktionsverlagerungen auch als betriebliche Wegzugsbesteuerung bezeichnet wird. Zweitens sind auch bei späteren laufenden Geschäftsbeziehungen zwischen dem verlagernden Unternehmen und der übernehmenden Unternehmen die Grundsätze der Verrechnungspreisbildung (s. Rz. 219 ff.) zu beachten. Regelungen zur Funktionsverlagerung finden sich in § 1 Abs. 3 Satz 9 AStG, in der Funk- 255 tionsverlagerungsverordnung (FVerlV) und in den Verwaltungsgrundsätzen Funktionsverlagerung.393 9.2 Merkmale einer Funktionsverlagerung Eine Funktionsverlagerung ist gegeben, wenn ein Unternehmen (verlagerndes Unterneh- 256 men) einem anderen nahestehenden Unternehmen (übernehmendes Unternehmen) Wirtschaftsgüter oder sonstige Vorteile sowie die damit verbundenen Chancen und Risiken überträgt oder zur Nutzung überlässt, damit das übernehmende Unternehmen eine Funktion ausüben kann, die bisher von dem verlagernden Unternehmen ausgeübt worden ist und dadurch die Ausübung der betreffenden Funktion durch das verlagernde Unternehmen eingeschränkt wird (§ 1 Abs. 2 Satz 1 FVerlV). Die Funktionsverlagerung muss nicht in einem Wirtschaftsjahr erfolgen; Geschäftsvorfälle verschiedener Wirtschaftsjahre (innerhalb von fünf Wirtschaftsjahren) können als Bestandteile einer einheitlichen Funktionsverlagerung zusammenzufassen sein. (§ 1 Abs. 2 Satz 3 FVerlV). Es ist auch genügend, wenn das übernehmende Unternehmen die Funktion nur zeitweise übernimmt (§ 1 Abs. 2 Satz 2 FVerlV). Eine Funktion eines Unternehmens, welche verlagert werden kann, ist aber nur bei einer ge- 257 wissen Eigenständigkeit der unternehmerischen Einheit zu bejahen. Voraussetzung für eine solche Eigenständigkeit ist, dass dem fraglichen Teil des Unternehmens394 Aufwendungen und Erträge zugeordnet werden können.395 Im Hinblick auf das für die Funktionsverlagerung notwendige Merkmal der Verlagerung ist 258 umstritten, ob ein aufgabenbezogener oder ein produktbezogener Verlagerungsbegriff maßgeblich ist (d.h. liegt im Falle der Verlagerung der Produktion eines Produkts in das Ausland bereits eine Funktionsverlagerung vor, sofern die vorherige Fertigung dieses Produkts im Inland umgehend durch die Fertigung eines anderen Produkts im Inland kompensiert wird).396 Bei der Planung eines Vorgangs, bei dem sich die unterschiedlichen Auslegungsmethoden auswirken können, ist die Einholung einer verbindlichen (kostenpflichtigen) Auskunft zu empfehlen. Ferner ist darauf hinzuweisen, dass die mit der Funktionsverlagerung verbundenen Chancen und Risiken über das hinausgehen müssen, was routinemäßig mit einer geschäftlichen Tätigkeit einhergeht. Deshalb kann die bloße Verlagerung einer Routinefunktion keine Funktionsverlagerung i.S.v. § 1 Abs. 3 Satz 9 AStG darstellen.397 Eine Funktionsverlagerung erfordert keine Übertragung eines Wirtschaftsguts, es genügt 259 auch die Übertragung sonstiger Vorteile. Sonstige Vorteile sind wirtschaftsgutnahe, ausreichend konkretisierte Vorteile, die bereits als isoliert bewertbarer Teil des Geschäftswerts an-
392 Nur diese werden in dem Abschnitt „Funktionsverlagerung“ behandelt. 393 BMF v. 13.10.2010 – IV B 5 - S 1341/08/10003. 394 Näher zur Funktion: Borstell/Wehnert, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. R, Rz. 32 ff. Damit eine Funktion bejaht werden kann, muss es sich um keinen steuerlichen Teilbetrieb handeln. 395 Begründung zu § 1 Abs. 1 Satz 2 FVerlV, BR-Drs. 352/08, S. 10. 396 Beispiel nach Borstell/Wehnert, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. R, Rz. 303. 397 Borstell/Wehnert, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. R, Rz. 306 ff.
Backu/Bayer
1007
F Rz. 260
Die steuerliche Behandlung von Software und IT-Dienstleistungen
zusehen sind, aber noch nicht zu einem eigenen Wirtschaftsgut erstarkt sind,398 z.B. einzelne Kundenaufträge, eingearbeitetes Personal oder Lieferantenbeziehungen. 260
Û
Hinweis für die Praxis: Bereits die Übertragung von Rechten ins Ausland kann als Funktionsverlagerung einzustufen sein. Folglich ist bei Rechteübertragungen und der Übertragung von Know-how im Vorfeld umfassend zu prüfen, ob der geplante Vorgang die Voraussetzungen einer Funktionsverlagerung erfüllt.399
9.3 Beispiele für unschädliche „Funktionsverlagerungen“ 261 In bestimmten Fällen liegt gemäß der Funktionsverlagerungsverordnung und den Verwaltungsgrundsätzen Funktionsverlagerung keine Funktionsverlagerung vor, hierbei handelt es sich z.B. um400 – isolierte Geschäftsvorfälle, bei denen eine Veräußerung oder eine Nutzungsüberlassung von Wirtschaftsgütern erfolgt (§ 1 Abs. 7 Satz 1 FVerlV), außer diese bilden nach einer wirtschaftlichen Betrachtungsweise Bestandteile einer Funktionsverlagerung. – Arbeitnehmerentsendung im Konzern, sofern damit keine Übertragung von Unternehmensfunktionen verbunden ist (§ 1 Abs. 7 Satz 2 FVerlV). – Cost-Plus-Verrechnungspreisabrechnung (§ 2 Abs. 1 Satz 1 FVerlV): Wenn es sich beim übernehmenden Unternehmen um ein solches mit Routinefunktionen handelt, das nur geringe Risiken trägt, und für die Bestimmung der Verrechnungspreise zulässigerweise die Cost-Plus-Methode anwendet.401 – Keine Überschreitung der Wesentlichkeitsgrenze (§ 1 Abs. 5 FVerlV): Für die Bejahung einer Funktionsverlagerung müssen die übertragenen oder überlassenen immateriellen Wirtschaftsgüter wesentlich sein. Wesentlichkeit ist gegeben, wenn sie für die verlagerte Funktion erforderlich sind (qualitativer Maßstab) und der Fremdvergleichspreis insgesamt mehr als 25 % der Summe der Einzelpreis aller Wirtschaftsgüter und Vorteile des Transferpakets beträgt (quantitative Betrachtungsweise). – Substitution einer Funktion – Neuaufnahme einer Funktion402 – Wirtschaftliche Auslegung des Begriffs der Funktionsverlagerung: Die Finanzverwaltung sieht bestimmte Fälle nicht als Funktionsverlagerung an, so z.B. die fristgerechte Kündigung oder das Auslaufen von Verträgen oder die Leistungserbringung auf cost-plus-Basis an andere als nur das verlagernde Unternehmen.403 9.4 Steuerliche Behandlung einer Funktionsverlagerung 262 Auch bei einer Funktionsverlagerung werden die Einkünfte mit Hilfe der verdeckten Gewinnausschüttung, der verdeckten Einlage und § 1 AStG korrigiert, wenn der Fremdvergleichsgrundsatz nicht eingehalten wird. 263 Bei der Prüfung, ob der Fremdvergleichsgrundsatz gewahrt wird (§ 1 Abs. 3 AStG), erfolgt jedoch keine Prüfung der zu der Funktionsverlagerung gehörenden Einzeltransaktionen. Vielmehr ist der Ansatz eines Transferpakets vorzunehmen (sog. Transferpaketbetrachtung). Die 398 Brüninghaus/Bodenmüller, DStR 2009, 1285 (1288). 399 Pfaff/Nagel/Wittkowski, in: Pfaff/Osterrieth, Lizenzverträge, Rz. 683. 400 Rupp, Haufe Steuer Office Kanzlei-Edition Online, HI3130332, Stand: 20.7.2012. Näher z.B. Borstell/ Wehnert, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. R Rz. 320 ff. m.w.N. 401 Dies ist z.B. bei der konzerninternen Erbringung von Dienstleistungen der Fall. 402 BMF v. 13.10.2010 – IV B 5 - S 1341/08/10003, BStBl 2010 I S. 774, Rz. 57. 403 BMF v. 13.10.2010 – IV B 5 - S 1341/08/10003, BStBl 2010 I S. 774, Rz. 66 f.
1008 Backu/Bayer
Verrechnungspreise
Rz. 268
F
gesamte Funktion wird folglich als Einheit angesehen und bewertet. Maßgeblich für den Wert ist, welchen Preis ein fremder Dritter für die übergehende Einheit bezahlen würde. Einzubeziehen sind folglich auch die übergehenden Chancen und Risiken. Damit werden bei der Verrechnungspreisbildung Synergieeffekte erfasst und ein anteiliger Geschäfts- oder Firmenwert findet gleichfalls Berücksichtigung.404 Der Wert des Transferpakets wird faktisch mit Hilfe des sog. hypothetischen Fremdver- 264 gleichs (§ 1 Abs. 3 Satz 5 AStG) ermittelt, denn für einen tatsächlichen Fremdvergleich fehlt es i.d.R. an vergleichbaren Vergleichswerten. Die Bewertung orientiert sich an dem mit der Funktionsverlagerung verbundenen Gewinnpotenzial. Gewinnpotenziale sind die von dem verlagernden und dem übernehmenden Unternehmen aus der verlagerten Funktion erwarteten Reingewinne nach Steuern (sog. Barwert). Für die Bestimmung des Barwerts soll ein kapitalorientiertes Verfahren Anwendung finden, für die Bewertung eines Unternehmens/eigenständigen Betriebsteils werden IDW S1 und für die Bewertung immaterieller Wirtschaftsgüter IDW S5 vorgeschlagen.405 Das Gewinnpotenzial des verlagernden Unternehmens bildet den Mindestpreis des Transferpakets, während das Gewinnpotenzial des übernehmenden Unternehmens den Höchstpreis darstellt. Sofern kein anderer Wert glaubhaft gemacht werden kann, bestimmt sich der Preis nach dem Mittelwert zwischen Mindest- und Höchstpreis (§ 1 Abs. 3 Satz 7, 2. Halbs. AStG). Ausnahmsweise kann auch eine Einzelbewertung stattfinden (§ 1 Abs. 3 Satz 10 AStG, sog. 265 Escape-Klausel): Dies ist möglich, wenn glaubhaft gemacht werden kann, dass entweder keine wesentlichen immateriellen Wirtschaftsgüter/Vorteile Bestandteile der Funktionsverlagerung sind oder dass die Summe der angesetzten Einzelverrechnungspreise gemessen am Wert des Transferpakets fremdüblich ist oder dass zumindest ein wesentliches immaterielles Wirtschaftsgut Gegenstand der Verlagerung war und dieses genau bezeichnet werden kann. 9.5 Gestaltungsmöglichkeiten 9.5.1 Vermeidung einer Funktionsverlagerung Die steuerlichen Konsequenzen einer Funktionsverlagerung können dadurch vermieden 266 werden, dass z.B. betriebliche Funktionen unter Rückbehalt der immateriellen Wirtschaftsgüter auf ausländische Tochtergesellschaften übertragen werden. Denn § 1 Abs. 3 AStG legt fest, dass immaterielle Wirtschaftsgüter wesentlicher Bestandteil eines Transferpakets sein müssen. Sind die Voraussetzungen für eine Funktionsverlagerung nicht erfüllt, so ist nach allgemei- 267 nen Grundsätzen zu prüfen, ob eine sog. Entstrickung (§ 4 Abs. 1 Satz 4 EStG bzw. § 12 KStG)406 vorliegt oder ob nach allgemeinen Grundsätzen ein angemessener Fremdpreis zu vereinbaren ist. 9.5.2 Gestaltung der Funktionsverlagerung im Einzelnen Kann eine Funktionsverlagerung nicht vermieden werden, dann ist zu überlegen, wie diese 268 nach deutschem Steuerrecht und nach dem Recht desjenigen ausländischen Staates, in den die Verlagerung stattfinden soll, möglichst steuergünstig gestaltet werden kann.407 Zu un404 Zum Transferpaket s. z.B. Kraft, in: Kraft, AStG, § 1 Rz. 400 ff. 405 BMF v. 13.10.2010 – IV B 5 - S 1341/08/10003, BStBl 2010 I S. 774, Rz. 87 ff. 406 Bei der Entstrickung erfolgt eine Sofortbesteuerung; die Sofortbesteuerung setzt u.a. voraus, dass potenziell eine Einschränkung des Besteuerungsrechts der Bundesrepublik Deutschland stattfindet, ein tatsächlicher Verlust ist nicht erforderlich (näher zu den einzelnen Voraussetzungen des § 12: Lambrecht, in: Gosch, KStG, § 12 Rz. 33 ff.). 407 Rupp, in: Haufe Steuer Office Kanzlei-Edition Online, HI3130310, Stand: 22.7.2013.
Backu/Bayer
1009
F Rz. 269
Die steuerliche Behandlung von Software und IT-Dienstleistungen
terscheiden sind einerseits schuldrechtliche Gestaltungen und andererseits gesellschaftsrechtliche Gestaltungen. Schuldrechtlich kann eine nur zeitweise Überlassung von Funktionen vereinbart werden, sodass ein laufendes Nutzungsentgelt zu bezahlen ist, das Verrechnungspreisgrundsätzen genügen muss.408 Erfolgt hingegen eine endgültige Veräußerung der Funktion, so muss hierfür ein fremdüblicher Veräußerungspreis entrichtet werden. Wird eine gesellschaftsvertragliche Gestaltung gewählt, dann findet eine Einlage von Wirtschaftsgütern gegen die Gewährung von Gesellschafterrechten statt. Wie der Wert der Wirtschaftsgüter zu bestimmen ist, hängt davon ab, ob eine Einlage nach § 6 Abs. 6 EStG erfolgt (dann gemeiner Wert/Teilwert) oder ob das Umwandlungssteuergesetz Anwendung findet (dann gemeiner Wert/Buchwert). Maßgeblich für die Abgrenzung ist die jeweilige vertragliche Gestaltung. In Zweifelsfällen (d.h. ist in Bezug auf das Transferpaket oder einzelner Teile eine Übertragung oder eine Nutzungsüberlassung anzunehmen), wird auf Antrag des Steuerpflichtigen von einer Nutzungsüberlassung ausgegangen (§ 4 Abs. 2 FVerlV). 269
Û
Hinweis für die Praxis: Da Verrechnungspreise oftmals Gegenstand von Betriebsprüfungen sind, empfiehlt sich die Einführung unternehmensinterner Verrechnungspreisrichtlinien.409
VI. Cloud Computing 270 Beim Cloud Computing werden verschiedene Arten der Leistungen unterschieden (s. M Rz. 464 ff.), wie SaaS (Software as a Service), IaaS (Infrastructure as a Service) und PaaS (Platform as a Service). Bei SaaS handelt es sich um die Bereitstellung von Standardsoftware auf dem Server des Anbieters, während IaaS ein flexibles Anmieten von Rechenleistung und Datenspeicher beinhaltet, auf die der Kunde jederzeit über das Internet zugreifen kann. PaaS hingegen stellt die zeitlich begrenzte Bereitstellung von Infrastruktur i.V.m. einer vorinstallierten Entwicklungsumgebung (Software) dar, durch die etwa komplexe Websites einschließlich Datenbanken erstellt werden können. 271 Im Zshg. mit dem Cloud Computing ergeben sich eine Vielzahl steuerlicher Fragen. Diese werden v. a. dann relevant, wenn Auslandsbeziehungen bestehen und betreffen das Umsatzund das Ertragssteuerrecht.410 Im Zshg. mit dem Ertragssteuerrecht können auch Gesichtspunkte des Quellensteuerabzugs (s. Rz. 134 ff.) und von DBA Bedeutung erlangen. Bei der Beurteilung in umsatzsteuerlicher Hinsicht ist zu beachten, dass es sich bei den CloudDienstleistungen um elektronisch erbrachte Dienstleistungen handelt, was sich insb. bei der Beurteilung des Leistungsorts auswirkt. Seit der am 1.1.2015 in Kraft getretenen Neuregelung bestimmt sich sowohl im Bereich B2B als auch im Bereich B2C der Leistungsort anhand der Ansässigkeit bzw. des Wohnsitzes/gewöhnlichen Aufenthalts des Kunden (s. Rz. 95 ff.). 272 Typischerweise sind verschiedene Konstellationen zu unterscheiden: Der Anbieter der Cloud-Dienste kann seinen Sitz im Inland oder im EU-Ausland oder in einem Drittstaat haben, dies gilt gleichfalls für den Kunden. Darüber hinaus ist zu unterscheiden, ob es sich bei dem Kunden um einen Unternehmer oder um einen Nicht-Unternehmer handelt. Bei den nachfolgend dargestellten Varianten ist jeweils eine Beurteilung in umsatzsteuerlicher und in ertragssteuerlicher Hinsicht vorzunehmen.411
408 So z.B. Borstell/Wehnert, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. R, Rz. 1065; Rödl/Grube, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, Kap. 21, Rz. 83. 409 Näher hierzu z.B. Freudenberg, BB 2014, 1515 ff. 410 Zur Buchführung im Ausland s. u. Rz. 292 ff. 411 Sehr ausführlich zu steuerlichen Fragen bei den verschiedenen Formen des Cloud Computing: Pinkernell, Ubg 2012, 331 ff. sowie Rogge, BB 2015, 1823 ff. Ein erster Überblick findet sich bei Backu, ITRB 2011, 184 ff.
1010 Backu/Bayer
F Rz. 269
Die steuerliche Behandlung von Software und IT-Dienstleistungen
terscheiden sind einerseits schuldrechtliche Gestaltungen und andererseits gesellschaftsrechtliche Gestaltungen. Schuldrechtlich kann eine nur zeitweise Überlassung von Funktionen vereinbart werden, sodass ein laufendes Nutzungsentgelt zu bezahlen ist, das Verrechnungspreisgrundsätzen genügen muss.408 Erfolgt hingegen eine endgültige Veräußerung der Funktion, so muss hierfür ein fremdüblicher Veräußerungspreis entrichtet werden. Wird eine gesellschaftsvertragliche Gestaltung gewählt, dann findet eine Einlage von Wirtschaftsgütern gegen die Gewährung von Gesellschafterrechten statt. Wie der Wert der Wirtschaftsgüter zu bestimmen ist, hängt davon ab, ob eine Einlage nach § 6 Abs. 6 EStG erfolgt (dann gemeiner Wert/Teilwert) oder ob das Umwandlungssteuergesetz Anwendung findet (dann gemeiner Wert/Buchwert). Maßgeblich für die Abgrenzung ist die jeweilige vertragliche Gestaltung. In Zweifelsfällen (d.h. ist in Bezug auf das Transferpaket oder einzelner Teile eine Übertragung oder eine Nutzungsüberlassung anzunehmen), wird auf Antrag des Steuerpflichtigen von einer Nutzungsüberlassung ausgegangen (§ 4 Abs. 2 FVerlV). 269
Û
Hinweis für die Praxis: Da Verrechnungspreise oftmals Gegenstand von Betriebsprüfungen sind, empfiehlt sich die Einführung unternehmensinterner Verrechnungspreisrichtlinien.409
VI. Cloud Computing 270 Beim Cloud Computing werden verschiedene Arten der Leistungen unterschieden (s. M Rz. 464 ff.), wie SaaS (Software as a Service), IaaS (Infrastructure as a Service) und PaaS (Platform as a Service). Bei SaaS handelt es sich um die Bereitstellung von Standardsoftware auf dem Server des Anbieters, während IaaS ein flexibles Anmieten von Rechenleistung und Datenspeicher beinhaltet, auf die der Kunde jederzeit über das Internet zugreifen kann. PaaS hingegen stellt die zeitlich begrenzte Bereitstellung von Infrastruktur i.V.m. einer vorinstallierten Entwicklungsumgebung (Software) dar, durch die etwa komplexe Websites einschließlich Datenbanken erstellt werden können. 271 Im Zshg. mit dem Cloud Computing ergeben sich eine Vielzahl steuerlicher Fragen. Diese werden v. a. dann relevant, wenn Auslandsbeziehungen bestehen und betreffen das Umsatzund das Ertragssteuerrecht.410 Im Zshg. mit dem Ertragssteuerrecht können auch Gesichtspunkte des Quellensteuerabzugs (s. Rz. 134 ff.) und von DBA Bedeutung erlangen. Bei der Beurteilung in umsatzsteuerlicher Hinsicht ist zu beachten, dass es sich bei den CloudDienstleistungen um elektronisch erbrachte Dienstleistungen handelt, was sich insb. bei der Beurteilung des Leistungsorts auswirkt. Seit der am 1.1.2015 in Kraft getretenen Neuregelung bestimmt sich sowohl im Bereich B2B als auch im Bereich B2C der Leistungsort anhand der Ansässigkeit bzw. des Wohnsitzes/gewöhnlichen Aufenthalts des Kunden (s. Rz. 95 ff.). 272 Typischerweise sind verschiedene Konstellationen zu unterscheiden: Der Anbieter der Cloud-Dienste kann seinen Sitz im Inland oder im EU-Ausland oder in einem Drittstaat haben, dies gilt gleichfalls für den Kunden. Darüber hinaus ist zu unterscheiden, ob es sich bei dem Kunden um einen Unternehmer oder um einen Nicht-Unternehmer handelt. Bei den nachfolgend dargestellten Varianten ist jeweils eine Beurteilung in umsatzsteuerlicher und in ertragssteuerlicher Hinsicht vorzunehmen.411
408 So z.B. Borstell/Wehnert, in: Vögele/Borstell/Engler, Verrechnungspreise, Kap. R, Rz. 1065; Rödl/Grube, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, Kap. 21, Rz. 83. 409 Näher hierzu z.B. Freudenberg, BB 2014, 1515 ff. 410 Zur Buchführung im Ausland s. u. Rz. 292 ff. 411 Sehr ausführlich zu steuerlichen Fragen bei den verschiedenen Formen des Cloud Computing: Pinkernell, Ubg 2012, 331 ff. sowie Rogge, BB 2015, 1823 ff. Ein erster Überblick findet sich bei Backu, ITRB 2011, 184 ff.
1010 Backu/Bayer
Cloud Computing
Rz. 276
F
1. Inbound-Fall: Cloud-Anbieter im Ausland, Kunde im Inland 1.1 Ertragsteuer/Quellensteuer Befindet sich der Cloud-Anbieter im Ausland,412 so ist zu prüfen, ob dieser die Vorausset- 273 zungen der beschränkten Steuerpflicht erfüllt. Wann generell eine beschränkte Steuerpflicht gegeben ist, beinhaltet § 49 EStG im Rahmen einer enumerativen Aufzählung. Wichtig sind im Zshg. mit dem Cloud Computing insb. § 49 Abs. 1 Nr. 2 lit. a EStG (Erzielung von gewerblichen Einkünften durch eine inländische Betriebsstätte) und § 49 Abs. 1 Nr. 2 lit. f EStG (Erzielung von gewerblichen Einkünften durch die Vermietung und Verpachtung oder durch die Veräußerung von Sachinbegriffen oder Rechten, die im Inland belegen oder deren Verwertung in einer inländischen Betriebsstätte oder anderen Einrichtung erfolgt). Würde ein ausländischer Anbieter im Inland zur Erbringung der Leistungen einen Server un- 274 terhalten, so würde dies eine inländische Betriebsstätte darstellen, was zu einer beschränkten Steuerpflicht führt.413 In der Praxis allerdings werden die Betriebsstätten in anderen Staaten und auch EU-Mitgliedstaaten errichtet, die eine günstigere Steuerstruktur aufweisen (z.B. Irland). Jedoch werden durch die Unterhaltung eines Servers in einem anderen Staat, als der Kunde ansässig ist, Unternehmensprozesse des inländischen Kunden auf die Server des ausländischen Cloud-Anbieters verlagert. Grds. ist es zwar nicht auszuschließen, dass durch die Auslagerung eine Auslandsbetriebsstätte des inländischen Kunden begründet wird oder eine steuerschädliche Entstrickung von Wirtschaftsgütern (§§ 4 Abs. 1 Satz 4 EStG, 12 Abs. 1 Satz 1 KStG) eintritt. Da aber eine Betriebsstätte eine feste Geschäftseinrichtung oder Anlage erfordert, erfüllt die bloße Nutzung von Software aufgrund eines SaaS-Vertrags nicht die Voraussetzungen für eine Betriebsstätte. Wird im Rahmen eines IaaS- oder eines PaaS-Vertrags ein Zugriff auf einen ausländischen Server ermöglicht, dann soll dies nur dann eine ausländische Betriebsstätte begründen, sofern es sich um einen Server innerhalb der Serverfarm handelt, auf den ausschließlich der Kunde Zugriff hat und der ihm für mindestens sechs Monate zur Nutzung überlassen ist.414 Die Nutzung eines virtuellen Servers soll nach umstrittener Auffassung dagegen aufgrund der Verfügungsmacht des ausländischen CloudAnbieters nicht zur Begründung einer ausländischen Betriebsstätte führen,415 wobei eine andere Sichtweise nicht auszuschließen ist. Bei der Beurteilung, ob die Nutzungsmöglichkeit der Cloud zu einer beschränkten Steuer- 275 pflicht führt, ist zwischen den einzelnen Formen des Cloud Computing zu differenzieren, es ist hierbei genau zu prüfen, was den Inhalt der konkreten Leistungspflicht darstellt. Bei den nachfolgenden Ausführungen zu den einzelnen Cloud-Dienstleistungen handelt es sich um eine Beurteilung von typischen Dienstleistungen – weicht die konkrete Ausgestaltung von der typischen Gestaltung ab, so können sich auch in der steuerlichen Behandlung erhebliche Unterschiede ergeben. Im Hinblick auf IaaS ist strittig, ob die zur Verfügung gestellten IT-Ressourcen eine Ge- 276 brauchsüberlassung beinhalten, die zur beschränkten Steuerpflicht (s. Rz. 137 ff.) führen.416 Die IT-Gebrauchsüberlassung kann als Vermietung einer Sache eingestuft werden (§ 49 Abs. 1 Nr. 2 lit. f EStG) oder als sonstige Einkünfte (§ 49 Abs. 1 Nr. 9 EStG). Manche Vertreter des Schrifttums sind aber auch der Auffassung, dass keine beschränkte Steuerpflicht besteht, da die zur Verfügung gestellten IT-Ressourcen mangels einer wirtschaftlichen oder technischen 412 S. hierzu in Bezug auf die Ertragsteuer: Heinsen/Voß, DB 2012, 1231 ff.; Pinkernell, Ubg 2012, 331 ff. 413 Näher Sinewe/Fraase, BB 2011, 2198 (2201); ausführlich zu den verschiedenen Möglichkeiten der Bereitstellung eines Servers in tatsächlicher und in rechtlicher Hinsicht: Tappe, iStR 2011, 870 (871 ff.). Allg. zu Betriebsstätten in der digitalen Wirtschaft: Heggmair/Riedl/Wutschke, iStR 2015, 92 ff. 414 Pinkernell, Ubg 2012, 331 (336); Sinewe/Fraase, BB 2011, 2198 (2201) m.w.N. 415 Pinkernell, Ubg 2012, 331 (336) m.w.N. 416 Gegen eine beschränkte Steuerpflicht z.B. Pinkernell, Ubg 2012, 331 (334); für eine beschränkte Steuerpflicht: Heinsen/Voß, DB 2012, 1231 (1234).
Backu/Bayer
1011
F Rz. 277
Die steuerliche Behandlung von Software und IT-Dienstleistungen
Einheit keinen Sachinbegriff bilden. Bei PaaS ist gleichfalls umstritten, ob die Vermietung einer Sache vorliegt (§ 49 Abs. 1 Nr. 2 lit. f EStG), die zur beschränkten Steuerpflicht führt.417 Bei SaaS wird dem Kunden im Regelfall keine Individual-, sondern Standardsoftware zur Nutzung zur Verfügung gestellt, sodass auch bei der Überlassung an Kunden im B2B-Bereich in Ermangelung einer Verwertung von Software keine beschränkte Steuerpflicht besteht und damit auch keine Abzugsverpflichtung nach § 50a EStG gegeben ist. Der Nutzer erstellt noch nicht einmal eine Programmkopie, denn im Browserfenster wird nur eine Benutzeroberfläche angezeigt, die vom Server des Anbieters generiert wird.418 Im B2C-Bereich liegt ohnehin keine inländische Betriebsstätte des Kunden vor, sodass inländische Einkünfte nach § 49 Abs. 1 EStG und damit eine inländische Steuerpflicht des Cloud-Anbieters nicht entstehen kann. 277
Û
Hinweis für die Praxis: Vor der Entscheidung für eine bestimmte Variante des Cloud Computing sind jeweils genau die steuerlichen Auswirkungen zu prüfen. Hierbei sollte nicht eine Einordnung anhand der Begrifflichkeiten SaaS, IaaS oder PaaS erfolgen. Vielmehr ist die jeweilige konkrete Gestaltung zu untersuchen.
278 Im Bereich von B2C wird die Cloud auch dazu verwendet, Multimediadateien entgeltlich auf das Endgerät des Kunden zu streamen. Diskutiert wird, ob der ausländische Anbieter gewerbliche Einkünfte durch die Verwertung von künstlerischen oder unterhaltenden Darbietungen im Inland erzielt (§ 49 Abs. 1 Nr. 2 lit. d EStG). Z.T. wird zwar im Schrifttum die Verwertung in einer inländischen Betriebsstätte entsprechend § 49 Abs. 1 Nr. 6 EStG gefordert, sodass die Voraussetzungen des § 49 Abs. 1 Nr. 2 lit. d EStG nicht verwirklicht werden.419 Verzichtet man auf dieses zusätzliche Erfordernis, welches im Gesetz keinen Niederschlag findet, so können bei einer Live-Übertragung und einer zeitversetzten Übertragung die Voraussetzungen für eine beschränkte Steuerpflicht nach § 49 Abs. 1 Nr. 2 lit. d EStG gegeben sein.420 Eine Steuerabzugsverpflichtung für die inländischen Kunden wäre zumindest bei inländischen Darbietungen gegeben (§ 50a Abs. 1 Nr. 2 EStG), wobei es aber in der Praxis ausgeschlossen ist, Steuerabzugsverpflichtungen gegenüber Verbrauchern durchzusetzen.421 Nicht geklärt ist, ob auch beim Streamen ausländischer Darbietungen eine Steuerabzugsverpflichtung besteht422 und ob aufgrund der Weite des § 49 Abs. 1 Nr. 2 lit. d EStG weitere Streaming-Modelle eine beschränkte Steuerpflicht auslösen. 279
Û
Hinweis für die Praxis: Liegen die Voraussetzungen des § 50d Abs. 2 EStG vor, dann ist die Einholung einer Freistellungsbescheinigung empfehlenswert.423
417 S. hierzu Pinkernell, Ubg 2012, 331 (334 f. m.w.N.). Selbst wenn die Vermietung einer Sache bejaht wird, so soll keine Quellensteuerabzugsverpflichtung (§ 50a Abs. 1 Nr. 3 EStG) bestehen, da keine Nutzungsüberlassung eines Urheberrechts vorliegt. 418 So z.B. Pinkernell, ISR 2012, 82 (84); Pinkernell, Ubg 2012, 331 (334). Es besteht insoweit aber keine Rechtssicherheit. 419 Wied, in: Blümich, EStG, KStG, GewStG, § 49 EStG Rz. 117 (Stand: 5/2015). 420 Pinkernell, Ubg 2012, 331 (335 f.). 421 BMF v. 25.11.2010 – IV C 3 - S 2303/09/10002, Rz. 42. 422 Gemäß § 50a Abs. 1 Nr. 2 EStG unterliegen einer Steuerabzugsverpflichtung Einkünfte aus der inländischen Verwertung von Darbietungen i.S.v. § 50a Abs. 1 Nr. 1 EStG. In § 50a Abs. 1 Nr. 1 EStG wird festgelegt, dass Einkünfte, die durch im Inland ausgeübte Darbietungen erzielt werden, dem Steuerabzug unterliegen. Da bei einem Streamen ausländischer Darbietungen die Voraussetzungen des § 50a Abs. 1 Nr. 2 EStG nicht erfüllt sind, kann eine Steuerabzugsverpflichtung nur bei einer beschränkten Steuerpflicht nach § 49 Abs. 1 Nr. 2 lit. f EStG bestehen. Gegen eine beschränkte Steuerpflicht z.B. Schlotter, FR 2010, 651 (655), da § 49 Abs. 1 Nr. 2 lit. d EStG als lex specialis einen Steuerabzug nach §§ 49 Abs. 1 Nr. 2 lit. f, 50a Abs. 1 Nr. 3 EStG ausschließe; die Finanzverwaltung soll aber eine beschränkte Steuerpflicht bejahen (so zumindest Pinkernell, Ubg 2012, 331 [336]). 423 So z.B. auch Pinkernell, Ubg 2012, 331 (336).
1012 Backu/Bayer
Cloud Computing
Rz. 284
F
1.2 Umsatzsteuer Erbringt ein EU-Anbieter eine Cloud-Dienstleistung an einen inländischen B2B-Kunden, so 280 befindet sich der Leistungsort im Inland (§ 3a Abs. 2 UStG). Steuerschuldner ist jedoch nicht der leistende Unternehmer, sondern der Leistungsempfänger (sog. „Reverse-Charge-Verfahren“, § 13b Abs. 5 i.V.m. Abs. 2 Nr. 1 UStG).424 Hat der Cloud-Anbieter seinen Sitz nicht in einem EU-Mitgliedstaat, sondern in einem Drittstaat, dann liegt der Leistungsort gleichfalls im Inland. Auch in dieser Konstellation ist nicht der Leistungserbringer, sondern der Leistungsempfänger der Steuerschuldner. Zu prüfen ist aber, ob die Leistung nicht an eine Betriebsstätte ausgeführt wird. Anders als bei der ertragsteuerlichen Gewinnabgrenzung ist stets nur eine Zuordnung des gesamten Umsatzes zu einer Betriebsstätte vorgesehen. Deshalb muss die Einschaltung einer Betriebsstätte in den Leistungsbezug eindeutig gestaltet werden.425 Sonst droht das Risiko einer abweichenden Steuerfestsetzung oder einer Doppelbesteuerung, sofern die zuständigen Finanzbehörden unterschiedliche Auffassungen dazu vertreten, ob die Leistung an eine Betriebsstätte ausgeführt worden ist oder nicht.426 Wird die Leistung durch einen in einem anderen EU-Mitgliedstaat oder in einem Drittstaat ansässigen Cloud-Anbieter an einen inländischen B2C-Kunden erbracht, dann liegt der Leistungsort gemäß § 3a Abs. 5 Satz 1 UStG) im Inland (s. Rz. 98 ff.).427
281
2. Outbound-Fall: Cloud-Anbieter im Inland, Kunde im Ausland 2.1 Ertragsteuer/Quellensteuer In ertragsteuerlicher Hinsicht hängt die Beurteilung davon ab,428 ob der im Inland ansässige 282 Cloud-Anbieter seine Leistungen ohne eine ausländische Betriebstätte oder Tochtergesellschaft, sondern nur durch die im Inland gelegenen Räumlichkeiten erbringt oder ob die Leistung durch die ausländische Betriebsstätte oder eine ausländische Tochtergesellschaft erbracht wird. Erfolgt die Leistungserbringung ohne eine ausländische Betriebsstätte oder Tochtergesell- 283 schaft, so stellt die Leistung des inländischen Cloud-Anbieters – abhängig von den Steuergesetzen des Ansässigkeitsstaats des Kunden – eine quellensteuerpflichtige Leistung dar. Der dadurch vom Kunden vorzunehmende Steuerabzug kann dem inländischen Cloud-Anbieter auf seine Steuer angerechnet werden, wenn zwischen Deutschland und dem Ansässigkeitsstaat des Kunden ein DBA besteht und die Quellensteuererhebung entsprechend dem DBA vorgenommen wird (§ 34c Abs. 6 EStG, § 26 KStG). Ist kein DBA vorhanden, so scheidet eine Steueranrechnung aus, es verbleibt nur die Möglichkeit eines Steuerabzugs (§ 34c Abs. 3 EStG). Während eine Steueranrechnung ohne zusätzlichen Antrag erfolgt, wird ein Abzug nur auf einen Antrag hin gewährt. Verfügt der inländische Cloud-Anbieter über ein Serverzentrum im Ausland, so handelt es sich dabei um eine ausländische Betriebsstätte. Hinsichtlich der im Inland erzielten Gewinne des inländischen Cloud-Anbieters und der durch die ausländischen Betriebsstätte erziel-
424 Zu den Anforderungen an die Rechnung: s. Rz. 125 ff.; insb. ist es erforderlich, dass in der Rechnung auch ein Hinweis auf die Steuerschuldnerschaft des Leistungsempfängers enthalten ist. 425 Für die Zuordnung einer sonstigen Leistung zu einer Betriebsstätte kommt es darauf an, ob die Niederlassung einen hinreichenden Grad an Beständigkeit und eine Struktur aufweist, die es ihr von der personellen und technischen Ausstattung her erlaubt, sonstige Leistungen für ihren Bedarf zu empfangen und zu verwenden, Art. 11 Abs. 1 und Abs. 2 VO 282/2011. 426 Pinkernell, Ubg 2012, 331 (343). 427 Im Ausland ansässige Anbieter können die Vereinfachungsregelung der VOES und der MOSS (s. Rz. 102 ff.) in Anspruch nehmen. Näher hierzu Pinkernell, Ubg 2012, 331 (341 f.). 428 Zum Outbound-Fall in Bezug auf die Ertragsteuer: Heinsen/Voß, DB 2012, 1231 ff.; Pinkernell, Ubg 2012, 331 ff.
Backu/Bayer
1013
284
F Rz. 285
Die steuerliche Behandlung von Software und IT-Dienstleistungen
ten Gewinne sind Verrechnungspreisgrundsätze anzuwenden (s. Rz. 219 ff.).429 Allerdings wird bei dieser Konstellation das damit verbundene Gewinnverlagerungspotenzial eher gering sein. 285 Gleichfalls stellen sich Fragen der Festlegung/Gestaltung der Verrechnungspreise, wenn die Einschaltung einer Tochtergesellschaft erfolgt.430 In dieser Fallgestaltung bestehen abhängig von der konkreten Gestaltung (welche Funktionen übt die jeweilige Tochtergesellschaft aus) größere Gewinnverlagerungspotenziale, da die ausländische Tochtergesellschaft potenziell Kernfunktionen des Cloud-Computing-Geschäfts ausübt. 2.2 Umsatzsteuer 286 Hat der Cloud-Anbieter seinen Sitz im Inland und der Kunde, der zugleich Unternehmer ist, seinen Sitz im EU-Ausland, so liegt der Ort der Leistung im EU-Ausland (§ 3a Abs. 2 Satz 1 UStG).431 D.h. die entsprechende Leistung ist in dem jeweiligen EU-Ausland umsatzsteuerpflichtig; die Umsatzsteuer ist dort abzuführen (s. Rz. 123). Es findet das sog. Reverse-Charge-Verfahren Anwendung, weshalb Steuerschuldner der Umsatzsteuer nicht der Leistungserbringer, sondern der Leistungsempfänger ist.432 287 Liegt der Sitz des Cloud-Anbieters im Inland, hat der Kunde (Unternehmer) seinen Sitz jedoch im Nicht-EU-Ausland, dann befindet sich der Ort der Leistung nicht in der EU. Vielmehr ist nach Maßgabe des jeweiligen Nicht-EU-Staates zu prüfen, ob die Leistung dort der Umsatzsteuer unterliegt. Dies sollte daher vorab durch den jeweiligen Leistungserbringer bzw. einen Berater geklärt werden. 288 Erbringt der inländische Cloud-Anbieter Leistungen an einen B2C-Kunden, der seinen Wohnsitz oder seinen gewöhnlichen Aufenthalt im EU-Ausland hat, so liegt der Ort der Leistung im EU-Ausland.433 Hat der Kunde seinen Wohnsitz und/oder gewöhnlichen Aufenthalt hingegen in einem Drittstaat, dann unterliegt die Leistung innerhalb der EU nicht der Umsatzsteuer. Durch den jeweiligen Leistungserbringer ist aber zu prüfen, ob die Leistung in dem Drittstaat umsatzsteuerpflichtig ist.
VII. Buchführungs- und Aufbewahrungspflichten 1. Gesetzliche Verpflichtungen 289 Durch die Unternehmen bzw. den einzelnen Unternehmer sind sowohl handelsrechtliche (§ 238 HGB) als auch steuerliche Buchführungspflichten (§ 141 AO) einzuhalten. Abhängig davon, um welche Unterlagen es sich handelt, sind diese sechs oder zehn Jahre lang aufzubewahren. Diese Fristen verlängern sich, sofern die Unterlagen für die Besteuerung von Bedeutung sind und in Bezug auf den jeweiligen Fall noch keine Festsetzungsverjährung eingetreten ist (z.B. da es sich um eine vorläufige Steuerfestsetzung handelte oder ein Steuerstrafverfahren eröffnet worden ist).434
429 Näher zu ausländischen Betriebsstätten Pinkernell, Ubg 2012, 331 (337) m.w.N. sowie zu weiteren damit in Zshg. stehenden steuerlichen Fragen. 430 Näher Pinkernell, Ubg 2012, 331 (337) m.w.N. und zu hiermit verbundenen steuerlichen Aspekten. 431 Das Umsatzsteuerrecht ist in der EU insoweit harmonisiert, sodass in anderen Mitgliedstaaten entsprechende Vorschriften gelten. 432 Daher erteilt der inländische Cloud-Anbieter eine Rechnung ohne Umsatzsteuer, er muss aber den Umsatz in einer Zusammenfassenden Meldung nach § 18a Abs. 2 UStG angeben. 433 Der Cloud-Anbieter kann die Erleichterungen der MOSS in Anspruch nehmen. S. Rz. 102 ff. 434 Näher zu den Aufbewahrungspflichten und den Aufbewahrungsfristen z.B. Reitsam/Seonbuchner, in: Conrad/Grützmacher, § 60 Rz. 5 ff.
1014 Backu/Bayer
F Rz. 285
Die steuerliche Behandlung von Software und IT-Dienstleistungen
ten Gewinne sind Verrechnungspreisgrundsätze anzuwenden (s. Rz. 219 ff.).429 Allerdings wird bei dieser Konstellation das damit verbundene Gewinnverlagerungspotenzial eher gering sein. 285 Gleichfalls stellen sich Fragen der Festlegung/Gestaltung der Verrechnungspreise, wenn die Einschaltung einer Tochtergesellschaft erfolgt.430 In dieser Fallgestaltung bestehen abhängig von der konkreten Gestaltung (welche Funktionen übt die jeweilige Tochtergesellschaft aus) größere Gewinnverlagerungspotenziale, da die ausländische Tochtergesellschaft potenziell Kernfunktionen des Cloud-Computing-Geschäfts ausübt. 2.2 Umsatzsteuer 286 Hat der Cloud-Anbieter seinen Sitz im Inland und der Kunde, der zugleich Unternehmer ist, seinen Sitz im EU-Ausland, so liegt der Ort der Leistung im EU-Ausland (§ 3a Abs. 2 Satz 1 UStG).431 D.h. die entsprechende Leistung ist in dem jeweiligen EU-Ausland umsatzsteuerpflichtig; die Umsatzsteuer ist dort abzuführen (s. Rz. 123). Es findet das sog. Reverse-Charge-Verfahren Anwendung, weshalb Steuerschuldner der Umsatzsteuer nicht der Leistungserbringer, sondern der Leistungsempfänger ist.432 287 Liegt der Sitz des Cloud-Anbieters im Inland, hat der Kunde (Unternehmer) seinen Sitz jedoch im Nicht-EU-Ausland, dann befindet sich der Ort der Leistung nicht in der EU. Vielmehr ist nach Maßgabe des jeweiligen Nicht-EU-Staates zu prüfen, ob die Leistung dort der Umsatzsteuer unterliegt. Dies sollte daher vorab durch den jeweiligen Leistungserbringer bzw. einen Berater geklärt werden. 288 Erbringt der inländische Cloud-Anbieter Leistungen an einen B2C-Kunden, der seinen Wohnsitz oder seinen gewöhnlichen Aufenthalt im EU-Ausland hat, so liegt der Ort der Leistung im EU-Ausland.433 Hat der Kunde seinen Wohnsitz und/oder gewöhnlichen Aufenthalt hingegen in einem Drittstaat, dann unterliegt die Leistung innerhalb der EU nicht der Umsatzsteuer. Durch den jeweiligen Leistungserbringer ist aber zu prüfen, ob die Leistung in dem Drittstaat umsatzsteuerpflichtig ist.
VII. Buchführungs- und Aufbewahrungspflichten 1. Gesetzliche Verpflichtungen 289 Durch die Unternehmen bzw. den einzelnen Unternehmer sind sowohl handelsrechtliche (§ 238 HGB) als auch steuerliche Buchführungspflichten (§ 141 AO) einzuhalten. Abhängig davon, um welche Unterlagen es sich handelt, sind diese sechs oder zehn Jahre lang aufzubewahren. Diese Fristen verlängern sich, sofern die Unterlagen für die Besteuerung von Bedeutung sind und in Bezug auf den jeweiligen Fall noch keine Festsetzungsverjährung eingetreten ist (z.B. da es sich um eine vorläufige Steuerfestsetzung handelte oder ein Steuerstrafverfahren eröffnet worden ist).434
429 Näher zu ausländischen Betriebsstätten Pinkernell, Ubg 2012, 331 (337) m.w.N. sowie zu weiteren damit in Zshg. stehenden steuerlichen Fragen. 430 Näher Pinkernell, Ubg 2012, 331 (337) m.w.N. und zu hiermit verbundenen steuerlichen Aspekten. 431 Das Umsatzsteuerrecht ist in der EU insoweit harmonisiert, sodass in anderen Mitgliedstaaten entsprechende Vorschriften gelten. 432 Daher erteilt der inländische Cloud-Anbieter eine Rechnung ohne Umsatzsteuer, er muss aber den Umsatz in einer Zusammenfassenden Meldung nach § 18a Abs. 2 UStG angeben. 433 Der Cloud-Anbieter kann die Erleichterungen der MOSS in Anspruch nehmen. S. Rz. 102 ff. 434 Näher zu den Aufbewahrungspflichten und den Aufbewahrungsfristen z.B. Reitsam/Seonbuchner, in: Conrad/Grützmacher, § 60 Rz. 5 ff.
1014 Backu/Bayer
Buchfhrungs- und Aufbewahrungspflichten
Rz. 295
F
Aufbewahrungspflichten ergeben sich jedoch nicht nur aus dem HGB oder der AO, sondern 290 insb. aus dem UStG: Ein Doppel der Rechnung, welches der Unternehmer ausgestellt hat sowie sämtliche Rechnungen, die er erhalten hat, die ein Leistungsempfänger oder in dessen Namen und für dessen Rechnung ein Dritter ausgestellt hat, sind zehn Jahre aufzubewahren (§ 14b Abs. 1 Satz 1 UStG).435 In Bezug auf die Aufbewahrung von elektronischen Rechnungen sind jedoch noch viele Fragen offen.436 Festzuhalten ist, dass elektronische Rechnungen nur elektronisch aufzubewahren sind.437 Werden die Aufbewahrungspflichten nicht erfüllt, können durch die Finanzbehörden Schätzungen durchgeführt werden (§ 162 AO). Die Nichteinhaltung der Aufbewahrungspflicht nach dem UStG stellt eine Ordnungswidrigkeit dar (§ 26a Abs. 1 Nr. 2 UStG).438
291
2. Durchführung der elektronischen Buchführung im Ausland Soll die elektronische Buchführung im Ausland erfolgen, so ist ein Antrag nach § 146 Abs. 2a Satz 1 AO notwendig. Eine elektronische Buchführung im Ausland kommt etwa im Zshg. mit dem Cloud Computing in Betracht.
292
Für einen Antrag auf elektronische Buchführung im Ausland müssen durch den Steuerpflichtigen vier Voraussetzungen eingehalten werden, nämlich439
293
(1) Mitteilung des Standorts des Datenverarbeitungssystems und bei Beauftragung eines Dritten (etwa eines Cloud-Dienstleisters) dessen Namen und Anschrift, (2) Nachweis, dass die Mitwirkungspflichten nach der AO in der Vergangenheit ordnungsgemäß erfüllt worden sind, (3) Möglichkeit des Datenzugriffs nach § 147 Abs. 6 AO in vollem Umfang und (4) keine Beeinträchtigung der Besteuerung durch die Buchführung im Ausland. Beabsichtigt der Steuerpflichtige, einen Antrag nach § 146 Abs. 2a AO zu stellen, so ist die- 294 ser sorgfältig vorzubereiten. Die Bewilligung findet durch einen Verwaltungsakt statt, die im pflichtgemäßen Ermessen der Finanzverwaltung steht. Von Bedeutung ist, dass aufgrund von § 146 Abs. 2a AO nur die Verlagerung der mittels eines Datenverarbeitungssystems erstellten Buchführung und sonstiger Aufzeichnungen im Ausland möglich ist.440 Die Papierbuchführung und insb. die in Papierform vorliegenden Rechnungen müssen im Inland verbleiben.
435 Zu den Aufbewahrungsformen: Reitsam/Seonbuchner, in: Conrad/Grützmacher, § 60 Rz. 30 ff. 436 Einige Regelungen hierzu enthalten Abschn. 14b.1 Abs. 5 und 6 UStAE. Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) sind in einem BMF-Schreiben enthalten (BMF v. 14.11.2014 – IV A 4 - S 0316/13/10003). S. hierzu z.B. Backu/Bayer, ITRB 2015, 65 f. Zur Bedeutung einer Verfahrensdokumentation, insb. im Rahmen einer Betriebsprüfung: OFD NRW v. 28.7.2015 – S 0316-2015/0006-St 432a; s. hierzu z.B. Valder, PStR 2016, 69 (71 f.). 437 BMF v. 26.7.2011 – IV D 2 - S 7287-a/2010004. Näher zur Aufbewahrung digitaler Belege: Pfadler, NWB 2012, 322 ff. 438 Hingegen wirkt sich die Nichteinhaltung der Aufbewahrungsfrist nicht auf die Berechtigung zum Vorsteuerabzug aus. 439 Näher zu der gesetzlichen Regelung und zur Umsetzung in der Praxis: Roderburg/Richter, iStR 2016, 456 ff. 440 Zu Aspekten des Datenschutzes bei der Auslagerung der Buchführung ins Ausland s.a. A Rz. 404 ff., A Rz. 438 ff.
Backu/Bayer
1015
295
F Rz. 295a
Die steuerliche Behandlung von Software und IT-Dienstleistungen
VIII. Steuerliche Beurteilung wichtiger Fallgestaltungen 295a Nachfolgend wird auf einige bedeutende steuerliche Fallgestaltungen eingegangen und in Kurzform dargestellt, wie diese anhand der unterschiedlichen Bereiche des Steuerrechts (z.B. Ertragsteuer, Umsatzsteuer) zu beurteilen sind.441 1. Vertrieb 296 Der Vertrieb von Software, Anpassungsleistungen und zusätzlichen Services kann auf verschiedene Arten erfolgen.442 So ist es möglich, dass der Vertrieb durch den Hersteller selbst, durch Konzerngesellschaften, Betriebsstätten oder durch Dritte stattfindet. Beim Vertrieb durch Dritte ist ein Vertrieb durch Handelsvertreter (Verkauf auf fremde Rechnung) möglich oder im Wege der Kommission (Verkauf im eigenen Namen auf fremde Rechnung). Denkbar ist es auch, für die verschiedenen Leistungen unterschiedliche Vertriebsformen einzusetzen.443 1.1 Quellensteuern/Abzugsverpflichtungen 297 Findet ein grenzüberschreitender Vertrieb der Software statt, dann kann die hierin liegende grenzüberschreitende Einräumung von Nutzungsrechten eine Quellensteuerpflicht begründen (s. Rz. 134 ff.). Für die Prüfung, ob eine Quellensteuerpflicht besteht, ist zu differenzieren, ob die Überlassung der Software durch einen im Ausland ansässigen Lizenzgeber an einen in Deutschland ansässigen Lizenznehmer erfolgt (Inbound-Konstellation) oder ob die Software durch einen im Inland ansässigen Lizenzgeber an einen im Ausland ansässigen Lizenznehmer stattfindet (Outbound-Konstellation). 1.1.1 Inbound-Konstellation 298 Nur bei einer Inbound-Konstellation ist es denkbar, dass eine beschränkte Steuerpflicht (§ 49 Abs. 1 EStG) und damit eine Quellensteuerabzugsverpflichtung (§ 50a Abs. 1 Nr. 3 EStG) für den Lizenznehmer vorhanden ist. Praktisch relevant kann eine Quellensteuerabzugsverpflichtung insb. dann werden, wenn gewerbliche Einkünfte aus einer inländischen Betriebsstätte oder aufgrund eines im Inland tätigen ständigen Vertreters erzielt werden (§ 49 Abs. 1 Nr. 2 lit. a EStG, s. Rz. 137)444 oder in den Fällen des § 49 Abs. 1 Nr. 2 lit. f EStG, d.h. bei einer Vermietung oder Veräußerung von Rechten, deren Verwertung in einer inländischen Betriebsstätte erfolgt (s. Rz. 137). 299 Eine Quellensteuerabzugsverpflichtung gemäß §§ 49 Abs. 1 Nr. 2 lit. f, 50a Abs. 1 Nr. 3 EStG kommt lediglich dann in Betracht, sofern an den im Ausland ansässigen Lizenzgeber Vergütungen aufgrund der Einräumung von Nutzungsrechten bezahlt werden. Werden durch den Lizenzgeber sonstige Leistungen erbracht, dann entsteht für diese keine Quellensteuerabzugsverpflichtung, sofern die sonstige Leistung nicht (auch) die Einräumung eines Nutzungsrechts beinhaltet. 300 Die Schwierigkeit bei den Vertriebs-Fällen liegt darin, dass es sich nicht nur um ein ZweiPersonen-Verhältnis handelt, sondern dass im Regelfall (d.h. bei Einschaltung eines Distributors) zumindest drei Personen beteiligt sind. Somit ist in jeder vertraglichen Beziehung, 441 Nachfolgend kann nur auf einige in der Praxis bedeutende Fallgestaltungen eingegangen werden. Daneben ist z.B. auch das grenzüberschreitende Outsourcing von Bedeutung. Näher hierzu z.B. Käbisch, iStR 2014, 674 ff. Zu zivilrechtlichen Fragen beim Outsourcing s.a. U Rz. 1 ff. 442 Zur Abgrenzung und Darstellung der verschiedenen Vertriebssysteme s.a. V Rz. 39 ff. 443 Zu den Vertriebskonstellationen aus zivilrechtlicher Sicht: Lejeune, UStB 2014, 234 ff. 444 Auf die Begründung einer beschränkten Steuerpflicht nach § 49 Abs. 1 Nr. 2 lit. a EStG wird nachfolgend nur am Rande eingegangen.
1016 Backu/Bayer
Steuerliche Beurteilung wichtiger Fallgestaltungen
Rz. 301
F
nicht nur im Verhältnis zwischen Kunde und Distributor, zu prüfen, ob Nutzungsrechte eingeräumt werden. Denn solche können auch in der Beziehung zwischen Hersteller und Distributor gewährt werden, was eine Quellensteuerabzugsverpflichtung zur Folge haben kann. Wird das Nutzungsrecht jedoch in einer anderen vertraglichen Beziehung gewährt als gemäß der zivilrechtlichen Gestaltung die Bezahlung der Vergütung stattfindet, so ist die Beurteilung der Quellensteuerabzugsverpflichtung mit besonderen Unsicherheiten verbunden. Es ist nicht auszuschließen, dass in einem solchen Fall seitens der Finanzverwaltung aufgrund einer wirtschaftlichen Betrachtungsweise die Einräumung eines Nutzungsrechts in der Beziehung angenommen wird, in der auch die Vergütung bezahlt wird. Verbreitet werden beim Vertrieb verschiedene Konstellationen unterschieden:445
301
– Vertrieb durch Hersteller Findet der Vertrieb durch den Hersteller statt, dann wird das Nutzungsrecht durch ihn selbst eingeräumt, selbst wenn bei der Abwicklung noch der Distributor eingesetzt wird.446 Die Bezahlung der Vergütung erfolgt zumindest im Ergebnis an den Hersteller. Folglich ist die Prüfung einer Quellensteuerabzugsverpflichtung i.S.v. §§ 49 Abs. 1 Nr. 2 lit. f, 50a Abs. 1 Nr. 3 EStG lediglich im Verhältnis zwischen Hersteller und Endkunde erforderlich. – Vertrieb durch Distributor im Namen des Herstellers Auch bei einem Auftreten des Distributors im Namen des Herstellers wird das Nutzungsrecht nicht durch den Distributor, sondern durch den Hersteller eingeräumt. Der Distributor vereinnahmt die Vergütung lediglich für den Hersteller, sodass die Quellensteuerabzugsverpflichtung nach §§ 49 Abs. 1 Nr. 2 lit. f, 50a Abs. 1 Nr. 3 EStG nur im Verhältnis zwischen Hersteller und Endkunde zu prüfen ist.447 – Vertrieb durch Distributor im eigenen Namen448 Erfolgt ein Vertrieb durch den Distributor im eigenen Namen, dann ist zu prüfen, ob auf der Basis der zivilrechtlichen Verträge eine Rechtseinräumung nur durch den Distributor stattfindet. Sofern dies zu bejahen ist, dann ist sowohl in der vertraglichen Beziehung zwischen Endkunde und Distributor als auch in dem Vertragsverhältnis zwischen Distributor und Hersteller zu prüfen, ob eine Nutzungsüberlassung erfolgt. Im Verhältnis zwischen Endkunde und Distributor setzt eine Quellensteuerabzugsverpflichtung nach §§ 49 Abs. 1 Nr. 2 lit. f, 50a Abs. 1 Nr. 3 EStG voraus, dass die Vergütung durch den Endkunden an den Distributor bezahlt wird. Zwischen Distributor und Hersteller besteht eine Quellensteuerabzugsverpflichtung (§§ 49 Abs. 1 Nr. 2 lit. f, 50a Abs. 1 Nr. 3 EStG), sofern dem Distributor eine Vertriebslizenz449 durch eine im Ausland ansässige Kapitalgesellschaft gegen Zahlung einer Vergütung gewährt wird.450 Wird auf Basis der vertraglichen Vereinbarungen durch den Hersteller und den Distributor an den Endkunden ein Nutzungsrecht gewährt451 oder erfolgt die Gewährung aus445 Im Folgenden wird davon ausgegangen, dass es sich bei dem Endkunden des Herstellers um einen Unternehmer handelt. 446 Vermittelt der Distributor z.B. den Vertrag mit dem Hersteller, so ist zu prüfen, ob hierdurch eine beschränkte Steuerpflicht des Herstellers entsteht (§ 49 Abs. 1 Nr. 2 lit. a EStG). 447 Daneben ist aber zu prüfen, ob – sofern der Distributor seinen Sitz im Inland hat – im Verhältnis zwischen dem Hersteller und dem Distributor eine beschränkte Steuerpflicht nach § 49 Abs. 1 Nr. 2 lit. a EStG begründet wird. 448 Auch in dieser Konstellation ist in den einzelnen Beziehungen zu prüfen, ob eine beschränkte Steuerpflicht nach § 49 Abs. 1 Nr. 2 lit. a EStG besteht. 449 Die Lizenz des Distributors zur Änderung und Verbreitung einer Software (sog. Vertriebs-/Vervielfältigungslizenz) stellt ein Nutzungsrecht der Software i.S.v. § 49 Abs. 1 Nr. 2 lit. f EStG dar. 450 FG München v. 23.5.2001 – 1 K 3026/97, DStRE 2002, 160 (161), bestätigt durch BFH v. 27.2.2002 – I R 62/01, BFH/NV 2002, 1142. 451 Es ist auch möglich, dass dem Endkunden durch den Distributor nicht sämtliche erforderlichen Nutzungsrechte gewährt werden.
Backu/Bayer
1017
F Rz. 302
Die steuerliche Behandlung von Software und IT-Dienstleistungen
schließlich im Verhältnis zwischen Hersteller und Endkunde, so ist die Beurteilung, ob eine Quellensteuerabzugsverpflichtung (§§ 49 Abs. 1 Nr. 2 lit. f, 50a Abs. 1 Nr. 3 EStG) zu erfüllen ist, mit erheblichen Unsicherheiten behaftet, denn die Vergütung wird im Regelfall durch den Endkunden an den Distributor bezahlt. Werden durch den Distributor nicht sämtliche notwendigen Nutzungsrechte gewährt, so könnte vertreten werden, dass seitens des Endkunden keine Quellensteuerabzugsverpflichtung besteht, da er die Vergütung an den Distributor bezahlt, während die Nutzungsrechte durch den Hersteller gewährt werden. Es steht aber zu befürchten, dass die Finanzverwaltung eine wirtschaftliche Betrachtungsweise zugrunde legt und im Verhältnis zwischen dem Endkunden und dem Distributor eine Quellensteuerabzugsverpflichtung annimmt. 302 Bei der vertraglichen Gestaltung ist in besonderem Maße darauf zu achten, ob verschiedene Leistungen erbracht werden, da lediglich die Überlassung von Rechten eine Quellensteuerabzugsverpflichtung zur Folge haben kann. Erfolgt die Gewährung verschiedener Leistungen, dann ist es empfehlenswert, dass im Vertrag selbst die einzelnen Vergütungsbestandteile konkreten Leistungen zugeordnet werden452 – vorzugswürdig wäre es aber, für die Erbringung verschiedener Leistungen jeweils einzelne Verträge abzuschließen. 1.1.2 Outbound-Konstellation 303 Auch viele ausländische Steuergesetze sehen vor, dass Lizenzzahlungen einer Quellensteuerpflicht unterliegen. In diesem Fall erhält der in Deutschland ansässige Lizenzgeber eine Vergütung, die um die jeweilige Quellensteuer reduziert ist (s. Rz. 206 ff.). 1.2 Umsatzsteuer, Verrechnungspreise 304 In Konstellationen des internationalen Vertriebs von Software stellen sich auch umsatzsteuerliche Fragen. Dies betrifft insb. Fragen zur Bestimmung des Leistungsorts. In umsatzsteuerlicher Hinsicht ist es wichtig zu differenzieren, ob bei verschiedenen Leistungen eine einheitliche Leistung vorliegt oder ob es sich um unterschiedliche Hauptleistungen oder um eine Hauptleistung und eine/mehrere Nebenleistungen handelt (s. Rz. 93). Nur wenn verschiedene Hauptleistungen gegeben sind, können sich für die einzelnen Leistungen auch unterschiedliche Leistungsorte ergeben (s. Rz. 95 ff.). Ferner ist anzuraten, bereits in dem jeweiligen Vertrag genauere Festlegungen zu treffen und die Vergütung den einzelnen Leistungen zuzuordnen. 305 Erfolgt der Vertrieb z.B. zwischen Konzerngesellschaften oder zwischen sonstigen nahestehenden Personen, so sind bei der Preisbildung die Prinzipien über die Bildung der Verrechnungspreise (s. Rz. 219 ff.) zu beachten. In Bezug auf eine im Ausland tätige Vertriebsgesellschaft ist z.B. abzugrenzen, welche Risiken die jeweilige Gesellschaft trägt, damit eine sachgerechte Bestimmung der Verrechnungspreise möglich ist. Die Übertragung eines Kundenstamms auf eine ausländische Vertriebsgesellschaft ist nach Möglichkeit zu vermeiden, da die Übertragung nach Fremdvergleichsgrundsätzen zu gestalten ist und deshalb durch die Übertragung stille Reserven aufgedeckt werden könnten. 306 Ferner ist unabhängig vom Vorliegen der Voraussetzungen des § 49 Abs. 1 Nr. 2 lit. a EStG in internationalen Gestaltungen stets das Risiko gegeben, dass in einem anderen Staat eine Betriebsstätte begründet wird, was Gefahren einer Doppelbesteuerung beinhaltet.
452 Zu Verträgen über gemischte Leistungen s. Rz. 14, Rz. 156 ff.
1018 Backu/Bayer
Steuerliche Beurteilung wichtiger Fallgestaltungen
Rz. 309
F
2. Apps Im Zshg. mit dem Vertrieb von Apps erlangt gleichfalls eine Vielzahl steuerlicher Fragen an Bedeutung. Apps sind im Regelfall als Standardsoftware anzusehen, sodass die Anschaffungskosten entweder im Jahr der Anschaffung sofort als Betriebsausgaben abziehbar sind oder die Anschaffungskosten in der Bilanz aktiviert werden müssen (s. Rz. 34 ff.). Bei Apps handelt es sich um elektronisch erbrachte Leistungen, weshalb in umsatzsteuerlicher Hinsicht für die Bestimmung des Leistungsorts sowohl im Bereich B2B als auch im Bereich B2C die Ansässigkeit bzw. der gewöhnliche Aufenthalt des Leistungsempfängers maßgeblich ist (s. Rz. 96 ff.).
307
Zusätzliche Fragen ergeben sich dadurch, dass Apps z.T. kostenlos genutzt (s. Rz. 120) wer- 307a den können. Eine kostenlose Nutzung basiert teilweise darauf, dass die App-Nutzer dem App-Anbieter bzw. Dritten Rechte in Bezug auf ihre personenbezogenen Daten einräumen. Vertreter der Finanzverwaltung haben nunmehr vereinzelt die Auffassung vertreten, dass es sich bei der Zurverfügungstellung der Daten um eine Art Gegenleistung für die Nutzungsmöglichkeit der App handele, die umsatzsteuerliche Relevanz besitze.453 Diese Frage wurde bislang durch Finanzgerichte noch nicht entschieden. Es darf zumindest bezweifelt werden, ob den von den Nutzern zur Verfügung gestellten Daten tatsächlich ein bestimmter Wert zugeordnet werden kann – dies ist Voraussetzung für eine umsatzsteuerliche Relevanz. 3. Aspekte im Zusammenhang mit Cross-Border-Softwareprojekten Wichtige steuerliche Fragestellungen, die bei Cross-Border-Softwareprojekten (s. zu zivilrechtl. Fragen N Rz. 1 ff.) zu berücksichtigen sind, stellen Aspekte der Umsatzsteuer (s. Rz. 84 ff.) und der Quellensteuer (s. Rz. 134 ff.) dar. Darüber hinaus wird es bei Cross-BorderSoftwareprojekten oftmals auch notwendig sein, dass Arbeitnehmer des Unternehmens in einem anderen Staat für geraume Zeit tätig sind. Z.T. wird in diesem Zshg. auch die Anmietung von Räumen etc. erfolgen. Die Tätigkeit der Arbeitnehmer in dem anderen Staat sowie die Nutzung von Räumen können erhebliche steuerliche Konsequenzen haben:
308
Infolge der Nutzung von Räumen besteht das Risiko, dass sowohl nach dem jeweiligen natio- 309 nalen Recht als auch nach DBA eine Betriebsstätte begründet wird. Hieraus ergeben sich Gefahren einer Doppelbesteuerung.454 Daneben sind noch die steuerlichen Auswirkungen der Mitarbeitertätigkeit in dem anderen Staat zu berücksichtigen. Abhängig von dem zwischen den beiden Staaten abgeschlossenen DBA könnte dem Staat, in dem der Arbeitnehmer455 tätig ist, das Recht zustehen, diejenigen Einkünfte zu besteuern, die durch den Arbeitnehmer in dem Staat erzielt werden. Dies gilt auch dann, wenn der Arbeitnehmer in dem Tätigkeitsstaat nicht ansässig ist (Wohnsitz/gewöhnlicher Aufenthalt). Im Regelfall hängt das Eingreifen solcher Besteuerungsrechte zumindest davon ab, ob der Arbeitnehmer sich an einer Mindestanzahl von Tagen456 in dem Tätigkeitsstaat aufgehalten hat.457 Zusätzliche Prüfungen 453 Melan/Wecke, DStR 2015, 2811 (2814 f.); s.a. Grambeck, DStR 2016, 2026 ff. 454 Zu Doppelbesteuerungsrisiken bei Dienstleistungserbringung im Ausland und mögliche Gegenmaßnahmen: Becker/van der Ham, iStR 2014, 581 ff. 455 Bei manchen Tätigkeiten kann die Einstufung nach nationalem Steuerrecht und nach dem jeweiligen DBA differieren, etwa ob eine selbständige oder eine unselbständige Tätigkeit gegeben ist. Dies gilt z.B. bei Vergütungen, die der Gesellschafter einer Personengesellschaft für eine Tätigkeit unselbständiger Art von der Gesellschaft bezieht. Nach deutschem Steuerrecht handelt es sich dabei um gewerbliche Einkünfte. Nach DBA (abhängig von den Regelungen des jeweiligen DBA) kann es sich hierbei aber um eine unselbständige Tätigkeit i.S.d. Art. 15 OECD-MA handeln; Prokisch, in: Vogel/ Lehner, DBA, Art. 15 OECD-DBA Rz. 30. 456 Sonderregelungen bestehen i.d.R. für sog. Grenzgänger, d.h. Personen, die sich nur zur Tätigkeitsausübung in dem Tätigkeitsstaat aufhalten, aber täglich zu ihrem Wohnsitz im Ansässigkeitsstaat zurückkehren. 457 Gemäß Art. 15 Abs. 2 lit. a OECD-MA besteht ein Besteuerungsrecht des Tätigkeitsstaats nur dann, wenn sich u.a. der Arbeitnehmer an mindestens 184 Tagen innerhalb von zwölf Monaten in dem Tätigkeitsstaat aufhält.
Backu/Bayer
1019
F Rz. 310
Die steuerliche Behandlung von Software und IT-Dienstleistungen
sind auch erforderlich, wenn in dem anderen Staat nicht Arbeitnehmer, sondern Leiharbeitnehmer tätig werden sollen. 4. Tendenzen auf internationaler Ebene 310 Auf internationaler Ebene ist zu beobachten, dass die Absicht besteht, in verstärktem Maße gegen Steuervermeidungsstrategien im Wege der Schließung von Besteuerungslücken vorzugehen. Besonders betroffen sind hierbei die digitale Wirtschaft und immaterielle Wirtschaftsgüter. So wurde etwa ein Aktionsplan der OECD zur Bekämpfung der Gewinnverschiebung internationaler Konzerne („Base Erosion und Profit Shifting – BEPS“) veröffentlicht.458 Bestandteile des Aktionsplans waren z.B. die Verhinderung der konzerninternen Verlagerung immaterieller Wirtschaftsgüter, die Sicherstellung einer Umsatzbesteuerung bei der grenzüberschreitenden Erbringung von Dienstleistungen, die Aktualisierung des Betriebsstättenbegriffs und die Bekämpfung schädlicher Praktiken einzelner Staaten im internationalen Steuerwettbewerb (z.B. Patentboxen).459 Am 16.9.2014 wurden in Bezug auf sieben der 15 Punkte des angenommenen Aktionsplans z.T. vorläufige Berichte und Empfehlungen veröffentlicht.460 Die Verabschiedung der endgültigen Berichte zu den 15 Aktionspunkten erfolgte am 8.10.2015 durch die Finanzminister der G20; dieses Maßnahmenpaket wurde im November 2015 durch die Regierungschefs gebilligt.461 Allerdings sollen zu der Umsetzung einzelner Aktionspunkte noch weitere Konkretisierungen erfolgen. Zudem haben die OECDund die G20-Staaten vereinbart, zur Überwachung der Umsetzung der beschlossenen Maßnahmen die Zusammenarbeit bis 2020 zu verlängern.462 310a Die 15 Aktionspunkte, zu denen jeweils Abschlussberichte erstellt wurden, können stichwortartig umschrieben werden wie folgt: Herausforderungen für die Besteuerung der digitalen Wirtschaft (Aktionspunkt 1), Neutralisierung der Effekte hybrider Gestaltungen (Aktionspunkt 2), Stärkung der Vorschriften über die Hinzurechnungsbesteuerung (Aktionspunkt 3), Verhinderung von Steuerverkürzungen durch Regelungen zur Versagung des Zinsabzugs (Aktionspunkt 4), wirksame Bekämpfung steuerschädlicher Praktiken (Aktionspunkt 5), Verhinderung von Abkommensmissbrauch (Aktionspunkt 6), Aktualisierung des Betriebsstättenbegriffs (Aktionspunkt 7), Aktualisierung der Verrechnungspreisrichtlinien (Aktionspunkte 8 bis 10), Entwicklung von Methoden und Regelungen, um Daten über Gewinnverkürzungen zu erlangen (Aktionspunkt 11), Entwicklung von Offenlegungsregeln für aggressive Steuerplanungen (Aktionspunkt 12), Überarbeitung der Verrechnungspreisdokumentation einschließlich Country-by-Country Reporting (Aktionspunkt 13), Verbesserung der Verwaltungszusammenarbeit in Verwaltungs- und Schiedsverfahren (Aktionspunkt 14) sowie die Entwicklung eines multilateralen Instruments (Aktionsplan 15). 310b Nachdem Unternehmen der digitalen Wirtschaft in besonderem Maße im Licht der Öffentlichkeit stehen, durfte mit Spannung erwartet werden, welche Schlussfolgerungen i.R.d. Aktionsplans in Bezug auf die Herausforderungen der digitalen Wirtschaft gezogen werden.463 Da die digitale Wirtschaft aber nicht sinnvoll von der sonstigen Wirtschaft abgegrenzt werden kann, empfiehlt der Aktionsplan nachvollziehbarerweise kein eigenständiges Besteuerungskonzept für die digitale Wirtschaft. Vielmehr liegt dem Aktionsplan die Annahme zugrunde, dass durch die Umsetzung der übrigen BEPS-Maßnahmen die Probleme für die Besteuerung der digitalen Wirtschaft verringert werden. Dies gilt insb. für die Hinzurechnungsbesteue458 Dieser Bericht ist abrufbar unter http://www.oecd-ilibrary.org/taxation/aktionsplan-zur-bekampfungder-gewinnverkurzung-und-gewinnverlagerung_9789264209688-de (abgerufen am 21.8.2016). 459 Zur Steuergestaltung über Lizenz- bzw. Patentboxen: Creed, GRUR-Prax 2014, 346 ff. 460 Abrufbar unter http://www.oecd.org/tax/beps-2014-deliverables-explanatory-statement.pdf (abgerufen am 21.8.2016). 461 Zu den 15 Aktionspunkten z.B. Benz, DB 2015, 2535 ff.; Oppel, SteuK 2016, 53 ff. 462 Aktuelle Informationen sind unter http://www.oecd.org/tax/beps/ verfügbar. 463 Näher z.B. Pinkernell, iStR 2014, 273 ff.
1020 Backu/Bayer
Steuerliche Beurteilung wichtiger Fallgestaltungen
Rz. 310f
F
rung (Aktionspunkt 3), die künstliche Umgehung des Status als Betriebsstätte (Aktionspunkt 7), die konzerninternen Verrechnungspreise (Aktionspunkte 8 bis 10) sowie die Verrechnungspreisdokumentation (Aktionspunkt 13). Die einzelnen Abschlussberichte unterscheiden sich hinsichtlich ihrer Verbindlichkeit für 310c die einzelnen Staaten. Während einige Abschlussberichte von den Staaten, die an dem BEPSProjekt teilgenommen haben, verbindlich umzusetzen sind (z.B. Country-by-Country Reporting),464 stellen andere lediglich Programmsätze dar, die umgesetzt werden sollen (etwa Aktionspunkte 8-10). Wieder andere sind lediglich unverbindliche Empfehlungen, die umgesetzt werden können (z.B. Aktionspunkt 3). Für den Steuerpflichtigen selbst sind die jeweiligen Aktionspunkte und die hierzu in den 310d einzelnen Berichten enthaltenen Umsetzungsvorschläge nicht verbindlich. Vielmehr bedürfen die Maßnahmen der Umsetzung in das nationale Recht. Die Umsetzung kann in Deutschland entweder durch ein nationales Gesetz erfolgen oder mit Hilfe eines DBA.465 Der Umsetzungsprozess hat in Deutschland begonnen.466 Es ist demnach als wahrscheinlich anzusehen, dass sich für die Unternehmen u.a. die Dokumentationsanforderungen erhöhen werden und zudem der Informationsaustausch zwischen den Behörden steigen wird. Neben einzelnen Staaten ist auch die EU bestrebt, Richtlinien zur Ausführung des BEPS-Aktionsplans zu erlassen, die durch die Mitgliedstaaten umgesetzt werden müssen. Allerdings war bereits vor dem BEPS-Aktionsplan aufgrund gesetzgeberischer Maßnahmen eine Intensivierung des Informationsaustauschs zwischen den Mitgliedstaaten zu beobachten.467
Û
Hinweis für die Praxis: Auch wenn die Möglichkeiten der Anforderung von Auskünften erweitert wurden bzw. noch werden, so ist doch im Einzelfall zu prüfen, ob für das Auskunftsersuchen eine gesetzliche Grundlage gegeben ist, deren Voraussetzungen in der jeweiligen Konstellation eingreifen.468 In besonderem Maße erscheint eine solche Prü-
464 Zum Country-by-Country Reporting (CbCR) und zu praxisrelevanten Fragestellungen: Bärsch/Engelen/Färber, DB 2016, 972 ff.; Lappé/Schmidtke, iStR 2015, 693 ff. 465 Möglich ist auch eine mittelbare Umsetzung infolge einer Umsetzung im Kommentar zum OECDMusterabkommen oder durch Umsetzung in dem OECD-Musterabkommen. Die Umsetzung im Kommentar kann sich nach h.M. aber nur für solche DBA auswirken, die seit der Verabschiedung durch den OECD-Steuerausschuss (27.9.2015) in Kraft getreten sind. Näher und m.w.N. Benz, DB 2015, 2535 ff. 466 Die ersten Gesetzentwürfe befassen sich v.a. mit zusätzlichen Darlegungspflichten von Unternehmen bei Verrechnungspreisen, der Pflicht zur Erstellung länderbezogener Berichte durch multinationale Unternehmensgruppen (sog. County-by-Country Reporting) sowie dem Austausch von Informationen zwischen den Mitgliedstaaten der EU einerseits und mit der EU-Kommission andererseits. Zum ersten Referentenentwurf zur BEPS-Umsetzung: z.B. Bartelt/Geberth/Heggmair, DB 2016, 1335 ff. 467 Z.B. transformierte Deutschland durch das Amtshilferichtlinie-Umsetzungsgesetz (BGBl. 2013 I, 1809) die RL 2011/16/EU, ABl. 2011 Nr. L 64/1 in deutsches Recht. Dadurch ist entweder auf Ersuchen eines Mitgliedstaats, ohne vorheriges Ersuchen nach pflichtgemäßem Ermessen oder automatisch ein Informationsaustausch vorgesehen. Der automatische Austausch betrifft z.B. Vergütungen aus unselbständiger Arbeit, Aufsichtsrats- oder Verwaltungsratsvergütungen, bestimmte Lebensversicherungsprodukte, Ruhegehälter und Einkünfte aus unbeweglichem Vermögen. Infolge einer Änderung der Richtlinie und des deutschen Umsetzungsgesetzes (BGBl. 2015 I, 2531) umfasst der automatische Informationsaustausch mittlerweile auch Finanzkonten. 468 Bspw. hatte das schweizerische Bundesverwaltungsgericht (BVGer v. 21.3.2016 – A-8400/2015) entschieden, dass ein auf das DBA Niederlande gestütztes Gruppenersuchen unzulässig ist. Ausschlaggebend für die Unzulässigkeit war, dass bei dem Ersuchen Personen, über die durch die schweizerischen Behörden Informationen erteilt werden sollten, in dem Amtshilfeersuchen nicht namentlich identifiziert worden sind – dies wurde seitens des Gerichts aufgrund des DBA als notwendig erachtet. Vergleichbare Probleme stellen sich bei dem mit Deutschland abgeschlossenen DBA. Zu der Problematik s. z.B. auch Holenstein, PStR 2016, 190 ff. Allerdings wurde das Urteil durch das schweizerische Bundesgericht aufgehoben (12.9.2016 – 2 C 278/2016) und das Auskunftsersuchen als rechtmäßig eingestuft.
Backu/Bayer
1021
310e
310f
F Rz. 311
Die steuerliche Behandlung von Software und IT-Dienstleistungen
fung veranlasst, sofern etwa ein Informationsaustausch ohne Anonymisierung und unabhängig von der konkreten Besteuerung der Gesellschaft angeordnet werden sollte.469 311 Es bleibt abzuwarten, wie und innerhalb welchen Zeithorizonts die Umsetzung der einzelnen Maßnahmen des BEPS-Aktionsplans erfolgen wird. Auch wird bei der Schließung von Besteuerungslücken entscheidend sein, in welchem Maße einzelne Staaten lediglich eine schleppende Umsetzung vornehmen und/oder Umsetzungsspielräume zur Generierung eigener wirtschaftlicher Vorteile nutzen. Dies gilt insb. vor dem Hintergrund, dass es sich bei etlichen Aktionspunkten um Empfehlungen handelt. Zu konstatieren ist, dass zumindest aufgrund unterschiedlicher „Zeitfenster“ der einzelnen Staaten die Gefahr einer Doppelbesteuerung zulasten einzelner Steuerpflichtiger nicht auszuschließen ist. Ob solche durch Rechtsmittel und die Beantragung von Verständigungs-/Schiedsverfahren beseitigt werden können, wird sich im Einzelfall zeigen. 312 Bedingt durch den steigenden Informationsaustausch zwischen einzelnen Staaten und das infolge der erhöhten Dokumentationspflichten zusätzlich zur Verfügung stehende Material bleibt nur zu hoffen, dass die Vertraulichkeit der Daten gewahrt wird. 313 Schließlich zeigen die oben dargestellten Entwicklungen auch, dass unternehmerische Entscheidungen nicht ausschließlich auf die Erlangung kurzfristiger steuerlicher Vorteile gestützt werden sollten. Zudem ist i.R.d. Compliance der jeweiligen Unternehmen zu berücksichtigen, dass sich die Anforderungen an die Dokumentation bei (international) agierenden Unternehmen weiter erhöhen werden. In besonderem Maße gilt dies etwa für die Bildung korrekter Verrechnungspreise bei immateriellen Wirtschaftsgütern.
469 FG Köln v. 7.9.2015 – 2 V 1375/15, iStR 2015, 835 ff.
1022 Backu/Bayer
G. Urheberrechtsschutz für Software Rz.
Rz. I. Schutzvoraussetzungen, §§ 69a ff. UrhG 1. Digitalisierung, Virtualisierung. . . 2. Software, Oberflächen, Strukturen 2.1 Grundlagen des Schutzes . . . 2.2 Was ist Software, was fällt unter den Schutz für Software? 2.2.1 Begriffsbestimmungen, Anknüpfungspunkte für die Auslegung . . . . . . . . . . . . . . . 2.2.2 „Software“ . . . . . . . . . . . . . . 2.2.3 Was gilt nicht als Software? . 2.2.4 Schöpfungshöhe . . . . . . . . . . 2.2.5 Ausdrucksform . . . . . . . . . . . 2.2.6 Nicht geschützte Gegenstände . . . . . . . . . . . . . . . . . . 2.3 Oberfläche. . . . . . . . . . . . . . . 2.4 Phasen der Softwareentwicklung, Entwurfsmaterial . . . . 2.5 Darstellung . . . . . . . . . . . . . . 3. Schutz nach anderen Ausprägungen/Vorschriften . . . . . . . . . . . . . . . 4. „Pflichtenheft“, Dokumentationen 5. Schaffens-/Schöpfungshöhe, Trivialität, programm-/computergenerierte Software 5.1 Normales Softwareschaffen . . 5.2 BGH – Geburtstagszug . . . . . . 5.3 Websites . . . . . . . . . . . . . . . . . . 5.4 Schutzfähigkeit einzelner Teile eines Computerprogramms, BGH – UniBasic-IDOS. . . . . . . 6. „Parametrisierung“, Customizing 7. Selbständiges Werk, „independent and separate works“, derivative works. . . . . . . . . . . . . . . . . . . . . . . . 8. Urheberpersönlichkeitsrecht, Namensnennung – Vervielfältigungsstück . . . . . . . . . . . . . . . . . . .
102
II. 1. 2. 3.
104 110 117
Schutzobjekt(e) Objektprogramm . . . . . . . . . . . . . . Quellcode . . . . . . . . . . . . . . . . . . . . Entwurfsmaterial . . . . . . . . . . . . . .
III. Mitarbeiter als Urheber, § 69b UrhG . . . . . . . . . . . . . . . . . . . 1. Rechtssituation bis zur EG-Richtlinie bzw. bis zur Umsetzung im UrhG . . . . . . . . . . . . . . . . . . . . . . . . 2. § 69b UrhG . . . . . . . . . . . . . . . . . . . 3. Problemkonstellationen 3.1 Freizeitwerke . . . . . . . . . . . . . .
1 12 13
20 34 40 44 53 54 61 63 69 73 78
85 88 89 91 93
96
125
126 133 161
3.2 Vor Beginn des konkreten Arbeitsverhältnisses geschaffene Software . . . . . . . . . . . . . . . . . . 3.3 (Nicht) in Wahrnehmung seiner Aufgaben . . . . . . . . . . . . 4. Freie Mitarbeiter . . . . . . . . . . . . . . . 5. Team, gemischte Zusammensetzung, AG/AN, angestellt und freie IV. Urheberrechtlich relevante Handlungen 1. Überblick über die Handlungen (§ 69c UrhG) . . . . . . . . . . . . . . . . . . 2. Vervielfältigung. . . . . . . . . . . . . . . . 3. Übersetzung, Bearbeitung, Änderung. . . . . . . . . . . . . . . . . . . . . 4. Verbreitung . . . . . . . . . . . . . . . . . . . 5. Öffentliche Wiedergabe, einschließlich öffentlich Zugänglichmachen. V. Rechtseinräumung, § 69d UrhG 1. Zweckübertragung . . . . . . . . . . . . . 2. Die bestimmungsgemäße Benutzung . . . . . . . . . . . . . . . . . . . . 3. Das Verhältnis von § 69c UrhG zu § 69d UrhG beim einzelnen „Lizenzvertrag“. . . . . . . . . . . . . . . . 4. Konkrete Auslegung des § 69d UrhG 4.1 Enger Auslegungsansatz . . . . . 4.2 Technische Gegebenheiten . . . 5. Rechtmäßige Handlungen – Bestimmungsgemäße Benutzung, Mindestrechte 5.1 Bedingungsfester Kern und zusätzliche vertragliche Regelungen . . . . . . . . . . 5.2 Installieren, drei Stufen der Handlungen . . . . . . . . . . . 5.3 „Laden“ der Software . . . . . . 5.4 Ablauf der Software. . . . . . . . 5.5 Nutzung – üblicher Vertragsgegenstand 5.5.1 Nutzungsrecht . . . . . . . . . . . 5.5.2 Besonderheit „indirekte Nutzung“. . . . . . . . . . . . . . . . 5.5.3 Embedded Systems . . . . . . . . 5.6 Dekompilierung . . . . . . . . . . 5.7 Beobachten, Untersuchen und Testen (Abs. 3), „Reverse Engineering“ . . . . . 5.8 Sicherungskopie . . . . . . . . . . 5.9 Fehlerbeseitigung . . . . . . . . .
Schneider
162 168 182 192
195 205 214 217 231 240 253
280
287 294
300 309 315 326 328 332 338 340 349 354 367
1023
G
Urheberrechtsschutz fr Software Rz.
Rz. 6. Vergütungssysteme (inkl. CPU-Klausel) . . . . . . . . . . . . . . . . . VI. Wirkungen für Handel und Vertrieb von Software . . . . . . . . . . . . . . . . . . 1. (Online-)Erschöpfung, Weitergabeverbote, „Gebrauchtsoftware“ 1.1 Verbreitung, Weitergabe . . . . . 1.2 Vorlage, EuGH und BGH UsedSoft II . . . . . . . . . . . . . . . . 1.3 Darlegungs- und Beweislast gem. OLG München . . . . . . . . 1.4 BGH UsedSoft III, Volumenlizenzen selbständiger Nutzungsrechte aufspaltbar. . . . . . 1.5 Green-IT, Produktschlüsselhandel. . . . . . . . . . . . . . . . . . . . 1.6 Voraussetzungen . . . . . . . . . . . 1.7 Wirkung . . . . . . . . . . . . . . . . . . 1.8 Dauerschuldcharakter über Kündbarkeit? . . . . . . . . . . . . . . 2. Online-Anbindungen, Accounts . . 3. Volumenlizenzen/Aufspaltungsverbote, Master-CD (Datenträger) . 4. Weitere Beschränkungen 4.1 Änderungsverbote/„Reverse Engineering“ . . . . . . . . . . . . . 4.2 Sperren 4.2.1 Sperren und Dongle im Überblick . . . . . . . . . . . . . . . 4.2.2 Programmsperre als Sachmangel und/oder widerrechtliche Drohung . . . . . . . . . . . . 4.3 Dongle . . . . . . . . . . . . . . . . . . 4.4 CoA . . . . . . . . . . . . . . . . . . . . 4.5 CPU . . . . . . . . . . . . . . . . . . . . 4.6 Registrierung, Aktivierung, Freischaltung (vgl. „HalfLife“) . . . . . . . . . . . . . . . . . . . 4.7 DRM . . . . . . . . . . . . . . . . . . . VII. Onlinenutzung 1. Allgemeines . . . . . . . . . . . . . . . . . . 2. Cloud Computing. . . . . . . . . . . . . . VIII. Open Source Software 1. Einsatzgebiet und Verbreitung. . . . 2. Abgrenzung: Open Source Software und Free Software . . . . . . . . . . . . . . 2.1 Open Source Software . . . . . . . 2.2 Free Software . . . . . . . . . . . . . . 3. Abgrenzung zu anderen Lizenzmodellen . . . . . . . . . . . . . . . . . . . . . 3.1 Public Domain Software . . . . . 3.2 Freeware und Shareware . . . . . 3.3 Contribution zu OSS-Projekten 4. Einzelne Lizenzrechte . . . . . . . . . .
1024 Schneider
370 380
385 399 404 406 409 412 421 425 429 432
444 447 457 459 464 468 475 480 489 493 497 501 502 505 509 510 512 513 517
5. Einzelne Lizenzpflichten 5.1 Lizenz- und Änderungshinweise . . . . . . . . . . . . . . . 5.2 Acknowledgement und Werbehinweise . . . . . . . . . . 5.3 Copyleft . . . . . . . . . . . . . . . 5.3.1 Die Grenzen des strengen Copylefts. . . . . . . . . . . . . . . 5.3.2 Beschränkter Copyleft und Mischformen – ausgewählte Beispiele . . . . . . . . . . . . . . . 5.3.2.1 Mozilla Public License 2.0. 5.3.2.2 Lesser General Public License 2.1 . . . . . . . . . . . . . 5.3.2.3 GPLv2 Classpath Exception 5.3.3 Copyleft bei Verbreitung und öffentlicher Zugänglichmachung. . . . . . . . . . . . 5.3.4 Besondere Auslöser des Copylefts. . . . . . . . . . . . . . . 5.4 Begrenzung von Lizenzpflichten durch den Erschöpfungsgrundsatz . . . . . 6. Vertragstyp . . . . . . . . . . . . . . . . . . . 7. Einbeziehung. . . . . . . . . . . . . . . . . . 7.1 Einbeziehung beim Erhalt der Software. . . . . . . . . . . . . . 7.2 Einbeziehung nach Erhalt bzw. Nutzung der Software. . 7.2.1 Einbeziehung durch Bearbeitung und Verwendung von Kernelsymbolen . . . . . . . . . . 7.2.2 Einbeziehung durch Verbreitung und Vervielfältigung der Software. . . . . . . . . . . . . . 8. Kollisionsrechtliche Aspekte von Open Source . . . . . . . . . . . . . . . 8.1 Rechtswahl . . . . . . . . . . . . . . . . 8.2 Sonderregelungen. . . . . . . . . . . 8.3 Charakteristische Leistung . . . 8.4 Schutzrechtsstatut bei Open Source Software . . . . . . . . . . . . 9. Handel/Vertrieb 9.1 Vertriebsformen: Value Added Resale, Open Core Licensing und Dual Licensing . . . . . . . . . 9.2 Haftung/Gewährleistung. . . . . 10. Wettbewerbsrechtliche Aspekte von Open Source Software 10.1 Anwendungsgebiet des Wettbewerbsrechts bei Open Source Software. . . . . . . . . . 10.2 Fehlerhafte Bewerbung und fehlerhafter Vertrieb von Open Source Software
521 525 526 533 548 549 552 561 563 565 578 582 584 589 591 592 596 597 600 602 603 605
609 613
617
G
Urheberrechtsschutz fr Software
Rz.
Rz. 10.2.1 Unwahre Angaben über die Verkehrsfähigkeit § 3 Abs. 3 UWG i.V.m. Nr. 9 UWG-Anhang . . . . . . 10.2.2 Irreführende Werbung § 5 und § 5a UWG. . . . . . . .
619 621
10.2.3 Verwendung unwirksamer AGB, §§ 3a, 3 Abs. 2 UWG . 10.3 Lizenzbruch 10.3.1 Gezielte Behinderung, § 4 Nr. 4 UWG. . . . . . . . . . . 10.3.2 Allgemeine Beeinträchtigung, § 3 Abs. 1 UWG . . . . .
627 629 630
Literatur: Barnitzke/Möller/Nordmeyer, Die Schutzfähigkeit graphischer Benutzeroberflächen nach europäischem und deutschem Recht, CR 2011, 277; Bischof, Der EVB-IT Erstellungsvertrag, CR 2013, 553; Bisges, Die Kleine Münze, der Dreigroschenprozess und der Herstellungsaufwand, GRUR 2015, 540; Bröckers, Software-Gebrauchthandel: Der Teufel steckt im Detail, MMR 2011, 18; Carver, Share and Share Alike, Berkeley Tech Law Journal – Volume 20, 2005, 443; Deike, Open Source Software: IPR-Fragen und Einordnung ins deutsche Rechtssystem, CR 2003, 9; Dreier/Schulze, Urheberrechtsgesetz, 5. Aufl. 2015; Dreier/Vogel, Software- und Computerrecht, 2008; Druschel, Die Regelung digitaler Inhalte im Gemeinsamen Europäischen Kaufrecht (GEKR), GRUR Int. 2015, 125; Erdmann, Möglichkeiten und Grenzen des Urheberrechts, CR 1986, 249; Erdmann/Bornkamm, Schutz von Computerprogrammen, GRUR 1991, 877; Fromm/Nordemann (Hrsg.), Urheberrecht, 11. Aufl. 2014; Galetzka/Stamer, Streaming – aktuelle Entwicklungen in Recht und Praxis. Redtube, kinox.to & Co, MMR 2014, 292; Geiger, Das Umarbeitungsrecht des Softwareanwenders, 2007 (Diss. 2006); Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, 2013 (Diss. 2013); Grützmacher, Zulässigkeit der Absicherung von Nutzungs- und Weitergabebeschränkungen, ITRB 2015, 141 (II); Grützmacher, Die juristische Beurteilung von DRM-Maßnahmen und Sperren im Rahmen verschiedener Lizenzmodelle. Vorüberlegungen, Hintergründe und rechtlicher Rahmen, ITRB 2015, 120 (I); Grützmacher, Software aus der Datendose, CR 2015, 779; Grützmacher, Gebrauchtsoftware und Übertragbarkeit von Lizenzen, CR 2007, 549; Grützmacher, Open-Source-Software – BSD Copyright und Apache Software License, ITRB 2006, 108; Günther, Änderungsrechte des Softwarenutzers, CR 1994, 321; Haberstumpf, Der Handel mit gebrauchter Software im harmonisierten Urheberrecht, CR 2012, 561; Härting, Internet-Recht, 5. Aufl. 2014; Härting/Kuon, Designklau, CR 2004, 527; Henkel, Beteiligung eines Arbeitnehmers an der wirtschaftlichen Verwertung der von ihm entwickelten Software, BB 1987, 833; Hilber/Reintzsch, Cloud Computing und Open Source – Wie groß ist die Gefahr des Copyleft bei SaaS?, Zur Auslegung der Copyleft-Lizenzen und des dabei anzuwendenden Rechts, CR 2014, 697; Hilgert, Keys und Accounts beim Computerspielvertrieb, CR 2014, 354; Hirschberg, Wirtschaftliche Beteiligung der Arbeitnehmer bei der Entwicklung von Hard- und Software, CR 1988, 742; Hoeren, Der urheberrechtliche Erschöpfungsgrundsatz bei der Online-Übertragung von Computerprogrammen, CR 2006, 573; Hoeren/Schuhmacher, Verwendungsbeschränkungen im Softwarevertrag, CR 2000, 137; Holländer, Urheberrechtsschutz nur für weit überdurchschnittliche Computerprogramme?, CR 1991, 715; Holländer, Nutzungsrechte an freiwillig erstellter Software im Arbeitsverhältnis, CR 1991, 614; Hoppen, Die technische Seite der Softwarelizenzierung, CR 2007, 129; Hoppen/Hoppen, Bewertung und Bilanzierung selbst erstellter Software, CR 2009, 761; Hoppen/Thalhofer, Der Einbezug von Open Source-Komponenten bei der Erstellung kommerzieller Software, CR 2010, 275; Hoppen/Ulmer, Was ist das Werkstück des Software-Objektcodes? CR 2008, 681; Huppertz, Handel mit Second Hand-Software, CR 2006, 145; Jaeger, GPL kommentiert und erklärt, 2005 (zitiert als: Jaeger, GPLv2-Kommentar); Jaeger/Metzger, Open Source Software, 4. Aufl. 2016 (zitiert als: Jaeger/Metzger); Karger, Softwareentwicklung, ITRB 2001, 67; Karger, Rechtseinräumung bei Software-Erstellung, CR 2001, 357; Karl, Der urheberrechtliche Schutzbereich von Computerprogrammen, 2009; Kather, Sicherung der Rechte an Computerprogrammen, CI 2000, 1; Keppeler, Wann erstreckt sich die GPLv2 auf eine komplexe Software „as a whole“?, CR 2015, 9; Kersting/Hauswaldt/Lingner, Modellierung von Anforderungen an hausärztliche Routinedaten aus Sicht der Versorgungsforschung mithilfe der Unified Modeling Language (UML), GesundhWes 2012, 504; Koch, Big Data und der Schutz der Daten, ITRB 2015, 13; Koch, Requirements Management, ITRB 2009, 160; Koch, Kundenrechte bei Online-Erwerb von Software-Vollversionen, ITRB 2008, 209; Koch, Lizenzrechtliche Grenzen des Handels mit Gebrauchtsoftware, ITRB 2007, 140; Koch, Urheberrechtsschutz für das Customizing von Computerprogrammen, ITRB 2005, 140; Koch, Urheber- und kartellrechtliche Aspekte der Nutzung von Open-Source-Software, CR 2000, 333; Koch, Begründung und Grenzen des urheberrechtlichen Schutzes objektorientierter Software, GRUR 2000, 191; Koch, Rechtsschutz für Benutzeroberflächen von Software, GRUR 1991, 180; Köhler, Der urheberrechtliche Schutz der Rechenprogramme, 1968; Köhler/Bornkamm, UWG, 34. Aufl. 2016; König, Software, Firmware und Mikroprogramme, CR 1991, 754; König, Das Computerprogramm im Recht, 1991; Koglin, Opensourcerecht, 2007 (Diss. 2006); Kolle, Der angestellte Programmierer, GRUR 1985, 1016; Kolle, Der Rechtsschutz der Computersoftware in der Bundesrepublik Deutschland, GRUR 1982, 443; Kolle, Technik, Datenverarbeitung und Patentrecht, GRUR 1977, 58; Kolle, Schutz der Com-
Schneider
1025
G
Urheberrechtsschutz fr Software
puterprogramme, GRUR Int. 1974, 129; Kolle, Der Rechtsschutz von Computerprogrammen aus nationaler und internationaler Sicht, GRUR 1973, 611; Kreutzer, Firmware, Urheberrecht und GPL, CR 2012, 146; Kuß/Schmidtmann, Gaming – Rechtliche Risiken und Möglichkeiten für Spieleanbieter in Deutschland, K&R 2012, 782; Lehmann, Digitalisierung, Cloud Computing und Urheberrecht, GRUR Int. 2015, 677; Lehmann, Die IT-relevante Umsetzung der Richtlinie Urheberrecht in der Informationsgesellschaft, CR 2003, 553; Lehmann, TRIPS/WTO und der internationale Schutz von Computerprogrammen, CR 1996, 2; Lehmann, in: Beier/Götting/Lehmann/Moufang (Hrsg.), Urhebervertragsrecht, Festgabe für Gerhard Schricker zum 60. Geburtstag, 1995, 543; Lehmann/Giedke, Urheberrechtliche Fragen des Cloud Computings, CR 2013, 681; Lehmann/von Tucher, Urheberrechtlicher Schutz von multimedialen Webseiten, CR 1999, 700; Leistner, Gebrauchtsoftware auf dem Weg nach Luxemburg – Der Vorlagebeschluss des BGH in Sachen Oracel v. UsedSoft, CR 2011, 209; Lejeune, Neues Arbeitnehmerurheberrecht, ITRB 2002, 145; von Lewinski, Die WIPO-Verträge zum Urheberrecht und zu verwandten Schutzrechten vom Dezember 1996, CR 1997, 438; Liedtke, in: Kilian/Heussen (Hrsg.), Computerrechts-Handbuch, 32. Aufl. 2013, Kap. 73; Loewenheim, Rechtswahl bei Filmlizenzverträgen, ZUM 1999, 923; Marly, Praxishandbuch Softwarerecht, 6. Aufl. 2014; Marly, Der Handel mit Gebrauchtsoftware, CR 2014, 145; Marly, Der Schutzgegenstand des urheberrechtlichen Softwareschutzes, GRUR 2012, 773; Marly, Der Urheberrechtsschutz grafischer Benutzeroberflächen von Computerprogrammen – Zugleich Besprechung der EuGH-Entscheidung „BSA/Kulturministerium“, GRUR 2011, 204; Marly, Urheberrechtsschutz für Computersoftware in der Europäischen Union, 1995; McGuire/Kunzmann, Sukzessionsschutz und Fortbestand der Unterlizenz nach „M2Trade“ und „Take Five“ – ein Lösungsvorschlag, GRUR 2014, 28; Meeker, The Open Source Alternative: Understanding Risks and Leveraging Opportunities, 2008; Metzger/Jaeger, Open Source Software und deutsches Urheberrecht, GRUR Int. 1999, 839; Möhring/Nicolini, Urheberrecht, 3. Aufl. 2014; Moritz, Vervielfältigungsstück eines Programms und seine berechtigte Verwendung – § 69d UrhG und die neueste BGH-Rechtsprechung, MMR 2001, 94; Nordemann/Rüberg/Schaefer, 3D-Druck als Herausforderung für die Immaterialgüterrechte, NJW 2015, 1265; Oberhem, Vertrags- und Haftungsfragen beim Vertrieb von Open-Source-Software, 2008 (Diss. 2008); Oelschlägel/Schmidt, Lizenzpflicht für „indirekte“ Nutzung von SAP-Software? – Rechtlicher Hintergrund, Risikoanalyse und Hinweise zum praktischen Umgang mit Lizenzbedingungen zur indirekten Nutzung, ITRB 2015, 72; Ohly/Sosnitza, UWG, 6. Aufl. 2014 und 7. Aufl. 2016 (für Open Source); Plaß, Open Contents im deutschen Urheberrecht, GRUR 2002, 670; Redeker, Nutzungsrechtsregelungen in Softwarekaufverträgen, ITRB 2013, 68; Redeker, IT-Recht, 5. Aufl. 2012; Riehle, Controlling and Steering Open Source Projects, IEEE Computer Vol. 44, No. 7 (Juli 2011), 91; Riehle, The Economic Case for Open Source Foundations, IEEE Computer Vol. 43, No. 1 (Januar 2010), 93; Riehle/Feilner, Das Single-Vendor-Konzept als erfolgversprechendes Modell für OSS-Unternehmen, LinuX Magazin 05/2011; Rinkler, BGH-Vorlagebeschluss – Lizenz bis zur Erschöpfung, ITRB 2011, 234; Sack, Arbeitnehmer-Urheberrechte an Computerprogrammen nach der Urheberrechtsnovelle, UFITA 121, 15 (1993); Schäfer, Der virale Effekt, 2007 (Diss. 2007); Schaub, Arbeitsrechts-Handbuch, 16. Aufl. 2015; Schiffner, Open Source Software, 2003 (Diss. 2002); Schneider/Härting, Wird der Datenschutz nun endlich internettauglich?, ZD 2012, 199; Schneider/Spindler, Der Erschöpfungsgrundsatz bei „gebrauchter“ Software im Praxistest, CR 2014, 213; Jörg Schneider, Vervielfältigungsvorgänge beim Einsatz von Computerprogrammen, CR 1990, 503; Schöttle, Der Patentleft-Effekt der GPLv3, CR 2013, 1; Scholz, Mögliche vertragliche Gestaltungen zur Weitergabe von Software nach „UsedSoft II“, GRUR 2015, 142; Schricker/Loewenheim (Hrsg.), Urheberrecht, 4. Aufl. 2010; Schuhmacher, Wirksamkeit von typischen Klauseln in Softwareüberlassungsverträgen, CR 2000, 641; Schulz, Dezentrale Softwareentwicklungs- und Softwarevermarktungskonzepte, 2005; Schulze, Svensson, BestWater und Die Realität – Ist Framing nun grundsätzlich zulässig?, ZUM 2015, 106; Schulze, Die Übertragungszwecklehre – Auslegungsregel und Inhaltsnorm?, GRUR 2012, 993; Schwarz/Kruspig, Computerimplementierte Erfindungen – Patentschutz von Software, 2011; Schweyer, Die rechtliche Bewertung des Reverse Engineering in Deutschland und den USA, 2012 (Diss. 2011); Sester, Open-Source-Software: Vertragsrecht, Haftungsrisiken und IPR-Fragen, CR 2000, 797; Söbbing, In-Memory-Technologien, ITRB 2014, 92; Söbbing, Embedded Software, ITRB 2013, 162; Spindler, Lizenzierung nach M2Trade, Take five und Reifen Progressiv, CR 2014, 557; Spindler, Grenzen des Softwareschutzes, CR 2012, 417; Spindler, Die Entwicklung des EDV-Rechts 2006/2007, K&R 2007, 345; Spindler (Hrsg.), Rechtsfragen bei Open Source, 2004 (zitiert als: Spindler, Rechtsfragen OS); Spindler, Rechtsfragen der Open Source, Studie im Auftrag des Verbandes der Softwareindustrie Deutschlands e.V. (VSI), 2003 (zitiert als: Spindler, VSI); Spindler/Wiebe, Open Source-Vertrieb, CR 2003, 873; Stiemerling, Dokumentation von Software, ITRB 2011, 286; Stiemerling, Software Usability, ITRB 2009, 154; Stieper, Rezeptiver Werkgenuss als rechtmäßige Nutzung – Urheberrechtliche Bewertung des Streaming vor dem Hintergrund des EuGH-Urteils in Sachen FAPL/Murphy, MMR 2012, 12; Stimmel, Die Beurteilung von Lizenzverträgen unter der Rom I-Verordnung, GRUR Int. 2010, 783; Stöckel/Brandi-Dohrn, Der dingliche Charakter von Lizenzen, CR 2011, 553; Suchomski, Proprietäres Patentrecht beim Einsatz von Open Source Software, 2011 (Mag. 2011); Ullrich/Lejeune (Hrsg.), Der internationale Softwarevertrag, 2. Aufl. 2006; Ulmer, Urheber- und Verlagsrecht, 3. Aufl. 1980; Ulmer/Hoppen, Was ist das Werkstück des Software-Objektcodes?, CR 2008, 681; Ulmer/Kolle, Der Urheberrechtsschutz von Computerprogrammen, GRUR Int. 1982, 489; Völtz, Das Kriterium der „neuen Öffentlichkeit“ im Urheberrecht, CR 2014, 721; Walter (Hrsg.), Europäisches Urheberrecht, 2001; Walter/von Lewinski (Hrsg.), European Copyright Law,
1026 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 4
G
2. Aufl. 2010; Wiebe, Der Schutz von Datenbanken – ungeliebtes Stiefkind des Immaterialgüterrechts, CR 2014, 1; Wiebe/Ahnefeld, Zugang zu und Verwertung von Informationen der öffentlichen Hand – Teil I + Teil II, CR 2015, 127 + 199.
I. Schutzvoraussetzungen, §§ 69a ff. UrhG 1. Digitalisierung, Virtualisierung Neben der Globalisierung ist eines der maßgeblichen Phänomene und einer der wichtigsten 1 Planungsgegenstände die „digitale Agenda“, hier zunächst gemeint i.S. einer umfassenden Digitalisierung letztlich jeder Lebensäußerung, was mit erheblichen Veränderungen auch in der juristischen Beurteilung verbunden ist bzw. verbunden sein kann und starker Absicherungen bedarf, die über die entsprechenden Maßnahmen bei konventionellen Medien und Kommunikations-Kanälen weit hinausgehen. Starke Impulse zu Entwicklungen auch vom juristischen Bereich gehen wegen der Notwendigkeit adäquater vertraglicher Handhabung, aber auch wegen der Risiken z.B. von Cloud Computing, Big Data und Industrie 4.0 einschl. 3D Druck aus.1 Zum Teil wird versucht, regulatorisch die verschiedenen Stränge bzw. Gebiete in Einklang zu bringen, zum Teil divergieren diese Bemühungen ganz erheblich.2 Als Beleg dafür kann z.B. herangezogen werden, dass die eine Generaldirektion eine Umfrage 2 zum Internet der Dinge herausgibt, die einen verkürzten, also unvollständigen Ansatz des Datenschutzes aus der DS-RL wiedergibt, und dazu auffordert, an der Entwicklung des Internet der Dinge vorausdenkend mitzuarbeiten, während die andere Generaldirektion sich i.R.d. DSGVO (Datenschutz-Grundverordnung) darum bemühte, den Datenschutz zu modernisieren.3 Während der Zeit seit Veröffentlichung des 1. Entwurf zur DS-GVO Ende 2011/Anfang 2012 entwickelten sich bereits die Techniken und deren Anwendung4 in einem Maße und Tempo weiter, dass die Entwürfe zur DS-GVO und die Ergebnisse zum Zeitpunkt der weiteren Beratung (seit Mitte 2015) schon wieder veraltet waren.5 Das Internet der Dinge ist in der endgültigen Fassung ebensowenig berücksichtigt wie Big Data, also allenfalls in Ansätzen.6 Die Konzeption einer Informationsgesellschaft erfordert es naturgemäß, dass der Rohstoff 3 „Informationen“ von dieser auch beherrscht wird. Das bedeutet auch, dass er rechtlich klar handhabbar sein muss. Dies ist jedoch nicht der Fall. Die Diskussionen und Entwürfe bzw. Regelungen zum Urheberrecht in der Informationsgesellschaft oder Leistungsschutzrecht haben keine brauchbaren Ergebnisse geliefert.7 Entsprechend altmodisch wirken die softwarespezifischen Regeln, um die es im Folgenden geht (v.a. §§ 69a ff. UrhG). Während der Schutz der Software – wie dieser Abschnitt zeigen soll – in der Vergangenheit 4 sehr brauchbar geregelt wurde, gilt ein entsprechendes Defizit noch und nun besonders für Software als Regelungsgegenstand i.V.m. dem Verbraucherschutz und Europäischem Kaufrecht. Wenn in einem gemeinsamen Europäischen Kaufrecht (GEK) digitale Inhalte wie auch schon im Verbrauchsgüterkaufrecht geregelt würden, so sollte angenommen werden, dass damit zugleich geklärt ist, wie Software sowohl urheberrechtlich als auch in sonstiger Weise behandelt wird. Es besteht zwar kein Anspruch auf Einheitlichkeit der Rechtsordnung. Jedoch 1 S. Lehmann, Digitalisierung, Cloud Computing und Urheberrecht, GRUR Int. 2015, 677. 2 Eher als Versuch zu bündeln könnte der Ansatz zum „Digitalen Binnenmarkt“ der Kommission verstanden werden, s. etwa: „Digital Single Market: The Evidence“ und „A Digital Single Market Strategy for Europe“, Hinweis auf Links über: http://www.delegedata.de/2015/04/digitaler-binnenmarkt-eu-kom mission-plant-umfassende-reformen/ (abgerufen am 23.4.2015). 3 http://europa.eu/rapid/press-release_IP-12-360_de.htm?locale=en (abgerufen am 23.4.2015); s.a. zu DSGVO Schneider/Härting, ZD 2012, 199 und Hornung, ZD 2012, 99 und A Rz. 492 ff. 4 Und die Erkenntnisse über deren Entwicklung, etwa bei BigData – Anwendungen bei NSA u.a. 5 Zu Profiling u.Ä. s. A Rz. 553 f. 6 Zu Big Data s. A Rz. 92 ff., unter DS-GVO A Rz. 666 ff. 7 Zu Leistungsschutzrecht s. J Rz. 75 ff.
Schneider
1027
G Rz. 5
Urheberrechtsschutz fr Software
wäre es gerade im Hinblick auf die europäische Vereinheitlichung wichtig, dass ein weitgehend gemeinsames und klares Verständnis darüber besteht. Während man, was Software betrifft, evtl. noch von einer möglichen Konvergenz von Urheber- und Zivil-/Vertragsrecht sprechen kann,8 ist dies bei anderen digitalen Inhalten, also insb. Spielen bzw. Hybrids, keineswegs der Fall, s. J Rz. 27 ff. 5 Die Bereiche der Massenkommunikation und der Telekommunikation sind bei dieser Überlegung noch völlig ausgeblendet, wären aber naturgemäß einzubeziehen. Was die datenschutzrechtliche Entwicklung betrifft, ist eine Konvergenz im Hinblick auf Informationsfreiheit und Informationszugang schwerlich zu erkennen.9 6 Der Umstand, dass die gesamte ITK-Wirtschaft letztlich auf Konzeptionen hinausläuft, die statt der körperlichen Repräsentation auf Verfügbarkeit und Verteilung abstellen (inkl. Dynamisierung über Industrie 4.0 u.Ä.), lässt sich mit den urheberrechtlichen Konzepten, die traditionell angewandt bzw. propagiert werden, nicht „einfangen“. Dieser Befund ist umso verwunderlicher, als die Behandlung der Software beispielsweise in den Anfängen wesentlich unkomplizierter und scheinbar ohne große Nebenwirkungen erfolgte. Schon in einer E. von 1981, noch zeitlich weit vor vielen späteren gesetzlichen Regelungen, insb. auch der des Urheberrechtsschutzes, hat der BGH problemlos zu einer Einordnung ins Schuldrecht gefunden.10 7 Oft zitiert wird die E. des BGH v. 18.10.1989 dafür, dass trotz unkörperlicher Übertragung Software i.R.d. Abzahlungskaufrechts völlig problemlos als Sache behandelt wurde.11 Bestätigt wurde dies später ebenfalls „locker“ durch die ASP-E., sodass auch insofern Kompatibilität mit dem Mietrecht erzielt wurde, ohne dass die Thematik der Erschöpfung dort zu behandeln war. 8 1985 hatte der BGH bereits entschieden, dass Computerprogramme bzw. Software als Ware behandelt werden.12 Inzwischen ist Software auch Gegenstand des Verbrauchsgüterkaufs.13 9 Bei sog. Hybrids, derz. v.a. bei Computerspielen,14 gelingt es kaum, eine einheitliche Sicht unter Aspekten von UrhG und BGB zu gewinnen.15 Warum manche Güter, obwohl sie BGBseitig einheitlich gehandhabt werden, urheberrechtlich völlig unterschiedlich behandelt werden, erschließt sich bei wirtschaftlicher Betrachtungsweise nicht.16 10
Die größten Widersprüche gibt es beim Datenschutz, wenn man die Gesetzeslage mit Verbotsprinzip, Regelungen für Profile und Rspr. des BVerfG mit der Realität bei Facebook, Google, NSA usw. vergleicht. Das Internet der Dinge und Industrie 4.0 werden massiv so-
8 9 10 11 12 13 14 15
16
S. v.a. pragmatisch EuGH v. 3.7.2012 – C-128/11, CR 2012, 498 – UsedSoft. S. umfassend Wiebe/Ahnefeld, CR 2015, 127 ff./199 ff. BGH v. 3.6.1981 – VIII ZR 153/80, NJW 1981, 2684 – Programmsperre I; s.a. Rz. 449, 454. BGH v. 18.10.1989 – VIII ZR 325/88, CR 1990, 24. S.a. BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 m. Anm. Lejeune – ASP. BGH v. 2.5.1985 – I ZB 8/84, CR 1986, 130 – Datenverarbeitungsprogramme als „Ware“ (zu § 2 Abs. 1 Satz 3 WZG). S. nur BGH v. 31.3.2010 – I ZR 34/08, CR 2010, 806 und Art. 246 Abs. 1 Nr. 8 (und 7 als digitaler Inhalt) EGBGB. S. z.B. EuGH v. 23.1.2014 – C-355/12, CR 2014, 224 – Nintendo u.a./PC Box Srl u.a., Videospielkonsole. Hilgert, CR 2014, 354 zu Computerspielen im Licht EuGH v. 3.7.2012 – C-128/11, CR 2012, 498; BGH v. 6.2.2013 – I ZR 124/11, CR 2013, 695 – Videospiel-Konsolen; zur fehlenden Erschöpfung bei Onlineanbindung des Computerspiels BGH v. 11.2.2010 – I ZR 178/08, CR 2010, 565 m. Anm. Menz/ Neubauer – Half-Life 2 und dazu 226 ff., 475 ff. S. zu einheitlicher Sichtweise aber v.a. EuGH v. 3.7.2012 – C-128/11, CR 2012, 498, Rz. 61 (Veräußerung eines Computerprogramms auf CD-ROM oder DVD und durch Herunterladen aus dem Internet (ist) wirtschaftlich gesehen vergleichbar).
1028 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 14
G
wohl den Datenschutz als auch das Urheberrecht fordern.17 Die Auskunft über die potenziellen UrhR-Verletzer wird ein massives Datenschutzproblem.18 Im näheren Bereich von UrhR und Vertragsrecht stellt sich die zunehmende Virtualisierung 11 u.a. bei Erschöpfung, Sachqualität der Software und Vertragstypologie der Verträge, die (auch) Software zum Gegenstand haben, dar. S. zu Softwareüberlassungsverträgen M Rz. 108 ff. und R. 2. Software, Oberflächen, Strukturen In diesem Kapitel wird der urheberrechtliche Schutz der Software inkl. Besonderheiten bei 12 Open Source (s. Rz. 497 ff.) dargestellt. Der Schutz durch andere Schutzrechte (z.B. Patentrecht, s. H Rz. 1 ff.) sowie der Urheberrechtsschutz für andere Schutzobjekte des IT-Bereichs wird gesondert (J) behandelt. Neben Software werden als weitere Schutzobjekte Datenbanken (I), Domains (K), Wettbewerbsrecht (H Rz. 178 ff.) und als eigener – teils gegenläufiger – Regelungsbereich das Kartellrecht (L) behandelt. Im Folgenden soll zunächst als „Kern“, der für das Vertragsrecht bei Software wesentlich ist, der Urheberrechtsschutz für Software dargestellt werden. Die Entwicklung beim Patentschutz für Software wird gesondert dargestellt, I Rz. 1 ff. 2.1 Grundlagen des Schutzes „Computerprogramme“ wurden i.R.d. Novelle des UrhG 1985 in den Katalog der geschütz- 13 ten Werke, § 2 Abs. 1 UrhG, aufgenommen. Computerprogramme gehörten ab dann ausdrücklich zu den „Sprachwerken“ (§ 2 Abs. 1 Nr. 1 UrhG) wie „Schriftwerke, Reden“. Damit war in Deutschland eine Entscheidung gefallen, die eine Diskussion weitgehend beendete, was der richtige Schutz für Computerprogramme sei, wobei als wesentliche Alternativen der Patentschutz und ein Schutz eigener Art angeführt worden waren.19 Der Schutz durch das Wettbewerbsrecht wurde zwar in der Praxis gewährt, aber weitgehend als unzureichend empfunden.20 Zu dieser Diskussion hatten v.a. die Urteile zu „Inkassoprogramm“ beigetragen, wobei das 14 LG Mannheim den Urheberrechtsschutz mangels eines „geistig-ästhetischen Gehalts“ abgelehnt hatte.21 Mit der Inkassoprogramm-E. des BGH22 wurde das zwiespältige Ergebnis verknüpft, damit sei im Prinzip der urheberrechtliche Schutz für Software bejaht (auch wenn die Urheberrechtsnovelle erst später in Kraft trat), wegen der allzu hohen Anforderungen jedoch praktisch kaum erlangbar.23 Diese E. hat noch weit nach Umsetzung der sogleich zu
17 Dazu entwickelt sich „Predictive Policing“ als Verkopplung der Kriminalsitik mit den Daten vom Internet der Dinge („virtuelle Zeugen“), s. http://www.heise.de/newsticker/meldung/Precrime-per-Pre dictive-Policing-Das-Internet-der-Dinge-im-Zeugenstand-2559840.html (abgerufen am 18.8.2016). 18 S. z.B. EuGH v. 19.4.2012 – C-461/10, CR 2012, 385 – Bonnier Audio AB u.a./Perfect Communication AB. 19 Ulmer/Kolle, GRUR Int. 1982, 489; Erdmann, CR 1986, 249; Haberstumpf, in: Lehmann, Rechtsschutz, Teil II Rz. 3 ff.; zu den Bedenken gegenüber Urheberrechtsschutz und zur Historie Dreier, in: Lehmann, Rechtsschutz, S. 31 ff.; Dreier, in: Dreier/Schulze, UrhG, § 69a UrhG Rz. 3, mit Hinweis auf u.a. R. Köhler, Der urheberrechtliche Schutz der Rechenprogramme, 1968, und Kolle, GRUR 1973, 611. 20 A.M. von Gamm, WRP 1969, 96, und angedeutet in BGH v. 9.5.1985 – I ZR 52/03, CR 1985, 22 – Inkassoprogramm. 21 LG Mannheim v. 12.6.1981 – 7 O 143/80, DB 1981, 1543, weitere Instanzen: OLG Karlsruhe v. 9.2.1983 – 6 U 150/81, GRUR 1983, 300 und BGH v. 9.5.1985 – I ZR 52/83, CR 1985, 22 – Inkassoprogramm. 22 BGH v. 9.5.1985 – I ZR 52/83, CR 1985, 22 – Inkassoprogramm. 23 S. Bauer, CR 1985, 5; s.a. Holländer, CR 1991, 715.
Schneider
1029
G Rz. 15
Urheberrechtsschutz fr Software
erwähnenden EG-Richtlinie hinaus spätere Urteile beeinflusst.24 Hinsichtlich der Phasenbildung der Softwareentwicklung aus urheberrechtlicher Sicht ist sie noch immer wirksam, s. Rz. 63 ff. 15
Der entscheidende Schritt zum urheberrechtlichen Schutz war die Softwareschutz-Richtlinie.25 Diese relativierte diese BGH-E. ganz bewusst: Die Richtlinie über den Rechtsschutz von Computerprogrammen schuf eine einheitliche Maßgabe, der i.R.d. so genannten BlockImplementierung in die §§ 69a–69g UrhG Folge geleistet wurde.26 § 2 Abs. 2 UrhG wurde nicht geändert. Insofern blieb – scheinbar, s. sogleich – Raum für weitere Anwendung der sehr restriktiven Grundsätze der Inkassoprogramm-E.27
16
Art. 1 Abs. 1 RL 2009/24 besagt: „Gemäß den Bestimmungen dieser Richtlinie schützen die Mitgliedstaaten Computerprogramme urheberrechtlich als literarische Werke i.S.d. Berner Übereinkunft zum Schutze von Werken der Literatur und der Kunst. I.S. dieser Richtlinie umfasst der Begriff ‚Computerprogramm‘ auch das Entwurfsmaterial zu ihrer Vorbereitung.“
17
Der urheberrechtliche Schutz für Software ist durch Art. 9 Abs. 2 TRIPS28 (Ausdrucksformen) und Art. 10 TRIPS international etabliert. Zudem sind in Art. 4 WIPO Copyright Treaty (WCT) „Computerprogramme“ und in Art. 2 WCT „Ausdrucksformen“29 verankert. Art. 4 WCT lautet: „1. Computerprogramme sind als Werke der Literatur im Sinne von Artikel 2 der Berner Übereinkunft geschützt. 2. Dieser Schutz gilt für Computerprogramme unabhängig von der Art und Form ihres Ausdrucks.“30
18
Mit Umsetzung der RL 2009/24/EG waren von der Rspr. zukünftig die Anforderungen an die Schöpfungshöhe abzusenken. Es darf sich nicht um eine nur völlig banale Gestaltung oder lediglich um die Nachahmung des Programms eines anderen handeln.31 „Wenn das Programm ein individuelles Werk darstellt, das auf einer eigenen geistigen Tätigkeit beruht, ist der Werkcharakter des UrhG anzunehmen.“32
19
Allerdings wird etwa gefordert, dass die Software bei der „Konzeption Eigentümlichkeiten aufweist, die nicht als trivial, banal und von der Sachlogik her zwingend erscheinen“.33 Dafür spricht bei komplexen Programmen eine tatsächliche Vermutung.34 Ein Mindestmaß an geistiger Leistung wird weiterhin gefordert. Individualität in diesem Sinne ist nicht nur „statisti24 S. Lehmann, CR 1991, 150, zu BGH v. 4.10.1990 – I ZR 139/89, CR 1991, 80 – Betriebssystem, und z.B. LG München I v. 16.1.1997 – 7 O 15354/91, CR 1997, 351. 25 Richtlinie 91/250/EWG des Rates v. 14.5.1991 über den Rechtsschutz von Computerprogrammen, nun nach redaktionellen Änderungen: Richtlinie 2009/24/EG. Ausf. zur Richtlinie 91/250/EWG: Marly, Urheberrechtsschutz für Computersoftware in der Europäischen Union, 1995; Walter/von Lewinski (Hrsg.), European Copyright Law, 2010; Lehmann, TRIPS/WTO und der internationale Schutz von Computerprogrammen, CR 1996, 2; Lehmann, in: Lehmann, Rechtschutz, I.A. S. 1. 26 Richtlinie 91/250/EWG war vom BGH als Signal für eine „Kursänderung“ deutlich betont worden: BGH v. 14.7.1993 – I ZR 47/91, CR 1993, 752 – Buchhaltungsprogramm; s.a. v. 20.1.1994 – I ZR 267/91, CR 1994, 275 – Holzhandelsprogramm m. Anm. Lehmann und Hoeren. 27 S. LG München I v. 20.8.1998 – 7 O 3114/98, CR 1998, 655; aber OLG München v. 27.5.1999 – 6 U 5497/98, CR 1999, 688 („kleine Münze“ geschützt). 28 Übereinkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums (TRIPS-Übereinkommen, 94/800/EG: Beschluss des Rates v. 22.12.1994); dazu Lehmann, CR 1996, 2; zur IT-relevanten Umsetzung der Richtlinie Urheberrecht in der Informationsgesellschaft Lehmann, CR 2003, 53. 29 S. Lehmann, CR 1995, 2; Lehmann, CR 2003, 553 zu TRIPS, WCT/WPPT und der Info-Richtlinie. Zur Prüfung eines Verstoßes gegen den WIPO-Urheberrechtsvertrag vom 20.12.1996 (WCT) s. z.B. BGH v. 17.7.2013 – I ZR 129/08, CR 2014, 168 – UsedSoft II, Rz. 33. 30 WCT ab 14.3.2010. 31 OLG München v. 27.5.1999 – 6 U 5497/98, CR 1999, 688. 32 OLG München v. 27.5.1999 – 6 U 5497/98, CR 1999, 688 (Ls.). 33 OLG Düsseldorf v. 27.3.1997 – 20 U 51/96, CR 1997, 337 (Ls. 1). 34 BGH v. 3.3.2005 – I ZR 111/02, CR 2005, 854 – Fash 2000; s.a. schon BGH v. 6.7.2000 – I ZR 244/97, CR 2000, 651 – OEM; s.a. OLG Frankfurt v. 27.1.2015 – 11 U 94/13, GRUR 2015, 784 (Ls. 3); anders OLG Hamburg v. 29.11.2001 – 3 U 288/00, CR 2002, 485 (CT-Klassenbibliothek, zur Darlegung im Ver-
1030 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 23
G
sche Einmaligkeit“.35 Aber selbst eine solche statistische Einmaligkeit wird ohnehin bei komplexeren Programmen stets gegeben sein.36 2.2 Was ist Software, was fällt unter den Schutz für Software? 2.2.1 Begriffsbestimmungen, Anknüpfungspunkte für die Auslegung Was Software „ist“, wird in der RL 2009/24/EG oder im UrhG nicht definiert. Eine klare Diffe- 20 renzierung der Begriffe Software, Programm, Computerprogramm und Computersoftware, die teils synonym verwendet werden, gibt es nicht. Einen Anhaltspunkt liefert § 1 WIPO-Mustervorschriften für den Schutz von Computersoftware37. Diese ist „eine Folge von Befehlen, die nach Aufnahme in einen maschinenlesbaren Träger fähig sind zu bewirken, dass eine Maschine mit informationsverarbeitenden Tätigkeiten eine bestimmte Funktion oder Aufgabe oder ein bestimmtes Ergebnis anzeigt, ausführt oder erzielt“. Aus § 1 WIPO-Mustervorschriften ergibt sich zudem, dass Software umfasst: „Computerprogramm“, „Programmbeschreibung“ und „Begleitmaterial“. Demnach würde Software eher als Oberbegriff taugen, während „Computerprogramm“ der Schutzgegenstand bzw. einer der Schutzgegenstände ist.38
21
In der Denkschrift über den Rechtsschutz der Datenverarbeitungssoftware39 werden die „Mustervorschriften für den Schutz von Computersoftware“ herangezogen:
22
„Die 1977 vom internationalen Büro der Weltorganisation für geistiges Eigentum verabschiedeten Mustervorschriften für den Schutz von Computersoftware sind das Ergebnis dieser Arbeiten. Die Mustervorschriften sind nebst Einführung und Kommentierung in der englischen Originalfassung in Industrial Property 1977, 259 und Copyright 1978, 6, veröffentlicht; eine deutsche Übersetzung der Mustervorschriften nebst Einführung ist in GRUR Int. 1978, 286 abgedruckt. Der Text der Mustervorschriften ist in einer Anlage zu dieser Denkschrift wiedergegeben.“
Der Text der Mustervorschriften bietet in § 1 „Begriffsbestimmungen und bestimmt das Verhältnis der Begriffe zueinander: „Für die Zwecke dieses Gesetzes bedeuten: (i)
‚Computerprogramm‘ eine Folge von Befehlen, die nach Aufnahme in einen maschinenlesbaren Träger fähig sind zu bewirken, daß eine Maschine mit informationsverarbeitenden Fähigkeiten eine bestimmte Funktion oder Aufgabe oder ein bestimmtes Ergebnis anzeigt, ausführt oder erzielt;
(ii) ‚Programmbeschreibung‘ eine vollständige prozedurale Darstellung in sprachlicher, schematischer oder anderer Form, deren Angaben ausreichend sind, um eine Folge von Befehlen festzulegen, die ein ihr entsprechendes Computerprogramm darstellen;
35
36 37 38 39
fahren zur einstweiligen Verfügung); s. aber wiederum für ein Computerspiel, ebenfalls bei e.V.: OLG Hamburg v. 12.3.1998 – 3 U 228/97, CR 1999, 298. Str., s. Dreier/Vogel, Software- und Computerrecht, S. 50, Fn. 55 m.w.N. zum Streit, darunter: OLG Hamburg v. 12.3.1998 – 3 U 226/98, CR 1998, 332: „… das bedeutet im Ergebnis bei Programmen den Schutz der sog. „kleinen Münze“; der Begriff der Individualität ist nicht mehr als aus der „Masse des Alltäglichen“ herausragend, sondern eher als „statistische Einmaligkeit“ zu verstehen (vgl. Fromm– Nordemann–Vinck, UrhR, 8. Aufl., § 69a UrhG Rdnr. 4 m.w.N.).“ Inzwischen aber wieder etwas höhere Anforderungen stellend Fromm/Nordemann/Czychowski, Rz. 11. Ablehnend auch Schricker/Loewenheim, UrhR, 4. Aufl. 2010, § 69a UrhG Rz. 19; Dreier/Schulze, § 69a UrhG Rz. 26. Praktisch keine Anforderungen z.B. bei OLG Düsseldorf v. 25.11.2008 – I-20 U 72/06, ZUM-RD 2009, 182 (für Computerspiel): „ist ohne weiteres anzunehmen“. Zum Merkmal der Komplexität OLG Hamburg v. 12.3.1998 – 3 U 228/97, CR 1999, 298; zur Vermutung der Schutzfähigkeit BGH v. 3.3.2005 – I ZR 111/02, CR 2005, 854 – Fash 2000 und OLG Frankfurt v. 27.1.2015 – 11 U 94/13, GRUR 2015, 784, Ls. 3. Abgedruckt in: GRUR Int. 1978, 290. S.a. Druschel, GRUR Int. 2015, 125. Anhang, GRUR 1979, 300 (306 f.).
Schneider
1031
23
G Rz. 24
Urheberrechtsschutz fr Software
(iii) ‚Begleitmaterial‘ alle Unterlagen, die nicht ein Computerprogramm oder eine Programmbeschreibung darstellen und dazu bestimmt oder geeignet sind, das Verständnis oder die Anwendung eines Computerprogramms zu fördern, z. B. Problembeschreibungen und Benutzungsanweisungen; (iv) ‚Computersoftware‘ alle oder einzelne der unter (i) bis (iii) genannten Gegenstände; …“
24
§ 4 Mustervorschriften behandelt Konzepte und schließt diese vom Schutz als Software aus: „Die durch dieses Gesetz gewährten Rechte erstrecken sich nicht auf Konzepte, auf denen die Computersoftware beruht.“
25
Zu berücksichtigen ist bei der Ausgrenzung des Materials bzw. der Konzepte, dass diese als Sprachwerke, aber auch als Darstellung technischer Art eigenen Schutz genießen können – wie auch Oberflächen als Kunstwerk.40
26
Häufig wird zwecks inhaltlicher Ausfüllung DIN herangezogen: DIN 44300 Teil 4 Nr. 4.1.9: „vollständige Arbeitsvorschrift zur Lösung einer Aufgabe“.41
27
Seit 1985 werden Computerprogramme urheberrechtlich geschützt. Geschützt sind explizit seit 1991 die Ausdrucksformen der den Programmen zugrunde liegenden Ideen und Algorithmen,42 nicht aber die Ideen, Problemlösungen und Algorithmen43 selbst. Die deutsche Umsetzung verwendet den Begriff „Gestalt“ in § 69a Abs. 1 UrhG (und in diesem Kontext, als Ergänzung „einschließlich des Entwurfsmaterials“) und den der „Ausdrucksform“ in § 69a Abs. 2 Satz 1 UrhG. In der Rechtsschutz-RL ist nur von „expression“ die Rede und zwar „in any form of a computer program“.44 Entwurfsmaterial ist in der RL 1991/250/EWG unmittelbar als vom Begriff „computer program“ abgedeckt einbezogen.45 Zwischen Gestalt und Ausdrucksform wäre also bei Software kein Unterschied zu machen, das Entwurfsmaterial wäre eine Art der Ausgestaltung.
28
Manche Abgrenzungsfragen wären evtl. leichter zu klären, wenn die RL 2009/24/EG und §§ 69a ff. UrhG stärker auf dem Begriff Code aufgebaut hätten. Dieser wird erst und nur in § 69e UrhG (Dekompilierung, dazu Rz. 340 ff.) verwendet. Hier ist plötzlich von Code und Codeform die Rede (Abs. 1).
29 Ideen sind zwar urheberrechtlich nicht geschützt, vielmehr das Ergebnis deren Umsetzung als Software, das „Werk“.46 Allerdings fällt es bei Software schwer, dieses bzw. den „Ausdruck“ zu bestimmen, v.a. wenn man die binäre Darstellung der Befehle betrachtet.47 Auch 40 S.a. für Websites Rz. 89 ff. 41 Ulmer/Hoppen, CR 2008, 681, Fn. 4; Kuß/Schmidtmann, K&R 2012, 782. 42 RL 1991/250/EWG v. 14.5.1991 über den Rechtsschutz von Computerprogrammen, ABl. EG, Nr. L 122/42 vom 15.5.1991, aufgehoben mit Wirkung zum 25.5.2009, nunmehr RL 2009/24/EG v. 23.4.2009, RL über den Rechtsschutz von Computerprogrammen; dazu s. Czernota/Hart, Legal Protection of Computer Programs in Europe. A Guide to the EEC Directive, London 1991; Lehmann, NJW 1991, 2112; Lehmann, in: Lehmann, Rechtsschutz, Teil I A; Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 23. 43 Algorithmen sind zwar Teile des Programms und wären insofern auch schützbar. Sie sind jedoch als „Standardrepertoire der Programmiertechnik“ nicht geschützt, Möhring/Nicolini/Kaboth, 3. Aufl. 2014, § 69a Rz. 12 UrhG mit Verweis auf u.a. Dreier, in: Dreier/Schulze, UrhG, §§ 69a Rz. 22. 44 Art. 1 (2) Computer Program Directive, nun, seit 2009, Richtlinie 2009/24/EG v. 23.4.2009. S.a. Rz. 53. 45 Art. 1 (1) Satz 2 Computer Program Directive: For the purpose of this directive, the term ‚computer program‘ shall include their preparatory design material. 46 EuGH v. 2.5.2012 – C-406/10, CR 2012, 428 m. Anm. Heymann – SAS Institute, dazu Spindler, CR 2012, 417, Marly, GRUR 2012, 773 und Redeker, ITRB 2013, 68. 47 S. v.a. (im Rechtszug zu Inkassoprogramm) LG Mannheim v. 12.6.1981 – 7 O 143/81, BB 1981, 1543: Es „fehlt regelmäßig jeglicher geistig-ästhetische Gehalt, der auf das Vorhandensein einer schöpferischen Leistung schließen lassen könnte“. OLG Karslruhe v. 9.2.1983 – 6 U 150/81, GRUR 1983, 300: Ls. b) „Der Werkcharakter muß in der Formgebung selbst offenbar werden …“.
1032 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 35
G
lässt sich deshalb durch Umstellung der Bitreihen die sofortige Erkennbarkeit von Übereinstimmung bei Plagiat vermeiden. Umso besser wäre es für den Verletzten, auf die Idee als Schutzgut zurückgreifen zu können, was aber verboten wäre. Jedoch taucht mit „Schöpfungshöhe, Individualität“ u.Ä. eine Begrifflichkeit auf, die sich vom Handfesten, vom „Gewebe“ der Software weit entfernt, da sich dort, anders als etwa bei einem traditionellen Kunstwerk, etwa einem Gemälde, keine Schaffenskriterien in Ausdruck umsetzen, s. dazu Rz. 44 ff.
30
Gem. § 1 Abs. 3 Nr. 3 PatG sind Programme für Datenverarbeitungsanlagen (Abs. 4: „als sol- 31 che“) nicht patentfähig. Tatsächlich gibt es zahlreiche Patentierungen für software-bezogene Erfindungen bei BPA und EPA, s. H Rz. 1 ff. Im Sprachgebrauch, v.a. im Bereich der Verträge, üblich ist der Begriff Software, meint dabei 32 nicht die dazugehörigen Dokumentationen. Insofern soll dann richtig sein „Computerprogramm“.48 Für die Vertragspraxis ist die Unterscheidung zwischen Software und Dokumentation üblich.49 Die Begrifflichkeit – was ist Software, was gehört dazu – ist also nicht klar. Für den Überblick wird „Software“ mit „Computerprogramm“ oder „Datenverarbeitungsprogramm“ gleichgesetzt. Obwohl Software daraus besteht, wird man die Befehle und die Programmiersprache, der diese entnommen sind, nicht zur (geschützten) Software rechnen, auch nicht die Erscheinungsform für den Nutzer, die (graphische) „Oberfläche“, den Bildschirminhalt, s.a. Rz. 61 ff. Im Computer bzw. in IT-Systemen nimmt ein und dieselbe Software je nach Repräsentationsart/Medium und Verwendungszusammenhang und Art der Nutzungshandlung unterschiedliche Zustände ein (Installieren auf Festplatte, Ablauf im Arbeitsspeicher, Speichern auf CD etc. ergeben jeweils unterschiedliche Bitreihen). Es wird detaillierter zu prüfen sein, was genau dem Schutz unterfällt.50
33
2.2.2 „Software“ Computer als nicht zu Ende konstruierte Maschinen (Hardware) brauchen und erhalten die Anweisungen, was sie wie tun sollen, über Software.51 Zunächst wurde die Programmierung über die Rückwandverdrahtung, später Lochkarten vorgenommen, ohne dass allzu intensiv über den Schutz dieser Programme diskutiert worden wäre. Die ersten bekannteren Beiträge zum Schutz bzw. dessen Varianten stammen aus der Zeit, als sich Software allmählich zum eigenen, immer selbständiger werdenden Wirtschaftsgut entwickelte.52
34
Computerprogramme sind nicht immer als Software ausgeprägt, sondern auch als Firmware,53 oder sonstige „eingebaute Software selbständig „erkennbar“, etwa Embedded Sys-
35
48 S. Rz. 123 m.w.N. 49 Typisch etwa BGH v. 22.12.1999 – VIII ZR 299/98, CR 2000, 207 m. Anm. Chrocziel – Lohnprogramm. 50 Karl, Der urheberrechtliche Schutzbereich von Computerprogrammen, 2009 (Diss. 2008). 51 Evtl. wurde „Software“ erstmals wissenschaftlich so benannt von John Wilder Tukey, 1958, s. http:// de.wikipedia.org/wiki/Tukey, s.a. wikipedia.org zu „Software“. 52 Kolle, Schutz der Computerprogramme, GRUR Int. 1974, 129; Kolle, GRUR 1977, 58 (Patentrecht); Kolle, Der Rechtsschutz der Computersoftware in der Bundesrepublik Deutschland, GRUR 1982, 443; Kolle, Der angestellte Programmierer, GRUR 1985, 1016 (aufgegriffen von z.B. OLG Celle v. 1.4.1993 – 13 U 39/90, CR 1994, 681, dazu Rz. 151, 174). 53 König, CR 1991, 754; zum Betriebssystem als Firmware des Mediaplayers: LG Hamburg v. 14.6.2013 – 308 O 10/13, CR 2013, 498, 640 und dazu Rz. 497 ff. (Open Source); s.a. LG Berlin v. 8.11.2011 – 16 O 255/10, CR 2012, 152 und dazu Kreutzer, CR 2012, 146 zu Fritz-Box.
Schneider
1033
G Rz. 36
Urheberrechtsschutz fr Software
tems54 oder nur als Embedded Software.55 Dass auch diese als „Computerprogramm“ gelten, wird auf Erw.grd. 7 RL 91/250/EWG (nun RL 2009/24/EG) gestützt:56 „Für die Zwecke dieser Richtlinie soll der Begriff ‚Computerprogramm‘ Programme in jeder Form umfassen, auch solche, die in die Hardware integriert sind; dieser Begriff umfasst auch Entwurfsmaterial zur Entwicklung eines Computerprogramms, sofern die Art der vorbereitenden Arbeit die spätere Entstehung eines Computerprogramms zulässt“. 36
Was also „ist“ Software,57 wann beginnt sie – und in bzw. ab welcher Ausprägung/Ausdrucksform des gesamten Entstehungsprozesses ist sie jeweils geschützt?
37
§ 2 Abs. 1 Nr. 1 UrhG a.F. bezeichnete den Schutzgegenstand insoweit noch als „Programme für die Datenverarbeitung“. An dieser Unterscheidung, Computerprogramme oder Programme für die Datenverarbeitung ist wenig interpretationsfähig. Also lässt sich etwa die Frage, ob die Dokumentation(en) dazu gehören, anhand dieser unterschiedlichen Begrifflichkeiten nicht herausfinden bzw. abgrenzen.58 Es wird jedoch andererseits eine Differenzierung und Abgrenzung gegenüber Software und Daten damit verbunden.
38 Z.B. wird der Begriff „Computerprogramm“ enger gefasst als „Software“, da unter Software auch digitale Texte, Grafiken, Soundfiles oder sonstige Daten und Datenbanken fallen sollen, soweit es sich bei diesen nicht um Computerprogramme im technischen Sinne handele.59 Daten und deren Organisation in Datenbanken sind ein anderer Gegenstand, obwohl Datensätze und deren Beschreibung (Datenformate)60 wiederum Teil der Software sind und Software als Bitspur/-strom bzw. Datenbestand nur aus Daten besteht.61 39
Die Differenzierung erschließt sich nicht aus dem Erscheinungsbild, sondern aus Funktion und spezifischer Regelung. Datenbanken unterliegen einem eigenen Schutz-Regime nach §§ 4, 87a ff. UrhG. Auch daraus wird geschlossen, dass Dateiformate, Datenstrukturen und Daten keine Computerprogramme i.S.v. § 69a UrhG sind.62 2.2.3 Was gilt nicht als Software?
40
Andererseits (s.a. Rz. 89 f.), sollen Websites, obwohl aus HTML-Code (oder ähnlichen Codes, wie z.B. XML) bestehend, nicht als Computerprogramme gelten und nicht als solche geschützt sein.63 Die Benutzer-/Bedieneroberfläche wird nicht als Software angesehen und insofern auch nicht geschützt.64 Andererseits soll aber das bloße Wiedergeben der Oberfläche 54 „Eingebaute“, meist nicht gesondert ausgewiesene Software als Teil etwa eines Steuerungsgeräts, das wiederum in größere Systeme eingebaut wird, z.B. Fahrerassistenzsysteme in Autos, s. Meyer/Harland, CR 2007, 689 („integrierte“ Software). 55 Söbbing, ITRB 2013, 162. 56 Lehmann, in: Loewenheim (Hrsg.), Handbuch des Urheberrechts, 2. Aufl. 2010, § 9 Rz. 49. 57 Drexl, What is Protected in a Computer Program?, 1994; Karl, Der urheberrechtliche Schutzbereich von Computerprogrammen, 2009, S. 24 f., 91 zur Abgrenzung gegenüber Ideen und S. 117 ff. 58 S. z.B. Wiebe, in: Spindler/Schuster, § 69a UrhG, wonach zu Software auch das Pflichtenheft gehört (Rz. 7), nicht aber die Anwenderdokumentationen Rz. 10). 59 Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 2. 60 Zur Abgrenzung gegenüber Daten und Datensätzen Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 18. 61 S. Ulmer/Hoppen, CR 2008, 681 ff. und zur Behandlung seitens BGH (EuGH-Vorlage v. 3.2.2011 – I ZR 129/08, CR 2011, 223 m. Anm. Rössel/Wolff-Rojczyk/Hansen, Rz. 25 ff.), Rz. 399. Zu weiteren technischen Details im Hinblick auf (Online-) Erschöpfung/Werkstück s. Bröckers, MMR 2011, 18, und Rz. 264 und 385 ff. 62 Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 16, 17. 63 Dreier, in: Dreier/Schulze, § 69a UrhG Rz. 12 unter Hinweis auf OLG Rostock v. 27.6.2007 – 2 W 12/07, GRUR-RR 2008, 1 – Urheberrechtsschutz von Webseiten aber gem. § 2 I Nr. 1 UrhG; AG Erfurt v. 10.11.2006 – 5 C 1724/06, ZUM-RD 2007, 504; s.a. Rz. 61 ff. 64 Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 14. Wohl aber verbleibt die Möglichkeit des Schutzes nach allgemeinen Regeln, v.a. als Sprachwerk, s. Rz. 61 f.
1034 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 43
G
als öffentliche Zugänglichmachung der Software selbst gelten (also nicht die Oberfläche als deren Teil, der ja selbst auch wieder Software ist).65 Bei HTML wird dies damit begründet, dass es sich um eine Beschreibungssprache handelt, die nicht ausführbar ist bzw. nur nicht § 69a UrhG unterfallende Programmabläufe steuere.66 Der Code enthalte „letztlich primär § 69a UrhG nicht unterfallende Daten … über die Formatierung der Seite und macht zudem nur Texte und Grafiken sichtbar“.67 Demnach ist auch das Design der Oberfläche nicht als Software geschützt, wohl aber nach anderen Schutzkategorien. Da es sich bei Computerprogrammen um Code handeln muss, der Daten verarbeitet, sind also nach h.M. die Oberflächen nicht nach § 69a UrhG geschützt. Es dürfte richtig, weil praktikabel, sein, die Begriffe Computerprogramm und Software trotz 41 eventueller kleiner Divergenzen synonym zu verwenden. Wichtig ist die Abgrenzung gegenüber Daten, um deren Verarbeitung es gerade geht, insb. die Abgrenzung auch gegenüber Datenbeständen und deren Organisationsform in einer Datenbank. Gemäß Art. 1 Abs. 3 Datenbank-Richtlinie68 ist unbedingt zwischen der Datenbank und einem Computerprogramm als jeweiligem Objekt mit unterschiedlichem Schutz zu unterscheiden. Zwar regelt die entsprechende Umsetzung im deutschen Recht nur § 4 Abs. 2 Satz 2 UrhG, die Abgrenzung gilt aber ebenso für den Sonderrechtsschutz nach §§ 87a–87e UrhG.69 Tatsächlich ist die Abgrenzung aber im Einzelfall u.a. deshalb außerordentlich schwierig, weil die Rspr. des EuGH sowohl den Datenbankschutz70 als auch bis zu einem gewissen Grade den Softwareschutz restriktiv interpretiert und deshalb, insb. bei Datenbanken, immer unklarer wird, was eigentlich im Kern noch genau geschützt ist.71 Dongle72 u.a. Schutzmaßnahmen enthalten zwar Software, evtl. „embedded“, v.a. auch DRM, „sind“ aber keine Software. Relevant ist dies bei mangelnder Funktion für die Reichweite des Selbsthilferechts des Lizenznehmers: Die Fehlerbeitigung darf sich nicht auf die Beseitigung oder Umgehung des Dongle erstrecken.73 „Keys“ können dagegen Software sein, die evtl. urheberrechtlich geschützt sind, wie auch Software in DRM-Einrichtungen. Jedenfalls aber sind soche Schlüssel indirekt über § 69f Abs. 2 UrhG geschützt, wonach § 69f Abs. 1 UrhG entsprechend auf Mittel anzuwenden ist, die allein dazu bestimmt sind, die unerlaubte Beseitigung oder Umgehung technischer Programmschutzmechanismen zu erleichtern. Zu Dongle u.ä. Einrichtungen s. Rz. 447 ff.
42
Nachdem auch die Entfernung eines softwarebasierten „SIM-Lock“ keine Fehlerberichti- 43 gung i.S.v. § 69d UrhG darstellt,74 wird dies bedeuten, dass auch insoweit keine geschützte Software vorliegt bzw. diese Funktion nicht Teil der geschützten Software ist. 65 66 67 68
69 70 71 72 73 74
OLG Frankfurt v. 27.1.2015 – 11 U 94/13, CR 2015, 716, dazu Rz. 235. Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 18. Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 18. Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken definiert in Art. 1 den Anwendungsbereich und grenzt in Abs. 3 dazu ab: Der durch diese Richtlinie gewährte Schutz erstreckt sich nicht auf für die Herstellung oder den Betrieb elektronisch zugänglicher Datenbanken verwendete Computerprogramme; s. zum Datenbankschutz I. Thum/Hermes, in: Wandtke/Bullinger, UrhR, Vor §§ 87a ff. UrhG Rz. 33. Zur Entwicklung s. Wiebe, CR 2014, 1. Nicht die Frage ob eine Datenbank vorliegt, sondern gegenüber welchen Handlungen der Schutz greift, s.a. Wiebe, CR 2014, 1, und I Rz. 113 ff., I Rz. 123 ff. Typischerweise als Hardware eine Art Stecker oder Aufsatz an der Hardware, dessen Vorhandensein, evtl. auch weitere Daten die dadurch geschützte Software beim Hochfahren abruft, s.a. Rz. 459 ff. Anders zunächst LG Mannheim v. 20.1.1995 – 7 O 187/94, CR 1995, 542; s. aber OLG Karlsruhe v. 10.1.1996 – 6 U 40/95, CR 1997, 27 und OLG Düsseldorf v. 27.3.1997 – 20 U 51/96, CR 1997, 337; s.a. die Nachwweise bei Grützmacher, ITRB 2015, 120, Fn. 1. Grützmacher, in: Wandtke/Bullinger, UrhR, § 69d UrhG Rz. 18 mit Verweis auf BGH v. 20.1.2005 - I ZR 255/02, CR 2005, 337 (338) – SIM-Lock II; AG Göttingen v. 4.5.2011 – 62 Ds 51 Js 9946/10, CR 2011, 792 (794).
Schneider
1035
G Rz. 44
Urheberrechtsschutz fr Software
2.2.4 Schöpfungshöhe 44
Gemäß der Softwareschutz-RL (RL 2009/24/EG) waren in Deutschland die Anforderungen an die Schöpfungshöhe abzusenken.75 Es durfte sich lediglich nicht um eine nur völlig banale Gestaltung oder die Nachahmung des Programms eines anderen handeln.76 „Wenn das Programm ein individuelles Werk darstellt, das auf einer eigenen geistigen Tätigkeit beruht, ist der Werkcharakter des UrhG anzunehmen.“77
45
Allerdings bleibt das Erfordernis, dass die Software bei der „Konzeption Eigentümlichkeiten aufweist, die nicht als trivial, banal und von der Sachlogik her zwingend erscheinen“.78 Für die Erfüllung dieser Anforderung spricht bei komplexen Programmen eine tatsächliche Vermutung.79
46
Ein Mindestmaß an geistiger Leistung wird weiterhin gefordert. Individualität in diesem Sinne ist nicht nur „statistische Einmaligkeit“.80 Aber selbst eine solche statistische Einmaligkeit wird ohnehin bei komplexeren Programmen stets zugleich gegeben sein81 (s.a. Rz. 85 ff.)
47
Angesichts der E. des BGH „Geburtstagszug“82 wird man – noch leichter – die „kleine Münze“83 auf Software (und Dokumentation) anwenden können und anzuwenden haben. Die Unterscheidung in sog. „zweckfreie Kunst“ und „angewandte Kunst“ ist mit dieser E. entfallen.84 Ls. 1 und Rz. 2685 beziehen ausdrücklich die nun einheitlich zu beurteilenden Werke der Literatur mit ein, womit Software ohnehin gleichgesetzt ist (§ 2 Abs. 1 Ziff. 1 UrhG). Damit könnte sich der evtl. für „Pflichtenheft“ und „Dokumentationen“ als Begleitmaterial, das nicht zum „Entwurfsmaterial“ gehört, streitige Schutz nach allgemeinen Regeln verbessern, s.a. Rz. 78 ff. Die Frage des Gestaltungsspielraums wird nur noch im Zshg. mit erforderlichem „Abstand“ von Bedeutung sein.86
48
Kleinere Änderungen wurden noch innerhalb der §§ 69a ff. UrhG vorgenommen, so bedingt durch das Gesetz zur Umsetzung der Richtlinie zur Informationsgesellschaft (v. 10.9.2003). Zugleich wurde betont, dass die neu geschaffenen §§ 95a–95d UrhG nicht auf Computerprogramme Anwendung finden (§ 69a Abs. 5 UrhG). Des Weiteren wurde die öffentliche Wiedergabe aufgenommen, die den ebenfalls neu in das Urheberrechtsgesetz eingebrachten § 19a UrhG, öffentlich Zugänglichmachen, berücksichtigt (§ 69c Nr. 4 UrhG).87
75 76 77 78 79
80 81 82 83 84 85 86 87
Dreier, in: Dreier/Schulze, § 69a UrhG Rz. 25. OLG München v. 27.5.1999 – 6 U 5497/98, CR 1999, 688. OLG München v. 27.5.1999 – 6 U 5497/98, CR 1999, 688 (Ls.). OLG Düsseldorf v. 27.3.1997 – 20 U 51/96, CR 1997, 337 (Ls. 1). BGH v. 3.3.2005 – I ZR 111/02, CR 2005, 854 – Fash 2000; s.a. schon BGH v. 6.7.2000 – I ZR 244/97, CR 2000, 651 – OEM; anders OLG Hamburg v. 29.11.2001 – 3 U 288/00, CR 2002, 485 (CT-Klassenbibliothek, zur Darlegung im Verfahren zur einstweiligen Verfügung), und OLG Düsseldorf v. 25.11.2008 – I-20 U 72/06; s. aber wiederum für ein Computerspiel, ebenfalls bei e.V.: OLG Hamburg v. 12.3.1998 – 3 U 228/97, CR 1999, 298. Str., s. schon Rz. 19 und zu höheren Anforderungen Fromm/Nordemann/Czychowski, 11. Aufl., § 69a UrhG Rz. 11. Ablehnend auch Schricker/Loewenheim, UrhR, § 69a UrhG Rz. 19. Zum Merkmal der Komplexität OLG Hamburg v. 12.3.1998 – 3 U 228/97, CR 1999, 298; zur Vermutung der Schutzfähigkeit BGH v. 3.3.2005 – I ZR 111/02, CR 2005, 854 – Fash 2000. BGH v. 13.11.2013 – I ZR 143/12, CR 2014, 161 – Geburtstagszug. Dazu allg. Bisges, GRUR 2015, 540. S. Anm. Vonau, CR 2014, 166 (167) zu BGH v. 13.11.2013 – I ZR 143/12, CR 2014, 161 – Geburtstagszug. BGH v. 13.11.2013 – I ZR 143/12 – Geburtstagszug. S. etwa BGH v. 26.2.2014 – I ZR 121/13, GRUR 2014, 772 – Online-Stadtpläne, zur Frage, ob genügend großer Spielraum trotz vorgegebener Zeichenschlüssel und Musterblätter verbleibt. Zu „Freie Benutzung“ s. Rz. 96. Ohne dass dies erforderlich war; s. als „Klarstellung“ Dreier, in: Dreier/Schulze, § 69c Rz. 27 m. Hinw. u.a. auf BGH v. 20.5.2009 – I ZR 239/06, Rz. 16, GRUR 2009, 864 – CAD-Software.
1036 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 53
G
Durch die Block-Implementierung als §§ 69a ff. UrhG wurde zugleich deutlich, dass es sich 49 insoweit um spezial-gesetzliche Regelungen88 handelt, die entsprechenden Vorrang haben. Diese sind als „Europäisches Urheberrecht“ richtlinienkonform anzuwenden.89 Ggf. finden die Bestimmungen für Sprachwerke ergänzende Anwendung (§ 69a Abs. 4 UrhG). Das Design der Oberfläche könnte unter das Entwurfsmaterial fallen, evtl. auch selbständig 50 als Werk nach § 2 Abs. 1 Nr. 7 UrhG geschützt sein.90 Im Hinblick auf die nach wohl h.M. fehlende Schutzfähigkeit der Oberfläche ist es angebracht, auch für deren Design nicht auf den Schutz durch die Softwareschutz-RL zurückzugreifen.91 Es gibt wohl eine relativ weitgehende Übereinstimmung, was unter Computerprogramm i.S. 51 urheberrechtlichen Schutzes zu verstehen ist, nachdem Begriff und Regelungen hierzu auch in den WCT (WIPO Copyright Treaty) eingeflossen sind. Nach Art. 4 WCT sind Computerprogramme als Werke der Literatur i.S.v. Art. 2 Berner Übereinkunft geschützt. Dieser Schutz gilt für Computerprogramme unabhängig von der Art und Form ihres Ausdrucks (Art. 4 Satz 2 WCT).92 I.d.R. werden im Folgenden die Begriffe Computerprogramm und Software synonym ver- 52 wendet. Der Unterschied könnte darin bestehen, dass „Software“ auch die Dokumentation umfasst. Es macht aber unter urheberrechtlichen Aspekten Sinn, die Dokumentationen nicht zur Software selbst zu rechnen, sondern diesen eigenständigen Charakter zukommen zu lassen.93 Allerdings verschwimmt die Unterscheidung bei Onlinehilfen und Quellcodekommentaren, die zur Software gehören, aber zusätzlich separat ausgedruckt vorliegen können. Vertragsrechtlich wird dies erforderlich machen, die Rechtseinräumung auch hinsichtlich der Materialien und Dokumentationen, gleich in welchem Zustand (elektronisch, gedruckt) zu vereinbaren (s.a. M Rz. 61 ff.; Q Rz. 417 f.; R Rz. 51, R Rz. 373). 2.2.5 Ausdrucksform Ausgangs- bzw. Anknüpfungsebene für den Schutz nach §§ 69a ff. UrhG ist die Ausdrucksform. Der Schutz gilt für alle Ausdrucksformen (§ 69a Abs. 2 Satz 1 UrhG).
88 S.a. EuGH v. 3.7.2012 – C-168/12, BeckEuRS 2012, 417533 – Oracle/UsedSoft; BGH v. 17.7.2013 – I ZR 129/08 – UsedSoft II. 89 Dreier, in: Dreier/Schulze, UrhG, § 69a UrhG Rz. 4; zur Richtlinie Erdmann/Bornkamm, GRUR 1991, 877; Lehmann, in: Lehmann, Rechtsschutz, S. 1 ff.; zum internationalen Schutz Lehmann, CR 1995, 2. 90 Zur Abgrenzung s.a. OLG Köln v. 8.4.2005 – 6 U 194/04, CR 2005, 624 (ablehnend zu konzeptionellen Vorgaben betriebswirtschaftlicher Art; s.a. zum Schutz der Vorgaben Rz. 78 ff., 83, 117 und 119). 91 S. zu Oberfläche EuGH v. 22.12.2010 – C-393/09 – BSA/Kulturinstitut (und dazu Rz. 61); Barnitzke/ Möller/Nordmeyer, CR 2011, 277. S.a. LG Frankfurt/M. v. 8.11.2012 – 2-03 O 269/12, CR 2013, 286 zur Schutzfähigkeit einer XML-Datei und der darin enthaltenen Regelsätze, und dazu Wiesemann, jurisPR-ITR 16/2013 Anm. 3. 92 Zur Umsetzung der Richtlinie Urheberrecht in der Informationsgesellschaft und dabei den Bezug zu WCT s. Lehmann, CR 2003, 553; zu den WIPO-Verträgen zum Urheberrecht und zu verwandten Schutzrechten vom Dezember 1996 s. von Lewinski, CR 1997, 438; zum Europäischen Urheberrecht s. Walter (Hrsg.), Europäisches Urheberrecht, 1. Aufl. 2001; Walter/von Lewinski (Ed.), European Copyright Law, 2. Aufl. 2010. 93 S. z.B. Dreier/Vogel, Software- und Computerrecht, S. 45. S.a. schon BGH v. 10.10.1991 – I ZR 147/89, CR 1992, 153; es läge nahe, Dokumentationen mit Seminarunterlagen zu vergleichen, die etwa das OLG Frankfurt (v. 4.11.2014 – 11 U 106/13 – NJW-RR 2015, 673) als schutzfähig, und zwar nach § 4 UrhG, erachtet (dazu I Rz. 63 (Datenbankschutz).
Schneider
1037
53
G Rz. 54
Urheberrechtsschutz fr Software
Zu den geschützten Ausdrucksformen eines Computerprogramms gehören: – der Maschinencode94 (Art der Darstellung „im“ Computer, Arbeitsspeicher, Festplatte); – der Objektcode und der Quellcode in allen Entwicklungsstufen;95 – die innere Struktur und Organisation des Computerprogramms;96 – die Anordnung von Befehlsgruppen, Unterprogrammen und Modulen (Komponenten);97 – auf der Ebene des Programmcodes die konkrete Sammlung, Auswahl und Gliederung der Befehle, die „Skripte“; – das sog. „Gewebe des Computerprogramms“, d.h. die Art, wie Unterprogramme und Arbeitsroutinen aufgeteilt und mit Verzweigungsanweisungen verknüpft werden. Darauf, dass die Software ablauffähig ist, kommt es angesichts der Formulierung „alle Ausdrucksformen“ (§ 69a Abs. 2 UrhG), was z.B. auch Quellcode einschließt, und „einschließlich des Entwurfsmaterials“ (§ 69a Abs. 1 UrhG), das evtl. nur handschriftlich vorliegt, nicht an. 2.2.6 Nicht geschützte Gegenstände 54
Nicht geschützt sind Ideen und Grundsätze, auch solche der Schnittstellen (§ 69a Abs. 2 Satz 2 UrhG). Schnittstellen sind die (definierten, spezifizierten) Grenzen und zugleich Übergänge zwischen verschiedenen Systemen oder auch Programmen.98 U.a. dienen sie dem Datenaustausch bzw. der Interoperabilität. Häufig wird nicht genügend zwischen der (abstrakten) Schnittstelle als technischem Standard und der Software, die die Schnittstelle realisiert bzw. bedient, unterschieden.99 Die Software zur Umsetzung der Schnittstelle ist nach § 69a UrhG geschützt. Die Spezifikationen der Schnittstelle sind nicht geschützt,100 die Spezifikationen der Schnittstellen-Software101 sind als Entwurfsmaterialien der Software geschützt, evtl. auch als technische Beschreibung/Darstellung i.S.v. § 2 Abs. 2 Nr. 7 UrhG.102
55
Es sind aber die Programme geschützt, die die Schnittstellen realisieren bzw. umsetzen.103 Nach Art. 9 Abs. 2, 10 TRIPS, Art. 2 WCT werden nur Ausdrucksformen der den Programmen zugrunde liegenden Ideen und Algorithmen geschützt, nicht die Problemlösungen und Algorithmen selbst.104 94 Karger, in: Schneider/Graf von Westphalen, Kap. A. Rz. 10 unter Hinweis auf Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 4, 10 f. 95 EuGH v. 2.5.2012 – C-406/10, CR 2012, 428 – SAS Institute, Rz. 34 f.; v. 22.12.2010 – C-393/09, CR 2011, 221 – BSA. 96 Zu schöpferischem Beitrag bei Datenstrukturen und Programmstruktur s. BGH v. 14.7.1993 – I ZR 47/91, CR 1993, 752 (754). 97 BGH v. 20.9.2012 – I ZR 90/09, CR 2013, 284 – UniBasic-IDOS; Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 12. 98 Es gibt viele verschiedenen Ebenen für Schnittstellen, etwa Hardware, Software, Daten, Netze. Die Mensch/Maschine-Schnittstellen, v.a. die sog. GUI oder Benutzeroberflächen, werden nicht unter den technischen Begriff gefasst, s.a. Fromm/Nordemann/Czychowski, UrhG, § 69a Rz. 32. 99 S. Lehmann/Giedke, CR 2013, 681 (682), Fn. 6. 100 Fromm/Nordemann/Czychowski, UrhG § 69a Rz. 32 unter zust. Hinweis auf Grützmacher, in: Wandtke/Bullinger, UrhR, 3. Aufl., § 69a Rz. 31. 101 Indiz: Werkvertrag bei Erstellung u.a. der Schnittstellen per Software: BGH v. 5.6.2014 – VII ZR 276/13, CR 2014, 568 und dazu M Rz. 154. 102 Als Umsetzung einer Norm ist sehr wahrscheinlich der Spielraum für Urheberrechtsschutz der Darstellung der Schnittstelle zu gering. S. aber sogleich zur Umsetzung als Software. 103 Karger, in: Schneider/Graf von Westphalen, 2. Kap. A Rz. 15, wonach „… der die Schnittstellen umsetzende Code im Einzelfall schutzfähig sein kann“; Fromm/Nordemann/Czychowski, UrhG, § 69a Rz. 32, nennt diese Konkretisierung der Schnittstelle die „Schnittstelle selbst“, was nicht zutreffend ist. 104 S. Spindler, CR 2012, 417 (418) zu EuGH v. 2.5.2012 – C-406/10, CR 2012, 428 m. Anm. Heymann – SAS Institute.
1038 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 58
G
Nicht zu den geschützten Ausdrucksformen i.S.d. § 69a UrhG gehören: – die
Oberfläche105
oder
GUI,106
früher
„Bildschirmmasken“,107
56
Buchungsmaske,108
– die Funktionalität,109 – die Programmiersprache,110 – die Dateiformate,111 – Algorithmen (str.),112 für die Patentschutz in Betracht kommt.113 Eine neue Herausforderung könnte insoweit die Abgrenzung bei „In-memory-Techniken“ darstellen.114 – das sog. Begleitmaterial. Zum Begleitmaterial gehören die Bedienungshandbücher oder -anleitungen, Wartungs- oder 57 Pflegedokumentationen, Programmbeschreibung.115 Diese Dokumentationen sind kein Entwurfsmaterial i.S.v. § 69a Abs. 1 UrhG. Sie sind aber Sprach- bzw. Schriftwerke (§ 2 Abs. 1 Nr. 1 UrhG) und/oder Darstellungen technischer Art (§ 2 Abs. 1 Nr. 7 UrhG). Allerdings basieren diese Dokumentationen auf der jeweiligen Software, sodass zu prüfen ist, wieviel Gestaltungsraum bestand. Deshalb sollen viele Handbücher mit Ausnahme von Grafiken aufgrund der vielfältigen funktionellen Vorgaben und technischen Sachzwänge die notwendige Schöpfungshöhe nicht erreichen.116 Im Hinblick auf den immerhin bestehenden Gestaltungsspielraum und die BGH-Entscheidungen zu Stadtplänen, Landkarten u.Ä.117 erscheint aber diese Sichtweise zu eng. Wie „Strukturen“ der Software118 beurteilt werden, ist unklar. Nach deutscher Dogmatik 58 ist das „Gewebe“ geschützt – auch bei Software.119 Allerdings ist unklar, was das „Gewebe bei Software ist bzw. sein kann. Dies wären z.B. Strukturen, logische Bäume, Netze u.Ä. So
105 EuGH v. 2.5.2012 – C-406/10, CR 2012, 428 m. Anm. Heymann – SAS Institute, Rz. 36, dazu a. und zum möglichem Schutz i.R.d. HarmonisierungsRL s. EuGH v. 22.12.2010 – C-393/09, GRUR 2011, 220 – BSA/Kulturinstitut -, und dazu Rz. 61; S.a. Marly, GRUR 2012, 773; s. schon Koch, GRUR 1991, 180 (183). 106 Graphical User Interface, s. Fromm/Nordemann/Czychowski, UrhG, § 69a Rz. 27; OLG Hamburg v. 29.11.2001 – 3 U 288/00 zu GUI-Klassen und Rz. 61 f. 107 S. Karger, in: Schneider/Graf von Westphalen, Kap. A I Rz. 8 ff. unter Hinweis auf OLG Karlsruhe v. 13.6.1994 – 6 U 52/94, CR 1994, 605 (607) m. Anm. Günther – Bildschirmmasken; Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 14. 108 LG Frankfurt/M. v. 23.8.2006 – 2-06 O 272/06, CR 2007, 425. S.a. Spindler, K&R 2007, 345 (347). 109 EuGH v. 2.5.2012 – C-406/10, CR 2012, 428 – SAS Institute, Ls. 1. S.a. Spindler, CR 2012, 417. 110 EuGH v. 2.5.2012 – C-406/10, CR 2012, 428 m. Anm. Heymann – SAS Institute, Ls. 1, wie vorzitiert; a.M. früher Nordemann/Fromm, nun „zweifelnd“, Fromm/Nordemann/Czychowski, UrhG, § 69a Rz. 31. Gem. EuGH v. 2.5.2012 kommen aber andere Schutzmöglichkeiten in Betracht. 111 EuGH v. 2.5.2012 – C-406/10, CR 2012, 428 m. Anm. Heymann – SAS Institut, Ls. 1, wie vorzitiert. 112 Karger, in: Schneider/Graf von Westphalen, Kap. A I Rz. 34; s.a. Marly, Praxishandbuch Softwarerecht, Rz. 29 ff. 113 Vergleiche bei Karl, Der urheberrechtliche Schutzbereich von Computerprogrammen, 2008, S. 133 ff. 114 EPO v. 12.5.2010, CRi 2010, 118 – Patentability of Computer Implemented Inventions. Im Kontext von Datenbanken s. Stiemerling, in: Conrad/Grützmacher, § 6 Rz. 25 ff. 115 Zu den verschiedenen Dokumentationen s. Stiemerling, ITRB 2011, 286 und Rz. 78 ff.; M Rz. 61 ff. 116 Karger, in: Schneider/Graf von Westphalen, Kap. A I Rz. 8 ff. unter Hinweis auf Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a Rz. 4, 10 f. und Marly, GRUR 2012, 774, 776. 117 BGH v. 10.10.1991 – I ZR 147/89, GRUR 1993, 34 – Bedienungsanweisung; v. 28.5.1998 – I ZR 81/96, NJW 1998, 3352 – Stadtplanwerk; v. 23.6.2005 – I ZR 227/02, CR 2005, 852 – Karten-Grundsubstanz. 118 Bei EuGH v. 2.5.2012 – C-406/10, CR 2012, 428 m. Anm. Heymann – SAS Institute, Rz. 25 hatte der High Court of Justice darauf hingewiesen, „dass nicht dargetan worden sei, dass … Teile des Textes oder des Strukturentwurfs dieses Quellcodes vervielfältigt habe“. 119 Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 25 m.w.N.
Schneider
1039
G Rz. 59
Urheberrechtsschutz fr Software
hat der BGH in – Betriebssystem – dem Berufungsgericht u.a. aufgegeben, „… vor allem auf die individuelle(n) (formale(n)) Programmstrukturen abzustellen …“.120 Ausdrucksform (s. Rz. 27, 53) meint insofern bei Software auch und v.a. die „Programmdaten des Maschinen-, Objekt- oder Quellcodes“, aber eben auch die „innere Struktur und Organisation“ der Software.121 59
Bei Computerspielen ist die Trennung von Software und Inhalt nicht möglich oder schwierig.122 Für computer- bzw. software-generierte Software stellt sich zunächst das Problem der Urheberschaft. Dann, wenn diese ein Mensch innehat bzw. einem zugeordnet werden kann – etwa über die Ausübung der entsprechenden Generatoren/Tools – besteht das Problem ausreichender Schöpfungshöhe. Entscheidend könnte sein, wieviel Spielraum trotz der Werkzeuge höherer Stufe besteht.
60 Sehr wahrscheinlich gelten die Regeln für Entstehen und Ausübung des Schutzes auch für Werke in „virtuellen Welten“.123 Jedoch können diese Leistungen bzw. Erscheinungsformen Schutz (auch) nach anderen Kategorien genießen.124 2.3 Oberfläche 61
Die Oberfläche gilt, obwohl letztlich doch „Ausdruck“ der Software,125 nicht als Ausdrucksform i.S.d. § 69a Abs. 2 Satz 1 UrhG.126 Für die grafische Benutzeroberfläche, die deshalb keinen Schutz nach § 69a UrhG genießt,127 kommt aber der Schutz als Sprachwerk gem. § 2 Abs. 1 Nr. 1 UrhG, als Werk der bildenden Künste gem. § 2 Abs. 1 Nr. 4 UrhG oder als Darstellung wissenschaftlicher oder technischer Art gem. § 2 Abs. 1 Nr. 7 UrhG in Betracht.
62
Allerdings müssen die Voraussetzungen des § 2 Abs. 2 UrhG gegeben sein.128 Auch im Falle des Schutzes nach der HarmonisierungsRL129 wird es erforderlich sein, dass eine gewisse Individualität feststellbar ist. Denkbar wäre auch der Schutz als Datenbank. Im Einzelnen s. Rz. 89 ff.
120 BGH v. 4.10.1990 – I ZR 139/89, juris Rz. 58. 121 Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 23 mit Verweisen u.a. auf OLG Düsseldorf v. 29.6.1999 – 20 U 85/98, CR 2000, 184 – Framing, und KG v. 17.3.2010 – 24 U 117/08, CR 2010, 424 (425) m. Anm. Redeker; KG stellt u.a. auf die Programmstruktur als „Architektur“ ab. 122 Barnitzke/Möller/Nordmeyer, CR 2011, 277 (279) unter Hinweis auf Bullinger/Czychowski, GRUR 2011, 19 (20). Zu Computerspielen als Hybride (bei Erschöpfung besonders wichtig) s. J Rz. 27 ff. 123 S. z.B. für virtuelle Darstellung des Kölner Doms LG Köln v. 21.4.2008 – 28 O 124/08, CR 2008, 463, allerdings im konkreten Fall als bloße Bildbearbeitung abgelehnt. S.a. Filgueiras, in: DGRI Jahrbuch 2009, 2010, S. 201 ff. zu Urheberrechten an virtuellen Kreationen und Avataren. Lober/Weber, CR 2006, 837 zur Frage der Haftung der Betreiber virtueller Welten gegenüber ihren Nutzern. 124 S. EuGH v. 22.12.2010 – C-393/09, GRUR 2011, 220 – BSA/Kulturinstitut. 125 LG Mannheim v. 17.2.1993 – 7 O 257/93, NJW-RR 1994, 1007, Ls. 4. 126 OLG Karlsruhe v. 13.6.1994 – 6 U 52/94, CR 1994, 607, hatte nach „neuem“ Recht Bildschirmmasken den Schutz der kleinen Münze zugesprochen. Später wurde der Schutz der Bildschirmmasken von OLG Karlsruhe v. 14.4.2010 – 6 U 46/09, CR 2010, 427 – Online-Reisebürosoftware, abgelehnt und auf die Schutzmöglichkeit nach § 2 Abs. 1 Nr. 7 UrhG verwiesen, „wenn ihre graphische Gestaltung im Vordergrund steht“ (Ls. 2). 127 S. EuGH v. 22.12.2010 – C-393/09, GRUR 2011, 220 – BSA/Kulturministerium, hierzu Marly, GRUR 2012, 204 ff.; Dreier, in: Dreier/Schulze, § 69a Rz. 16. 128 Evtl. wird Schutz „mangels Gestaltungsspielraum an der nötigen Individualität scheitern“: Karger, in: Schneider/Graf von Westphalen, Kap. A Rz. 43; Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 14. 129 Richtlinie 2001/29/EG zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft (Urheberrechtsrichtlinie – UrhRil). S. EuGH v. 22.12.2010 – C-393/09, GRUR 2011, 220 – BSA/Kulturministerium.
1040 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 68
G
2.4 Phasen der Softwareentwicklung, Entwurfsmaterial Nicht nur Programme (in jeder Gestalt) sind geschützt, sondern auch das Entwurfsmaterial; 63 § 69a Abs. 1 UrhG bezieht dieses ausdrücklich ein: „Programme in jeder Gestalt, einschließlich des Entwurfsmaterials“. Das Entwurfsmaterial betrifft also Vor- und Zwischenstufen der Softwareentwicklung.130 Geschützt sind alle „Ausdrucksformen“ (§ 69a Abs. 2 UrhG). Rückwärts abgestuft sind Ob- 64 jektcode (ausführbare Software) und Quellcode (änderbar, nicht ausführbar) sicher geschützte „Gestalt“ bzw. Ausdrucksform. Nach veralteter Terminologie und Rspr. liegen/entstehen davor die Datenfluss- und Programmablaufpläne,131 die zum geschützten Entwurfsmaterial gehören. Die Dogmatik stellt v.a. auf BGH Inkassoprogramm132 strukturell ab und unterscheidet mit etwas variierenden Begriffen zunächst eine Art Vorstufe mit133
65
– Problemanalyse, (Ist-Analyse zus. m. Schwachstellen-Analyse), – Anforderungsphase, – Sollanalyse mit Festlegung und Definition der zu lösenden Aufgabenstellung, – Machbarkeits-, Durchführbarkeitsstudie mit Projektplan. Dem folgt die Konzeptionsphase, die auch wieder aus einzelnen Teilschritten besteht. Dabei entstehen etwa134
66
– „Grobkonzept“ mit Datenflussplan, – Feinkonzept. Es folgt die Codierung. Das Lastenheft (juristisch oft als „Pflichtenheft“ bezeichnet)135 wäre der Anforderungsphase 67 zuzurechnen, soll aber doch nicht zum Entwurfsmaterial gehören.136 Dann würde das „Entwurfsmaterial“ erst mit der Konzeptionsphase, dem Grob-Sollkonzept beginnen. Dies setzt eine lineare Vorgehensweise voraus, die kaum je realisiert wird, zudem neuerdings mit anderen Methoden (Agil, Scrum u.Ä.) verknüpft wird (s. Q Rz. 33, N Rz. 52 ff.). Entscheidend wird jenseits der Begriffe und deren unterschiedlicher Verwendung sein, dass das Material geeignet ist, daraus (in weiteren Schritten) die Software zu entwickeln.137 Wenn man auf die „das Programm prägende intellektuelle Leistung“ abstellt, die „im Stadium der Problemanalyse und Pflichtenhefterstellung in aller Regel gerade noch ausstehe“,138 so wird dies für blueprints u.Ä. nicht (mehr) gelten, s. Rz. 119, M Rz. 625 f., N Rz. 72. Jeden130 Möhring/Nicolini/Kaboth, 3. Aufl., § 69a Rz. 4. 131 BGH v. 9.5.1985 – I ZR 52/83, CR 1985, 22 – Inkassoprogramm, trotz der späteren Rechtschutz-RL (1991) und deren Umsetzung 1993 noch maßgebend, s. etwa Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 2. 132 BGH v. 9.5.1985 – I ZR 52/83, CR 1985, 22 – Inkassoprogramm. 133 Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 5. 134 Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 6. 135 Das „Pflichtenheft“ wäre richtig – i.S.d. Technik – als technische Spezifikation, Schneider, in: Schneider/Graf von Westphalen, Kap. C Rz. 80 ff. (85); s.a. M Rz. 45, M Rz. 822 ff. und N Rz. 3 ff. 136 Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 9 mit Verweis auf a.M., etwa Lehmann, in: Lehmann, Rechtsschutz, Kap. I Rz. 5 Fn. 21; Fromm/Nordemann/Vinck, 9. Aufl., § 69a UrhG Rz. 4; Ohst, Computerprogramme und Datenbanken, Definition und Abgrenzung, S. 25; s.a. Rz. 117 ff. 137 S. etwa Lehmann zu „Pflichtenheft“ (in: Loewenheim (Hrsg.), Handbuch des Urheberrechts, 2. Aufl. 2010, § 9 Rz. 49: „Entwurfsmaterial (Pflichtenheft, das so ausführlich sein muss, dass daraus ein Programm entwickelt werden kann)“. 138 Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 9.
Schneider
1041
68
G Rz. 69
Urheberrechtsschutz fr Software
falls wäre dann die Trennlinie zwischen nach § 69a UrhG geschütztem Material und noch ungeschützten Vorstufen der Übergang von Planung auf Umsetzung, was im Hinblick auf Projektverantwortlichkeit und Vertragsgestaltung praktische Vorzüge wegen der Gleichartigkeit der Einteilung hätte, s.a. N Rz. 50 f. 2.5 Darstellung 69
Software ist in jeder Art der Darstellung/Ausdrucksform geschützt, also datenträgerrepräsentiert, etwa auf CD, Bändern/Streaming, Festspeichern/Sticks, Festplatten u.Ä. sowie im Arbeitsspeicher bzw. „in memory“.139 Es geht um die Ebene des Programmcodes, als Befehle einer Programmiersprache entnommen. Geschützt werden Sammlung, Auswahl und Gliederung dieser Befehle.140
70
Auch bei Online-Bezug/Download oder Masterdisk-Kopie141 greift der Schutz, ebenso – bei entsprechend dauerhafter Überlassung – Erschöpfung,142 sodass auch nicht etwa auf andere Datenträger, etwa Festplatte143 oder Arbeitsspeicher zurückzugreifen ist.
71
Der Urheberrechtsschutz greift auch für „Embedded Systems“ und „Run-Time-Lizenzen“, wobei die Möglichkeit besteht, dass es sich um gegenüber einer Normalversion eigene Nutzungsarten handelt.144 Run-Time-Lizenzen sind sog. Vertriebs-Lizenzen (als Gegensatz zu Entwicklerlizenzen) und dürfen vom Vertriebspartner in dessen Software „eingebaut“ und zusammen mit dieser vertrieben werden, s.a. R Rz. 103 ff. Das Nutzungsrecht bzw. die Nutzungsart soll sich nur darauf erstrecken, zusammen mit der Software des Vertriebspartners vertrieben zu werden. Ob sich dies mit den Maßgaben des BGH in der OEM- E. zur Kopplung verträgt, wenn die isolierte Weitergabe vertraglich verboten wird, scheint offen.145
72
Auch OEM-Software genießt trotz der gewollten Kopplung eigenständigen urheberrechtlichen Schutz. Bei OEM-Software will der Anbieter, dass „eine zu einem günstigen Preis angebotene Programmversion nur zusammen mit einem neuen PC veräußert wird“, wobei diese Kopplung (wenn die Software innerhalb der EU bzw. des EWR in Verkehr gebracht ist) unwirksam ist.146
139 Arbeitsspeicher-residente Software, neuere Konzeption, u.a. etwa als Firmenprodukt HANA High Performance Analytic Appliance (in-memory-Technologie) von SAP und BLU Acceleration von IBM. Bei Oracle ist die Funktion optionaler Teil der „12c Datenbank“, s.a. Welker, Computerwoche 2015 – 13 v. 23.3.2015, 26 ff. zum Überblick. 140 S. z.B. Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 24 mit Verweis u.a. auf BGH v. 4.10.1990 – I ZR 139/89, CR 1991, 80 – Betriebssystem, wo abgestellt wird auf „persönlich geistige Schöpfung in der Auswahl, Einteilung und Anordnung“. Diese Entscheidung baut strukturell voll auf die Entscheidung des BGH „Inkassoprogramm“ auf, erleichtert nur für technisch orientierte Programme die Darlegung der Schöpfungshöhe. 141 OLG Hamburg v. 7.2.2007 – 5 U 140/06, CR 2007, 355; a.M. überholt, auf Datenträgerrepräsentation abstellend OLG Frankfurt v. 18.5.2010 – 11 U 69/09, ZUM 2011, 419, und ähnlich OLG Düsseldorf v. 29.6.2009 – I-20 U 247/08, 20 U 247/08; s. aber OLG Frankfurt v. 18.12.2012 – 11 U 68/11 und dazu BGH v. 14.12.2014 – I ZR 8/13 – UsedSoft III und v. 19.3.2015 – I ZR 4/14 – Green-IT. 142 EuGH v. 3.7.2012 – C-128/11 und BGH v. 17.7.2013 – I ZR 129/08 – Oracle/UsedSoft; überholt dadurch z.B. OLG Frankfurt v. 18.5.2010 – 11 U 69/09 (Erschöpfung sogar für Masterdisk abgelehnt). 143 So OLG Düsseldorf v. 29.6.2009 – I-20 U 247/08, überholt durch EuGH v. 3.7.2012– C-128/11 und BGH v. 17.7.2013 – I ZR 129/08, CR 2014, 168 – Oracle/UsedSoft II und v. 14.12.2014 – I ZR 8/13 – UsedSoft III sowie v. 19.3.2015 – I ZR 4/14 – Green-IT. 144 S.a. Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 60 und 63 und zu embedded systems Grützmacher, in: Büchner/Dreier (Hrsg.), Von der Lochkarte zum globalen Netzwerk, 2007, S. 87 (94); Söbbing, ITRB 2013, 162. 145 BGH v. 6.7.2000 – I ZR 244/97, CR 2000, 651, zu OEM s.a. Rz. 223 f. und 466. 146 BGH v. 6.7.2000 – I ZR 244/97, CR 2000, 651 m. Anm. Witte und CR 2000, 738 m. Anm. Chrocziel/ Lehmann – OEM.
1042 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 79
G
3. Schutz nach anderen Ausprägungen/Vorschriften Software kann zugleich mit dem Urheberrechtsschutz, aber auch völlig unabhängig, Patentschutz im Rahmen softwarebezogener Erfindungen genießen.147
73
Markenschutz schützt zwar ggf. nicht die Software selbst, sondern nur die Bezeichnung, kann aber bei der Verfolgung von unberechtigter Vervielfältigung und Vertrieb sehr hilfreich wirken, wenn die Bezeichnung auf den Vervielfältigungsstücken angebracht ist.148 Auch wenn die Marke des Berechtigten von Dritten verwendet wird, um nicht berechtigt hergestellte Kopien oder bereits mit Marke versehene Sicherungskopien als Originale zu vertreiben, kann der Schutz greifen.149
74
Besonders einfach ist Titelschutz und zwar auch für Software zu erlangen,150 dazu H Rz. 156 ff.
75
Das UWG bietet (auch) für Software ergänzenden Leistungsschutz, der allerdings prinzipiell 76 subsidiär wirkt151 und in der Vergangenheit eine immer geringere Rolle spielte,152 und Schutz als Betriebs- und Geschäftsgeheimnis, was v.a. für den Quellcode in Betracht kommen kann. S. H Rz. 178 ff., H Rz. 190 f. Strafrechtlicher Schutz kann mittelbar wirken, etwa über § 97a UrhG.
77
4. „Pflichtenheft“, Dokumentationen Obwohl das „Pflichtenheft“ i.S.d. Zusammenstellung der fachlichen Anforderungen eine 78 Vorstufe der zu erstellenden Software ist, wird es zumindest bei klassischer Phasenfolge nicht zum nach § 69a ff. UrhG geschützten Entwurfsmaterial gezählt. Urheberrechtlich wird v.a. auf die Phasen, in denen das Programm bereits konzipiert, gestaltet und „geformt“ wird, abzustellen sein, nicht also auf die Ausformulierung fachlicher Anforderungen. Für solche Materialien, besonders also das Pflichtenheft als Darstellung der fachlichen Anforderungen des Auftraggebers153 und weitere Dokumentationen, kommt Schutz nach § 2 UrhG in Betracht.154 Allerdings wird man zwei mögliche Zuordnungen zu den Phasen Planung/Realisierung unterscheiden: Die Erstellung des „Pflichtenhefts“ ist bei „Wasserfall“- (linearen Vorgehens-) Modellen i.S.d. Projektstufen bei Softwareentwicklung eine Vorstufe der Software, die zur Planung gehört.155 Es umfasst die fachlichen Anforderungen i.S. fachlicher Spezifikation, zunächst grob, dann fein. Es liegt nahe, zu den „Vorstufen“ i.S.d. § 69a UrhG nur die Aus-
147 S. im Kontext Mitarbeiter als Urheber BGH v. 23.10.2001 – X ZR 72/98, CR 2002, 249 m. Anm. Brandi-Dohrn – Wetterführungspläne II, und dazu Rz. 125 und zu Softwarepatenten H Rz. 1 ff. 148 S.a. Dreier, in: Dreier/Schulze, UrhG, § 69a UrhG Rz. 9. 149 S. etwa BGH v. 6.10.2011 – I ZR 6/10, CR 2012, 295 – Echtheitszertifikat (mit der Marke des Softwareherstellers versehene Sicherungs-CDs eines Computerprogramms werden in Verkehr gebracht); zur rechtmäßigen Nutzung bei Gebrauchtsoftwarehandel s. BGH v. 17.7.2013 – I ZR 129/08, CR 2014, 168 – UsedSoft II, Rz. 47 ff.; zum Markenschutz s. im Einzelnen H Rz. 128 ff. 150 S. schon BGH v. 24.4.1997 – I ZR 44/95, CR 1998, 5 – PowerPoint und v. 24.4.1997 – I ZR 233/94, CR 1998, 6 – FTOS. 151 S. aber zur Gleichrangigkeit bei unterschiedlichen Schutzzwecken Köhler/Bornkamm/Köhler, UWG § 4 Rz. 3.6a f. 152 S.a. Dreier, in: Dreier/Schulze, UrhG, § 69a UrhG Rz. 10. 153 Richtig wäre also: „Lastenheft“, s. Schneider, in: Schneider/Graf von Westphalen, Kap. C. Rz. 80 ff. (85) und N. Rz. 3 und 106. 154 S. Karger, in: Schneider/Graf von Westphalen, Kap. A. Rz. 42 ff. 155 S. zu den Schritten bzw. Stufen N Rz. 50 f., zu „Pflichtenheft“ insb. N Rz. 106.
Schneider
1043
79
G Rz. 80
Urheberrechtsschutz fr Software
arbeitungen zu rechnen, die schon zur Realisierung gehören, also sich auf die Erstellung der Software unmittelbar, nicht die Aufgabenstellung allein beziehen.156 80
Bei modernen Methoden entfällt diese Stufe der Planung (idealerweise).157 Das „Pflichtenheft“ wird, wenn es doch etwa für Zwecke der Abnahmeprüfung als erforderlich erachtet wird, parallel zum Realisierungsprozess (evtl. von beiden Vertragspartnern) erstellt.158 Im ersten Fall als Teil der Planung wird man das Pflichtenheft nicht dem Entwurfsmaterial i.S.v. § 69a UrhG zuordnen, weil es ggf. nur Anforderungen bzw. Problembeschreibungen und keine Lösungsansätze enthält.159 Dennoch ist es wohl urheberrechtlich gem. § 2 Abs. 1 Nr. 1 UrhG als Sprachwerk und/oder nach § 2 Abs. 1 Nr. 7 UrhG als Darstellung wissenschaftlicher oder technischer Art geschützt.160
81
Als fachliche Anforderungen werden erst recht die Tickets für Agil und v.a. Scrum,161 die funktional ein „Lastenheft“ (s. Rz. 67) ersetzen, (noch) nicht als Entwurfsmaterial gelten können. Für diese Tickets als einzelne Meldungen wird Urheberrechtsschutz mangels Schöpfungshöhe ausscheiden. Anders könnte es sich mit deren redaktioneller Bearbeitung verhalten. Für die Sammlung der Tickets, v.a. deren strukturierte Zuordnung i.R.v. Backlogs,162 kommt Sonderrechtsschutz als Datenbank gem. § 87a UrhG in Betracht.163
82
Bei technischer Spezifikation/Grob- und Feinspezifikation (zur Frage der Zuordnung, ob Planung oder schon Realisierung s. N Rz. 50) und der Erstellung des Pflichtenhefts i.R.d. Realisierung kommt sehr wohl die Einordnung als Entwurfsmaterial gem. § 69a UrhG in Betracht, da insoweit die enge Verknüpfung zur Software besteht. Hier entspricht bereits die Beschreibung der Anforderung der Realisierung, überprüfbar durch entsprechende Verweise i.S.d. Traceability.164
83
Ein Problem dürfte sein, dass die softwarenahe Dokumentation stark durch die Programmierung und die Funktionalität vorgeprägt sind, sodass wenig Spielraum/Gestaltungsspielraum bestehen könnte. Karger vermutet deshalb, dass „viele Handbücher mit Ausnahme von Grafiken auf Grund der vielfältigen funktionellen Vorgaben und technischen Sachzwänge die notwendige Schöpfungshöhe nicht erreichen“.165 Softwaregenerierte Handbücher würden deshalb ausscheiden, andererseits aber eher als Teil der – geschützten – Programme gelten können, s. Rz. 85 ff.
84
Im Einzelfall wird – auch vor dem Hintergrund der E. des BGH „Geburtstagszug“166 – Schutzfähigkeit „bei einer eigenschöpferischen Gedankenformung und -führung des dargestellten
156 S. EuGH v. 2.5.2012 – C-406/10, CR 2012, 428 – SAS Institute, Rz. 36; s.a. OLG Köln v. 8.4.2005 – 6 U 194/04, CR 2005, 624. 157 S. zu Agil, Scrum usw. M Rz. 1041; N Rz. 42, N Rz. 152. 158 S.a. zu den Varianten im Projekt N Rz. 39 ff. 159 S. Karger, in: Schneider/Graf von Westphalen, A. Rz. 24 (ohne auf die 2 Varianten einzugehen, also nur zur „klassischen“ Vorgehensweise). 160 S. Karger, in: Schneider/Graf von Westphalen, A. Rz. 24, unter Verweis auf Grützmacher, in: Wandtke/Bullinger, UrhR, 3. Aufl., § 69a Rz. 9. 161 Schneider, in: Schneider/Graf von Westphalen, C Rz. 77 ff.; N Rz. 162. 162 S. z.B. Schneider, in: Schneider/Graf von Westphalen, C. Rz. 133 ff.; Frank, CR 2011, 138. 163 A.M., da anderes Verständnis vom Backlog, Hengstler, ITRB 2012, 113: „Dieses Verständnis wäre wohl nicht aufrecht zu erhalten, verstünde man das Sprint Backlog als vom Softwarelieferanten technisch umzusetzendes Lasten- oder Pflichtenheft.“ S. zu Leistungsbeschreibung und Mitwirkung M Rz. 822 ff. 164 S. (auch zu „Nachverfolgbarkeit“) Hoppen, CR 2015, 747 als Anforderung a. N Rz. 150, N Rz. 239. 165 Karger, in: Schneider/Graf von Westphalen, Kap. A. Rz. 27 unter Hinweis auf Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 13. 166 BGH v. 13.12.2013 – I ZR 143/12, CR 2014, 161 – Geburtstagszug, s. Rz. 88.
1044 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 86
G
Inhalts und/oder der besonders geistvollen Form und Art der Sammlung, Einteilung und Anordnung des dargebotenen Stoffes (vgl. BGH GRUR 1981, 659 – Ausschreibungsunterlagen)“ vorliegen.167 Dies war zumindest bei auf sicheren Gebrauch ausgerichteten Anleitungen als Schriftwerk i.S.d. § 2 Abs. 2 Nr. 1 UrhG schwer zu erreichen,168 weshalb den technischen Darstellungen besonderes Gewicht im Hinblick auf § 2 Abs. 2 Nr. 7 UrhG zukam. Bei den zitierten älteren Entscheidungen ist allerdings immer zu berücksichtigen, dass nach BGH „Geburtstagszug“ die überhöhten Anforderungen an Werke zum Gebrauch nicht mehr gestellt werden dürfen.169 5. Schaffens-/Schöpfungshöhe, Trivialität, programm-/computergenerierte Software 5.1 Normales Softwareschaffen Das normale Softwareschaffen ist – inzwischen – vom Urheberrechtsschutz der §§ 69a ff. 85 UrhG erfasst. Es muss sich um individuelle Leistung handeln, die nicht „gänzlich banal“170 ist bzw. einfach abgekupfert wurde. Bei komplexer Software „spricht eine tatsächliche Vermutung für eine hinreichende Individualität der Programmgestaltung“.171 Nach § 69a Abs. 3 Satz 2 UrhG dürfen für die Beurteilung der Schutzfähigkeit keine weiteren Kriterien herangezogen werden, was bekanntlich auf die damalige Rspr. des BGH abzielte.172 „Dies gilt ausdrücklich für qualitative oder ästhetische Kriterien jeder Art. Sonstige Kriterien, wie Effizienz und Funktionalität, Quantität i.S.d. Umfangs des Programms, Aufwand und Kosten, objektive Neuheit und gewerbliche Verwertbarkeit sind unbeachtlich.“173 Dabei ist auch berücksichtigt, dass das Softwareschaffen zunehmend seinerseits stark durch 86 softwaregestützte Techniken bis hin zu Entwicklung von Teilen der Software mittels Generatoren geprägt ist.174 Die Industrialisierungsansätze sind allerdings im IT- bzw. Softwareentwicklungsbereich eher verhalten als im Bereich Produktion, Logistik.175 Sog. Codegeneratoren gehören inzwischen zu den Entwicklungsumgebungen.176
167 OLG Frankfurt v. 26.5.2015 – 11 U 18/14, WRP 2015, 1004 (Bedienungsanleitung, die neben dem Text auch Zeichnungen und Fotografien enthielt. 168 S. schon BGH v. 21.11.1980 – I ZR 106/78, GRUR 1981, 352 (353) – Staatsexamensarbeit; und BGH v. 27.9.1990 – I ZR 244/88, GRUR 1991, 523 (525) – Grabungsmaterialien sowie v. 10.10.1991 – I ZR 147/89, GRUR 1993, 34 – Bedienungsanweisung, auf letztere Entscheidung weist OLG Frankfurt v. 26.5.2015 – 11 U 18/14, WRP 2015, 1004 hin. 169 BGH v. 13.12.2013 – I ZR 143/12, CR 2014, 161 – Geburtstagszug, Rz. 88. 170 BGH v. 3.3.2005 – I ZR 111/02, CR 2005, 854 – Fash 2000. 171 BGH v. 3.3.2005 – I ZR 111/02, CR 2005, 854 – Fash 2000, Ls. 1 Satz 1. 172 S. zu Art. 1 Abs. 3 Satz 2 Softwareschutz-RL und zur Absenkung der Anforderungen des BGH (gegenüber Inkassoprogramm und Betriebssystem) z.B. Anm. Lehmann zu BGH v. 14.7.1993 – I ZR 47/91, CR 1993, 755. 173 Karger, in: Schneider/Graf von Westphalen, Kap. A.I.2 Rz. 40; ebenso Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 41, auf den auch Karger mit 3. Aufl. verweist. 174 S. OGH Wien v. 6.7.2004 – 4 Ob 133/04v, ZUM-RD 2005, 11, zu einem computergenerierten Videospiel. S.a. Disk.: Wachter, Software Written By Software – Is Copyright Still the Appropriate Tool to Protect IT?, CRi 2010, 12; darauf antworten bzw. dagegen nehmen Stellung Paton/Morton, Copyright Protection for Software written by Software. Another look at the English law position, CRi 2011, 8. 175 Liesegang/Streitz, in: Redeker/Hoppen (Hrsg.), DGRI Jahrbuch 2011, 2012, Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung, S. 145 ff. 176 Karl, Der urheberrechtliche Schutzbereich von Computerprogrammen, 2009 (Diss. 2008), S. 59 f.
Schneider
1045
G Rz. 87 87
Urheberrechtsschutz fr Software
Visuelle Modellierungssprachen, v.a. UML,177 bilden das objektorientierte Datenmodell ab.178 Es gibt aber auch Sprachen zur kompletten visuellen Erstellung von Software.179 Für größere, komplexe Programme reichen die derzeitigen Werkzeuge/Generatoren wohl noch nicht. Jedenfalls stellt sich bei der erwartbaren Weiterentwicklung immer mehr die Frage, ob die Programmsysteme noch einen Autor/menschlichen Schöpfer haben. Zu bejahen ist dies jedenfalls für denjenigen, der das Programm entwirft, während der „Programmierer“ eher in den Hintergrund tritt. Skepsis gegenüber der Schöpfungshöhe bzw. dem Entstehen des Urheberrechtsschutzes ist deshalb bei computergenerierter Software angebracht,180 wobei aber deren Entwurf bei „normalem“ Softwareschaffen mitgeschützt wäre. Aus der Regelung „einschließlich“ wird aber zu schließen sein, dass das Entwurfsmaterial von Software, die nicht geschützt wäre, auch nicht unter § 69a UrhG als geschütztes Entwurfsmaterial fallen würde. 5.2 BGH – Geburtstagszug
88
Die E. des BGH „Geburtstagszug“ ist nicht zu Software oder einem anderen IT-relevanten Gegenstand ergangen, sondern zu Werken der angewandten Kunst und deren Urheberrechtsschutz.181 Der BGH bewirkt durch die Gleichsetzung tendenziell eine Absenkung der Anforderungen bei allen Werkarten, denen „handwerkliches“, auch etwas Technisches anhaftet, was bei Software der Fall ist und ab und zu bei OLG-Entscheidungen durchbricht.182 5.3 Websites
89
Auch Websites werden vom Software-Urheberrechtsschutz gem. § 69a ff. UrhG nicht erfasst,183 wohl aber die (Java- o.Ä.) Scripts, die diese Sites realisieren, eigentlich genauso Software i.S.v. Befehlsfolgen sind.184 Die ablehnend zitierte E. des OLG Frankfurt betraf eine
177 http://de.wikipedia.org/wiki/Unified_Modeling_Language: „Die Unified Modeling Language (Vereinheitlichte Modellierungssprache), kurz UML, ist eine grafische Modellierungssprache zur Spezifikation, Konstruktion und Dokumentation von Software-Teilen und anderen Systemen.“ (abgerufen am 11.11.2014). 178 Zur Modellierung von Anforderungen (im Bereich Versorgungsforschung) s. Kersting/Hauswaldt/ Lingner, GesundhWes 2012, 504; Jähnichen, in: Redeker/Hoppen (Hrsg.), DGRI Jahrbuch 2011, 2012, Formen Agilen Programmierens, S. 119 (125) (: „Bei diesen Verfahren werden alle beschreibenden Dokumente inklusive Code als Modelle des zu erstellenden Systems betrachtet, die jeweils aufeinander aufbauen und die Entwicklung als eine Serie von Modelltransformationen sehen, die manuell oder visionär, semiautomatisch erfolgen kann.“ 179 Karl, Der urheberrechtliche Schutzbereich von Computerprogrammen, 2009 (Diss. 2008), S. 61. 180 Karger, in: Schneider/Graf von Westphalen, Kap. A. Rz. 38: „Computergenerierte Programme sollen daher grundsätzlich ungeschützt bleiben“, dazu die Nachweise bei Grützmacher, in: Wandtke/Bullinger, UrhR, § 69a UrhG Rz. 32; Redeker, IT-Recht, Rz. 15. S. v.a. BGH v. 20.9.2012 – I ZR 90/09, Rz. 24 – UniBasic-IDOS bestätigend, wonach „lediglich die einfache, routinemäßige Programmierleistung, die jeder Programmierer auf dieselbe oder ähnliche Weise erbringen würde, schutzlos (vgl. BGH GRUR 2005, 860, 861 [= MMR 2005, 845] – Fash 2000, m.w.N.)“ bleibt. 181 BGH v. 13.11.2013 – I ZR 143/12, CR 2014, 161 – Geburtstagszug (Entwürfe für einen Zug aus Holz, auf dessen Waggons sich Kerzen und Ziffern aufstecken lassen). 182 S. etwa BGH v. 20.9.2012 – I ZR 90/09, CR 2013, 284 – UniBasic-IDOS, Rz. 23, 30. 183 Möhring/Nicolini/Kaboth, 3. Aufl. § 69a UrhG Rz. 7: die Website ist nicht Ausdrucksform des zugrunde liegenden HTML-Codes, s.aber zum möglichen Schutz EuGH v. 22.10.2010 – C-393/09, CR 2011, 221. 184 Str., zustimmend für die die Website steuernde Software Lehmann/v. Tucher, CR 1999, 700 (703), für Java (anders für HTML) Leistner, in: Bettinger/Leistner (Hrsg.), Werbung und Vertrieb im Internet, 2003, Kap. B. Rz. 20 f., Leistner/Bettinger, Beilage CR 12/1999, S. 1, 17; Cichon, ZUM 1998, 897, 899; Fromm/Nordemann/Vinck, 9. Aufl. § 69a Rz. 2, ablehnend Fromm/Nordemann/Czychowski 11. Aufl. 2014, Rz. 8. Z.B. ablehnend OLG Frankfurt v. 22.3.2005 – 11 U 64/04, CR 2006, 198; zu Oberfläche v.a. unter UWG-Aspekten s.a. H Rz. 178 ff.
1046 Schneider
Schutzvoraussetzungen, §§ 69a ff. UrhG
Rz. 92
G
Umschreibung, also eine Art mechanische Übersetzung von einem Format in ein anderes,185 was die restriktive Haltung rechtfertigt. Diese ist aber nicht generell zutreffend.186 S. näher zu Websites J Rz. 42 ff. Bei Cloud Services treffen sich in gewissem Sinne die Fragestellungen des Softwareschutzes 90 bzw. der urberrechtlich relevanten Handlungen mit den typischerweise für Websites relevanten Vorgängen. Eine der Fragestellungen ist, inwieweit das Auslesen der Website Inhalte (auch) Nutzung der die Repräsentation bewirkenden Software ist.187 Der Makel soll sein, dass sie keine „eigenständigen Funktionen“ ausführen.188 Dementsprechend ändert sich dieses Ergebnis wieder, wenn die Websites eigenständig ablauffähige Java-Applets enthalten.189 Für Cloud kommt wie bei Download die faktische Trennung der Lizenzen bzw. Rechte vom eigentlichen Programm zum Tragen. Gem. EuGH besteht aber eine enge Verknüpfung, indem „das Herunterladen einer Kopie eines Computerprogramms nämlich sinnlos (wäre), wenn diese Kopie von ihrem Besitzer nicht genutzt werden dürfte.“190 5.4 Schutzfähigkeit einzelner Teile eines Computerprogramms, BGH – UniBasic-IDOS Nach OLG Frankfurt wäre im Prozess, wenn Urheberrechtsschutz für Teile eines Computer- 91 programms begehrt wird, die Schutzfähigkeit des betroffenen Teils im Einzelnen darzulegen und ggf. nachzuweisen.191 Rz. 10 besagt: „Programmteile sind eigenständig schutzfähig, sofern sie das Ergebnis einer eigenen geistigen Schöpfung des Urhebers sind (Dreier/Schulze, UrhG, 4. Aufl., § 69a Rn. 12, Rn. 26 UrhG). Im Gegensatz zu Programmen von nicht unerheblichem Umfang, bei denen der Beweis des ersten Anscheins für die Schutzfähigkeit besteht (Dreier ebenda Rn. 29; BGH GRUR 2005, 860, 861 – fash 2000), werden in der Rspr. an die Annahme der Schutzfähigkeit von Programmteilen höhere Anforderungen gestellt (Dreier ebenda Rn. 29). In diesem Fall ist es Sache des Klägers, die Schutzfähigkeit gerade des übernommenen Teils darzulegen und gegebenenfalls nachzuweisen. Dies wäre etwa durch Vortrag zur Länge der ergänzenden Programmteile und der Komplexität der zu bewältigenden Aufgaben möglich (vgl. Dreier, Verletzung urheberrechtlich geschützter Software nach der Umsetzung der EG-Richtlinie, GRUR 1993, 781, 789).“192
Dies übersieht aber, dass gem. BGH UniBasic-IDOS die Anforderungen nicht zu steigern sind, wenn es etwa (nur) um Komponenten geht.193 Rz. 24: „…, dass bei komplexen Computerprogrammen eine tatsächliche Vermutung für eine hinreichende Individualität der Programmgestaltung spricht. Es ist daher in derartigen Fällen Sache des Bekl. darzutun, dass das Programm, für das Schutz beansprucht wird, nur eine gänzlich banale Programmierleistung ist oder lediglich das Programmschaffen eines anderen Programmierers übernimmt (vgl. BGH, a.a.O. – Fash 2000)“. Rz. 26: „grds. nichts Abweichendes, wenn – wie im Streitfall – auf der einen Seite das Computerprogramm des Berechtigten aus mehreren Komponenten besteht, die nicht
185 OLG Frankfurt v. 22.3.2005 – 11 U 64/04, CR 2006, 8 (von WORD in HTML); s.a. sehr restriktiv LG Frankfurt/M. v. 23.8.2006 – 2-06 O 272/06, CR 2007, 425 zu Bildschirmmasken u.Benutzeroberflächen. 186 S. LG Köln v. 20.6.2007 – 28 O 798/04, MIR 2007, 297 zum Schutz als Text und bildliche Darstellung (Banner) bzw. als Kunstwerk. 187 S. etwa zu Screen Scraping EuGH v. 15.1.2015 – C-30/14, allerdings nur zum Datenbankschutz, s. dazu I. 188 Fromm/Nordemann/