Welche Änderungen dies sind, wann Sie als Onlinehändler von diesen betroffen sind und wie Sie hier vorgehen müssen erfahren Sie im weiteren Beitrag:

1. Änderungen der Registrierungspflicht im Bereich von Serviceverpackungen

Zunächst gibt es zum Stichtag des 03.07.2021 Änderungen im Bereich der Serviceverpackungen.

Bei Serviceverpackungen handelt es sich um Verpackungen, in welchen vorher unverpackte Ware am Ort der Abgabe an den Verbraucher ausgehändigt oder geliefert werden.

Dies betrifft insbesondere den Gastrobereich.

Beispiele: Brötchentüten, Kaffeebecher, Pizzakartons, Tragetaschen, Aluschalen, Einweggeschirr, Take-a-way-Boxen

Für diese war es bisher möglich, dass der Lieferant der Serviceverpackungen sowohl die Registrierungs- als auch die Lizensierungspflicht übernimmt. Der (Gastro-) Betrieb der diese dann im Verkauf seiner Waren verwendete, musste sich selbst nicht registrieren.

Diese Möglichkeit wird mit Wirksamwerden zum 03.07.2021 eingeschränkt. Spätestens mit diesem Stichtag muss sich der Betrieb zusätzlich zu seinem Lieferanten beim Verpackungsregister registrieren. Wenn der Betrieb bereits wegen anderen Verpackungen beim Verpackungsregister registriert ist, so muss die Registrierung um Serviceverpackungen ergänzt werden.

Weiterhin möglich ist jedoch die Übertragung der Lizenzierung an den Verpackungslieferanten.

Wenn Sie daher als Händler solche Serviceverpackungen im Verkauf nutzen, müssen Sie darauf achten, sich bis zum 03.07.2021 über das LUCID-Portal der Zentralen Stiftung Verpackungsregister zu registrieren bzw. falls Sie schon registriert sind, die Serviceverpackungen zu ergänzen.

2. Informationspflichten für nicht systembeteiligte Verpackungen

Die zweite Änderung, welche zum 03.07.2021 in Kraft tritt, ist die bezüglich sogenannter „nicht systembeteiligter Verpackungen“, für welche bisher keine entsprechende Informationspflicht anfiel.

Hierbei geht es um Verpackungen,

• welche für den Transport der Ware genutzt werden
  • Paletten, Folien, Möbelverpackungen
• welche nach Gebrauch normalerweise nicht beim Privatverbraucher als Abfall anfallen, dies betrifft vor allem Großmengenverpackungen
• welche aufgrund von Gesundheits- oder Schadstoffrisiken nicht über das normale System zurückgegeben werden können
• Verpackungen von schadstoffhaltigen Gütern (Pflanzenschutzmittel, Öle, flüssige Brennstoffe

Für diese Verpackungen gilt, dass diese nicht am System beteiligt sind und am Ort der Übergabe unentgeltlich zurückgenommen werden müssen.

Um zu klären, ob eine Verpackung systembeteiligt ist oder nicht, kann entweder der Katalog der Zentralen Stiftung des Verpackungsregisters oder die Suchfunktion genutzt werden.

Eine Rücknahmepflicht besteht hierbei nur für Verpackungen von Waren, welche als Händler selbst vertrieben werden.

Zusätzlich muss der Verbraucher in angemessener Weise über die Rücknahmemöglichkeit informiert werden.

Wir empfehlen daher jedem Händler, welcher Waren verschickt bei welchen nicht systembeteiligte Verpackungen beim Endverbraucher anfallen, auf der Produktseite des jeweiligen Produktes über die Rücknahmemöglichkeit zu informieren.

Ein solcher Hinweistext könnte etwa lauten:

„Um die Rückgabequote zu erhöhen, sind wir verpflichtet nicht lizenzpflichtige Verpackungen unentgeltlich von Ihnen zurückzunehmen. Zu diesen gehören Transportverpackungen (auch Paletten) und Umverpackungen, die bei Ihnen nicht als Abfall anfallen würden, sowie weitere in § 15 VerpackG aufgeführten Verpackungen. Unsere Rücknahmepflicht betrifft restentleerte Verpackungen der gleichen Art, Form und Größe wie die, die Sie ursprünglich erhalten haben und von Waren stammen, die wir auch in unserem Sortiment führen.

Die Rückgabe kann am Ort der Übergabe stattfinden. Bei wiederkehrenden Lieferungen können Sie die Verpackung auch bei der nächsten Anlieferung zurückgegeben.“

Auf die durch uns zur Verfügung gestellten Rechtstexte haben die oben genannten Änderungen keine Auswirkung.

Über weitere Änderungen nach dem 03.07.2021 werden wir Sie entsprechend zu gegebener Zeit informieren.

Der Beitrag Änderungen am Verpackungsgesetz zum 03.07.2021 erschien zuerst auf Protected Shops.

Der Beitrag Altölverordnung- was Onlinehändler beachten müssen (Stand: Oktober 2020) erschien zuerst auf Protected Shops.

Weihnachten ist bekanntlich die umsatzstärkste Zeit des Jahres für Shop-Betreiber. Um auch nach dem Weihnachtsgeschäft erfolgreich zu bleiben, bietet es sich an, bereits jetzt vorausschauend zu handeln und Verkaufsaktivitäten weiter zu optimieren. Die Nutzung von Online-Marktplätzen, als additive Verkaufskanäle, liegt dabei auf der Hand. Das mag immer noch viele Händler zunächst abschrecken, da sie es für zu aufwendig halten. Doch die Erfahrung zeigt, dass hier besonders kleine bis mittlere Händler oftmals gute Gewinne realisieren können.

Die Anforderungen an wachstumsorientierte Online-Händler, die sich am Markt etablieren wollen, erfordern ein breit gefächertes Spektrum an Know-How. Neben dem Sourcen neuer Produkte, dem Verhandeln von Einkaufspreisen oder der Abwicklung von Bestellungen, ist auch die Erschließung neuer Absatzkanäle ein dauerhaftes Thema.

Die Nutzung eines Online-Marktplatzes kann ein solcher additiver Kanal sein. Viele Händler zögern jedoch, diesen Weg zu gehen, da sie mit einem zu hohen Aufwand rechnen, um einen Marktplatz-Shop zu betreiben. Jedoch generieren Online-Marktplätze mittlerweile rund die Hälfte des deutschen Umsatzes im Online-Handel.

Neben Plattformen aus den USA, auf denen für Händler eine hochkompetitive Situation untereinander, aber auch gegenüber dem Marktplatzbetreiber bestehen kann, gibt es auch etablierte Marktplätze aus Deutschland, die sich um eine professionelle Verkaufsabwicklung kümmern, ohne zeitgleich selbst als Mitbewerber einzugreifen.

Beachten sollte man bei der Wahl des passenden Marktplatzes, dass hier neben den technischen Möglichkeiten, wie zum Beispiel eine automatische Synchronisierung der Produktdaten, auch die rechtlichen Vorgaben korrekt umgesetzt sein sollten. Denn: Die Gesetzeslage im Onlinehandel ist für Rechtslaien sehr komplex und wird von einer in Deutschland etablierten Abmahnindustrie ausgenutzt. Besonders kleinere Händler sind davon betroffen und müssen bereits bei geringfügigen Verstößen um ihre Existenz fürchten.

Aufgrund solcher wettbewerbsrechtlichen Abmahnungen bietet der seit 2003 in Süddeutschland ansässige Marktplatz yatego seinen Händlern Sicherheit über eine Kooperation mit Protected Shops. Diese beinhaltet für jeden yatego-Händler die kostenfreie Integration und Nutzungsmöglichkeit der Rechtstexte wie AGB, Datenschutzerklärung, Widerrufsbelehrung und Impressum über eine automatische, integrierte Schnittstelle. Eine Haftungsübernahmegarantie für die erstellten Texte wird seitens Protected Shops als zusätzliche Sicherheit gegeben. Diese Absicherung geht über die reinen Rechtstexte hinaus. Mit regelmäßigen Handlungsanleitungen werden Händler über aktuelle rechtliche Neuerungen informiert.

Im Optimalfall können Online-Händler also über die Nutzung eines seriösen Marktplatzes Ihre Reichweite vergrößern und neue Zielgruppen für Ihr Sortiment gewinnen, ohne sich dabei Sorgen um rechtliche Rahmenbedingungen, die technische Anbindbarkeit und Synchronisierung oder die Nutzung Ihrer Performancedaten durch den Marktplatzbetreiber machen zu müssen.

Yatego ist als Online-Marktplatz aus dem Schwarzwald „Made in Germany“ und seit über 15 Jahren erfolgreich im E-Commerce tätig. Neben dem kostenlosen, persönlichen Support und einem schnellen, einfachen On-Boarding Prozess, kann der Marktplatz yatego ohne großen Aufwand für neue Händler erschlossen werden. Mehrere Tausend Händler bieten Millionen von Artikeln auf der Plattform an und sorgen so für einen kontinuierlichen Käuferstrom.

Neugierig geworden?

Protected Shops empfiehlt yatego.com als etablierten, langjährigen Kooperationspartner und rechtssicheren deutschen eCommerce Marktplatz.

Vereinbaren Sie jetzt eine unverbindliche Beratung mit einem Sales Consultant von yatego und überzeugen Sie sich selbst!

Nur bis zum 31.12.2019 und exklusiv über Protected Shops erhalten Sie Ihren yatego-Shop mit 2 kostenfreien Monaten zum Start, um yatego zu testen und sich von diesem tollen Sales Channel zu überzeugen.

Jetzt informieren

Der Beitrag Wie Onlinehändler ihren Umsatz steigern und dabei rechtssicher handeln erschien zuerst auf Protected Shops.

Wichtig: Die folgende Problematik bezieht sich nur auf eine persönliche Webseite / Ihren persönlichen Onlineshop. Bei Plattformen wie Ebay, Amazon und Yatego haben Sie als dort handelnder Händler keinen Einfluss und müssen sich hier um nichts kümmern. 

Worum es in dem Urteil ging, was der EUGH entschied und welche Folgen dies hat erfahren Sie in folgendem Beitrag. 

Hintergrund:

Bei Cookies handelt es sich um kleine Textdateien, welche von einem Browser auf dem Rechner eines Internetnutzers gespeichert werden und auch wieder ausgelesen werden können. Einerseits sind Cookies für grundlegende Funktionen einer modernen Webseite dringend notwendig, etwa für die Warenkorbfunktion eines Onlineshops, anderseits können kann mit Cookies auch das Nutzerverhalten auf einer Webseite nachvollzogen werden. Viele moderne Webanalysetools basieren auf dem Einsatz von Cookies.

Eigentlich gibt es schon seit über 15 Jahren eine europäische Regelung für Cookies durch die sogenannte Cookie-Richtlinie aus dem Jahr 2002. Hier wurde der Einsatz von Cookies erlaubt sofern der Nutzer über diese ausreichend informiert wurde und die Möglichkeit bekommt denm Einsatz von Cookies durch Opt-Out zu widersprechen. Als europäische Richtlinie musste diese vom deutschen Gesetzgeber in ein eigenes Gesetz umgesetzt werden, die eben genannte Regelung fand sich nun im § 15 (3) TMG.

Im Jahr 2009 wurde die Regelung der Cookie-Richtlinie auf europäischer Ebene in der Hinsicht abgeändert, dass nun für nicht technisch notwendige Cookies eine explizite Einwilligung, also ein Opt-In erforderlich wäre. Diese Regelung wurde vom deutschen Gesetzgeber jedoch nicht übernommen, in Deutschland blieb es bei der Opt-Out-Lösung des § 15 (3) TMG, die Bundesregierung hielt diese für ausreichend. Ob dies wirklich zutraf war in den vergangenen Jahren zwar immer wieder ein offener Streitpunkt, faktisch blieb es in Deutschland aber dabei, das im Gegensatz zu anderen europäischen Ländern keine Einwilligung in die Cookie-Nutzung notwendig war.

Eigentlich war geplant, die Internet-Thematik des Datenschutzes durch die parallel zur DSGVO verabschiedende e-privacy-Verordnung zu regeln, diese Verordnung wurde jedoch wegen Streitigkeiten auf EU-Ebene zunächst zurückgehalten, aktuell ist hier immer noch keine Einigung in Sicht. Die seit Mai letzten Jahres geltende DS-GVO, die damit einschlägig ist, trifft über Cookies in dem Sinne jedoch keine eigene Regelung.

Allerdings können durch Cookies personenbezogene Daten verarbeitet werden, für diese Verarbeitung wäre stets eine Rechtsgrundlage notwendig.

Abseits von speziellen Fällen bei welchen Cookies für die Vertragserfüllung einer Webdienstleistung notwendig sein können wären die denkbaren Rechtsgrundlagen für den Einsatz von Cookies die Einwilligung und die berechtigten Interessen.

Bei den berechtigten Interessen ist eine Interessensabwägung zwischen dem Nutzer und dem Webseitenbetreiber notwendig, hier war bisher umstritten ob sich hierauf ein Einsatz von technisch nicht notwendigen Cookies begründen lässt.

Das Urteil des EUGH

Der EUGH musste über die Cookie-Problematik im Rahmen einer BGH-Vorlage entscheiden.
Der zugrundeliegende Fall betraf einen Anbieter von Online-Gewinnspielen.

Dieser sah für Teilnehmer eines Gewinnspiels eine Cookie-Einwilligungserklärung vor, in welcher diese sich mit dem Einsatz eines Webanalysedienstes und interessensgerechten Werbung einverstanden erklären sollten.

Zwar war diese Erklärung mit einer Checkbox versehen, diese war jedoch bereits angekreuzt.

Gegen diese Einwilligungserklärung ging der Bundesverband der Verbraucherzentralen vor. Dieser Streit ging bis zum BGH, der dem EUGH dann mehre Auslegungsfragen bezüglich des europäischen Rechts vorlag.

So sollte der EUGH entscheiden, ob eine solch vorangekreuzte Einwilligung eine wirksame Einwilligung darstellt. Auch wollte der BGH wissen, inwiefern es eine Rolle spielt ob die Cookies personenbezogene Daten enthalten, und welche Informationen zu den Cookies zu erteilen sind.

Der EUGH bekräftigte zunächst, dass für das Setzen von Cookies sofern diese nicht technisch notwendig wären eine vorherige Einwilligung des Nutzers erforderlich sei, sich also nicht über berechtigte Interessen regeln lässt.

Für die Erteilung einer Einwilligung ist ein aktives Verhalten des Nutzers erforderlich, eine vorangekreuzte Checkbox wie hier würde dieses Merkmal nicht erfolgen.

Dies beträfe alle Cookies, unabhängig davon ob diese selbst personenbezogene Daten enthalten.

Die Richter entschieden, es müssen an der Stelle der Einwilligung alle Informationen gegeben werden, welche den Nutzer erlauben, eine informierte Entscheidung zu treffen welche Folgen mit der Einwilligung verbunden sind.

Welche Auswirkungen hat diese Entscheidung?

Zwar muss der BGH auf Basis der Antworten des EUGH noch abschließend über den vorliegenden Fall entscheiden, die Auswirkungen des Urteils sind jedoch schon jetzt relativ klar:

Alle nicht technisch notwendigen Cookies benötigen eine (eigene) Einwilligung.

Was sind Technisch notwendige Cookies?

Technisch notwendige Cookies sind alle Cookies welche direkt für den Betrieb der Webseite notwendig sind.

Betroffen sind:

• Cookies, welche einen Log-In, den Warenkorb oder Bestellverlauf ermöglichen
• Zur Wiedergabe von Videos oder Musik benötigte Cookies
• Cookies von Zahlungsanbieter, vorausgesetzt über diese erfolgt keine Analyse des Nutzerverhaltens
• Cookies für den Betrieb von Live-Chat-Systemen (ohne Analyse des Nutzerverhaltens)
• Cookies welche selbst eine Cookie-Einwilligung speichern.

Die wesentliche Frage ob ein Cookie technisch-notwendig ist oder nicht lautet:

Kann die Webseite in ihrer Grundfunktionalität ohne Einsatz des Cookies einwandfrei funktionieren.

 Welche Cookies benötigen eine explizite Einwilligung?

• Cookies für Webanalyse/ Tracking-Tools wie Google Analytics, Etracker, Econda
• Cookies für Retargeting / Remarketing-Anbieter (Google, Bing, Criteo, Nosto, Facebook Pixel)
• Cookies für Social-Media-Plugins (Facebook, Instagram, Twitter)
• Cookies für Affiliate-Programme
• Cookies für Youtube oder Vimeo-Videos
• Online-Kartendienste (Google Maps, Bing Maps, Open Street Maps)

Wann und wie ist eine Einwilligung einzuholen:

Eine solche Einwilligung ist einzuholen, bevor der jeweilige Anbieter bzw. Cookie eingesetzt wird. Nur mit gegebener Einwilligung darf der jeweilige Cookie dann abgelegt werden, also der jeweilige Dienst dann eingesetzt werden.

Nicht ausreichend ist ein reiner Cookie-Hinweis bei welchen nur über die Verwendung von Cookies informiert wird.

Wie die Einwilligung sinnvoll eingeholt werden muss, hängt jedoch auch vom jeweiligen Dienst ab.

So führt bei Webanalyse oder Retargeting-Tools kein Weg daran vorbei, ein Cookie-Banner der Webseite vorzuschalten. Sofern der Kunde nicht in die Cookies einwilligt muss ihm eine Webseite ohne Webanalyse gegeben werden bzw. es ist kein Retargeting erlaubt.

Bei einem eingebundenen Youtube-Video oder einem Online-Kartendienst kann stattdessen ein vorgeschaltetes Element an der Stelle wo dieses eingebunden ist, eine Einwilligung einholen.

Wird die Einwilligung nicht gegeben, so wird das Video oder die Karte entsprechend nicht eingebunden um eine Cookie-Setzung zu verhindern.

Wie kann das Einholen von Einwilligungen technisch umgesetzt werden?

Shop-Module:

Für verschiedene Shopsysteme gibt es bereits entsprechende Module. Wir bitten um Verständnis, das wir diese jedoch nicht explizit prüfen konnten ob diese alle Vorgaben erfüllen und hier daher keine explizite Empfehlung aussprechen können. Problematisch ist, etwa diese teilweise die Auswahl der Cookies so zusammenfassen, das der Nutzer in die „Webanalyse“ einwilligt. Zwar ist dies schon ein wichtiger Schritt, der sicherste Weg wäre jedoch, explizit die Einwilligung in etwa „Google Analytics“ zu erfragen.

Diese sind auch meist kostenpflichtig.:

Shopware:

https://store.shopware.com/res7213479024655/cookiebot-shopware-6.html
Prestashop:

https://addons.prestashop.com/de/rechtssicherheit/8296-gdpr-cookies-gesetz-hinweis-audit-sperrung.html

https://addons.prestashop.com/de/rechtssicherheit/15954-cookie-law-banner-cookie-blocker.html

Shopify:

https://apps.shopify.com/cookie-optimizer?surface_detail=Cookie&surface_inter_position=1&surface_intra_position=9&surface_type=search

JTL:
https://www.jtl-software.de/jtl-store/erweiterungen/cin-cookie-manager

Plentymarkets:
https://marketplace.plentymarkets.com/plugins/storefront/cookiecontrol_6594 (Aktuell nur für Google Analytics)

XT-Commerce:

https://addons.xt-commerce.com/de/Plugins/DSGVO/DSGVO:-Konformes-Tracking-fuer-Google-Analytics/AdWords-Facebook.html

WordPress:

https://de.borlabs.io/borlabs-cookie/?status=accepted&expires=1575795263&p_sid=30363&p_aid=52804&p_link=1589&p_tok=7582996b-ab56-4975-8913-e0731e47c2a1

Jimdo:

Jimdo hat laut eigener Aussage entsprechende Anpassungen gemacht, so dass Nutzer Cookies akzeptieren oder ablehnen können:
https://www.jimdo.com/de/magazin/eugh-urteil-cookies-opt-in-2019/#Hinweis

Hier wäre daher kein direktes Handeln notwendig

Content-Management-Tools:

Darüber hinaus gibt es sogenannte Content-Management-Tools welche systemübergreifend funktionieren können. Auch für diese gilt, dass wir hier aktuell keine explizite Empfehlung oder Überprüfung vornehmen können.

Beispiele:

Cookie-Hub:

https://www.cookiehub.com/prices
Kostenlos verwendbar, Premium-Variante mit Reports für 40€ Jährlich.

Cookie-Bot:

https://www.cookiebot.com/de/

Kostenlos mit Einschränkungen, Premium-Version für 9/21/37€ monatlich je nach Anzahl der Unterseiten.

Osano -Cookie-Consent:

https://www.osano.com/cookieconsent

Als Open-Source-Version mit Programmieraufwand kostenlos, ansonsten für unter 7.500 Pageviews kostenlos, darüber hinaus ab 99.99$.

Consent-Manager:

https://www.consentmanager.net/

Kostenlose Basis-Version bis 10.000 Pageviews/Monat, sonst ab 50€ pro Monat

Civic Cookie-Control

https://www.civicuk.com/cookie-control/v8/pricing

Kostenlose Basis-Version, kostenpflichtig ab 39 Pfund.

Klaro:

https://klaro.kiprotect.com/

Open-Source und kostenlos, allerdings mit Programmieraufwand

Onetrust:

Kostenlos in Grundfunktion, inklusive Scan der Webseite, allerdings für Einbau Programmieraufwand notwendig.

https://www.onetrust.com/free-edition/

Alle Tools haben leider gemein, dass technischer Aufwand betrieben werden muss, um diese auf seiner Webseite entsprechend einzubauen. Teilweise müssen hier etwa entsprechende Skripte eingebaut bzw. m0difiziert werden um eine Cookie-Setzung zu verhindern

Videos, Onlinekarten und andere Web-Elemente

Videos, Onlinekarten und andere Web-Elemente

Für Web-Elemente wie YouTube- oder Vimeo-Videos oder Einbindungen von Google Maps und ähnlichen Web-Elementen kann auch mit 2-Klick-Lösungen gearbeitet werden,
wodurch der Nutzer zunächst ein vorgeschaltetes Element statt (etwa) dem Video sieht und an Ort und Stelle entscheidet, dass er das jeweilige Element nutzen will und hier dem Einsatz von Cookies zustimmt.

Für YouTube-, Facebook- und Vimeo-Videos empfiehlt sich hier die Lösung Embetty, welche als Open-Source-Lösung von Heise Online angeboten wird.
Nähere Informationen dazu finden Sie hier:

https://www.heise.de/newsticker/meldung/Embetty-Social-Media-Inhalte-datenschutzgerecht-einbinden-4060362.html

Für Google Maps werden hier Javascript-Scripte kostenlos angeboten:

https://01-scripts.github.io/2Click-Iframe-Privacy/demo.html#foo

Fazit:

Durch das EUGH-Urteil kommt leider ein sehr leidiges Thema auf Onlineshop-Betreiber zu:

Es steht nun fest, dass ein Webseitennutzer in alle Dienste welche Cookies setzen und für den Betrieb der Webseite nicht zwingend notwendig sind einwilligen muss.

Unsere Empfehlung ist daher:

1. Prüfen Sie, welche Tools und Anbieter Sie aktuell auf Ihrer Webseite einsetzen, welche Cookies einsetzen.

Bei OneTrust:
https://www.onetrust.com/free-edition/
oder:

https://www.cookiebot.com/de/

lässt sich jeweils ein kostenloser Scan Ihrer Webseite anfordern, der Ihnen eine Übersicht über verwendete Cookies gibt.

2. Prüfen Sie, wie dringend Sie diese wirklich benötigen

Natürlich ist sowohl Webanalyse wie Retargeting / Remarketing ein sehr wichtiger Service im E-Commerce. Leider ist jedoch auch bei einer richtig umgesetzten Einwilligungseinholung zu befürchten, dass nicht alle Webseitennutzer aktiv in das Tracking einwilligen werden, was dazu führen wird, dass die Datenbasis für die Webanalyse kleiner wird.
Insofern ist hier zu prüfen, ob ein Einsatz hier weiterhin Sinn ergibt.
Der Open-Source Webanalysetool Matomo etwa lässt sich grundsätzlich ohne Einsatz von Cookies einsetzen, allerdings sinkt dadurch die Genauigkeit der Analyse und das statt dessen eingesetzte Trackingverfahren ist auch rechtlich nicht unproblematisch.
Insbesondere, wenn Sie Tools auf Ihrer Webseite einsetzen, welche Cookies setzen, Sie jedoch ohnehin keinen aktuellen oder großen Nutzen aus Ihnen ziehen, ist dies ein guter Zeitpunkt um diese stillzulegen.

3. Für alle Tools welche Sie als weiterhin als notwendig erachten, müssen Sie eine Einwilligung einholen

Hierfür gibt es schon verschiedene Lösungen wie oben ausgeführt, alle sind jedoch leider mit einem nicht zu vernachlässigenden Aufwand verbunden. Welche Lösung die richtige ist hängt hier sehr stark von Ihrem Shopsystem und der Anzahl der verbundenen Dienste zusammen.

Wir bitten um Ihr Verständnis, das wir keinen direkten technischen Support zum Einbau von solchen Lösungen bieten können.

4. Passen Sie Ihre Rechtstexte an

In den nächsten Tagen werden wir Sie darüber informieren, dass Sie im Rechtstextkonfigurator Ihres Onlineshops angeben können, ob Sie für die betroffenen Dienste eine Einwilligung beim Nutzer einholen. Im Anschluss an die Beantwortung müssten Sie die Rechtstexte erneut übernehmen.

Der Beitrag Google Analytics, Google Retargeting & Co – Das Cookie Problem  erschien zuerst auf Protected Shops.

Nun hat sich das Bundesverfassungsgericht erneut mit dem Sachverhalt beschäftigt und am 11.09.2019 ein Urteil getroffen (Az. 6 C 15.18). Das Ergebnis: Das Bundesverfassungsgericht folgte der Entscheidung des Europäischen Gerichtshofes. Werden im Hintergrund Daten von Nutzern gesammelt, sind nach Meinung der Richter die Betreiber der Seiten mitverantwortlich dafür und können entsprechend belangt werden. Die Datenerhebung wird zwar durch Facebook gesteuert und die Betreiber der Seiten können keinen Einfluss darauf nehmen, die Bundesrichter kamen aber trotzdem zu dem Schluss, dass die Betreiber durch das Bereitstellen der jeweiligen Seite eine datenschutzrechtliche Mitverantwortung tragen. Liegen schwerwiegende Mängel beim Datenschutz vor, dürfen Datenschützer deshalb nach Meinung des BVerwG von den Betreibern die Abschaltung der Seite verlangen.
Ob die Datenverarbeitung im konkreten Fall rechtswidrig ist, muss nun das Oberverwaltungsgericht(OVG) Schleswig-Holstein entscheiden.

Der Ursprung des Rechtsstreites liegt schon einige Jahre zurück. Im Jahr 2011 hatte das Unabhängige Landeszentrum für Datenschutz (ULD) von der Wirtschaftsakademie Schleswig-Holstein die Abschaltung ihrer Fanseite gefordert. Die Forderung wurde damit begründet, dass auf der Seite Daten von Besuchern erhoben würden, ohne dass diese im Vorfeld darüber informiert würden. Obwohl die technischen Voraussetzungen für den Betrieb der Seite und für die Datenerhebung durch Facebook geschaffen werden, sah man die Verantwortung für die Einhaltung des Datenschutzes auch bei der Wirtschaftsakademie. Die Akademie klagte zunächst erfolgreich gegen die Forderung. Der Europäische Gerichtshof entschied jedoch dass ein Betreiber einer Facebook-Fanpage mitverantwortlich ist. Das Bundesverwaltungsgericht musste dann auf Basis der Vorgaben des EUGH neu über den Fall entscheiden und gab den Fall nun selbst an das OVG Schleswig-Holstein zurück.

Nicht nur die Datenschutzbeauftragte des Landes Schleswig-Holstein zeigte sich nun sehr erfreut über das Urteil und bezeichnete den Beschluss als „Rückenwind für den Datenschutz“. Sie soll außerdem weitere Prüfungen auf Verstöße gegen den Datenschutz bei Facebook angekündigt haben.

Nun wird gespannt auf die Reaktion von Facebook auf das Urteil gewartet. Für die Betreiber von Fanseiten hängt es jetzt nämlich entscheidend von Facebook ab, welche Konsequenzen das Urteil für sie haben wird. Auch gilt es weiterhin, das Urteil des OGV Schleswig-Holstein abzuwarten. Spätestens, wenn sich die zuständige Datenschutzaufsicht bei einem Händler diesbezüglich meldet, muss jedoch geprüft werden, ob das Betreiben einer Facebook-Fanpage noch vertreten werden kann.

Der Beitrag Bundesverwaltungsgericht entscheidet: Datenschützer dürfen Facebook-Fanseiten abschalten lassen erschien zuerst auf Protected Shops.

Ob dies einen erfolgreichen Widerruf darstellt und welche Rechte und Pflichten Onlinehändler in dieser Situation haben, wird im folgenden Beitrag näher erläutert.

Stellt ein Nichtannehmen bzw. Nichtabholen einen Widerruf dar?

Nein!
Im Gesetz ist klar geregelt, dass der Verbraucher sein Widerruf erklären muss.
Zwar kann dies formlos passieren, ein kurzer Brief, eine E-Mail oder sogar ein Anruf genügt, die bloße Nichtannahme ist jedoch keine wirksame Widerrufserklärung.

In einem Urteil des AG Dieburg v. 04.11.2015 (  20 C 218/15 (21)) wurde klargestellt, dass eine Nichtannahme kein Widerruf darstellt. Hier hatte der Verbraucher die Annahme der Ware am Lieferort nach Ausladen der ersten drei Pakete abgelehnt. Fast zwei Monate später erklärte er sein Widerruf per E-Mail.
Das Gericht bestimmte hier, dass hier die Widerrufsfrist mit der Ablehnung der Ware begonnen hatte, da der Kunde grundsätzlich die Sachherrschaft über die Ware hatte, auch wenn er diese nicht behalten wollte. Dadurch war der Widerruf nicht rechtzeitig erfolgt.

Weniger klar ist die Rechtslage, so der Kunde die Annahme der Ware nicht explizit ablehnt, sondern diese nach erfolglosen Zustellungsversuch nicht beim Paketshop abholt und die Ware dann zurückgesendet wird. Auch hier stellt dies zwar kein Widerruf dar, es ist jedoch auch keine klare Annahmeverweigerung, hier ist es eine Sache des Einzelfalls ob der Kunde richtig informiert wurde und die ausreichende Möglichkeit zur Abholung hatte.

So der Vertrag weiterhin gültig bleibt, kommt der Kunde im Normalfall stattdessen in Annahmeverzug, unter der Voraussetzung, dass die Ware zum vereinbarten oder zu erwartenden Zeitpunkt an die vereinbarte Adresse (Leistungsort) geschickt wurde.

Muss der Händler die Ware erneut versenden?

Ja!

Sofern der Kunde dies wünscht, muss die Ware ihm erneut zugesendet werden.
Sollten hier neue Versandkosten anfallen, müssen diese vom Kunden getragen werden. Der Händler hat hier das Recht abzuwarten, bis diese Versandkosten vom Kunden überwiesen wurden bevor die Ware erneut versendet wird.

Kann man die zurückerhaltene Ware weiterverkaufen?

Jein

Regulär bleibt der Vertrag bestehen, der Verbraucher hat daher weiterhin Anspruch auf die bestellte Ware. Bei Einzelstücken, wie etwa einem speziellen gemalten Bild oder auch einer gebrauchten Ware, kann die Ware daher nicht weiterverkauft werden, da sie sonst nicht mehr übereignet werden könnte. Der Kunde hätte dann einen Schadensersatzanspruch gegen den Händler.

Handelt es sich dagegen um Ware, welche in dieser Form in ausreichender Menge vorliegt oder leicht wiederbeschafft werden kann, etwa bei einer CD, Buch oder auch Jeans, steht dem Weiterverkauf des betreffenden Artikels nichts im Wege, da dem Verbraucher, so gewünscht, ein anderes Stück derselben Gattung zugeschickt werden kann.

Kann der Händler Schadensersatz verlangen?

Ja!

Der Händler kann vom Verbraucher bei Annahmeverzug die Mehrkosten verlangen, welche ihm durch die nicht erfolgreiche Zusendung entstanden sind. Dies beinhaltet grundsätzlich die Kosten, die durch die Rücksendung entstanden sind, sowie die Kosten welche durch die Lagerung der Ware entstehen.

Kann der Händler vom Vertrag zurücktreten?

Ja!

Sofern der Händler dies wünscht, berechtigt der Annahmeverzug den Händler, vom Vertrag zurückzutreten.

Voraussetzung ist im Normalfall, dass dem Verbraucher eine angemessene Frist zur Annahme der Ware gesetzt wurde.
Keiner Frist bedarf es, wenn der Verbraucher ernsthaft und endgültig die Annahme verweigert, er also klar gemacht hat, dass er die Ware nicht mehr will. Ebenso bei Vorliegen besonderer Umstände, welche unter Abwägung der beiderseitigen Interessen den sofortigen Rücktritt rechtfertigen.

Im Falle eines Rücktritts müsste der Händler dem Verbraucher den Kaufpreis der Ware zurückerstatten, nicht jedoch die Kosten die für die Hin- und Rücksendung der Ware entstanden sind.

Sollten die Versandgebühren vom Händler nicht eigens ausgewiesen worden sein, sondern in den Verkaufspreis mit eingepreist, käme hier eine Kürzung um die tatsächlich entstandenen Versandkosten in Betracht. Ebenso kann der Kaufpreis um die entstandenen Kosten, wie etwa die Lagerkosten, gekürzt werden. Bei etwa verderblichen Waren, welche aufgrund der Lagerzeit und des Rücktransports nicht oder nur erschwert verkäuflich sind, sind weitere Minderungen bzw. ein Schadensersatz möglich. Voraussetzung ist jedoch stets, dass der Kunde sich auch in Annahmeverzug befindet.

Wer trägt die Haftung für die zurückgesendeten Ware?
Grundsätzlich liegt die Haftung für die Ware, bis sie beim Kunden eingetroffen ist, beim Händler. Nach Eintreten des Annahmeverzugs wird diese jedoch erleichtert. Jetzt haftet der Händler nicht mehr für leichte Fahrlässigkeit, sondern lediglich für grobe Fahrlässigkeit und Vorsatz. Bei einer Verschlechterung der Ware welche nur auf leichtem Verschulden des Händlers beruht, hat der Kunde daher keinen Schadensersatzanspruch sollte er die erneute Übersendung der Ware verlangen. Dies gilt auch, wenn der Händler keinen Einfluss auf die Verschlechterung der Ware hat, etwa bei verderblicher Ware die durch den Aufenthalt bei der Postannahmestelle oder den Rückversand Schaden nimmt.

Kann der Verbraucher zur Abnahme der Ware verpflichtet werden?

Grundsätzlich ja, dies wäre auch gerichtlich durchsetzbar. Ob ein solches Vorgehen wirtschaftlich sinnvoll ist, steht auf einem anderen Blatt.

Fazit:

Onlinehändlern stehen gut, sich ihrer Rechte gewahr zu sein, sollte ein Besteller eine bestellte Ware nicht annehmen. Denn grundsätzlich ist eine solche Nichtannahme einem Widerruf nicht gleichzusetzen.

Hier gilt es darauf zu achten, dass die Widerrufsfrist noch nicht überschritten wurde.

Mit Ablauf dieser Frist kann ein Onlinehändler sich jedoch regelmäßig auf den Annahmeverzug des Verbrauchers berufen, was den Händler mit einer Reihe von Erleichterungen und Rechten ausstattet.

So haftet der Händler dann nicht mehr für nur leichte Fahrlässigkeit, sondern kann außerdem Schadensersatzansprüche gegenüber dem Kunden geltend machen, wie etwa entstehende Lagerkosten.

Zwar muss, sofern der Kunde dies verlangt, die Ware ein weiteres Mal zugesendet werden, dieser erneute Versand kann jedoch von der vorherigen Begleichung der dadurch entstehenden Kosten abhängig machen.

Ebenso können Onlinehändler, normalerweise nach Einräumung einer letzten Annahmefrist, vom Vertrag zurücktreten oder den Kunden sogar gerichtlich zu Abnahme verpflichten.

Der Beitrag Der Kunde nimmt das Paket nicht an bzw. holt dieses nicht bei der Annahmestelle ab – Was sind Ihre Rechte als Onlinehändler? erschien zuerst auf Protected Shops.

Hintergrund:

Ob Datenschutzverstöße abmahnfähig sind, wurde in Deutschland bereits vor Einführen der Datenschutzgrundverordnung kontrovers diskutiert.

Mit Abmahnungen kann gegen wettbewerbsrechtswidriges Verhalten vorgegangen werden. Dadurch soll der faire Wettbewerb sichergestellt werden und die Gerichte entlastet werden.
Gegen den unlauteren Wettbewerb verstößt, wer einer gesetzlichen Vorschrift zuwiderhandelt, welche auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Darüber hinaus muss der Verstoß geeignet sein, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerber spürbar zu beinträchtigen.

Hieran knüpft der erste strittige Punkt, denn es ist zum aktuellen Zeitpunkt noch nicht geklärt, ob die Artikel der DSGVO als Marktverhaltensregeln gelten. Die DSGVO selbst enthält dazu keine klare Aussage. Die juristische Literatur war bereits nach alten Recht mehrheitlich der Ansicht, dass datenschutzrechtliche Normen im Einzelfall als Marktverhaltensregeln gelten können, hieran hat sich durch die DSGVO nichts geändert.

Der zweite Streitpunkt ist, ob die DSGVO-Regelung, nach der die Sanktionsmöglichkeiten der Aufsichtsbehörden vorbehalten sind, diese nicht so abschließend regelt, so dass eine andere Art der Rechtsdurchsetzung wie etwa durch Abmahnungen ausgeschlossen wäre.
Hier gibt es aktuell in der Literatur zwei Lager, welche diese Meinung entweder teilen oder ablehnen.

Inzwischen ergingen mehrere Urteile in dieser Sache, auf die im Weiteren eingegangen werden soll.

Gerichtliche Entscheidungen

1. LG Würzburg: Beschluss vom 13.09.2018 – 11 O 1741/18 UWG
   

   Abmahnfähigkeit bejaht

Abgemahnt wurde hier eine Rechtsanwältin, welche eine Homepage betrieb, offensichtlich ohne eine ausreichende Datenschutzerklärung vorzuweisen. Dies wurde vom Gericht ebenso moniert wie die Tatsache, dass die Homepage ein Kontaktformular vorwies, ohne dass die Webseite verschlüsselt gewesen wäre.

Das Gericht nahm hier unter Bezugnahme auf Urteile des OLG Hamburg und OLG Köln, welche sich noch auf die Rechtslage vor DSGVO bezogen an, dass diese Verstöße auch wettbewerbsrechtliche Verstöße sind und daher von Wettbewerbern abgemahnt werden können.

Allerdings ist das Gericht sehr dürftig in seiner Begründung, auch daher weil es als reiner Beschluss daherkommt und keine mündliche Verhandlung erfolgte. Auf die Frage, warum DSGVO-Verstöße Marktverhaltensregeln darstellen sollen wird vom Gericht in keiner Weise eingegangen.

2. LG Bochum – Urteil vom 7.8.2018 – AZ I-12 O 85/18

   Abmahnfähigkeit verneint

Zugrunde lag hier eine Abmahnung gegen einen Onlineshopbetreiber im Bereich von Druckerzeugnissen und Werbemitteln durch einen Mitbewerber.
Neben einer Reihe von fehlerhaften oder fehlenden Klauseln in der AGB wurde vom Abmahner auch das Fehlen von Pflichtinformationen aus Art. 13 DSGVO angegriffen, etwa die Kontaktdaten des Verantwortlichen oder die Information über das Bestehen der Betroffenenrechte.
Während die Richter die Rechtswidrigkeit der AGB-Klauseln bestätigte, lehnten sie dies für die Datenschutzbestimmungen ab.

Das Bochumer Gericht folgte hier der Begründung, dass die DSGVO in ihren Sanktionsmöglichkeiten der Aufsichtsbehörde bzw. der Möglichkeit des Betroffenen sich zu wehren abschließend ist, und daher ein Vorgehen durch Mitbewerber ausgeschlossen ist.

3. OLG Hamburg – Urteil vom 24.10.2018 – 3 U 66/17

   Abmahnfähigkeit bejaht

Im hier zu entscheidenden Fall wehrte sich eine Pharmafirma gegen die Praxis eines Mitbewerbes, auf den Bestellbögen von Therapieallergenen keine Einwilligung der Patienten in die Datenverarbeitung der Gesundheitsdaten einzuholen.

In der ersten Instanz des Landgerichts Hamburg hatte die Klage Erfolg, die Richter hatten die entsprechenden Regelungen im alten Bundesdatenschutzgesetz als Marktverhaltensregelungen eingestuft.
In der Berufung  vor dem OLG Hamburg machte das beklagte Pharmaunternehmen unter anderen geltend, dass die nun in Kraft getretene DSGVO Verstöße abschließend regelt, und daher die Klage des Mitbewerbers ausgeschlossen wäre.

Die Hamburger Richter lehnten diese Ansicht jedoch ab. Die DSGVO-Regeln zu Sanktionen habe keinen abschließenden Charakter der Abmahnungen verhindert.
Interessanter Weise lehnte der Senat jedoch die Ansprüche des Klägers ab, da es zwar ein Datenschutzverstoß annahm, im konkreten Fall sei jedoch keine marktverletzende Regelung betroffen. Denn weder würden Patienten hier als Verbraucher und Marktteilnehmer angesprochen, noch würde mit der Regelung zur Einwilligung in die Verarbeitung von Gesundheitsdaten bezweckt, dass Marktteilnehmer unter gleichen Marktbedingungen agieren.

4. LG Wiesbaden – 05.11.2018, Az. 5 O 214/18

   Abmahnfähigkeit verneint

Hier waren die Streitparteien zwei Auskunfteien – die Klägerin wollte die Beklagte daran hindern, unzureichende Auskünfte an Betroffene zu erteilen.

Das Landgericht Wiesbaden sah die Klägerin jedoch nicht als klageberechtigt an, da es, dem Landgericht Bochum folgend und sich auch auf dieses explizit beziehend, die DSGVO-Sanktionsmöglichkeiten als abschließend wertet, eine Abmahn- bzw. Klagefähigkeit eines Mitbewerbers sei daher ausgeschlossen.

5. LG Magdeburg – Urteil vom 18.Januar 2019

   Abmahnfähigkeit verneint

Hier wehrten sich Apotheker gegen eine Internetapotheke, welche über Amazon apothekenpflichtige Medikamente verkauft. Neben Verstößen gegen apothekenspezifische Gesetze und Verordnungen rügten die Kläger in deren Abmahnung auch Verstöße gegen den Datenschutz.

Das Landgericht Magdeburg erklärte die Apotheker bezüglich des Datenschutzes für nicht klagebefugt, und stellte ebenfalls auf den abschließenden Charakter der Sanktionsmöglichkeiten Datenschutzgrundverordnung ab.

Zwischenfazit:

Aktuell steht es vor deutschen Gerichten also 2:3
Während das LG Würzburg und das OLG Hamburg zu dem Schluss kommen, dass die Sanktionsregeln der DSGVO nicht abschließend sind und daher eine Abmahnfähigkeit von Datenschutzverstößen grundsätzlich bejahen, lehnen die Landgerichte aus Bochum, Wiesbaden und Magdeburg dies ab.
Bezüglich der Frage ob ein Datenschutzverstoß marktverhaltensregelnd sein kann, wird im Wesentlichen davon ausgegangen, dass dies sein kann, jedoch vom konkreten Fall abhängt.

Zum aktuellen Zeitpunkt ist die Frage der Abmahnfähigkeit von Datenschutzverstößen gerichtlich also noch völlig ungeklärt, auch das mit dem OLG Hamburg eine höhere Instanz dies bejaht hat, muss hier noch nichts heißen. Da es sich hier um eine europarechtliche Frage handelt, kann sie letztendlich nur der EUGH abschließend beantworten. Möglicher Weise findet das Gericht dazu schon bald Gelegenheit. Mehr dazu und Initiativen auf gesetzlicher Ebene im Folgenden:

Vorstehende EUGH-Entscheidung:

Aktuell ist beim EUGH ein Verfahren anhängig, bei dem es zwar nicht sicher aber doch wahrscheinlich ist, dass er auch zur Abmahnfähigkeit von Datenschutzverstößen Stellung nimmt.
Zugrunde liegt hier die Klage einer Verbraucherzentrale gegen über einen Onlineshop, da dieser den Facebook-Like-Button einsetzte, und damit Daten an Facebook übertragen wurden, auch ohne das der Besucher mit dem Button interagierte. (Näheres zu dieser Problematik hier)
Hier war eine der Fragen, welche dem EUGH vorgelegt wurde, auch, ob es europarechtlich zulässig ist, dass gegen Datenschutzstöße nicht nur durch Sanktionsmöglichkeiten der Aufsichtsbehörden und die Betroffenenrechte sondern auch durch gemeinnützige Verbände vorgegangen werden kann.

Es gilt abzuwarten wie das oberste europäische Gericht hier entscheidet, jedoch hat der EUGH in der Vergangenheit meist die Auslegung gewählt, bei welcher die Rechtsdurchsetzung des Unionsrechts am wirkungsvollsten scheint, was für ein Bejahen der Abmahnfähigkeit sprechen würde

Politische Gesetzesinitiativen

Schon früh gab es aus der großen Koalition Bestrebungen den Befürchtungen von DSGVO-Abmahnungen den Wind aus den Segeln zu nehmen. Von Unionsseite gab es Bestrebungen deklatorisch DSGVO-Abmahnungen auszuschließen, die SPD wollte jedoch lieber missbräuchliche Abmahnungen im Ganzen eindämmen.
Hierzu gibt es einen aktuellen Gesetzesentwurf des Bundesjustizministeriums, dieser befasst sich nicht mit DSGVO-Abmahnungen, soll jedoch mit verschiedenen Maßnahmen die Hürden für Abmahnungen zu erhöhen.
Vom Freistaat Bayern wurde ein Gesetzentwurf in den Bundesrat eingebracht, der u.a. das UWG um eine Klausel ergänzt hätte, dass DSGVO-Verstöße hiervon nicht betroffen wären, konnte sich jedoch damit nicht durchsetzen.

Fazit:

Ob Datenschutzverstöße abgemahnt werden können, ist aktuell weiterhin nicht vollständig geklärt. Die deutschen Gerichte sind sich uneinig, eine anstehendes Urteil des EUGH könnte hier möglicherweise mehr Klarheit bringen, jedoch ist aktuell noch unklar, wann dieses ergeht und wie deutlich die europäischen Richter hier werden.
Auch auf deutscher Gesetzesebene gibt es Versuche, DSGVO-Abmahnern oder auch missbräuchlichen Abmahnern den Wind aus den Segel zu nehmen, auch hier kann zum aktuellen Zeitpunkt jedoch noch nicht sicher gesagt werden, wo die Reise hingeht.
Bis jetzt ist auch die große DSGVO-Abmahnwelle ausgeblieben, wohl auch wegen der Unklarheit gab es zwar vereinzelte Abmahnungen in diesen Bereich aber eben nicht in höherer Zahl.
Gleichwohl sollte man dies nicht zum Anlass nehmen, Datenschutz auf die leichte Schulter zu nehmen. Denn in jeden Fall bleibt die Möglichkeit einer Datenschutzbehörde, ein Unternehmen bei signifikanten Datenschutzverstößen mit einem Bußgeld zu versehen. Und dieses kann mit einer maximalen Höhe von 20 Millionen bzw. 4% des weltweiten Umsatzes deutlich höher ausfallen als eine Abmahnung kosten würde.

Der Beitrag Abmahnfähigkeit von Verstößen gegen die DSGVO erschien zuerst auf Protected Shops.

Inhaltsübersicht:

1. Erste DSGVO-Bußgelder in Deutschland & Europa
2. EUGH-Urteil zu Facebook-Fanpage
3. VGH München- Einsatz von Facebook Custum Audiences ist datenschutzwidrig.
4. Amtsgericht Urteil zu DSGVO-Schadensersatz bei einmaliger unerlaubter E-Mailwerbung
5. BGH – Kundenzufriedenheitsanfrage per E-Mail erfordert grundsätzlich Einwilligung
6. Brexit: Großbritannien möglicherweise bald Drittland

1. Erste DSGVO-Bußgelder in Deutschland & Europa

Es dauerte eine Weile, aber inzwischen sind die ersten Bußgelder auf Basis der DSGVO einer deutschen Datenschutzaufsichtsbehörde verhängt worden. Der erste bekannte Fall betraf den Betreiber des Internet-Portals Knuddels.de, einer Social-Media / Chatplattform für Jugendliche, dieser musste Ende November 2018 20.000€ zahlen, da dort durch Hacker eine sechsstellige Anzahl Passwörter entwendet wurde, welche unzureichend geschützt waren. So waren die Passwörter im Klartext, also unverschlüsselt gespeichert.

20.000€ sind deutlich weniger als die Maximalhöhe von 20 Millionen € oder auch 4 % des weltweit erzielten Jahresumsatz eines Unternehmens, welche die DSGVO erlauben würde.
Die Aufsichtsbehörde begründete dies jedoch mit der hohen Kooperationsbereitschaft des betroffenen Unternehmens und der sofortigen Umsetzung von technischen Maßnahmen durch das Unternehmen. Auch habe das Unternehmen für die IT-Sicherheit und der Geldbuße insgesamt eine sechsstellige Summe aufwenden müssen.

Dies zeigt zum einen, dass das Verhängen von Bußgeldern keine theoretische Gefahr ist, es sich aber lohnt, im Falle eines Datenschutzverstoßes bestmöglich mit der Datenschutzaufsichtsbehörde zu kooperieren. Was bei einer Datenpanne zu tun ist, erfahren Sie hier.

80.000€ musste ein Unternehmen ebenfalls in Baden-Württemberg entrichten, da Gesundheitsdaten im Internet landeten.

In Nordrhein-Westfalen wurden bereits über 30 Bußgelder verhängt, allerdings noch in geringer Höhe.
Im vor kurzem veröffentlichten Tätigkeitsbericht von der baden-württembergischen Datenschutzbehörde wurde verlautet dass in einer Vielzahl von Fällen die Ermittlungen noch andauern, einige der Verfahren jedoch bald zum Abschluss kommen würden.
In Frankreich wurde gegen Google gar ein Bußgeld in Höhe von 50 Millionen wegen intransparenten Informationen zur Datenverarbeitung von der dortigen Datenschutzbehörde verhängt, gegen welches der Konzern jedoch vorgeht.

Die meisten Bußgelder erfolgen dabei aufgrund von Beschwerden durch Betroffene, welche die Aufsichtsbehörden zum Ermitteln zwingen.

2. EUGH-Urteil zu Facebook-Fanpage

Am 05. Juni 2018 hatte der EUGH über die Nutzung von Facebook-Fanpages zu entscheiden. Hintergrund war ein Streit zwischen der schleswig-holsteinischen Datenschutz-Aufsichtsbehörde und der Wirtschaftskammer des Bundeslandes. Der Landesdatenschützer hatte der Wirtschaftskammer das Betreiben einer Facebook-Fanpage untersagt, welche sich gegen diese Anordnung gerichtlich wehrte.
Eine Facebook-Fanpage kann von Unternehmen oder auch Privatpersonen verwendet werden, um mit Facebook-Mitgliedern in Kontakt zu treten. Wenn ein Facebook-Nutzer die Fanpage abonniert, bekommt er Nachrichten von dieser in seinem Newsfeed bei Facebook angezeigt.
Die Aufsichtsbehörde störte sich hier insbesondere an „Facebook Insight“, eine Trackingfunktion die von Facebook zur Verfügung gestellt wird, und sowohl Facebook als auch dem Fanpage-Betreiber Informationen über die mit der Seite interagierenden Facebook-Nutzern gab.
Unklar war vor dem EUGH-Urteil, ob hierfür Facebook allein datenschutzrechtlich verantwortlich ist oder ob auch der Betreiber der Fanpage mitverantwortlich wäre.

Die europäischen Richter entschieden, anders als die deutschen Gerichte, auf eine gemeinsame Verantwortlichkeit von Facebook und dem Seitenbetreiber der Fanpage. Denn erst durch das Erstellen der Fanpage durch den Betreiber würden die Datenverarbeitungen dort realisiert. Das Urteil erging zwar noch nach alter Rechtslage, ist jedoch direkt auf die DSGVO übertragbar.

An dem Status des (gemeinsamen) Verantwortlichen hängt eine Reihe von Pflichten und Auflagen für ein Unternehmen.
Insbesondere bedeutet das Urteil, das ein Unternehmen, welches eine Fanpage betreibt,  die umfassenden Informationspflichten der DSGVO zur Verarbeitung der Daten erfüllen muss, obwohl es auf die Datenverarbeitungen durch Facebook weder Einfluss noch genaue Erkenntnisse hat.
Auch können Nutzer grundsätzlich sowohl an Facebook als auch an das Unternehmen, welches die Fanpage betreibt herantreten um ihre Rechte wie etwa das Auskunftsrecht wahrzunehmen.

Aktuell ist weiterhin nicht abschließend geklärt, ob das Betreiben einer Fanpage zulässig ist, darüber muss das Bundesverwaltungsgericht, welches die europarechtlichen Fragen an den EUGH übergab nun anhand der Vorgaben entscheiden.
Von der Datenschutzkonferenz(DSK), der Konferenz der deutschen Datenschutzaufsichtsbehörden kam relativ schnell die Aussage, dass das Betreiben von Fanpages rechtwidrig wäre. Allerdings hat dies erstmal keine rechtliche Wirkung, sondern ist eben die Ansicht der Datenschutzaufsichtsbehörden, die sich bei gerichtlicher Klärung auch als falsch herausstellen könnte.

Auch Facebook reagierte, und stellt seit 11. September ein sogenanntes „Page Controller Addendum“ zur Verfügung. Hier akzeptiert Facebook die Hauptverantwortlichkeit, Unternehmen die Facebook Pages betreiben müssen jedoch die eigene Rechtsgrundlage für die Verarbeitung der Insight-Tracking Daten bestimmen, einen eigenen Verantwortlichen benennen und Nutzeranfragen oder Kontaktanfragen der Aufsichtsbehörde an Facebook weiterleiten.

Wichtig ist, insbesondere, eine Datenschutzerklärung in der Facebook-Fanpage einzubinden, in welcher auf das Page Controller Addendum hingewiesen wird. Hier muss eine Rechtsgrundlage angegeben werden, im Normalfall kommt hier ein berechtigtes Interesse in Betracht.

Aktuell ist nicht bekannt, dass Datenschutzbehörden wegen der Verwendung von Facebook Fanpages Bußgelder ausgesprochen haben, gleichwohl bleibt das Thema präsent. Insbesondere sobald das Urteil des Bundesverwaltungsgerichtes vorliegt kann dies erneut an Fahrt gewinnen.
Letztendlich muss jedes Unternehmen für sich entscheiden, ob der Marketingnutzen der Fanpage das potentielle Risiko eines Bußgeldes wett macht.

Fazit:

Das Betreiben einer Facebook-Fanpage ist aktuell nicht völlig ohne Risiko. Nach Ansicht der Datenschutzaufsichtsbehörden ist dies nicht datenschutzkonform möglich. Ob sich diese Ansicht durchsetzt wird sich erst noch herausstellen, in jedem Fall sollte jedes Unternehmen eine aktuelle Datenschutzerklärung in Ihre Fanpage einbinden.

3. VGH München- Einsatz von Facebook Custum Audiences ist datenschutzwidrig.

Mit Facebook Custom Audiences lassen sich beispielsweise Kundenlisten bei Facebook hochladen. Die Daten werden dabei mit einem sogenannten Hash-Verfahren verschlüsselt, Facebook gleicht die ebenso verhashten Facebook-Nutzer ab und erlaubt somit eine gezielte Ansprache von bzw. Werbung an (ehemalige(n)) Kunden.
An diesen Verfahren störte sich die bayrische Datenschutzbehörde für den nicht öffentlichen Bereich, sie untersagte einem bayrischen Online-Shop die weitere Nutzung und forderte die Löschung der bestehenden Listen.
Der betroffene Online-Shop wehrte sich gerichtlich, verlor jedoch sowohl vor dem VG Bayreuth als auch in der nächsten Instanz, dem VGH München.

Die übergebenen Daten wären weder ausreichend pseudonymisiert noch anonymisiert, da Facebook ja in der Lage ist, diese seinen Nutzern zuzuordnen. Hier läge auch keine Auftragsdatenverarbeitung vor, da Facebook hier nicht nur ausführendes Organ ist, letztendlich entscheidet Facebook wem Werbung präsentiert wird. Daher müsste eine Rechtsgrundlage vorliegen, eine solche sei hier nicht einschlägig. Letztendlich könnte diese Weitergabe auch nur über eine informierte Einwilligung eingeholt werden.

Fazit:
Aktuell kann von einem Einsatz von Facebook Custom Audiences nur abgeraten werden.
Denn dafür wäre wohl eine vorherige Einwilligung des betroffenen Kunden notwendig, es ist jedoch nicht denkbar wie diese sinnvoll eingeholte werden würde, und welcher Kunde darin so einwilligen würde. Ein Einsatz ohne Einwilligung jedoch ist aktuell wohl nicht zulässig und angesichts der potentiellen Bußgelder ein riskantes Unternehmen.

4. Amtsgericht Urteil zu DSGVO-Schadensersatz bei einmaliger unerlaubter E-Mailwerbung

Etwas beruhigen kann Newsletterversender das Urteil des AG Diez (Urt. v. 07.11.2018 -8 C 130/18). Dies hatte zu entscheiden, ob und in welcher Höhe ein Betroffener auf Basis der DSGVO Schadensersatz verlangen kann, wenn ihm eine unerlaubte Werbenachricht erreicht.
Der Kläger hatte vom Beklagten eine E-Mail erhalten, worin dieser in Hinblick auf die DSGVO eine Einwilligung zum Newsletterbezug erfragte. Da er aber wohl vorher keine Einwilligung eingeholt hatte, war diese E-Mail unzulässig, der Empfänger forderte daher einen Schadensersatz.
Der Beklagte zahlte zwar ohne Anerkenntnis außergerichtlich 50€, der Kläger forderte jedoch mindestens 500€ und zog dafür vors Gericht.

Grundsätzlich gewährt die DSGVO einer Person dessen Daten in irgendeiner Weise missbraucht wurden ein Schadensersatzanspruch.
Das Amtsgericht sah diesen jedoch hier kaum einschlägig, da dieser nicht für Bagatellverstöße ohne wirklichen Schaden gelten könne. Erforderlich wären ein spürbarer Nachteil und eine Beeinträchtigung von persönlichkeitsbezogenen Belangen. Durch eine einzige unerwünschte E-Mail würde kein nennenswerter Schaden entstehen. Da bereits vorgerichtlich 50€ geflossen waren, hielt das Gericht jedenfalls mit dieser Summe einen etwaigen Schaden für beglichen.

Zwar ist dies erst ein Urteil eines Amtsgerichts, dennoch ist es begrüßenswert, dass aus einer einmaligen unerwünschten E-Mail hier kein hohes Haftungsrisiko erwuchs.

5. BGH – Kundenzufriedenheitsanfrage per E-Mail erfordert grundsätzlich Einwilligung

Im zugrundeliegenden Fall wehrte sich ein Kunde gegen eine Email eines Amazon Marketplace Händlers, bei dem er zuvor ein Produkt gekauft hatte.
Der Amazon-Händler schickte ihm seine Rechnung und forderte ihn in dieser E-Mail darüber hinaus auf, ihn positiv zu bewerten. Hiergegen wehrte sich der Kunde wegen unerlaubter Zusendung von Werbung.
Der BGH bei dem der Fall schlussendlich landete erklärte das Vorgehen des Amazon-Händlers für rechtswidrig. Ein Kundenzufriedenheitsanfrage sei als Direktwerbung einzustufen und darf somit nur mit vorheriger ausdrücklicher Einwilligung verschickt werden.

Insbesondere hilft es aus Sicht der Richter nichts, die Kundenanfrage mit einer zulässigen Information wie den Rechnungsversand zu verbinden. Auch wenn die Zusendung einer Rechnung ohne Einwilligung zulässig ist, darf diese nicht zur Werbung missbraucht werden.

Dieses Urteil ging zwar noch nach altem Datenschutzrecht, ist jedoch problemlos übertragbar.

Fazit:
Kundenzufriedenheitsanfragen sind nach Ansicht des BGH klar Werbung und dürfen nur mit vorheriger Einwilligung verschickt werden. Auch ein Verknüpfen mit sachlich zulässigem E-Mailkontakt wie dem Zusenden einer Rechnung ändert hieran nichts.
Selbst ein bloßer Link im E-Mail-Footer welcher zur Bewertung auffordert sollte unterblieben, sofern keine Einwilligung vorliegt. Was Sie bei der Einwilligung zu beachten haben, erfahren Sie hier.

6. Brexit: Großbritannien möglicherweise bald Drittland

   Es sind nur noch wenige Wochen, nach wie vor ist jedoch völlig unklar ob es zum 29.03.2019 noch zu einem geregelten Abkommen zwischen der EU und Großbritannien kommt, zu einem ungeregelten Bruch oder zu einer Verschiebung der Frist.
   Sollte die Frist jedoch nicht verlängert werden, und es kein eigenes Datenschutzabkommen geben, und ein solches war zumindest bisher nie Thema der öffentlichen gewordenen Diskussion, so würde Großbritannien ab Ende März zum Datenschutzrechtlichen Drittland.

Dies betrifft alle Unternehmen, die Daten nach Großbritannien übertragen, etwa weil diese einen britischen Dienstleister einsetzen(z.B. Einsatz von Paymentdienstleister Skrill).

Für Datenübertragungen in Drittländer außerhalb der EU gelten nach der DSGVO besondere Regeln
Eine Datenübertragung wäre unproblematisch, so die EU-Kommission einem Land ein angemessenes Schutzniveau bescheinigen. Solche Garantien gibt es bereits für Länder wie die Schweiz, Norwegen, Kanada oder die USA(Privacy-Shield), ob Großbritannien jedoch eine solche (rechtzeitig) erhalten würde, ist mehr als fraglich.

Ansonsten bedarf es in den meisten Fällen eigenen Abkommen zwischen dem verantwortlichen Unternehmen und dem Auftragsverarbeiter, welche sicherstellen dass die Daten ausreichend geschützt sind. Am häufigsten kommen hier sogenannte Standardvertragsklauseln der EU-Kommission zum Einsatz.
So Daten auf Basis einer Einwilligung ans Drittland übertragen werden sollen, muss der Betroffene bei Einwilligungserteilung ausdrücklich informiert werden dass die Weitergabe ohne Angemessenheitsbeschluss oder andere Garantie erfolgt und er über die möglichen Risiken aufgeklärt werden.
Unproblematisch ist allerdings die Datenübermittlung, so diese zur Erfüllung oder Abschluss eines Vertrages erforderlich ist. Dies ist etwa der Fall bei einer Bestellung in ein Nicht-EU-Land wo durch den Versand eine Datenverarbeitung durch den nicht-europäischen Versanddienstleister erfolgt.

Fazit:

Angesichts der zerfahrenen Verhandlungen und den großen innenpolitischen Zerwürfnissen innerhalb Großbritanniens ist die Gefahr eines Austretens ohne Abkommen wahrlich nicht klein.
Unternehmen sollten daher schon jetzt prüfen, ob diese britische Dienstleister einsetzen oder andersweitig Daten nach Großbritannien übertragen.
Ist dies der Fall, sollten Vorkehrungen getroffen werden, etwa ein Abschluss eines neuen Auftragsverarbeitungsvertrag mit dem Dienstleister auf Basis der Standardvertragsklauseln der EU-Kommission.

Der Beitrag Die ersten Monate  DSGVO – Ein Überblick erschien zuerst auf Protected Shops.

Was war geschehen?

Der Verbraucherzentrale Bundesverband (vzbv) hatte beanstandet, dass bei der Online-Bestellung eines Smartphones einer Elektronikmarktkette, der Hinweis „Der Artikel ist bald verfügbar. Sichern Sie sich jetzt ein Exemplar.“ angezeigt wurde. Der vzbv hielt diese Angabe für unzulässig, weil sie gegen die gesetzliche Informationspflicht zur Angabe der Lieferzeit verstoße und hatte geklagt. Der beklagte Elektronikmarkt war der Auffassung, der Liefertermin müsse nicht angegeben werden, da der Kunde vor der Bestellung auf den unbekannten Liefertermin hingewiesen werde. Entscheidend sei, dass Kunden darauf hingewiesen werden, ob das Produkt verfügbar sei. Ihm stehe frei das Produkt zu bestellen, obwohl dieses nicht verfügbar sei.

Das Urteil

Das OLG München war der Auffassung, dass die unbestimmte Angabe zur Lieferzeit gegen die gesetzliche Informationspflicht der Elektronikmarktkette verstoße. Diese besagt, dass der Kunde noch vor Abschluss des Bestellvorgangs darüber informiert werden muss, bis wann die bestellte Ware spätestens geliefert werden muss. Der Hinweis „bald verfügbar“ erfülle diese Anforderung nicht. Es bleibe für den Verbraucher völlig offen, ob der bereits verbindlich bestellte Artikel in Tagen, Wochen oder Monaten verfügbar sei und wann er von der Beklagten ausgeliefert werde. Die Angabe „bald“ könne zwar im Sinne von „innerhalb kurzer Zeit“ verstanden werden, sei aber einem be­stimmten oder zumindest bestimmbaren (spätesten) Liefertermin nicht gleichzusetzen.

Fazit

Online-Händler sollten die Angaben zur Lieferzeit am besten auf der Produktseite platzieren, damit diese vor Abschluss des Bestellprozesses vom Kunden wahrgenommen werden können. Dabei ist darauf zu achten, dass der Hinweis so präzise wie möglich erfolgt. Zulässig sind Formulierungen, die es dem Verbraucher ermöglichen, den spätesten Lieferzeitpunkt auszurechnen. Unklare Formulierungen stellen ein Abmahnrisiko dar und sind zu vermeiden.

Der Beitrag OLG München: Vage Angaben zur Lieferzeit sind unzulässig erschien zuerst auf Protected Shops.

Was war geschehen?

Ein Unternehmen aus der Telekommunikationsbranche versendete eine E-Mail mit zulässi-gen Werbeinhalten an einen Geschäftskunden. Im Footer befand sich ein Link unter dem er explizit zur Teilnahme an einer Online-Umfrage zur Kundenzufriedenheit aufgefordert wurde. In der E-Mail Signatur warb das Unternehmen auch für aktuelle Handys, Tarife und persönliche Produktempfehlungen.
Der Kunde ging rechtlich gegen die Werbung in der E-Mail Signatur vor und wies darauf hin, dass er zu keinem Zeitpunkt seine notwendige Einwilligung erteilt habe und das Zusenden der Werbe-E-Mail daher unzulässig sei.

Die Entscheidung

Das AG Bonn gab dem Kunden Recht. Für den Fall, dass keine ausdrückliche Einwilligung erteilt wurde, ist es unzulässig, Werbe-Mails zu versenden auch wenn sich der unzulässige werbliche Teil lediglich in der E-Mail Signatur befindet. Der Begriff der Werbung umfasst alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Die Aufforderung zur Teilnahme an Produktumfragen des Unternehmens fällt unter diese Definition, da sie der Absatzförderung der Produkte des Unternehmens dienen kann und soll. Daran ändere auch der Umstand nichts, dass lediglich in der Signaturzeile Hinweise auf Kundenzufriedenheitsumfragen und persönliche Produktempfehlungen zu finden waren und die restliche E-Mail Ausführungen, die den Kunden betrafen, beinhaltete.

Fazit

Online-Händler, die E-Mails zu Werbezwecken versenden, müssen darauf achten, dass sie vorab eine ausdrückliche Einwilligung des Empfängers eingeholt haben. Dies gilt auch für Werbung, die in der Signatur der E-Mail beinhaltet ist.
Seit dem 25. Mai 2018 müssen außerdem die Anforderungen der DSGVO an eine rechtswirksame Einwilligung beachtet werden.

Mehr zur rechtskonformen Einwilligung finden Sie hier.

Der Beitrag AG Bonn: Unzulässige E-Mail Werbung auch im Footer erschien zuerst auf Protected Shops.