Dürfen apothekenpflichtige aber rezeptfreie Medikamente online verkauft werden?

2018 hat das Landgericht Dessau-Roßlau hat einem Versandapotheker aus Sachsen-Anhalt untersagt, apothekenpflichtige Arzneimittel über Amazon zu verkaufen. Dies gelte solange nicht sichergestellt ist, dass der Kunde spezifisch eingewilligt hat, dass seine Gesundheitsdaten gespeichert werden. Kurz es geht hier um Datenschutzthema und weniger um den reinen Online-Verkauf der Medikamente.

Das Landgericht Magdeburg entschied hingegen ein Jahr später den Verkauf von rezeptfreien apothekenpflichtigen Medikamenten bei Amazon als zulässig anzusehen. Und wenige Monate später (und damit die aktuellste Entscheidung zum Thema) entschied das OLG Naumburg sich der Ansicht des LG Dessau-Roßlau anzuschließen. Das Urteil des Landgerichtes Magdeburg wurde damit aufgehoben.

Medikamente online kaufen – ist das erlaubt?Anders als andere Gerichte hat das OLG die Datenschutzgrundverordnung (DSGVO) als Marktverhaltensregelung angesehen. Was rechtlich zur Folge hat, dass Verstöße gegen die DSGVO wettbewerbsrechtlich abgemahnt werden können. Ein Meilenstein beim Thema Datenschutz – wo bisher eher davon ausgegangen wurde, dass ausschließlich die Datenschutzbeauftragten der Länder zuständig sind.

Das Gericht argumentierte, dass  die DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten regele, wozu auch Gesundheitsdaten gehören. Obwohl die Daten, die Amazon für den Bestellvorgang erfasst, keine Gesundheitsdaten im engeren Sinne darstellen, so können aus den Bestelldaten Rückschlüsse auf die Gesundheit der Besteller gezogen werden. Dies gelte speziell für apothekenpflichtige Medikamente, besonders bei der Kombination aus mehreren Medikamenten. Damit sei durchaus einen Rückschluss auf den Gesundheitszustand der Besteller möglich.

Für die Verarbeitung von Gesundheitsdaten sei darüber hinaus eine wirksame Einwilligung des Kunden beim Bestellvorgang notwendig. Eine stillschweigende Einwilligung sei bei Amazon nicht erfüllt. Zudem dürften laut Berufungsordnung der zuständigen Apothekenkammer Sachsen-Anhalt patientenbezogene Daten nur gespeichert und genutzt werden, wenn eine vorherige schriftliche Einwilligung vorliegt.

Die Datenschutzbehörden der Länder sind an das Urteil des OLG Naumburg nicht gebunden. Es besteht jedoch für Versand-Händler das Risiko, dass die Behörden verschärft gegen Versandapotheken vorgehen werden.

Das OLG Naumburg hat im übrigen die Revision zugelassen – daher wird möglicherweise der Bundesgerichtshof am Ende über die Frage entscheiden.

Oberlandesgericht Naumburg, Urteil vom 7.11.2019; AZ – 6 U 6/19 –

Foto: Antonioguillem

Wie man ein Anhängen im Amazon-Shop verhindern kann

Rechtlich gesehen, lässt sich ein Anhängen an Amazon-Angebote durch Wettbewerber, wenn diese rechtswidrig sind, natürlich sehr einfach durch eine anwaltliche Abmahnung dauerhaft einschränken. Grundsätzliche Argumente zeigt ja bereits der erste Teil zum Thema „Anhängen bei Amazon“ in diesem Blog. Um eventuelle Ansprüche mit guten Erfolgsaussichten durchzusetzen, sind jedoch einige Punkte zu beachten, die immer wieder gern übersehen werden.

Testkauf und Dokumentation notwendig

Um Ansprüche, sei es aus dem Marken- oder auch dem Wettbewerbsrecht, gegenüber einem Mitbewerber bei Amazon durchzusetzen, ist eine gute Dokumentation Voraussetzung, um rechtlich einen Erfolg zu erzielen. Es sollte daher immer ein Testkauf beim Wettbewerber stattfinden, um so hinreichend zu dokumentieren, was unter einer bestimmten ASIN bei einer Bestellung tatsächlich ausgeliefert wird. Diesen Testkauf sollte man natürlich nicht mit eigenen gewerblichen Verkäufer-Account durchführen, sondern durch Dritte, die nicht mit diesem Account in Verbindung gebracht werden können. Anderenfalls würde der Mitbewerber sicher misstrauisch werden – und der Testkauf ins Leere laufen. Eine anwaltliche Rücksprache bei einem solchen Testkauf ist unter Umständen sinnvoll, damit am Ende keine rechtlich Nachteile entstehen.

Anhängen im Amazon-Shop verhindernArtikelbeschreibung ändern und anschließend abmahnen

Häufig zeigt sich, dass Händler eine ASIN bei Amazon selbst angelegt haben und somit auch die ASIN-Autorität haben, um diese Artikelbeschreibung auch selbst abzuändern. Was dabei unzulässig ist, ist aus einer ursprünglichen No-Name-ASIN plötzlich eine Marken-ASIN zu machen, um dann unverzüglich diejenigen abzumahnen, die sich immer noch an diese angehängt haben. Ein derartiges Vorgehen ist rechtliches Vergehen, auch im Markenrecht. Auch ein Austausch von Bildern eines ASIN-Produktes, um dann Mitbewerbern vorzuwerfen, sie würden etwas anderes, als auf dem Bild dargestellt, ausliefern, ist keine rechtlich einwandfreie Alternative.

Kontaktaufnahme zum Wettbewerber ohne Abmahnung?

Grundsätzlich ist es sicher immer Überlegung wert, nicht gleich eine Abmahnung auszusprechen, also gleich mit Kanonen auf Spatzen zu schießen. Man kann zunächst einen Wettbewerber (etwa per E-Mail) bitten, sich von der betroffenen ASIN zurückzuziehen. Eine derartige Bitte kann zweifellos Erfolg haben, ob es zielführend ist, hängt natürlich immer auch mit den beteiligten Personen zusammen. Eine Kontaktaufnahme zum Wettbewerber hat allerdings den Nachteil, dass, für den Fall dass diese keinen Erfolg bringt, die spätere Durchsetzung von Ansprüchen aus dem Wettbewerbsrecht oder Markenrecht durchaus erschwert werden kann. Hier wäre eine anwaltliche Begleitung durchaus wichtig, um nicht gleich am Anfang einen falschen Weg einzuschlagen. Und so die eigenen Umsätze gefährden.

Foto: Andrea Piacquadio

ASIN & Co.: Anhängen von Wettbewerbern bei Amazon verhindern

Viele Händler bei Amazon sind genervt, wenn sich andere Anbieter an „ihre“ ASIN anhängen. Diese „Amazon-Standard-Identifikationsnummer“ ist eine zehnstellige alphanumerische Produkt-Identifikationsnummer, die von den Amazon-Versandhäusern eingeführt wurde. Weitere Anbieter können sich jederzeit an eine Produktbeschreibung aus dem Produktkatalog bei Amazon anhängen wenn die Bedingungen stimmen. In diesem Fall wird der jeweilige Anbieter eines Produktes als Verkäufer mit aufgeführt. Unter Umständen steht derjenige damit sogar auch in der viel beachteten „Buy-Box“ auf den Suchergebnisseiten.

Gegen das Anhängen bei Amazon kann rechtlich mit unterschiedlichen Mitteln vorgegangen werden, jedoch ist das Anhängen an bereits vorhandene Produktbeschreibungen bei Amazon ist zunächst einmal grundsätzlich zulässig. Das ganze Prinzip Amazon baut in gewisser Weise darauf auf, dass ein Händler nicht, wie etwa bei eBay, eine eigene Artikelbeschreibung erstellt, sondern bereits vorhandene Artikelbeschreibungen nutzt.

Eigene ASIN ist eine gute Voraussetzung für exklusives VerkaufenAus Sicht der einzelnen Händler ist ein Anhängen jedoch von Nachteil, da sie so Umsatzverluste befürchten. Findet ein Kunde einen Artikel, so sollte daher aus Sicht des Anwenders eine Exklusivität die Top-Priorität sein. Um gegen ein Anhängen an eine eigene ASIN (die mit einer eigenen EAN bei Amazon angelegt wurde), vorzugehen, gibt es unterschiedliche rechtliche Ansätze. Die EAN, die „European Article Number“ ist die frühere Bezeichnung der Artikel-Identifikationsnummer der heutigen „Global Trade Item Number“. Sie stellt eine international eindeutige Produktkennzeichnung für Handelsartikel dar.

Was also könnte es für Gründe geben, andere Versandhändler davon abhalten, sich einzuklinken? Bei vielen Angeboten der großen E-Commerce-Plattform handelt es sich um No-Name-Produkte, die oftmals aus der gleichen Quelle aus Asien oder China stammen. Grundsätzlich ist es so, dass der jeweilige Anbieter verpflichtet ist, exakt das im Fall einer Bestellung auszuliefern, was in der Artikelbeschreibung beschrieben ist. Eine Abweichung zwischen dem angebotenen und dann später tatsächlich gelieferten Produkt ist wettbewerbswidrig. Es handelt sich hierbei um eine Irreführung und kann bereits dann gegeben sein, wenn das tatsächlich gelieferte Produkt nur „so ähnlich“ ist, wie das tatsächlich angebotene Produkt.

Immer mehr Amazon-Händler gehen daher dazu über, eine eigene Marke anzumelden. Eine eigene Marke hat, wenn sie richtig angemeldet wurde und auch als deutsche oder europäische Marke eingetragen ist, rechtlich weitreichende Folgen, denn nur der Markeninhaber erwirbt das Recht, die entsprechenden Markenprodukte unter diesem Markennamen anzubieten. Wichtig ist dabei, dass die Waren- und Dienstleistungsklassen, für die die Marke angemeldet wurde, auch wirklich stimmen. Damit ist ein „normaler“ Verkauf durch andere Händler quasi ausgeschlossen.

Weitere Aspekte zum Wettbewerb und exklusiven Verkaufen auf der E-Commerce-Plattform Amazon gibt es in Teil 2 von „Anhängen von Wettbewerbern bei Amazon verhindern„ zu lesen.

Foto: PixieMe

Wer online Bio-Lebensmittel verkauft, ist zur Angabe aller Öko-Kontrollnummern verpflichtet

Die EG-Öko-Verordnung regelt, dass für eine Öko-Zertifizierung von Betrieben, ein nach der Verordnung vorgesehenes Kontrollverfahren durchgeführt werden muss. Im Rahmen eines staatlich überwachten, aber ausschließlich privatrechtlich organsierten System müssen sie sich überwachen lassen. Dabei kann ein Betrieb unter den am Markt auftretenden Öko-Kontrollstellen frei wählen und mit jener seiner Wahl dann einen Vertrag schließen. Mit Urteil vom September 2018, stellte das OLG Celle folgerichtig klar, dass der Verkauf eines Bio-Lebensmittel ohne Angabe aller Öko-Kontrollnummern wettbewerbswidrig und damit abmahnbar ist.

Zur eindeutigen Identifikation erhält jede der Kontrollstellen dauerhaft eine eindeutige Nummer, eben besagte die Öko-Kontrollnummer. Diese Nummer ist für deutsche Stellen nach dem Schema „DE-ÖKO-xxx“ aufgebaut. Das niedersächsische Gericht hatte zu diesem Thema zu entscheiden, da ein Unternehmer auf einer Internet-Plattform Kokosöl unter Nutzung der Bezeichnung „Bio“ angeboten hatte, ohne dabei eine solche Öko-Kontrollnummer anzugeben.

Bio-Lebensmittel brauchen Öko-Kontrollnummern beim Online-VerkaufDafür wurde er von einem Verbraucherschutzverein abgemahnt und zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert, der er aber nicht nachkam. Woraufhin der Verein den Erlass einer einstweiligen Verfügung beantragte. Die Angabe der Codenummer stelle jedoch eine verpflichtende Information über Lebensmittel dar, so das Celler Gericht in seinem Urteil. Zu dieser gehören aber nicht nur Pflichtinformationen sondern auch solche, die sich aus anderen Rechtsakten ergeben.

Allgemein ist Online-Händlern geläufig, dass diese wenn, sie biologisch/ökologisch gekennzeichnete Erzeugnisse vertreiben möchten, sich einer vorherigen Kontrolle durch eine Kontrollstelle unterziehen, die Zertifizierung abwarten und dann die Öko-Kontrollnummern „ihrer“ Kontrollstelle angeben müssen. Das Gericht erkannte in seinem Urteil, dass die Angabe nur der „eigenen“ Öko-Kontrollnummer nicht hinreichend sei, schließlich würden die meisten Onlineshops ja auch fremde Ökoprodukte vermarkten. Konsequenterweise muss daher immer auch die Kontrollnummer angegeben werden, die für die Kontrolle desjenigen Unternehmers zuständig ist, der die letzte Erzeugungs- oder Aufbereitungs“handlung“ an dem speziellen Lebensmittel vorgenommen hat.

Ganz so kompliziert ist die Angabe der zusätzlichen Kontrollnummern nicht, denn nach Ansicht des OLG Celle müssen diese nicht notwendig in unmittelbarer räumlicher Nähe zu den Angeboten angegeben werden, sondern können auch etwa auf einer verlinkten Seite mit weiteren Produktinformationen enthalten sein. Es kann jedoch vermutlich nicht schaden, die „fremde“ Öko-Kontrollnummer direkt in der Artikelbeschreibung anzugeben.

Letztlich ist allen Onlineshops, die Lebensmittel mit Schlagworten wie „Bio“ oder „Öko“ bewerben anzuraten, zu überprüfen, wie gut sichtbar und deutlich lesbar die Angabe der Kontrollstellen-Nummern ist, das die letzte Erzeugungs- oder Aufbereitungshandlung an dem dort beworbenen Lebensmittel vorgenommen hat, tatsächlich ist. Vollständige Transparenz steht nach diesem Urteil klar im Vordergrund.

Urteil des Oberlandesgericht Celle vom 11.9.2018; AZ – 13 W 40/18 –

Foto: Jérôme Rommé

Einsatz von Google-Analytics wie bisher wird risikoreicher

Der nicht datenschutzkonforme Einsatz (nach DSGVO) von Google-Analytics auf Unternehmens-Webseiten ist offenbar weiter verbreitet als man allgemein denkt. Nach dem großen Spektakel im Mai 2018 hätte man denken können, das sei kein Thema mehr. Doch wie Fachleute berichten, werden Aufsichtsbehörden mehrerer Bundesländer mit einer regelrechten Beschwerdeflut konfrontiert. So heißt es, dass ein einzelner Beschwerdeführer für den Raum Hamburg 20.000 Unternehmenswebseiten gelistet hat, die allesamt in unzulässiger Weise Google-Analytics nutzen. Eine noch höhere Anzahl soll bei der zuständigen Behörde in Nordrhein-Westfalen mit 70.000 beanstandeten Seiten zu Bearbeitung anhängig sein.

Google-Analytics ist nach wie vor das populärste Webanalyse-Tool weltweit. Der kostenlose Dienst von Google kann für seine Nutzer die statistische Auswertung ihrer Seite übernehmen – und dokumentiert unter anderem die Herkunft der Besucher, ihre Verweildauer auf einzelnen Seiten, und Bereiche, in denen der Nutzer am meisten klicken. Und natürlich ist es so möglich, ein umfassendes Benutzerprofil von Besuchern einer Webseite zu erzeugen.

ebseitenbetreiber werden aber vermutlich beim Einsatz von Google-Analytics und anderen Tracking-Tools zukünftig nicht mehr ohne die Abfrage einer vorherigen Einwilligung auskommen können.

Best-Practice-Lösung beim Einsatz von Google-Analytics war bis jetzt die aktive IP-Anonymisierung und die Möglichkeit eines Opt-Outs (Widerspruchsmöglichkeit). Die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, vertrat sogar länger die Auffassung, dass ein datenschutzkonformer Einsatz von Google-Analytics & Co ohne eine vorherige Einwilligung der Webseitenbesucher grundsätzlich nicht möglich ist.

Wenn es um strittige Rechtsfragen zur DSGVO ging, hielten sich jedoch die Behörden bei der Verhängung von Bußgeldern bis dato meist zurück. Das könnte sich jetzt ändern. Durch die Cookie-Entscheidung des EuGH ist auch für die Aufsichtsbehörden in das Thema neuer Schwung gekommen. Nationale Gerichte, wie der Bundesgerichtshof, aber auch Behörden, werden beim Webtracking langfristig nicht gegen des Unionsrechts und dessen Auslegung durch den EuGH entscheiden oder agieren (können).

Die Aufsichtsbehörden werden daher nicht umhin kommen, so das Fachportal “datenschutzbeauftragter-info”als sich mit den genannten Massenbeschwerden in irgendeiner Art und Weise zu befassen. Welche behördlichen Maßnahmen künftig auf Betreiber zukommen werden, lässt sich jedoch nur schwer vorhersagen. Webseitenbetreiber werden aber vermutlich beim Einsatz von Google-Analytics und anderen Tracking-Tools zukünftig nicht mehr ohne die Abfrage einer vorherigen Einwilligung auskommen können. Wer auf Nummer sicher gehen möchte, sollte wohl besser zeitnah auf ein Opt-In umstellen.

Führt die Meldung einer eigenen Datenpanne automatisch zu einer Geldbuße?

Nach der Datenschutz-Grundverordnung sind die für Datenverarbeitung Verantwortlichen (die „Datenschutzbeauftragten“) eines Unternehmens verpflichtet, bei einer wie auch immer zustande kommenden Panne – bei der personenbezogene Daten im Spiel sind – die zuständige Datenschutzbehörde zu informieren. Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenpanne eventuell zu einem Bußgeldverfahren führt – also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist so einfach nicht der Fall.

Binnen 72 Stunden, nachdem Verantwortliche ein Problem entdeckt haben, sollten die entsprechenden Information übermittelt werden. Viele Datenschutz-Aufsichtsbehörden bieten dazu inzwischen die Möglichkeit über ihre Webseiten entsprechende Datenpannen online zu melden. Es ist also ein eher geringer Aufwand, der aber nicht dazu verleiten sollte, auf eine solche Meldung zu verzichten.

In bestimmten Fällen muss ein Unternehmen die Datenpanne auch den direkt Betroffenen, also etwa den Kunden melden. Voraussetzung ist, dass die Verletzung  zu einem voraussichtlich hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Als Firma muss man also eine Prognose treffen, ob ein solcher Fall eintreten wird. Datenpannen mit personenbezogenen Daten müssen gemeldet werden, sonst droht ein Bußgeld.Übrigens: die Benachrichtigung muss unverzüglich erfolgen und zudem in einer klaren und einfachen Sprache übermittelt werden.

Um es klar zu sagen: Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen zu bestehen scheint, ist dies sorgfältig zu dokumentieren und zu begründen.

Wie muss man als Unternehmer bei einer Datenpanne vorgehen?

Liegt hingegen die Verletzung personenbezogener Daten vor, sind für eine Risikobeurteilung insbesondere folgende Fragen zu stellen:

  • In welcher Form ist eine Datenpanne aufgetreten?
  • Welche Schäden können für die betroffene Person eintreten?
  • Durch welche Handlung und Umstände kann ein solches Schadensereignis eintreten?

So führt beispielsweise der Verlust von Kreditkartendaten durch ein Problem mit dem Server des Betreibers zum Risiko eines Kreditkartenmissbrauchs – und eventuell auch zu einem materiellen Schaden in Form einer unbefugten Kreditkarten-Nutzung.

Wobei nach dem Bundesdatenschutzgesetz einschränkend gilt, dass die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden darf. Das gilt auch für die Einleitung eines Strafverfahrens. Wer diese Zustimmung also nicht erteilt, braucht somit nicht zu befürchten, dass die Datenschutz-Aufsicht auf Grundlage der eigenen Meldung ein Bußgeld-Verfahren einleitet.

Aber, sollten Dritte die Datenpanne melden – so steht die gegebenenfalls bußgeldbewehrte Frage im Raum, warum die Verantwortlichen diese Panne nicht gemeldet haben.

Foto: fizkesstock.adobe.com

Urheber benennen – Verwendung von Fotos und was es für alle Internetnutzer bedeutet

Die Situation ist eigentlich mehr als eindeutig. Nichts ist umsonst, nichts geht einfach so – eigentlich ein Gemeinplatz. Und doch ignorieren Nutzer in Social-Media, auf Webseiten und in Foren permanent die klaren Rechte von Urhebern. Quellen müssen benannt werden, Urheber gegebenenfalls auch bezahlt werden. Bilder, Texte, Zeichnungen, Videos usw. usw. müssen entsprechend gekennzeichnet sein. Und last but not least hat die Erstellung ja auch irgendwann einmal Geld gekostet.

Besonders eklatant ist es bei Fotografen, deren Bilder quer über den Globus auftauchen, aber die nichts davon haben und die nicht einmal über eine Nennung identifizierbar gemacht werden. Tatsächlich dürfen sie auf eine solche Nennung sogar verzichten – doch was bedeutet das? Ganz einfach, bei Fotos entscheidet der Urheber, wie er oder sie das mit der Urhebernennung gerne hätte. Es besteht hier auch keine Pflicht zur Gleichbehandlung, so dass man als Fotograf schlichtweg völlig willkürlich entscheiden darf, ob Kunde Eins die Urhebernennung weglassen darf, Kunde Zwei sie aber anbringen muss.

Fotos haben immer UrheberUnd was passiert nun, wenn die Nennung nicht erfolgt? Vielfach scheint bei Internet-Nutzern die Auffassung zu bestehen, es handelt sich dabei um eine Art  Kavaliersdelikt. Dem ist mitnichten so, es sollte deutlich sein, dass es neben dem Verstoß gegen das Urheberrecht es auch zu Unterlassungs- und Schadensersatzansprüchen kommen kann. In der Praxis bedeutet es, dass man als Rechtinhaber sogar die Wahl hat, also etwa nur die unterlassene Benennung mit einer urheberrechtlichen Abmahnung verfolgen kann – aber auch hierfür Schadensersatz verlangen darf. Ist ein Foto ohne Nutzungsrecht und ohne Urhebernennung (eine allzu häufige Kombination) genutzt worden, hat der Fotograf gerichtsnotorisch meist Anspruch auf den doppelten Schadensersatz.

Ein spezieller Fall sind „Creative Commons“-Lizenzen (meist CC abgekürzt und für kommerzielle und nicht kommerzielle Nutzung, je nach Erlaubnis des Erstellers). Doch ganz entscheidend: Auch bei kostenlos gestellten CC müssen Benennungen stattfinden, ohne Wenn und Aber.

In der Praxis herrscht hier immer wieder Streit darüber, was passiert, wenn die Aufnahmen denn doch ohne die dort vorgesehene Namensnennung auf Webseiten oder in Social-Media benutzt werden. Nun, die Namensnennung bei CC-Bildern ist eine auf Vertragsebene vereinbarte Pflicht des Bildverwenders. Ganz deutlich sind daher auch die Konsequenzen: Wenn nun eine Aufnahme, die unter einer solchen Lizenz steht, ohne Namensnennung etc. benutzt wird, hat der Verwender mit Ansprüchen auf Unterlassung und Schadensersatz seitens des Fotografen zu rechnen.

Foto: Valerii stock.adobe.com

EuGH-Urteil: Cookie-Banner dürfen keine Voreinstellungen haben!

Die allseits bekannten und präsenten Cookie-Banner kennt man ja nun spätestens seit DSGVO-Zeiten auf fast 100% der deutschen Webseiten. Manche Menschen empfinden sie gar als störend, da die Geschwindigkeit mit der man als Surfer uneingeschränkten Zugang zu Webseite bekommt erkennbar eingeschränkt wird. Ungeduld an dieser Stelle gehört eben auch zum Internet.

Jetzt hat der EuGH entschieden, dass eine Voreinstellung – ein „Ich stimme zu“ als Default – nicht zulässig ist. Was bedeutet, dass Webmaster wohl noch einmal ihre Seiten anschauen müssen, damit es hier keinen Abmahngrund gibt. Kurz auf den Punkt gebracht: Der Nutzer muss selbst entscheiden können.

Cookie-Banner dürfen keine Voreinstellung (default) haben – so der EuGH.Wie war es dazu gekommen? In dem vom EuGH entschiedenem Fall ging es um die Klage der „Verbraucherzentrale Bundesverband“ gegen das Unternehmen „planet49″, das im Rahmen von Gewinnspielen Daten für Werbezwecke Dritter sammelte. Vor dem Klick auf den Absende-Button des Gewinnspiels fanden die Teilnehmer unter anderem ein vorangehaktes Kontrollkästchen, über das sie sich mit dem Einsatz von Cookies unterschiedlicher Anbieter einverstanden erklärten. Die Richter entschieden dazu ganz klar: Tracking-Cookies dürfen nur noch mit ausdrücklicher, informierter, nachweisbarer und widerrufbarer Einwilligung gesetzt werden.

Anwalts-Kollege Thomas Schwenke sieht da gar noch mehr im Argen: „Das deutsche Telemediengesetz erlaubt es im § 15 Abs. 3 TMG , “für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.” Diese Regelung kann nach dem EuGH-Urteil jedoch nicht mehr so verstanden werden, dass Cookies ohne Einwilligung der Nutzer auf deren Gerät verarbeitet werden können. Damit entschied der EuGH letzten Endes auch rückwirkend, dass die bereits 2009 eingeführte Cookie-Opt-In-Pflicht vom deutschen Gesetzgeber nie richtig umgesetzt wurde. Bislang wird von der EU-Kommission und der Bundesregierung die Rechtsauffassung vertreten, dass mit dem Telemediengesetz (TMG) eine adäquate Umsetzung erfolgt sei und die vorhandenen Cookie-Banner hinreichend sind.

Was heißt das nun für Webseitenbetreiber? Zur Einholung einer wirksamen Einwilligung empfiehlt sich die Einrichtung eines Cookie-Banners, das Nutzer nicht nur über den Einsatz von Tracking-Mechanismen informiert, sondern diesen auch die tatsächliche Wahl lässt, sich „einverstanden“ oder „nicht einverstanden“ zu erklären. Am rechtssichersten ist die Verwendung eines Banners, das in der Ausgangseinstellung beim Aufruf der Webseite jedes Tracking technisch unterbindet.

Foto: Drazen stock.adobe.com

Sind Google-Fonts eigentlich DSGVO-konform?

Wirklich? Datenschutz und Google-Fonts – wie sind da die Zusammenhänge werden sich viele Nutzer fragen? Nun, die Einbindung der Schriftarten auf der Webseite ist meist in nur wenigen Schritten erledigt, doch genau dort liegt die Crux. Bei der Nutzung wird eine Verbindung zwischen den Google-Servern und der Seite erzeugt. Und obwohl der Großkonzern Daten nur als allgemeine Statistik sammelt, wird eben doch die IP übermittelt. Kurz, es besteht die Möglichkeit, Nutzer zu identifizieren. Und das ist kaum im Sinne der europäischen Datenschutzverordnung und schon gar nicht der deutschen DSGVO.

Es gibt zwei „Modi“, in der denen Google-Fonts genutzt werden. Beim „Online“-Modus baut der Browser beim Laden der Webseite eine Verbindung zu Google auf. Dabei übermittelt der Browser des Nutzers verschiedene Informationen zur einheitlichen Darstellung der Webseite. Diese sind unter anderem verschiedene Browser- und Gerätedaten und auch die IP-Adresse des Nutzers selbst. Die Font-Dateien werden für ein Jahr auf dem Endgerät gespeichert, um die Ladezeiten der Webseiten, auf denen Google-Fonts verwendet wird, zu verbessern, so das Unternehmen.

Google-Fonts sind bei der Erstellung einer Webseite nicht unbedingt DSGVO-konform

Der andere Modus betriff den „Offline“-Bereich. Dabei lädt man die benötigten Fonts von den Google-Servern und speichert sie lokal auf dem Webserver. Die Verwaltung der Fonts ist dann – mittels CSS – wie bei jeder anderen Font-Familie möglich. Man verliert jedoch den Vorteil, dass die Aktualisierung der Schriftarten automatisch erfolgt, so dass es nun Aufgabe des Webseitenbetreibers ist und auch die Ladezeiten sich verlängern dürften.

Das Problem beim Online-Modus ist, dass der Browser des Nutzers die Fonts erst beim ersten Aufrufen der Webseite lädt. So kann man nicht eingreifen, bevor die Übermittlung der IP-Adresse stattfindet. Es ist somit praktisch unmöglich eine Einwilligung einzuholen, die den Ansprüchen der DSGVO genügt. Auch die Umsetzung des Widerspruchsrechts ist in der Praxis praktisch kaum lösbar.

Die alternative Rechtsgrundlage könnte eventuell so definiert werden: Die Verarbeitung stützt sich auf ein überwiegendes berechtigtes Interesse des Webseitenbetreibers. Dieses Interesse besteht in den Vorteilen, die die Nutzung der Fonts eben mit sich bringt: Verbesserte Ladezeiten und ein geringerer administrativer Aufwand sowie eine geräteübergreifende einheitliche Darstellung.

Ob das schon reicht um die Übermittlung der IP-Adresse und weiterer Gerätedaten an Google zu rechtfertigen, muss aber dahingestellt bleiben. Der Offline-Modus mag daher bis zu einer rechtlichen Klärung die sicherere Lösung sein.

Foto: devrawat21 stock.adobe.com

Gemeinsame Verantwortung für Daten-Übermittlung von Webseitenbetreibern und Facebook

Der so genannte „Like-Button” hat es in sich. Der leichtfertige Einsatz auf der eigenen Webseite, besonders fatal bei Business-Seiten, sollte im Zweifel vermieden werden. Nur wenn man sich klar macht, um was es geht und entsprechende Hinweise in der Datenschutzerklärung vorhanden sind, ist Einsatz von „Gefällt mir“-Klicks für Facebook sinnig. Der Grund: Ein Betreiber einer Webseite, so der Europäische Gerichtshof in einem Urteil vom Juli 2019, der den „Gefällt mir“-Button von Facebook benutzt, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Seite – gemeinsam mit Facebook – verantwortlich sein.

Die im konkreten Fall beklagte Fashion ID GmbH & Co. KG, ein deutscher Online-Händler für Modeartikel, nutzte den „Like“ / „Gefällt mir“-Button von Facebook. Diese Einbindung hat zur Folge, dass beim Aufrufen der Webseite der Beklagten die personenbezogenen Daten eines Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des Social-Media-Netzwerks Facebook ist oder gar den “Gefällt mir”-Button angeklickt hat.

Der Seitenbetreiber ist für die Übermittlung der Daten beim Like-Button verantwortlich - nicht was danach passiertDas beklagte Unternehmen kann für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vorgenommen hat, nicht als verantwortlich angesehen werden. Es erscheint nämlich schon auf den ersten Blick ausgeschlossen, dass das Unternehmen über die Zwecke und Methoden dieser Vorgänge entscheidet. Demgegenüber kann sie aber für die Vorgänge des Erhebens der Daten und deren Weiterleitung an Facebook als gemeinsam mit Facebook verantwortlich angesehen werden.

Der Betreiber einer Website hat für bestimmte Vorgänge wie das Erheben der Daten und deren Übermittlung an Facebook als (Mit-)Verantwortlicher seinen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben, wie etwa seine Identität und die Zwecke der Verarbeitung. Für den Fall, dass die betroffene Person ihre Einwilligung gegeben hat, ist festzustellen, dass der Betreiber diese Einwilligung vorher nur für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist, d.h. das eigentliche Erheben und die Übermittlung der Daten.

Für den konkreten Vorgang bedeutet es damit aber auch, dass das beklagte Unternehmen für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vornimmt, nicht als verantwortlich angesehen werden kann.

EuGH, Urteil vom 29.7.2019; AZ – C-40/17 –

Foto: Seika – stock.adobe.com