Bitte stellen Sie sich kurz vor. Was ist als Anwalt Ihr Fachgebiet?
Ich bin als Rechtsanwalt in der Kanzlei MAISCH MANGOLD SCHWARTZ in München tätig und im IT-Recht spezialisiert. Zu meinem Fachgebiet gehören alle Rechtsfragen, die mit dem Internet, Apps, Software oder Werbung zu tun haben.
Ich erstelle Verträge und AGB für Social-Media-Agenturen, Influencer, Blogger und Medienschaffende, berate Unternehmen bei der Umsetzung der Datenschutz-Grundverordnung und werde für Opfer von Internetkriminalität aktiv, um sie gegen unberechtigte Forderungen zu schützen. Daneben berate ich den Deutschen Skiverband e.V. im Bereich des Internetrechts mit Bezügen zum Sportrecht. Als betrieblicher externer Datenschutzbeauftragter unterstütze ich Unternehmen und Verbände bei der Einhaltung der DSGVO, v.a. im Marketingbereich.
Leidenschaftlich gerne halte ich Vorträge über Internetrecht und Cybercrime, vor allem im Rahmen der Expertenrunde Blackstone432 (www.blackstone432.de), die von dem IT-Profi und Interpol-Agenten Herrn Cem Karakaya und seinen Mitstreitern der Münchner Kripo geleitet wird.
Viele Selbstverleger starten anfangs mit einer einfachen Webseite ohne Impressum oder Datenschutzerklärung. Einige denken, dass es keinen Unterschied macht, weil sie erst anfangen und nur ein Buch geschrieben haben. Welche rechtlichen Punkte müssen die Selbstverleger beachten?
Wer sich im Internet geschäftsmäßig präsentiert und damit Teledienste anbietet, ist gem. § 5 Telemediengesetz (TMG) dazu verpflichtet, bestimmte Informationen über sich anzugeben.
Als Selbstverleger startet man seine Website nicht nur aus privaten Interessen, sondern auch um mit dem Vertrieb von Medien Geld zu verdienen. Daher unterliegen auch Selbstverleger der Impressumspflicht. Im Impressum muss eine zustellungsfähige Adresse stehen – ein Postfach reicht nicht aus.
Wer diesen Pflichten nicht nachkommt, muss damit rechnen, dass ihn ein Mitbewerber oder eine Wettbewerbszentrale abmahnt. Besondere Vorsicht sollte man walten lassen, wenn man im Internet AGB veröffentlicht, z.B. um seine Dienstleistungen als Blogger oder Journalist zu bewerben. Verbraucherzentralen mahnen diese oft (kostenpflichtig) ab.
Bezüglich der Datenschutzerklärung gilt dasselbe. Es ist kaum möglich eine Website zu betreiben, ohne dabei personenbezogene Daten zu verarbeiten.
Die Erhebung der IP-Adresse ist schon allein aus technischen Gründen notwendig. Man kann darüber streiten, ob eine IP-Adresse ein „personenbezogenes Datum“ ist, das nach der Definition des Gesetzes einer identifizierten oder identifizierbaren Person zugeordnet werden kann. Der Europäische Gerichtshof hält IP-Adressen für personenbezogene Daten (Az. C 582/14).
Sobald eine Erhebung personenbezogener Daten stattfindet, muss der Verantwortliche der Webseite (also in diesem Fall der Selbstverleger) Nutzer informieren, wie er deren Daten verarbeitet. Am einfachsten ist das in der Datenschutzerklärung der Website. Ich rate meinen Mandanten immer, dort auch die Pflichtinformationen anzugeben, die ihre Facebook-Fanseiten, Instagram- oder Twitterseiten betreffen. Daneben sollen sie noch die Datenverarbeitung angeben, wie sie mit potentiellen Neukunden, Interessenten und anderen in Kontakt treten.
Fehler im Umgang mit der Datenschutzerklärung können jederzeit bei Aufsichtsbehörden angezeigt und von diesen mit einem Bußgeld geahndet werden. Derzeit sind Aufsichtsbehörden stark überlastet, sodass es sein kann, dass die Ermittlungen erst später in Gang kommen.
Manche Selbstverleger haben auf ihren Webseiten Newsletter eingebaut. Brauchen diese immer Double-Opt-In und warum?
Wenn Nutzer einen Newsletter bestellen, müssen sie eine E-Mail-Adresse eingeben. Aus der Sicht des Webseitenbetreibers liegt eine „Erhebung“ von personenbezogenen Daten vor.
E-Mail-Adressen sind meist personenbezogen, weil sie in der Regel aus Namen aufgebaut sind. Webseitenbetreiber sind als datenschutzrechtlich Verantwortliche verpflichtet, die Einhaltung der Vorschriften der Datenschutzgrundverordnung nachweisen zu können.
Jede Datenverarbeitung muss rechtlich gerechtfertigt werden. Dazu gibt es bestimmte Rechtsgrundlagen, z.B. einen Vertrag oder eine gesetzliche Pflicht.
Werbemaßnahmen wie Newsletter lassen sich meist nicht mit einem Vertrag oder einem berechtigten Werbeinteresse des Verantwortlichen in Verbindung bringen. Daher bleibt ihm nur, auf die schwächste Rechtsgrundlage für Datenverarbeitung zurückzugreifen: die Einwilligung.
Mit Single-Opt-In kann der Webseitenbetreiber den Nutzer fragen, ob er dessen E-Mail-Adresse verwenden darf, um ihm den Newsletter oder weitere Werbung zuzuschicken.
Der Nutzer sollte auch bestätigen, dass er die Datenschutzerklärung gelesen hat, die ihn über die Art der Datenverarbeitung informiert. Das ist reine Formalität, die aber in Art. 5 Abs. 2 DSGVO vom Webseitenbetreiber verlangt wird. Datenschutzrechtlich wäre man nun aus dem Schneider.
Aber: Der Double-Opt-in, also die Überprüfung der Tatsache, dass der Berechtigte seine eigene E-Mail-Adresse eingetragen hat und nicht die eines Fremden, ist aus wettbewerbsrechtlichem Grund wichtig.
Gemäß § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) werden (Werbe-)E-Mails an Verbraucher als unzumutbare Belästigung = SPAM angesehen; wenn nicht bereits Kundenkontakt bestand und weitere Voraussetzungen erfüllt sind, die auf Newsletter-Besteller eines Selbstverlegers in der Regel nicht (nachweisbar) zutreffen.
Wer sich hier Fehler erlaubt, setzt sich der Gefahr von (massenhaften) Abmahnungen durch Mitbewerber und Wettbewerbszentralen aus, vor denen ich nur eindringlich warnen kann.
Wie verhält es sich bei Social Media-Seiten? Welche Punkte sind rechtlich zu beachten?
Auch bei Social-Media-Seiten ist man zu einem Impressum verpflichtet, weil man auch diese Seite geschäftsmäßig betreibt.
Der EuGH hat entschieden, dass der Betreiber einer Facebook-Fanpage Mitverantwortlicher bzgl. der dort stattfindenden Verarbeitung personenbezogener Daten ist (Rs. C-216/10). Daher muss der Betreiber eine Datenschutzerklärung bereitstellen. Rein rechtlich gesehen lassen sich Facebook-Fanpages derzeit nicht legal betreiben, worauf die deutschen Aufsichtsbehörden geschlossen immer wieder hinweisen. Was heißt das nun für den Selbstverleger? Wer jedes Risiko vermeiden will, sollte sich gegen eine Facebook-Fanpage entscheiden. Wer bereit ist, mit einem gewissen rechtlichen Risiko zu leben (dazu zählt offenbar auch die bayerische Staatsregierung: https://www.facebook.com/bayern/ ), der kann getrost seine Fanpage behalten. Als Münchner habe ich es der Staatsregierung gleich getan und halte an meiner Fanpage (vorerst) fest 😉
Es ist davon auszugehen, dass Facebook früher oder später sich den Forderungen der Aufsichtsbehörden annähern wird, wenn es um die Fanpage-Betreiber ernst werden sollte. Denn die Fanpage-Betreiber sind diejenigen, die mit Promotions Geld in die Werbekasse bringen.
Wer auf seinem eigenen, ausschließlich beruflich genutzten Instagram- oder Facebook-Konto Werbung für sein eigenes Buch macht, muss das nicht als Werbung kennzeichnen. Wer aber auf Social-Media-Kanälen Werbung für Dritte macht, sei es offen oder als Schleichwerbung (Influencer Marketing), muss sich mit den Anforderungen des Werberechts auseinandersetzen. Ansonsten ist ab einer gewissen, gerichtlich nicht eindeutig entschiedenen Anzahl an Followern das Risiko sehr hoch, kostenpflichtig abgemahnt zu werden. Öffentlichkeitswirksame Prozesse, wie z.B. jener um die Bloggerin Cathy Hummels, zeigen, wie schwierig die Rechtslage ist (https://www.lto.de/recht/nachrichten/n/lg-muenchen-i-4hko14312-18-cathy-hummels-instagram-werbung-kennzeichnungspflicht-gewerblich/ ). Es ist nur noch eine Frage der Zeit, bis die Rechtsfragen des Influencer Marketings dem BGH zur höchstrichterlichen Entscheidung vorgelegt werden – dieser wird dann hoffentlich, wie zuletzt das LG München (Urt. v. 29.04.2019, Az. 4 HK O 14312/18) von einem modernen, informierten Verbraucher ausgehen, der in der Lage ist, zu erkennen, dass Influencer mit tausenden Followern bezahlte Werbeträger sind, sodass nicht jeder einzelne Post als Werbung gekennzeichnet werden muss. Man wird sehen – ich bin gespannt. Bis dahin muss man vorsichtig sein oder sich beraten lassen.
Daneben sollte darauf geachtet werden, was auf der jeweiligen Plattform erlaubt ist und was nicht.
Auf Social Media hat sich durchgesetzt, auf die Startseite der Webseite oder bei Instagram auf den Anbieter Linktree zu verlinken. Rechtlich müsste das Impressum mit einem Klick erreichbar sein.Was sagen Sie dazu?
Der Bundesgerichtshof hat mit Urteil vom 20.07.2006 (Az. I ZR 228/03) entschieden, dass einer unmittelbaren Erreichbarkeit nicht entgegenspricht, wenn das Impressum erst durch mehrere Klicks von der Startseite aus zugänglich ist. Es sollte genügen, wenn die Erreichbarkeit im Sinne §5 Abs. 1 TMG über zwei Links gewährleistet ist. Was bei Linktree der Fall wäre.
Es sollte aber darauf geachtet werden, dass dem Nutzer deutlich wird, dass er auf diesem Weg das Impressum aufrufen kann. Da Linktree jedoch ein amerikanischer Anbieter ist, sollte in der Datenschutzerklärung darauf hingewiesen werden, dass Betroffene durch das Anklicken des Links auf eine Seite geleitet wird, die auf einem amerikanischen Server gehostet wird.
Was passiert, wenn die Social Media-Seiten rechtlich nicht richtig erstellt sind?
Verstöße gegen das TMG, die DSGVO oder das UWG können genauso abgemahnt und sanktioniert werden, als wäre es die eigene Website.
In welchen Fällen kommt es zu Abmahnungen?
Verstößt man gegen oben genannte Vorschriften, können alle diese Verstöße abgemahnt werden.
Typisch hierfür sind vor allem gänzlich fehlende Angaben, also ein fehlendes Impressum oder eine fehlende oder unrichtige Datenschutzerklärung. Auch die fehlende werbliche Kennzeichnung rückt immer mehr in den Fokus von Verbraucherverbänden und wird dementsprechend vermehrt abgemahnt.
Wenn ein neues Buch herauskommt oder ein altes wiederbelebt wird, organisieren viele Selbstverleger auf Social Media-Seiten Gewinnspiele. Dabei gibt es das Buch und andere Dinge (Postkarten, Lebensmittel, Gutscheine,…) als Gewinn. Was ist zu beachten?
Das kommt darauf an – sorry für die Juristenantwort.
Es kommt auf die Zielgruppe, die Plattform, die Gewinnerermittlung und andere Punkte an. In der Regel sollte ein Gewinnspiel nicht ohne vorherige Prüfung der Plattform-AGB und nicht ohne Gewinnspiel-AGB erfolgen.
In den Gewinnspiel-AGB sollte geregelt sein, wer der Veranstalter ist, wie lange der Aktionszeitraum geht und wer in welchem Alter teilnahmeberechtigt ist. Meist werden Freunde und Familienangehörige von der Teilnahme ausgeschlossen.
Weiters sollte normiert sein, wie die Teilnahme erfolgt: Beispielsweise durch ein Posting bei Facebook und welche Rechtsfolgen das hat: „Mit seinem Posting bestätigt der Teilnehmer, dass er mit diesen Teilnahmebedingungen einverstanden ist und die Datenschutzinformationen in § 10 zur Kenntnis genommen hat. Die Teilnahme ist unentgeltlich. Diese Teilnahmebedingungen und die Preise der Gewinne können jederzeit abgerufen werden unter: www.mms-law.de“.
Außerdem sollte die Gewinnermittlung und -bekanntgabe erklärt werden. Mit einem Änderungsvorbehalt, Klauseln zur Haftungsbeschränkung, dem Ausschluss des Rechtsweges, Angaben zum Wert der Preise und Datenschutzinformationen sichert man sich ab. Diese Gewinnspiel-AGB können auf der Facebook-Seite mit einem Hinweis im Anfangsposting und einem Link auf die Website, wo sie als PDF abrufbar sind, eingeführt werden.
Facebook sieht in seinen Gemeinschaftsrichtlinien vor, was erlaubt und was verboten ist. Wer hier einen Fehler macht, riskiert für Monate die Sperrung des Accounts. Es muss darauf hingewiesen werden, dass das Gewinnspiel in keiner Verbindung zu Facebook steht und in keiner Weise von Facebook gesponsert, unterstützt oder organisiert wird.
Einige Selbstverleger haben ihren Verlag im Ausland registriert, verkaufen aber auf dem deutschen Markt. Welche Pflichten fallen hier an?
Wer Verbraucher anspricht, die ihren Wohnsitz oder Aufenthalt in der EU haben, unterliegt dem europäischen Datenschutzrecht. Ganz gleich von welchem Standort aus verlegt wird.
Wer auf Deutsch wirbt, kann auch dem deutschen Werberecht unterfallen, wie zuletzt eine österreichische Influencerin erfahren musste.
Hier müsste im Einzelnen geprüft werden, um welches Land es geht, wie was vertrieben wird und welche steuerrechtlichen Regeln zu beachten sind.
Was passiert, wenn die Selbstverleger ihre Bücher nicht nach den rechtlichen Vorgaben gestalten?
Rechtliche Verstöße können abgemahnt und sanktioniert werden. Die Palette der rechtlichen Ansprüche sind vielfältig: Unterlassung oder Schadenersatz bei Verstößen gegen Urheber- oder Markenrecht.
Es kommt ganz darauf an, welche Rechtsverletzungen im Einzelfall vorliegen.
Manche Selbstverleger schreiben ihre Bücher nicht selbst, sondern geben den Text an einen Ghostwriter ab. Was ist in einer solchen Konstellation für beide Seiten zu beachten? Wie verhält es sich mit den Urheberrechten? Sind noch sonstige Rechte wichtig?
In diesem Fall ist der Ghostwriter der Schöpfer seines Werkes und somit Urheber. Als Urheber stehen ihm Urheberpersönlichkeitsrechte zu, die nicht abdingbar sind.
Ein Ghostwriter-Vertrag ist grundsätzlich zulässig, weil der Urheber selbst bestimmen kann, ob er als Urheber nach Außen in Erscheinung treten will oder nicht (§ 13 UrhG). Dadurch wird aber der Auftraggeber des Werks wegen des Schöpferprinzips trotzdem nicht selbst zum Urheber.
Gibt sich der Auftraggeber als Urheber aus, täuscht er möglicherweise den Käufer über eine verkehrswesentliche Eigenschaft des Werks und riskiert wettbewerbsrechtliche Folgen.
Natürlich kann es auch mit dem Ghostwriter Schwierigkeiten geben.
Dreh- und Angelpunkt ist ein gut verhandelter Full-Buy-Out-Vertrag, in dem alle Verwertungsrechte exklusiv an den Auftraggeber übertragen werden.
Aber Vorsicht: Nach zehn Jahren darf der Ghostwriter gem. § 40a UrhG das Werk anderweitig verwerten. Etwa einem anderen Auftraggeber verkaufen. Hier könnte sich also das Ghostwriting offenbaren.
Selbstverleger erstellen zum Teil ihre Buchcover selbst. Hier raten einige Anbieter dazu, sich Fotos von Fotodatenbanken zu holen. Wie sehen Sie diese Situation?
Fotos sind in der Regel urheberrechtlich geschützt, wenn sie über das rein Alltägliche hinausgehen (sogenannte Schöpfungshöhe). Um diese rechtlich sicher zu verwenden, müssen die entsprechenden Vorschriften beachtet werden, weil bei einer mangelhaften Urhebernennung Abmahnungen drohen. Bei jedem Foto muss zunächst nachgeforscht werden, wer der tatsächliche Rechteinhaber ist, welche Rechte an dem Werk erworben werden können und was erlaubt ist (etwa Bearbeitungen oder Verwendung für redaktionelle Zwecke).
Fotodatenbanken erleichtern die Auswahl von Fotos, schützen aber nicht davor, dass Dritte Fotos unrechtmäßig hochladen. Die meisten Fotodatenbanken wie z.B. iStock schließen die Haftung vertraglich in solchen Fällen aus. iStock-Nutzungsverträge laufen beispielsweise nach kanadischem oder US-Recht.
Wer auf Nummer sicher gehen will, lässt sich Bilder von einem Auftragsfotografen machen oder überzeugt sich von der Rechtmäßigkeit des Uploads, indem er den Urheber kontaktiert.
https://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpg00Dr. Marc Maischhttps://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpgDr. Marc Maisch2019-10-14 09:11:542019-10-14 09:11:54Was müssen Selbstverleger im Internet beachten?
Facebook muss nicht nur Hasskommentare löschen, sondern auch gleichlautende und (!) ähnliche Kommentare suchen und weltweit löschen, wenn der Betroffene einen Inhalt als rechtswidrig gemeldet hat.
HIntergrund ist ein Fall am Obersten Gerichtshof Österreichs, der Anfang 2018 dem EuGH vorgelegt hatte. Darin ging es um Beleidigungen gegen die frühere Parteichefin der österreichischen Grünen, Eva Glawischnig-Piesczek. Facebook-Nutzer bezeichneten sie u.a. als „korrupten Trampel“ und „miese Volksverräterin“. Neben einer Unterlassungsverfügung gegen diese Hasskommentare, hatte die Politikerin auch die Löschung wortgleicher und sinngleicher Beleidigungen gefordert. Ob dies mit der EU-Richtlinie über den elektronischen Geschäftsverkehr vereinbar ist, hat der EuGH heute bejaht, AZ: C-18/18.
Dank dieses Urteils eröffnen sich neue Möglichkeiten, um Opfer von Hassnachrichten effektiver zu schützen.
Wenn Sie Fragen zur Löschung von Hassnachrichten haben, sprechen Sie uns gerne an:
https://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpg00Dr. Marc Maischhttps://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpgDr. Marc Maisch2019-10-03 11:30:102019-10-03 11:33:06Hassnachrichten: EuGH verbessert den Schutz von Persönlichkeitsrechten
Im Bestreben, die Kontrolle zurückzuerlangen und um sich besser zu schützen, muss erstmal klar sein, welche Unternehmen was über einen wissen. Dazu ist jedermann berechtigt, von jedem Unternehmen Auskünfte verlangen, ob und welche Daten mit Bezug auf den Betroffenen verarbeitet werden. Auch Daten, die von Unbekannten z.B. durch Fake-Profile angelegt wurden, sind Daten, die Bezug zu der Person des Opfers aufweisen. Betroffenenrechte bilden einen wichtigen Beitrag, um Licht in die Schattenseiten der Digitalisierung zu bringen. Mit der Erkenntnis, wer was über einen weiss, kann gehandelt werden: Opfer können in den Grenzen der Datenschutz-Grundverordnung Berichtigung, Einschränkung, Löschung von Daten verlangen, die unrichtig oder von Dritten ohne Rechtsgrund über sie gespeichert und weitergegeben wurden. Zudem können Opfer in Erfahrung bringen, an welche Auskunfteien, Werbedienstleister oder Versicherungen falsche personenbezogene Daten weitergegeben wurden und diesen Datenflüssen nachspüren. Die Inanspruchnahme von Betroffenenrechten bildet daher einen wichtigen Schritt, neben technischen Schutzmaßnahmen, um Opfer in die Lage zu versetzen, Schadensfälle einzudämmen und sich präventiv besser gegen neue Angriffe zu schützen. Soweit sich herausstellen sollte, dass mangelhafte Datenschutz- und Datensicherheitsmaßnahmen für den Identitätsmissbrauch (mit-) ursächlich gewesen sind, stehen den Opfern zivilrechtliche Ansprüche auf Schadenersatz und Schmerzensgeld gegen die verantwortlichen Unternehmen offen. Flankierend können aufsichtsbehördliche Maßnahmen aufgrund von Beschwerden eingeleitet und das Unternehmen durch Androhung von Sanktionen zu einer Verbesserung des Datenschutzes bewegt werden.
In der Praxis sind Opfer von Identitätsmissbrauch in der Regel verzweifelt und suchen häufig vergeblich nach Hilfe und Sofortmaßnahmen ausgeliefert. Die Justiz verfügt nicht über die Kapazität, Verbraucher zu informieren – meist bleibt es bei einer Anzeige, die ins Leere läuft. Verbrauchern ist damit nicht geholfen. Informationsangebote, die Verbrauchern „Erste Hilfe“ im Missbrauchsfall bieten, um diesen mit einfachen Handlungsanweisungen zu helfen, fehlen fast vollständig. Auch fehlt es an Informationsangeboten, die Verbrauchern das Zusammenwirken aus Digitalisierung, insbesondere dem leichtfertigen Umgang mit persönlichen Daten und Cybercrime, verdeutlichen. Neben Informationsangeboten fehlt es aber vor allem an einer technisch und rechtlichwirksamen Umsetzung der DSGVO-Betroffenenrechte. Das vom Gesetzgeber gut gemeinte Regelwerk stellt Verbraucher vor viele praktische Herausforderungen: Diese beginnen mit der Form der Antragstellung, dem Antragsinhalt und fehlenden Kenntnissen, in welchem Umfang personenbezogene Daten mitgeteilt werden müssen, um eine Identifizierung der betroffenen Person zu ermöglichen. Ohne die Feststellung der Antragsberechtigung sind Unternehmen verpflichtet, Anträge zu Betroffenenrechten abzulehnen. Hinzu kommt häufig das rein tatsächliche Problem, den richtigen Ansprechpartner oder Antragsempfänger eines Unternehmens, das aus verschiedenen Gesellschaften besteht, zu adressieren. Schwierigkeiten zeigen sich auch bei der Interpretation von Auskünften und wie Opfer weiter vorgehen können.
Wer Opfer von Identitätsdiebstahl bzw. „Identitätsklau“ geworden ist, sollte schnell handeln und einen Rechtsanwalt kontaktieren, um die eigene Reputation und Bonität wiederherzustellen.
https://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpg00Dr. Marc Maischhttps://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpgDr. Marc Maisch2019-08-01 19:35:502019-08-01 19:35:50Wie kann man sich vor Identitätsdiebstahl schützen?
Von „Alexa“, dem Sprachassistenten, der alle Gespräche mithört, über neue Bewegungsprofile durch E-Scooter und zum Smart Home: Alle Lebensbereiche werden vollständig digitalisiert. Nichts geht mehr ohne die Verarbeitung von personenbezogenen Daten, um sich zu identifizieren oder zu bezahlen. Doch es gibt Schattenseiten: Identitätsmissbrauch. Neue Zahlen belegen, dass Verbraucher immer häufiger vom Missbrauch ihrer personenbezogenen Daten zur Begehung von Straftaten bedroht sind. Vielfach werden Identitäten für Betrugs- und Geldwäschedelikte, aber auch zur Erpressung (auch mit Privatfotos, sog. „Sextortion“) oder zum Cyber-Mobbing verwendet.
Bereits im Jahr 2016 ermittelte die Unternehmensberatung PwC, dass jeder dritte Deutsche schon einmal von einem Identitätsdiebstahl betroffen gewesen ist. Warenkreditbetrug sei die häufigste Masche. Mehr als ein Viertel der Geschädigten habe Rechnungen für Einkäufe erhalten, die sie nie getätigt haben. Von Konto-Abbuchungen, die nicht zuzuordnen waren, berichten mehr als 20 Prozent. Knapp 30 Prozent der Opfer haben durch diesen Identitätsdiebstahl einen finanziellen Schaden von durchschnittlich 1.366 Euro erlitten.[1]
Im Jahr 2017 wurden bereits 49% der deutschen Nutzer Opfer von Internetkriminalität, wie der bitkom Digitalverband erhoben hat.[2] „Rund jeder Fünfte gibt an, dass Zugangsdaten zu Online-Diensten wie Sozialen Netzwerken oder Online-Shops gestohlen (19 Prozent) oder persönliche Daten illegal genutzt (18 Prozent) wurden. Rund jeder Sechste (16 Prozent) ist beim Online-Shopping oder Online-Banking betrogen worden.“
Nach einer FORSA-Umfrage aus dem Jahr 2018 mit 2.040 Teilnehmern, gaben 12 Prozent der Befragten an, bereits Opfer von Identitätsmissbrauch gewesen zu sein. 10 Prozent der Befragten sei ein finanzieller Schaden durch Identitätsmissbrauch entstanden und 30% Prozent teilten mit, jemanden zu kennen, dessen Daten für Identitätsmissbrauch verwendet wurden.
Opfer von Identitätsmissbrauch werden meist kalt erwischt. Wer rechnet schon jeden Tag damit, dass ein Unbekannte im eigenen Namen im Internet auf Shopping-Tour gehen, Facebook-Konten hacken, um den eigenen Freunden gefährliche Links zu schicken oder in das Online-Bankkonto einbrechen? Nicht nur haben Opfer meist mit gravierenden rechtlichen und finanziellen Folgen zu kämpfen, z.B. Abwehr von unberechtigten Forderungen, die Wiederherstellung der Bonität oder technische Prävention weitere Schadensfälle. Die Opfer leiden meist unter der traumatischen Erfahrung, die Kontrolle darüber verloren zu haben, wer was über sie weiss und warum. Das Grundvertrauen in die Sicherheit der (mittlerweile lebensnotwendigen) Datenverarbeitung ist zudem nachhaltig erschüttert.
https://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpg00Dr. Marc Maischhttps://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpgDr. Marc Maisch2019-08-01 19:30:072019-08-01 19:30:07Was ist Identitätsdiebstahl?
Identitätsdiebstahl ist der Missbrauch von personenbezogenen Daten (Identität). Das können z.B. der Name in Kombination mit dem Geburtsdatum, Adresse oder Bankdaten sein. Anders als in den USA ist Identitätsdiebstahl in Deutschland kein eigener Straftatbestand. Zu diesem Thema habe ich am 5. März 2019 auf Einladung der Meko Factory einen Vortrag in Berlin gehalten. Einen schönen Bericht hat Frau Claudia Kleine dazu verfasst: https://www.freitag.de/autoren/claudia-kleine/wenn-die-eigene-identitaet-missbraucht-wird
https://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpg00Dr. Marc Maischhttps://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpgDr. Marc Maisch2019-03-07 09:54:092019-03-07 09:54:09„Wenn die eigene Identität missbraucht wird“
Am 05.06.2018 hat der EuGH entschieden, dass Nutzer, die bei Facebook eine Fanpage betreiben, für diese datenschutzrechtlich eine Mitverantwortung tragen. In großer Panik haben viele Unternehmen ihre Fanpages gelöscht – das halte ich für überstürzt, denn:
Wer einen Account oder Fanpage zu ausschließlich privaten und familären Zwecken nutzt, ist von der Datenschutz-Grundverordnung (DSGVO) nicht betroffen.
Die Vorabentscheidung des EuGH klärt nur, wie weit der Begriff der „verantwortlichen Stelle“ auszulegen ist. Unmittelbare Auswirkung auf die Haftung von Fanpage-Betreibern hat das nicht.
Der dem Verfahren zugrunde liegende Sachverhalt ist veraltet – längst hat Facebook Erläuterungen zur Datenverarbeitung mit Cookies in seiner Datenschutzrichtlinie nachgebessert. Über das Seitenimpressum der Page kann zudem eine externe Datenrichtline eingepflegt werden.
Die Datenschutz-Grundverordnung sieht das Konstrukt der „Gemeinsamen Verantwortung“ gem. Art. 26 DSGVO vor. Facebook könnte auf die Nutzer im Geltungsbereich der DSGVO zugehen und die gemeinsame Verantwortung regeln, sodass klar ist, wer welche Pflichten hat und wie sich die Haftung für mögliche Datenschutzverstöße durch Facebook auf Fanpage-Betreiber auswirkt.
Abzuwarten bleibt auch die endgültige Entscheidung des Bundesverwaltungsgerichts – erst diese unmittelbare Rechtswirkung für deutsche Fanpage-Betreiber haben.
Mehr dazu in meiner Urteilsanmerkung in der Legal Tribune Online vom 6.6.2018:
https://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpg00Dr. Marc Maischhttps://mms-law.de/wp-content/uploads/2017/10/MMS6.png.jpgDr. Marc Maisch2018-06-09 10:12:322018-06-09 12:12:515 Gründe warum Fanpages nicht gelöscht werden müssen
Was müssen Selbstverleger im Internet beachten?
Datenschutzrecht, UrheberrechtBitte stellen Sie sich kurz vor. Was ist als Anwalt Ihr Fachgebiet?
Ich bin als Rechtsanwalt in der Kanzlei MAISCH MANGOLD SCHWARTZ in München tätig und im IT-Recht spezialisiert. Zu meinem Fachgebiet gehören alle Rechtsfragen, die mit dem Internet, Apps, Software oder Werbung zu tun haben.
Ich erstelle Verträge und AGB für Social-Media-Agenturen, Influencer, Blogger und Medienschaffende, berate Unternehmen bei der Umsetzung der Datenschutz-Grundverordnung und werde für Opfer von Internetkriminalität aktiv, um sie gegen unberechtigte Forderungen zu schützen. Daneben berate ich den Deutschen Skiverband e.V. im Bereich des Internetrechts mit Bezügen zum Sportrecht. Als betrieblicher externer Datenschutzbeauftragter unterstütze ich Unternehmen und Verbände bei der Einhaltung der DSGVO, v.a. im Marketingbereich.
Leidenschaftlich gerne halte ich Vorträge über Internetrecht und Cybercrime, vor allem im Rahmen der Expertenrunde Blackstone432 (www.blackstone432.de), die von dem IT-Profi und Interpol-Agenten Herrn Cem Karakaya und seinen Mitstreitern der Münchner Kripo geleitet wird.
Viele Selbstverleger starten anfangs mit einer einfachen Webseite ohne Impressum oder Datenschutzerklärung. Einige denken, dass es keinen Unterschied macht, weil sie erst anfangen und nur ein Buch geschrieben haben. Welche rechtlichen Punkte müssen die Selbstverleger beachten?
Wer sich im Internet geschäftsmäßig präsentiert und damit Teledienste anbietet, ist gem. § 5 Telemediengesetz (TMG) dazu verpflichtet, bestimmte Informationen über sich anzugeben.
Als Selbstverleger startet man seine Website nicht nur aus privaten Interessen, sondern auch um mit dem Vertrieb von Medien Geld zu verdienen. Daher unterliegen auch Selbstverleger der Impressumspflicht. Im Impressum muss eine zustellungsfähige Adresse stehen – ein Postfach reicht nicht aus.
Wer diesen Pflichten nicht nachkommt, muss damit rechnen, dass ihn ein Mitbewerber oder eine Wettbewerbszentrale abmahnt. Besondere Vorsicht sollte man walten lassen, wenn man im Internet AGB veröffentlicht, z.B. um seine Dienstleistungen als Blogger oder Journalist zu bewerben. Verbraucherzentralen mahnen diese oft (kostenpflichtig) ab.
Bezüglich der Datenschutzerklärung gilt dasselbe. Es ist kaum möglich eine Website zu betreiben, ohne dabei personenbezogene Daten zu verarbeiten.
Die Erhebung der IP-Adresse ist schon allein aus technischen Gründen notwendig. Man kann darüber streiten, ob eine IP-Adresse ein „personenbezogenes Datum“ ist, das nach der Definition des Gesetzes einer identifizierten oder identifizierbaren Person zugeordnet werden kann. Der Europäische Gerichtshof hält IP-Adressen für personenbezogene Daten (Az. C 582/14).
Sobald eine Erhebung personenbezogener Daten stattfindet, muss der Verantwortliche der Webseite (also in diesem Fall der Selbstverleger) Nutzer informieren, wie er deren Daten verarbeitet. Am einfachsten ist das in der Datenschutzerklärung der Website. Ich rate meinen Mandanten immer, dort auch die Pflichtinformationen anzugeben, die ihre Facebook-Fanseiten, Instagram- oder Twitterseiten betreffen. Daneben sollen sie noch die Datenverarbeitung angeben, wie sie mit potentiellen Neukunden, Interessenten und anderen in Kontakt treten.
Fehler im Umgang mit der Datenschutzerklärung können jederzeit bei Aufsichtsbehörden angezeigt und von diesen mit einem Bußgeld geahndet werden. Derzeit sind Aufsichtsbehörden stark überlastet, sodass es sein kann, dass die Ermittlungen erst später in Gang kommen.
Manche Selbstverleger haben auf ihren Webseiten Newsletter eingebaut. Brauchen diese immer Double-Opt-In und warum?
Wenn Nutzer einen Newsletter bestellen, müssen sie eine E-Mail-Adresse eingeben. Aus der Sicht des Webseitenbetreibers liegt eine „Erhebung“ von personenbezogenen Daten vor.
E-Mail-Adressen sind meist personenbezogen, weil sie in der Regel aus Namen aufgebaut sind. Webseitenbetreiber sind als datenschutzrechtlich Verantwortliche verpflichtet, die Einhaltung der Vorschriften der Datenschutzgrundverordnung nachweisen zu können.
Jede Datenverarbeitung muss rechtlich gerechtfertigt werden. Dazu gibt es bestimmte Rechtsgrundlagen, z.B. einen Vertrag oder eine gesetzliche Pflicht.
Werbemaßnahmen wie Newsletter lassen sich meist nicht mit einem Vertrag oder einem berechtigten Werbeinteresse des Verantwortlichen in Verbindung bringen. Daher bleibt ihm nur, auf die schwächste Rechtsgrundlage für Datenverarbeitung zurückzugreifen: die Einwilligung.
Mit Single-Opt-In kann der Webseitenbetreiber den Nutzer fragen, ob er dessen E-Mail-Adresse verwenden darf, um ihm den Newsletter oder weitere Werbung zuzuschicken.
Der Nutzer sollte auch bestätigen, dass er die Datenschutzerklärung gelesen hat, die ihn über die Art der Datenverarbeitung informiert. Das ist reine Formalität, die aber in Art. 5 Abs. 2 DSGVO vom Webseitenbetreiber verlangt wird. Datenschutzrechtlich wäre man nun aus dem Schneider.
Aber: Der Double-Opt-in, also die Überprüfung der Tatsache, dass der Berechtigte seine eigene E-Mail-Adresse eingetragen hat und nicht die eines Fremden, ist aus wettbewerbsrechtlichem Grund wichtig.
Gemäß § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) werden (Werbe-)E-Mails an Verbraucher als unzumutbare Belästigung = SPAM angesehen; wenn nicht bereits Kundenkontakt bestand und weitere Voraussetzungen erfüllt sind, die auf Newsletter-Besteller eines Selbstverlegers in der Regel nicht (nachweisbar) zutreffen.
Wer sich hier Fehler erlaubt, setzt sich der Gefahr von (massenhaften) Abmahnungen durch Mitbewerber und Wettbewerbszentralen aus, vor denen ich nur eindringlich warnen kann.
Wie verhält es sich bei Social Media-Seiten? Welche Punkte sind rechtlich zu beachten?
Auch bei Social-Media-Seiten ist man zu einem Impressum verpflichtet, weil man auch diese Seite geschäftsmäßig betreibt.
Der EuGH hat entschieden, dass der Betreiber einer Facebook-Fanpage Mitverantwortlicher bzgl. der dort stattfindenden Verarbeitung personenbezogener Daten ist (Rs. C-216/10). Daher muss der Betreiber eine Datenschutzerklärung bereitstellen. Rein rechtlich gesehen lassen sich Facebook-Fanpages derzeit nicht legal betreiben, worauf die deutschen Aufsichtsbehörden geschlossen immer wieder hinweisen. Was heißt das nun für den Selbstverleger? Wer jedes Risiko vermeiden will, sollte sich gegen eine Facebook-Fanpage entscheiden. Wer bereit ist, mit einem gewissen rechtlichen Risiko zu leben (dazu zählt offenbar auch die bayerische Staatsregierung: https://www.facebook.com/bayern/ ), der kann getrost seine Fanpage behalten. Als Münchner habe ich es der Staatsregierung gleich getan und halte an meiner Fanpage (vorerst) fest 😉
Es ist davon auszugehen, dass Facebook früher oder später sich den Forderungen der Aufsichtsbehörden annähern wird, wenn es um die Fanpage-Betreiber ernst werden sollte. Denn die Fanpage-Betreiber sind diejenigen, die mit Promotions Geld in die Werbekasse bringen.
Wer auf seinem eigenen, ausschließlich beruflich genutzten Instagram- oder Facebook-Konto Werbung für sein eigenes Buch macht, muss das nicht als Werbung kennzeichnen. Wer aber auf Social-Media-Kanälen Werbung für Dritte macht, sei es offen oder als Schleichwerbung (Influencer Marketing), muss sich mit den Anforderungen des Werberechts auseinandersetzen. Ansonsten ist ab einer gewissen, gerichtlich nicht eindeutig entschiedenen Anzahl an Followern das Risiko sehr hoch, kostenpflichtig abgemahnt zu werden. Öffentlichkeitswirksame Prozesse, wie z.B. jener um die Bloggerin Cathy Hummels, zeigen, wie schwierig die Rechtslage ist (https://www.lto.de/recht/nachrichten/n/lg-muenchen-i-4hko14312-18-cathy-hummels-instagram-werbung-kennzeichnungspflicht-gewerblich/ ). Es ist nur noch eine Frage der Zeit, bis die Rechtsfragen des Influencer Marketings dem BGH zur höchstrichterlichen Entscheidung vorgelegt werden – dieser wird dann hoffentlich, wie zuletzt das LG München (Urt. v. 29.04.2019, Az. 4 HK O 14312/18) von einem modernen, informierten Verbraucher ausgehen, der in der Lage ist, zu erkennen, dass Influencer mit tausenden Followern bezahlte Werbeträger sind, sodass nicht jeder einzelne Post als Werbung gekennzeichnet werden muss. Man wird sehen – ich bin gespannt. Bis dahin muss man vorsichtig sein oder sich beraten lassen.
Daneben sollte darauf geachtet werden, was auf der jeweiligen Plattform erlaubt ist und was nicht.
Auf Social Media hat sich durchgesetzt, auf die Startseite der Webseite oder bei Instagram auf den Anbieter Linktree zu verlinken. Rechtlich müsste das Impressum mit einem Klick erreichbar sein. Was sagen Sie dazu?
Der Bundesgerichtshof hat mit Urteil vom 20.07.2006 (Az. I ZR 228/03) entschieden, dass einer unmittelbaren Erreichbarkeit nicht entgegenspricht, wenn das Impressum erst durch mehrere Klicks von der Startseite aus zugänglich ist. Es sollte genügen, wenn die Erreichbarkeit im Sinne §5 Abs. 1 TMG über zwei Links gewährleistet ist. Was bei Linktree der Fall wäre.
Es sollte aber darauf geachtet werden, dass dem Nutzer deutlich wird, dass er auf diesem Weg das Impressum aufrufen kann. Da Linktree jedoch ein amerikanischer Anbieter ist, sollte in der Datenschutzerklärung darauf hingewiesen werden, dass Betroffene durch das Anklicken des Links auf eine Seite geleitet wird, die auf einem amerikanischen Server gehostet wird.
Was passiert, wenn die Social Media-Seiten rechtlich nicht richtig erstellt sind?
Verstöße gegen das TMG, die DSGVO oder das UWG können genauso abgemahnt und sanktioniert werden, als wäre es die eigene Website.
In welchen Fällen kommt es zu Abmahnungen?
Verstößt man gegen oben genannte Vorschriften, können alle diese Verstöße abgemahnt werden.
Typisch hierfür sind vor allem gänzlich fehlende Angaben, also ein fehlendes Impressum oder eine fehlende oder unrichtige Datenschutzerklärung. Auch die fehlende werbliche Kennzeichnung rückt immer mehr in den Fokus von Verbraucherverbänden und wird dementsprechend vermehrt abgemahnt.
Wenn ein neues Buch herauskommt oder ein altes wiederbelebt wird, organisieren viele Selbstverleger auf Social Media-Seiten Gewinnspiele. Dabei gibt es das Buch und andere Dinge (Postkarten, Lebensmittel, Gutscheine,…) als Gewinn. Was ist zu beachten?
Das kommt darauf an – sorry für die Juristenantwort.
Es kommt auf die Zielgruppe, die Plattform, die Gewinnerermittlung und andere Punkte an. In der Regel sollte ein Gewinnspiel nicht ohne vorherige Prüfung der Plattform-AGB und nicht ohne Gewinnspiel-AGB erfolgen.
In den Gewinnspiel-AGB sollte geregelt sein, wer der Veranstalter ist, wie lange der Aktionszeitraum geht und wer in welchem Alter teilnahmeberechtigt ist. Meist werden Freunde und Familienangehörige von der Teilnahme ausgeschlossen.
Weiters sollte normiert sein, wie die Teilnahme erfolgt: Beispielsweise durch ein Posting bei Facebook und welche Rechtsfolgen das hat: „Mit seinem Posting bestätigt der Teilnehmer, dass er mit diesen Teilnahmebedingungen einverstanden ist und die Datenschutzinformationen in § 10 zur Kenntnis genommen hat. Die Teilnahme ist unentgeltlich. Diese Teilnahmebedingungen und die Preise der Gewinne können jederzeit abgerufen werden unter: www.mms-law.de“.
Außerdem sollte die Gewinnermittlung und -bekanntgabe erklärt werden. Mit einem Änderungsvorbehalt, Klauseln zur Haftungsbeschränkung, dem Ausschluss des Rechtsweges, Angaben zum Wert der Preise und Datenschutzinformationen sichert man sich ab. Diese Gewinnspiel-AGB können auf der Facebook-Seite mit einem Hinweis im Anfangsposting und einem Link auf die Website, wo sie als PDF abrufbar sind, eingeführt werden.
Facebook sieht in seinen Gemeinschaftsrichtlinien vor, was erlaubt und was verboten ist. Wer hier einen Fehler macht, riskiert für Monate die Sperrung des Accounts. Es muss darauf hingewiesen werden, dass das Gewinnspiel in keiner Verbindung zu Facebook steht und in keiner Weise von Facebook gesponsert, unterstützt oder organisiert wird.
Einige Selbstverleger haben ihren Verlag im Ausland registriert, verkaufen aber auf dem deutschen Markt. Welche Pflichten fallen hier an?
Wer Verbraucher anspricht, die ihren Wohnsitz oder Aufenthalt in der EU haben, unterliegt dem europäischen Datenschutzrecht. Ganz gleich von welchem Standort aus verlegt wird.
Wer auf Deutsch wirbt, kann auch dem deutschen Werberecht unterfallen, wie zuletzt eine österreichische Influencerin erfahren musste.
Hier müsste im Einzelnen geprüft werden, um welches Land es geht, wie was vertrieben wird und welche steuerrechtlichen Regeln zu beachten sind.
Was passiert, wenn die Selbstverleger ihre Bücher nicht nach den rechtlichen Vorgaben gestalten?
Rechtliche Verstöße können abgemahnt und sanktioniert werden. Die Palette der rechtlichen Ansprüche sind vielfältig: Unterlassung oder Schadenersatz bei Verstößen gegen Urheber- oder Markenrecht.
Es kommt ganz darauf an, welche Rechtsverletzungen im Einzelfall vorliegen.
Manche Selbstverleger schreiben ihre Bücher nicht selbst, sondern geben den Text an einen Ghostwriter ab. Was ist in einer solchen Konstellation für beide Seiten zu beachten? Wie verhält es sich mit den Urheberrechten? Sind noch sonstige Rechte wichtig?
In diesem Fall ist der Ghostwriter der Schöpfer seines Werkes und somit Urheber. Als Urheber stehen ihm Urheberpersönlichkeitsrechte zu, die nicht abdingbar sind.
Ein Ghostwriter-Vertrag ist grundsätzlich zulässig, weil der Urheber selbst bestimmen kann, ob er als Urheber nach Außen in Erscheinung treten will oder nicht (§ 13 UrhG). Dadurch wird aber der Auftraggeber des Werks wegen des Schöpferprinzips trotzdem nicht selbst zum Urheber.
Gibt sich der Auftraggeber als Urheber aus, täuscht er möglicherweise den Käufer über eine verkehrswesentliche Eigenschaft des Werks und riskiert wettbewerbsrechtliche Folgen.
Natürlich kann es auch mit dem Ghostwriter Schwierigkeiten geben.
Dreh- und Angelpunkt ist ein gut verhandelter Full-Buy-Out-Vertrag, in dem alle Verwertungsrechte exklusiv an den Auftraggeber übertragen werden.
Aber Vorsicht: Nach zehn Jahren darf der Ghostwriter gem. § 40a UrhG das Werk anderweitig verwerten. Etwa einem anderen Auftraggeber verkaufen. Hier könnte sich also das Ghostwriting offenbaren.
Selbstverleger erstellen zum Teil ihre Buchcover selbst. Hier raten einige Anbieter dazu, sich Fotos von Fotodatenbanken zu holen. Wie sehen Sie diese Situation?
Fotos sind in der Regel urheberrechtlich geschützt, wenn sie über das rein Alltägliche hinausgehen (sogenannte Schöpfungshöhe). Um diese rechtlich sicher zu verwenden, müssen die entsprechenden Vorschriften beachtet werden, weil bei einer mangelhaften Urhebernennung Abmahnungen drohen. Bei jedem Foto muss zunächst nachgeforscht werden, wer der tatsächliche Rechteinhaber ist, welche Rechte an dem Werk erworben werden können und was erlaubt ist (etwa Bearbeitungen oder Verwendung für redaktionelle Zwecke).
Fotodatenbanken erleichtern die Auswahl von Fotos, schützen aber nicht davor, dass Dritte Fotos unrechtmäßig hochladen. Die meisten Fotodatenbanken wie z.B. iStock schließen die Haftung vertraglich in solchen Fällen aus. iStock-Nutzungsverträge laufen beispielsweise nach kanadischem oder US-Recht.
Wer auf Nummer sicher gehen will, lässt sich Bilder von einem Auftragsfotografen machen oder überzeugt sich von der Rechtmäßigkeit des Uploads, indem er den Urheber kontaktiert.
Hassnachrichten: EuGH verbessert den Schutz von Persönlichkeitsrechten
DatenschutzrechtFacebook muss nicht nur Hasskommentare löschen, sondern auch gleichlautende und (!) ähnliche Kommentare suchen und weltweit löschen, wenn der Betroffene einen Inhalt als rechtswidrig gemeldet hat.
HIntergrund ist ein Fall am Obersten Gerichtshof Österreichs, der Anfang 2018 dem EuGH vorgelegt hatte. Darin ging es um Beleidigungen gegen die frühere Parteichefin der österreichischen Grünen, Eva Glawischnig-Piesczek. Facebook-Nutzer bezeichneten sie u.a. als „korrupten Trampel“ und „miese Volksverräterin“. Neben einer Unterlassungsverfügung gegen diese Hasskommentare, hatte die Politikerin auch die Löschung wortgleicher und sinngleicher Beleidigungen gefordert. Ob dies mit der EU-Richtlinie über den elektronischen Geschäftsverkehr vereinbar ist, hat der EuGH heute bejaht, AZ: C-18/18.
Dank dieses Urteils eröffnen sich neue Möglichkeiten, um Opfer von Hassnachrichten effektiver zu schützen.
Wenn Sie Fragen zur Löschung von Hassnachrichten haben, sprechen Sie uns gerne an:
Tel.: 089 265675 – Dr. Marc Maisch
Wie kann man sich vor Identitätsdiebstahl schützen?
UncategorizedIm Bestreben, die Kontrolle zurückzuerlangen und um sich besser zu schützen, muss erstmal klar sein, welche Unternehmen was über einen wissen. Dazu ist jedermann berechtigt, von jedem Unternehmen Auskünfte verlangen, ob und welche Daten mit Bezug auf den Betroffenen verarbeitet werden. Auch Daten, die von Unbekannten z.B. durch Fake-Profile angelegt wurden, sind Daten, die Bezug zu der Person des Opfers aufweisen. Betroffenenrechte bilden einen wichtigen Beitrag, um Licht in die Schattenseiten der Digitalisierung zu bringen. Mit der Erkenntnis, wer was über einen weiss, kann gehandelt werden: Opfer können in den Grenzen der Datenschutz-Grundverordnung Berichtigung, Einschränkung, Löschung von Daten verlangen, die unrichtig oder von Dritten ohne Rechtsgrund über sie gespeichert und weitergegeben wurden. Zudem können Opfer in Erfahrung bringen, an welche Auskunfteien, Werbedienstleister oder Versicherungen falsche personenbezogene Daten weitergegeben wurden und diesen Datenflüssen nachspüren. Die Inanspruchnahme von Betroffenenrechten bildet daher einen wichtigen Schritt, neben technischen Schutzmaßnahmen, um Opfer in die Lage zu versetzen, Schadensfälle einzudämmen und sich präventiv besser gegen neue Angriffe zu schützen. Soweit sich herausstellen sollte, dass mangelhafte Datenschutz- und Datensicherheitsmaßnahmen für den Identitätsmissbrauch (mit-) ursächlich gewesen sind, stehen den Opfern zivilrechtliche Ansprüche auf Schadenersatz und Schmerzensgeld gegen die verantwortlichen Unternehmen offen. Flankierend können aufsichtsbehördliche Maßnahmen aufgrund von Beschwerden eingeleitet und das Unternehmen durch Androhung von Sanktionen zu einer Verbesserung des Datenschutzes bewegt werden.
In der Praxis sind Opfer von Identitätsmissbrauch in der Regel verzweifelt und suchen häufig vergeblich nach Hilfe und Sofortmaßnahmen ausgeliefert. Die Justiz verfügt nicht über die Kapazität, Verbraucher zu informieren – meist bleibt es bei einer Anzeige, die ins Leere läuft. Verbrauchern ist damit nicht geholfen. Informationsangebote, die Verbrauchern „Erste Hilfe“ im Missbrauchsfall bieten, um diesen mit einfachen Handlungsanweisungen zu helfen, fehlen fast vollständig. Auch fehlt es an Informationsangeboten, die Verbrauchern das Zusammenwirken aus Digitalisierung, insbesondere dem leichtfertigen Umgang mit persönlichen Daten und Cybercrime, verdeutlichen. Neben Informationsangeboten fehlt es aber vor allem an einer technisch und rechtlich wirksamen Umsetzung der DSGVO-Betroffenenrechte. Das vom Gesetzgeber gut gemeinte Regelwerk stellt Verbraucher vor viele praktische Herausforderungen: Diese beginnen mit der Form der Antragstellung, dem Antragsinhalt und fehlenden Kenntnissen, in welchem Umfang personenbezogene Daten mitgeteilt werden müssen, um eine Identifizierung der betroffenen Person zu ermöglichen. Ohne die Feststellung der Antragsberechtigung sind Unternehmen verpflichtet, Anträge zu Betroffenenrechten abzulehnen. Hinzu kommt häufig das rein tatsächliche Problem, den richtigen Ansprechpartner oder Antragsempfänger eines Unternehmens, das aus verschiedenen Gesellschaften besteht, zu adressieren. Schwierigkeiten zeigen sich auch bei der Interpretation von Auskünften und wie Opfer weiter vorgehen können.
Wer Opfer von Identitätsdiebstahl bzw. „Identitätsklau“ geworden ist, sollte schnell handeln und einen Rechtsanwalt kontaktieren, um die eigene Reputation und Bonität wiederherzustellen.
Was ist Identitätsdiebstahl?
Datenschutzrecht, Frontpage ArticleVon „Alexa“, dem Sprachassistenten, der alle Gespräche mithört, über neue Bewegungsprofile durch E-Scooter und zum Smart Home: Alle Lebensbereiche werden vollständig digitalisiert. Nichts geht mehr ohne die Verarbeitung von personenbezogenen Daten, um sich zu identifizieren oder zu bezahlen. Doch es gibt Schattenseiten: Identitätsmissbrauch. Neue Zahlen belegen, dass Verbraucher immer häufiger vom Missbrauch ihrer personenbezogenen Daten zur Begehung von Straftaten bedroht sind. Vielfach werden Identitäten für Betrugs- und Geldwäschedelikte, aber auch zur Erpressung (auch mit Privatfotos, sog. „Sextortion“) oder zum Cyber-Mobbing verwendet.
Bereits im Jahr 2016 ermittelte die Unternehmensberatung PwC, dass jeder dritte Deutsche schon einmal von einem Identitätsdiebstahl betroffen gewesen ist. Warenkreditbetrug sei die häufigste Masche. Mehr als ein Viertel der Geschädigten habe Rechnungen für Einkäufe erhalten, die sie nie getätigt haben. Von Konto-Abbuchungen, die nicht zuzuordnen waren, berichten mehr als 20 Prozent. Knapp 30 Prozent der Opfer haben durch diesen Identitätsdiebstahl einen finanziellen Schaden von durchschnittlich 1.366 Euro erlitten.[1]
Im Jahr 2017 wurden bereits 49% der deutschen Nutzer Opfer von Internetkriminalität, wie der bitkom Digitalverband erhoben hat.[2] „Rund jeder Fünfte gibt an, dass Zugangsdaten zu Online-Diensten wie Sozialen Netzwerken oder Online-Shops gestohlen (19 Prozent) oder persönliche Daten illegal genutzt (18 Prozent) wurden. Rund jeder Sechste (16 Prozent) ist beim Online-Shopping oder Online-Banking betrogen worden.“
Nach einer FORSA-Umfrage aus dem Jahr 2018 mit 2.040 Teilnehmern, gaben 12 Prozent der Befragten an, bereits Opfer von Identitätsmissbrauch gewesen zu sein. 10 Prozent der Befragten sei ein finanzieller Schaden durch Identitätsmissbrauch entstanden und 30% Prozent teilten mit, jemanden zu kennen, dessen Daten für Identitätsmissbrauch verwendet wurden.
Opfer von Identitätsmissbrauch werden meist kalt erwischt. Wer rechnet schon jeden Tag damit, dass ein Unbekannte im eigenen Namen im Internet auf Shopping-Tour gehen, Facebook-Konten hacken, um den eigenen Freunden gefährliche Links zu schicken oder in das Online-Bankkonto einbrechen? Nicht nur haben Opfer meist mit gravierenden rechtlichen und finanziellen Folgen zu kämpfen, z.B. Abwehr von unberechtigten Forderungen, die Wiederherstellung der Bonität oder technische Prävention weitere Schadensfälle. Die Opfer leiden meist unter der traumatischen Erfahrung, die Kontrolle darüber verloren zu haben, wer was über sie weiss und warum. Das Grundvertrauen in die Sicherheit der (mittlerweile lebensnotwendigen) Datenverarbeitung ist zudem nachhaltig erschüttert.
[1] PwC, https://www.pwc.de/de/handel-und-konsumguter/assets/cyber-security-identitaetsdiebstahl-2016.pdf
[2] Repräsentativen Befragung von 1.017 Internetnutzern ab 14 Jahren im Auftrag des Digitalverbands Bitkom, https://www.bitkom.org/Presse/Presseinformation/Cybercrime-Jeder-zweite-Internetnutzer-wurde-Opfer.html
„Wenn die eigene Identität missbraucht wird“
UncategorizedIdentitätsdiebstahl ist der Missbrauch von personenbezogenen Daten (Identität). Das können z.B. der Name in Kombination mit dem Geburtsdatum, Adresse oder Bankdaten sein. Anders als in den USA ist Identitätsdiebstahl in Deutschland kein eigener Straftatbestand. Zu diesem Thema habe ich am 5. März 2019 auf Einladung der Meko Factory einen Vortrag in Berlin gehalten. Einen schönen Bericht hat Frau Claudia Kleine dazu verfasst: https://www.freitag.de/autoren/claudia-kleine/wenn-die-eigene-identitaet-missbraucht-wird
5 Gründe warum Fanpages nicht gelöscht werden müssen
DatenschutzrechtAm 05.06.2018 hat der EuGH entschieden, dass Nutzer, die bei Facebook eine Fanpage betreiben, für diese datenschutzrechtlich eine Mitverantwortung tragen. In großer Panik haben viele Unternehmen ihre Fanpages gelöscht – das halte ich für überstürzt, denn:
Mehr dazu in meiner Urteilsanmerkung in der Legal Tribune Online vom 6.6.2018:
https://www.lto.de/recht/hintergruende/h/eugh-c21016-facebook-fanpages-datenschutz-verantwortlichkeit/