von Adrian Peters | Jan 16, 2023 | Datenschutz, Internetrecht
Millionen Nutzer durch Datenlecks bei Facebook und Twitter betroffen
Durch eine Sicherheitslücke bei Twitter haben Hacker Millionen von persönlichen Daten erlangt. Das Ausmaß ist erheblich, so sollen rund 400 Millionen Nutzer des sozialen Netzwerks betroffen sein. Immer wieder hört man von Datenlecks im Internet, besonders Twitter und Facebook hatten im letzten Jahr immer wieder für Aufsehen gesorgt, durch zahlreiche Schlagzeilen, wo es um Sicherheitslücken der Plattformen ging.
Was spricht man von einem Datenleck?
Von einem Datenleck spricht man, wenn private Informationen eines Nutzers offengelegt werden. Datenlecks können demnach unabsichtlich geschehen, wenn auf die Datensicherheit nicht genug geachtet wurde oder auch durch einen geplanten Angriff von Hackern, welche sich derartige Sicherheitslücken zunutze machen, um an die persönlichen Daten der Nutzer zu gelangen.
Sind meine Daten betroffen?
Hacker haben es besonders auf die sensiblen Daten abgesehen wie Namen, Nutzernamen, Passwörter, E-Mail-Adressen oder auch Bankdaten.
Warum werden Daten meine gehackt?
Hacker, oder auch Cyberkriminelle, haben es auf private und vertrauliche Informationen abgesehen aus verschiedenen Gründen. Beweggründe können sein, diese Daten zu verkaufen, oder weiterzuverwenden. Häufig werden die Daten dann verwendet, um mit diesen dann Phishing zu betreiben. Unter Phishing versteht man das Benutzen von fremden Daten, um vertrauenswürdig zu wirken und so andere Personen zu täuschen. Häufig ist das Ziel von Phishing an weitere Daten zu kommen, Leute zu erpressen, oder durch Bankzugänge an Geld zu gelangen.
Datenlecks gibt es schon lange…
Hacker werden immer aktiver, statistisch gesehen steigen von Jahr zu Jahr die Angriffe im Internet. So hatte das Jahr 2021 im Vergleich zu 2020 nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI), einen Anstieg von 22 % mit 144 Millionen neuen Schadvarianten. Datenlecks und Cyberangriffe von Hackern reichen dabei von Privatpersonen, über Online-Plattformen, bis hin zu Krankenhäusern. Besonders große und schnell wachsende Unternehmen sind betroffen, da bei diesen die Wahrscheinlichkeit für Lücken in der Datensicherheit häufig höher liegen. So war zum Beispiel während der Pandemie die Nachfrage für Lieferdienste sehr hoch und viele neue Lieferanten sind auf den Markt gekommen, in der Folge wurde immer wieder von Sicherheitslücken berichtet.
Datenleck bei Facebook
Facebook machte Schlagzeilen Anfang 2021, als eine halbe Milliarde persönliche Facebook Daten weltweit offengelegt wurden. Darunter waren rund 6 Millionen deutsche Nutzer. Der Mutterkonzern von Facebook namens Meta soll 265 Millionen Euro bezahlen, weil das Datenleck aufgrund von eigenen Versäumnissen bestand. Facebook hat allerdings die Strafe noch nicht bezahlt und geht gegen die Geldbuße gerichtlich vor.
Datenleck bei Twitter
Neben Facebook sind auch andere soziale Netzwerke von Datenlecks betroffen, besonders Twitter hat in der letzten Zeit für Aufsehen in der Datensicherheit gesorgt. Hacker hatten durch ein Datenleck, welches vermutlich aus dem Jahr 2021 stammt, Zugriff auf 400 Millionen Nutzerdaten erhalten und diese anschließend zum Verkauf angeboten. Zunächst hatte ein Hacker namens „Ryushi“ den Twitter-Inhaber Elon Musk Ende 2022 dazu aufgefordert, die Daten selbst aufzukaufen, mit den Worten „Um zu vermeiden, dass Sie in der EU 276 Millionen US-Dollar Strafe zahlen müssen, wie Facebook es getan hat, ist Ihre beste Option der exklusive Kauf dieser Daten.“, für die Daten wollte Hacker „Ryushi“ von Musk 200.000 US-Dollar, im Gegenzug versprach „Ryushi“, die von ihm gesammelten Daten nach Geldeingang zu löschen und niemanden sonst anzubieten.
Dass es sich um keine leere Behauptung hielt, wurde spätestens dann klar, als die Hacker Daten von bekannten Persönlichkeiten, wie dem Sänger Shawn Mendes, dem Basketballspieler Stephen Curry, oder dem Model Cara Delevinge, veröffentlichten. Am 23.12.2022 meldete dann die irische Datenschutzbehörde DPC einen Fall von Datendiebstahl in Höhe von 5,4 Millionen Datensätzen bei Twitter, aus demselben Datenleck soll auch „Ryushi“ die Daten bezogen haben. Die Behörde ermittelt, ob die Daten aufgrund von Verstößen gegen die europäische Datenschutzgrundverordnung (DSGVO) gestohlen worden sind.
Da es vermehrt auf vielen sozialen Netzwerken zu Hacker Angriffen gekommen ist, wie bei Facebook und Twitter, besteht die Gefahr, dass Hacker mehrere personenbezogene Daten verknüpfen, um so noch mehr Informationen über eine Person zu erlangen. Das macht das Auftreten der Hacker dann noch glaubwürdiger und für die betroffene Person noch gefährlicher.
Erst vor wenigen Tagen wurde dann bekannt, dass eine Twitter Datenbank mit 235 Millionen Einträgen scheinbar frei verfügbar ist, dies teilte der israelische Sicherheitsforscher Alon Gal mit. Dabei sei ziemlich sicher, dass diese von dem Hackerangriff Ende Dezember stammen, wo die 400 Millionen Daten, der Twitter Nutzer, erbeutet wurden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Internetnutzern, regelmäßig zu überprüfen, ob Ihre Daten bei bekannt gewordenen Datenlecks gestohlen worden sind. SBS LEGAL berät Sie gerne, wenn es um ihre Sicherheit im Internet, oder andere datenschutzrechtliche Themen geht.
von Adrian Peters | Dez 12, 2022 | Internetrecht, Onlinehandel, Wettbewerbsrecht
Eine positive Bewertung ist das A und O für Onlineshop-Betreiber
Im Bereich des E-Commerce sind Onlineshop-Betreiber mehr denn je auf positive Bewertungen angewiesen, um auf ihren Shop aufmerksam zu machen und das Vertrauen der Kunden für sich zu gewinnen. Daher sind Shopbetreiber besonders erpicht darauf, negative Bewertungen von ihrem Bewertungsprofil fern zu halten bzw. schnellstmöglich zu löschen. Nun entschied der BGH (Urteil vom 28.09.2022, Aktenzeichen VIII ZR 319/20) jedoch, dass kein Anspruch auf Entfernung einer negativen Bewertung bestehe, wenn es sich bei dieser nicht um eine Schmähkritik oder nachvertragliche Nebenpflichtverletzung handelt.
Käufer gab eine negative Bewertung zu den Versandkosten ab
Der Verfasser der Bewertung hatte bei der Klägerin, einer eBay-Verkäuferin, Gelenkbolzenschellen in Höhe von 19,20 Euro plus 4,90 Versandkosten bestellt. Als Grundlage des Verkaufes dienten die Allgemeinen Geschäftsbedingungen (AGB) von eBay. Diesen wurde von den Parteien vor dem Verkauf zugestimmt. Als die Ware schließlich bei dem Käufer angekommen war, beschwerte sich dieser auf dem Bewertungsprofil der Verkäuferin allerdings mit den Worten „Ware gut, Versandkosten Wucher!!“ über die in Rechnung gestellten 4,90 Euro. Die Klägerin sah die Bewertung „Versandkosten Wucher“ als unzulässig an. Vor dem Amtsgericht Weiden erstrebte sie daher die Löschung des Eintrags.
Ist das noch von der Meinungsfreiheit gedeckt? Instanzen sind sich uneinig
Das Amtsgericht Weiden bestätigte in erster Instanz nicht den Anspruch der Klägerin auf Löschung der negativen Bewertung. Die Amtsrichter gingen nämlich weniger von einer Schmähkritik als von einem Werturteil mit einem Sachbezug aus, da sich die Bewertung auf die Versandkosten bezöge. Damit wäre sie zulässig. Dies sah die 2. Instanz des Landgerichts Weiden allerdings anders. Hier wurde ein Verstoß gegen das Sachlichkeitsgebot nach § 8 Nummer 2 Satz 2 der eBay-AGB angenommen. Damit liegt eine nachvertragliche Nebenpflichtverletzung vor. Die entsprechende Klausel in den AGB spreche nämlich davon, dass die Nutzer dazu angewiesen wurden, in ihren Bewertungen bloß wahrheitsgemäße Angaben zu tätigen. Schmähkritik dürfen diese nicht enthalten. Bei der Bewertung der Käuferin handele es sich aber um eine überspitzte Beurteilung fern von jeder sachlichen Begründung. Ein objektiver Leser könne nicht nachvollziehen, weshalb es sich bei den Versandkosten um Wucher handle. Folglich habe dies beim Verkäufer zu einem Schaden geführt, da negative Bewertungen kein gutes Licht auf den Onlineshop der Verkäuferin werfen. Ihre Vertrauenswürdigkeit wurde in Mitleidenschaft gezogen.
Eine von der Meinungsfreiheit gedeckte negative Bewertung kann nicht gelöscht werden
Letztendlich entschied der BGH, dass die negative Bewertung auf dem eBay-Bewertungsprofil nicht gelöscht werden dürfe. Die Grenze zur Schmähkritik sei mit den Worten „Versandkosten Wucher!!“ nämlich nicht übertreten worden. Die Schmähkritik sei aufgrund der ihrerseits das Grundrecht auf Meinungsfreiheit aus Artikel 5 Absatz 1 Satz 1 Grundgesetz (GG) eingrenzenden Wirkung stets eng zu interpretieren. So sei eine Schmähung nicht bereits bei einer ungerechten oder ausfallenden Kritik erreicht, sondern wenn die Diffamierung des Betroffenen im Mittelpunkt stehe und nicht länger nur die Auseinandersetzung in der Sache. Die betroffene Person müsste in überspitzter und polemischer Kritik herabgesetzt und angeprangert worden sein. Die Diffamierung der Person stehe im vorliegenden Fall jedoch nicht im Vordergrund. In der Bewertung setzte sich der Käufer vielmehr mit der gewerblichen Leistung in Form der Versandkosten auseinander, was auch ohne jegliche Begründung einem Werturteil entspreche.
eBay-AGB enthalten keine vertraglichen Beschränkungen
In den § 8 Absatz 2 Satz 2 der eBay-AGB finden sich selbst keine keine strengeren vertraglichen Beschränkungen. Der Wortlaut sei zwar nicht eindeutig, fest stehe aber, dass es den AGB an einer expliziten Definition des unbestimmten Rechtsbegriff „sachlich“ mangele. Daher sei die Klausel durchaus so zu verstehen, dass dem Sachlichkeitsgebot aus § 8 Absatz 2 Satz 2 der eBay-AGB im Verhältnis zum Verbot der Schmähkritik kein eigenständiges Gewicht zukommen solle.
Generell sollte sich die Zulässigkeit grundrechtsrelevanter Bewertungen an den bestehenden Grundsätzen der höchstrichterlichen Rechtsprechung zur Schmähkritik orientieren, um die Voraussetzungen an die Zulässigkeit von Bewertungskommentaren sowohl für eBay als auch für deren Nutzer verständlicher zu gestalten. Hätte man den Nutzern zu Beginn eine schärfere Einschränkung an die Hand gegeben – indem man sie angewiesen hätte Bewertungen durchweg sachlich zu halten -, wäre es auch nicht notwendig gewesen die Schmähkritikgrenze explizit in den AGB zu erwähnen. Würde man die Bewertung eines Kunden sofort als unzulässig einordnen, sobald sie nicht sachlich begründet und /oder herabsetzend formuliert worden ist, würde man die Meinungsfreiheit des Käufers vorweg weniger als die Grundrechte des Verkäufers priorisieren, was dem Verständnis von rechtlich verständigen Vertragsparteien entgegen wirkt.
von Adrian Peters | Dez 1, 2022 | Gesetzänderung, Internetrecht
So wie in der realen Welt sollen Gesetzen auch im Metaverse gelten
Es ist geplant, dass das Metaverse zukünftig ein Ort des Austauschs, der gegenseitigen Interaktion und des Geschäftsabschlusses werden soll. Hierfür ist wie im realen Leben eine rechtliche Grundlage von Nöten. Da im Metaverse allerdings keine Ländergrenzen existieren, ist fraglich, inwiefern Gesetze im Metaverse durchgesetzt werden können.
Hierzu gab unser Rechtsanwalt und Spezialist für IT- und Kryptorecht, Finn Niklas Nitz, vor kurzem ein ausführliches Interview, was Juristen bezüglich der Gesetze im Metaverse künftig beschäftigen wird.
Eine Rechtsberatung im Hinblick auf das Metaverse?
Hierzu muss man zunächst verstehen, dass das Metaverse-Recht nicht als eigene Rechtskategorie originär entstanden ist. Rechtsfragen bezüglich der Thematik des Metaverse-Rechts finden stets Anknüpfungspunkte an das bestehende Recht. Selbst wenn die Rechtsentwicklung der digitalen Entwicklung eigentlich etwas hinterherhinkt. Eine besonders wichtige Rolle im Metaverse spielen NFTs. In diesem Punkt bieten wir eine ausgiebige Rechtsberatung an, sowie bei aufsichtsrechtlichen Fragen und entsprechendem Markenrechtsschutz. Nun wurde vom Amt der Europäischen Union für geistiges Eigentum (EUIPO) auch vorgegeben, inwiefern NFTs markenrechtlichen Schutz erfahren können. So wurde auch deutlich gemacht, wie Unternehmen ihre Marke im NFT-Bereich schützen können. Unsere Beratung umfasst alle Aspekte der Blockchain, der NFTs und der übrigen Token.
Unsere Aufmerksamkeit gilt zudem dem Rechtssetzungsprozess. Entscheidend sind dabei der Digital Markets Act und der Digital Services Act. Beide sollen die Sicherheit und Haftung auf den Plattformen und Diensten garantieren, sowie eine Ergänzung des Wettbewerbsrechts und eine gewisse Beschränkung der Marktmacht durchsetzen. Die Umsetzung der Digitale-Inhalte-Richtlinie hat zu Jahresbeginn zu einer größeren Novellierung im Bürgerlichen Gesetzbuches (BGB) geführt. Die dortigen neuen Paragrafen unter dem Punkt „Verbraucherverträge über digitale Produkte“ werden auch im Metaverse eine Rolle spielen. Wird ein Shop im Metaverse betrieben, so gelten auch dort Kaufverträge. Allerdings bezüglich digitaler Produkte. Hier existieren nun verbindliche Regelungen.
Dass der Gesetzgeber auf dem neusten Stand ist, erkennt man auch daran, dass Preise nicht länger nur das von den Notenbanken herausgegebene Geld, sondern auch Kryptowährungen sind. Ein weiterer wichtiger Punkt ist das Steuerrecht. So wurde vom Bundesfinanzhof Ende 2021 bestimmt, wie in einem Online-Spiel Land vermietet werden kann. So können Gewinne aus einer digitalen Vermietung durchaus einen Fall für den Fiskus und zur Steuer veranlagt werden.
Die entscheidende Rolle der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bei Investitionen im Metaverse
Die klassische Aufsichtsbehörde für Bankgeschäfte und Finanzdienstleistungen ist die BaFin. In unserer alltäglichen Arbeit bei SBS Legal agieren wir vor allem mit dem Kreditwesengesetz (KWG),was das primäre Aufsichtsgesetz darstellt. Es existieren noch weitere Gesetze. Wobei das KWG den Hauptanteil in Punkto Aufsichtsrecht ausmacht. Kryptowerte werden im Gesetz heutzutage als Finanzinstrumente benannt. So könnte man als Herausgeber eines solchen Kryptowerts durchaus bereits der Aufsicht unterliegen. Dies wird besonders in Fällen bejaht, wo der Token wie ein Wertpapier ausgestaltet ist und somit eine Art Gewinnbeteiligung verspricht. Häufig unterliegt man dann auch einer Prospektpflicht. Es bestehen auch keine Anhaltspunkte dafür, warum dies nicht auch fürs Metaverse gelten sollte.
Folglich wird dies auch unter die Kontrolle der BaFin fallen. Werden verschiedene Metaverse-Plattformen und Währungen miteinander verbunden und will man Letztere tauschen oder in seinem Wallet halten, so werden unterschiedliche Finanzdienstleistungen benötigt, die jeweils eine Erlaubnis erfordern. Sobald man dies derart anbietet, dass deutsche Kunden von dem Angebot angesprochen werden und es in Anspruch nehmen können, unterliegt man der Aufsichtspflichtigkeit. Die BaFin muss dann dem entsprechendem Gesetz nachgehen. Daher sollte man im Anfangsstadium feststellen, ob das eigene Geschäftsmodell eine Erlaubnispflicht hat.
Anpassung der aktuell geltenden Gesetze an das Metaverse
In Europa sowie auch in Deutschland gilt die Datenschutz-Grundverordnung (DSGVO), die trotz einiger Unstimmigkeiten weltweit einen gewissen Standard Im Bereich Datenschutzrecht gesetzt hat. Dabei stellt sich die Frage, wie die Daten im Metaverse zu definieren sind. So ist noch zu bestimmen, ob beispielsweise Aufzeichnungen der Gestik und Mimik unseres Avatars ebenfalls wie Daten behandelt werden oder wie es mit Bewegungsprofilen aussieht. Dabei ist zu überlegen, ob eine Rechtsauslegung der bestehenden Gesetze diese Problematiken lösen könnte oder ob es an der Zeit ist, neue Gesetze zu verabschieden.
Dabei ist auch das Strafrecht nicht außer Acht zu lassen. So ist fraglich, wie Straftatbestände aus der analogen Welt in die digitale Welt umgesetzt werden können. So ist zum Beispiel die Löschung eines Avatars nun einmal nicht mit der Tötung eines Menschen auf eine Stufe zu stellen. Daher sollte man durchaus die Fragen aufwerfen, ob sich die bisherigen Gesetze 1 zu 1 umsetzen lassen und wo Unterschiede festzumachen sind. Selbstverständlich existieren auch Beispiele, die sich leichter mit Fällen des realen Lebens gleichsetzen lassen: So bleibt ein Betrug im Metaverse ebenso ein Betrug. Alles darüber hinausgehende wirft rechtspolitische Fragen auf, die einer Klärung bedürfen. Zudem werden Diskussionen aufkommen, wo ethische Fragen zu besprechen sind. Thema wird der Schutz von Minderjährigen, Minderheiten und Schwächeren sein. Allesamt Fragen, die wir uns im Alltag ebenfalls stellen. Daher ist es essenziell darüber zu konferieren, inwiefern eine Umsetzung in die digitale Welt gelingen kann.
Metaverse-Plattformen besitzen keine geographischen Grenzen: Wie lassen sich Gesetze anwenden?
Im Metaverse bestehen keine reellen Grenzen, was zu einigen Problemen führen kann. So ist bereits fraglich, welches Recht Anwendung findet. Bezüglich Europa stellt sich dies noch als relativ simpel dar. Die Gesetzesänderungen in Deutschland haben ihren Ursprung nämlich in europäischen Vorgaben. Zudem wird aufgrund desselben europäischen Gesetzgebungsursprungs ein einheitlicher Schutzrahmen in den verschiedenen Mitgliedsstaaten gewährt. Bei der Frage der Rechtsanwendung gelten seit Jahren bestehende Regelungen, wie die so genannten „Rom-Verordnungen“. Es entstehen allerdings Probleme, sobald man mit jemanden einen Vertrag außerhalb Europas schließt. Dann ist schon fraglich, wer hierfür verantwortlich ist oder ob es eine Metaverse-Gerichtsbarkeit gibt. Dies sind Fragen im Kryptorecht, mit denen wir uns derzeit auseinandersetzen. Leider lassen sich diese bisher nicht abschließend beantworten. Es muss vielmehr ein fluider Prozess mit einer Vielzahl an Beteiligten sein.
Wie lassen sich bei der ständigen Veränderung der virtuellen Welt Gesetze entwerfen?
Um zu verhindern, dass Gesetze im halbjährlichen Takt geändert und angepasst werden müssen, sollten sie deutlich, aber auch offen formuliert sein. In den nächsten Jahren werden diese Fragen uns alle, aber vor allem Juristen umfassend beschäftigen. Bei bestehendem Interesse sollte man vor dieser Thematik nicht zurückschrecken. Stattdessen sollte man es als spannendes neues Abenteuer verstehen, das einen in neue Gefilde führt.
Erstellung von Compliance-Richtlinien für das Metaverse
Unternehmen geben sich selbst ihren eigenen internen Verhaltenskodex (Compliance-Richtlinien). Dies ist in diesem Zusammenhang wichtig zu benennen, da das Metaverse keine staatliche Institution darstellt. Vielmehr müssen sich private Anbieter um das Metaverse bemühen. Zu Beginn an sollten gewisse Grundregeln im Metaverse zum Schutz von Minderheiten und Schwächeren, im Sinne der Gesetzlichkeit und der Transparenz aufgestellt werden. Compliance-Richtlinien könnten dies unterstützen. Fördernd könnte auch sein, dass man keine „Wild West“-Mentalität entstehen lässt, sondern auf ein gedeihliches Miteinander setzt. Hierbei ist ein Rückgriff auf Compliance-Regelungen aus der realen Welt nützlich. Allerdings müssen diese auf die Situationen des Metaverse angepasst werden. Einige Anwaltskanzleien besitzen bereits jetzt einen virtuellen Standort auf einer Metaverse-Plattform. Auch unsere Kanzlei plant im Hintergrund in diese Richtung. Sobald sich eine Metaverse-Plattform als großer Player etabliert, haben wir vor, uns tiefgreifender mit dem Thema zu beschäftigen.
von Adrian Peters | Okt 3, 2022 | Internetrecht, Verbraucherschutz
Worauf müssen sich Unternehmen einstellen?
Die Datenschutzgrundverordnung (DSGVO) sieht für Unternehmen wegen Verstößen gegen das Datenschutzrecht hohe Bußgelder vor. Den Spitzenrang für die bis dato höchste Sanktion wegen eines Verstoßes gegen den Datenschutz hält aktuell Amazon mit einem Rekordwert von 746 Millionen Euro. Abhängig davon, in welchem EU-Mitgliedstaat das Bußgeld verhängt wird, kann sich die Höhe des Bußgelds stark unterscheiden. Nach Abschluss der sog. „Public Consultation Phase“ zum 27.06.2022 hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien für die Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße veröffentlicht, um die verschiedenen Bußgeldniveaus zu vereinheitlichen. Finden Sie mit uns heraus, welche Konsequenzen Unternehmen aufgrund der neuen Leitlinien zu erwarten haben.
Hohe Bußgelder und der Datenschutz
In den verschiedenen EU-Mitgliedsstaaten haben sich seit Inkrafttreten der DSGVO unterschiedliche Vorgehen für die Berechnung von Bußgeldern durchgesetzt. Zwar geben europäische Normen einen gewissen Rahmen für die Berechnung von Bußgeldern vor. Trotzdem weichen die Aufsichtsbehörden in ihren Bußgeldbemessungen voneinander ab. Ein Datenschutz-Verstoß, der einen vergleichbaren Sachverhalt zum Gegenstand hat, wird beispielsweise in Spanien anders sanktioniert als in Ungarn. Insbesondere die Mitgliedstaaten, die in ihren Bußgeldern niedrige Sanktionen für Unternehmen angesetzt haben, stehen in der Kritik. Überraschenderweise zählt Deutschland ebenfalls dazu, obwohl man meinen könnte, dass DSGVO-Bußgelder hierzulande hoch angesetzt sind. Im EU-weiten Vergleich sieht es allerdings anders aus.
Anders als bei dem luxemburgischen Rekordbußgeld von 746 Millionen Euro beträgt die höchste Sanktion aus Deutschland 35 Millionen Euro. Sie wurde 2020 in einem Verfahren gegen den Modekonzern H&M erlassen. Das Modeunternehmen hat ohne Einwilligung der Beschäftigten Persönlichkeitsprofile erstellt. Die Daten wurden dabei aus Befragungen nach Urlaubs- und Krankheitsabwesenheiten oder aus Flurgesprächen zwischen den Mitarbeitenden erhoben und ausgewertet. Über Jahre kam es so zur umfangreichen Erfassung privater Lebensumstände.
Um die Höhe der Bußgelder künftig anzupassen und in der EU ein einheitliches Vorgehen zu etablieren, wurden die neuen Leitlinien verabschiedet. Auf nationaler Ebene orientierten sich die Bußgelder bisher am (umstrittenen) Bußgeldbemessungskonzept der deutschen Datenschutzkonferenz vom Oktober 2019. Dies soll durch die neuen Leitlinien abgelöst werden. Die neuen Leitlinien sind für die Aufsichtsbehörden verbindliche Regelungen, von denen nicht abgewichen werden darf. Aber was genau verändert sich durch die neuen Leitlinien?
Erleichterungen für Aufsichtsbehörden
Die Leitlinien orientieren sich an einem komplexen mehrschrittigen Verfahren zur Ermittlung der Höhe eines Bußgeldes. Häufig wird der Umsatz eines Unternehmens als Maßstab für die Berechnung herangezogen werden. Das EDSA vertritt hierfür eine kartellrechtliche Betrachtungsweise. Für die Frage des Umsatzes kommt es so nicht auf die konkret handelnde juristische Person an, sondern vielmehr auf den Umsatz der sog. wirtschaftlichen Einheit.
Nach diesem Verständnis werden Tochtergesellschaften im Falle einer wirtschaftlichen Einheit zusammen mit dem Mutterkonzern oder Unternehmensverband einheitlich betrachtet, sodass als Anknüpfungspunkt für die Bemessung des Bußgeldes der Gesamtumsatz der Unternehmensgruppe herangezogen wird, anstatt lediglich der Umsatz des Tochterunternehmens. Künftig wird die Verhängung von Bußgeldern dadurch für die Aufsichtsbehörden erleichtert.
Hinzu kommt, dass in einem solchen Fall das Bußgeld nach Auffassung des EDSA im Sinne einer Durchgriffshaftung auch direkt an die Muttergesellschaft erlassen werden kann. Das Bundesinnenministerium sowie einige deutsche Gerichte haben dies bisher noch anders entschieden. Die neuen Leitlinien schaffen hier Klarheit und tragen mit der Durchgriffshaftung ebenfalls dazu bei, dass die Aufsichtsbehörden Bußgelder einfacher erlassen können.
Fünf Schritte zur Berechnung des Bußgeldes
Der Berechnung eines Bußgeldes nach der DSGVO liegt ein komplexes Verfahren zugrunde. Die Berechnung erfolgt anhand der folgenden fünf Schritte:
1. Gegenständliche Verarbeitungsvorgänge und Art. 83 Abs. 3 DSGVO
Im ersten Schritt wird die gegenständliche Datenverarbeitung identifiziert. Im Zentrum steht die Frage, ob es sich um einen Datenschutzverstoß handelt, oder mehrere einzelne Verstöße vorliegen. Zudem wird geprüft, ob der Anwendungsbereich des Art. 83 Abs. 3 DSGVO eröffnet ist, der Verstoß als sanktionierbar ist.
2. Bestimmung des Ausgangswertes
Im zweiten Schritt wird der Ausgangswert für die Berechnung der Bußgeldhöhe ermittelt und nach Art. 83 Abs. 4-6 DSGVO klassifiziert. Das Bußgeld orientiert sich dabei an der Schwere des Verstoßes, die anhand von Kriterien festgestellt wird, die das EDSA festgelegt hat:
- Natur des Verstoßes
- Reichweite und Zweck der Datenverarbeitung, Grad der Rechtsverletzung
- Dauer des Verstoßes
- Vorsätzlicher oder fahrlässiger Charakter des Verstoßes
- Kategorien der personenbezogenen Daten
3. Verschärfende und mildernde Umstände
Es werden dann mildernde bzw. verschärfende Umstände ermittelt. Eine Auflistung der konkreten Umstände findet sich in Art. 83 Abs. 2 Satz 1 a) – k) DSGVO wieder. Es können beispielsweise Maßnahmen ins Gewicht fallen, die die Betroffenen eingeführt haben, um den entstandenen Schaden zu begrenzen. Wurde das zum Verstoß führende Verhalten direkt eingestellt? Eine Zusammenarbeit mit den Aufsichtsbehörden kann sich ebenfalls mildern auswirken oder auch der Umstand, dass man den Verstoß eigenständig meldet, noch bevor die Aufsichtsbehörde davon erfährt. Verschärfend können sich bereits vorangegangene Verstöße auswirken.
4. Bußgeldobergrenze
Aus der DSGVO ergeben sich im Grundsatz zwei Möglichkeiten für die Obergrenze eines Bußgeldes. Die statische Variante beläuft sich auf eine Grenze von 10 Mio. oder 20 Mio. Euro. Bei der dynamischen Variante werden entweder 2% oder 4% des Jahresumsatzes eines Unternehmens als Obergrenze angesetzt. Maßgeblich ist jeweils der höhere Wert. Auch die neuen Leitlinien müssen sich am gesetzlichen Rahmen orientieren und dürfen nicht zu einem Bußgeld führen, welches die Obergrenzen überschreitet.
5. Abwägung nach den Grundsätzen des Art. 83 Abs. 1 DSGVO
Zuletzt wird eine Abwägung vorgenommen und geprüft, ob der endgültige Betrag den Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit nach den Grundsätzen des Art. 83 Abs. 1 DSGVO gerecht wird. Betont wird dabei, dass es insbesondere auf eine abschreckende Wirkung der Bußgelder ankommen soll, während die Verhältnismäßigkeit zwar trotzdem noch eingehalten werden muss, allerdings nicht mehr als zentraler Faktor herangezogen werden soll.
Wie können Unternehmen auf die neuen Leitlinien reagieren?
Bisher konnten Unternehmen ein mögliches Risiko im Zusammenhang mit Datenschutzverstößen nur schwer kalkulieren. Das liegt insbesondere am hohen Beurteilungsspielraum, der den Aufsichtsbehörden gewährt wird. Hieran wird sich durch die neuen Leitlinien auch nichts ändern. Gerade umsatzstarke Unternehmen müssen mit einem Anstieg der Bußgeldhöhen rechnen und sich entsprechend vorbereiten. Prävention ist hier das Stichwort.
Am besten schützt man sich, indem man Maßnahmen ergreift, damit erst gar kein Verstoß gegen die DSGVO entstehen kann. Hierzu können Prozesse angepasst werden, Mitarbeiter geschult und sensibilisiert werden oder auch externe Fachleute mit datenschutzrechtlichen Themen beauftragt werden. Ist es zu einem Verstoß gekommen, kann es ratsam sein, in engen Austausch mit der Aufsichtsbehörde den Verstoß zu bearbeiten. In jedem Fall darf das Thema aufgrund des hohen Risikos nicht übergangen werden, weil mit einer Verschärfung der Bußgeldhöhen zu rechnen ist. Der Kurs gegen datenschutzrechtliche Verstöße der gesetzgebenden Instanzen verschärft sich spürbar.
von Adrian Peters | Sep 2, 2022 | Allgemein, Internetrecht, Verbraucherschutz
Wer in den sozialen Medien aktiv ist, weiß, dass man für eine große Reichweite auch mal die Werbetrommel schlagen muss. Insbesondere Gewinnspiele sind hierfür eine sehr erfolgreiche Methode. Jedoch müssen hier auch die Grenzen des Internetrechts beobachtet werden, um eine unnötige Abmahnung von AGB zu vermeiden. Im Extremfall können hierbei jedoch auch Gefängnisstrafen entstehen, weil Glücksspiel in Deutschland streng reguliert und vor allem zulassungspflichtig ist gem. Seit dem 01.07.2013 gilt nämlich der Glücksspieländerungsstaatsvertrag (GlüÄndStV), um Suchtgefahr zu vermeiden, Jugendschutz zu fördern und das Glücksspiel-Angebot vor kriminellen Einflüssen zu schützen. Zunächst sollte man also definieren, was Gewinnspiel und Glücksspiel bedeuten.
Was ist der Unterschied zwischen Glücksspiel und Gewinnspiel?
Wann wird also Gewinnspiel-Marketing zu unzulässigem Glücksspiel? Jeder kann grundsätzlich ein Gewinnspiel veranstalten. Hierbei sind lediglich die Vorgaben des Lauterkeitsrechts zu beachten. Sonst könnte man mit einfachen Methoden das Wettbewerbsrecht ohne Probleme umgehen. Gewinnspiel bezeichnet ein Angebot, bei dem die Auslosung oder Ausschreibung eines Preises in Aussicht gestellt wird, wenn an dem Spiel teilgenommen und somit das Angebot angenommen wird, kurz: Ein Spiel, bei dem die Gewinner per Zufallselement ermittelt werden. Das ist auch dann möglich, wenn man einen Beitrag auf Social Media Plattformen „liked“ und somit in den Los-Topf geworfen wird. Die zufällige Ziehung nehmen dann die jeweiligen Veranstalter selbst vor.
Wenn Sie nun ein Glücksspiel veranstalten wollen, brauchen Sie eine behördliche Erlaubnis. Jedoch ist es sehr aufwendig, ein Glücksspiel zu betreiben und dient vornehmlich nicht den Marketing-Zwecken des Unternehmens oder der Social Media Seite. Nach § 3 Abs. 1 des Glücksspielsstaatsvertrages (GlüStV) liegt ein Glücksspiel vor, wenn im Rahmen eines Spiels für den Erwerb einer Gewinnchance ein Entgelt verlangt wird und die Entscheidung über den Gewinn ganz oder überwiegend vom Zufall abhängt. Kurz: Man bezahlt für die zufällig generierte Chance, mehr Geld zu bekommen. Die Definitionen hören sich sehr ähnlich an. Deswegen kann es auch mal vorkommen, dass ein Veranstalter eines Gewinnspiels ausversehen ein Glücksspiel veranstaltet.
Bisher wurde folgendermaßen unterschieden: Es muss sich um einen „erheblichen entgeltlichen Einsatz“ handeln. Übermittlungskosten, wie beispielsweise Brief-Frankierungen oder SMS-Gebühren fallen nicht hierunter. Lassen Sie sich aber dennoch lieber von unseren Anwälten beraten, bevor Sie handeln. Wenn der Zufall für das Ergebnis keine Rolle spielt, also beispielsweise bei einer Jury, die Beiträge bewertet, dann ist es noch kein Glücksspiel. Erst wenn der Zufall ausschlaggebend ist, kann ein Glücksspiel in Betracht kommen.
Beachtung des Irreführungsverbots aus dem UWG
Nach § 5 des Gesetzes gegen den unlauteren Wettbewerb (UWG) handelt unlauter, wer eine irreführende geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er anderenfalls nicht getroffen hätte. Es dürfen also keine unwahren und sonstigen täuschenden Angaben vorliegen. Der § 5 Abs. 2 UWG listet die Umstände auf, über die nicht getäuscht werden darf. Das UWG hat 2020 ein Update erfahren und ein Blick in die Neuregelungen lohnt sich.
Die Gewinnspielbedingungen müssen zudem inhaltlich ausreichend, eindeutig und leicht verständlich sein. Das Gewinnspiel muss also als solches kenntlich gemacht werden. Teilnehmer müssen einen einfachen Zugang erhalten, ohne vorerst lange Angaben zu ihrer Person machen zu müssen. Hierbei sind die folgenden Gesetze besonders zu beachten:
- Das Gesetz gegen den unlauteren Wettbewerb (UWG)
- Telemediengesetz
- Datenschutzrichtlinien
- AGB und Richtlinien der Social Media Plattformen
Strafrechtliche Verfolgung bei illegalem Glücksspiel
Nach § 284 des Strafgesetzbuches (StGB) drohen zwei Jahre Freiheitsstrafe oder Geldstrafe für denjenigen, der ohne behördliche Erlaubnis öffentlich ein Glücksspiel veranstaltet oder hält oder die Einrichtungen hierzu bereitstellt. Öffentlich ist eine Veranstaltung nach dieser Norm dann, wenn Glücksspiele gewohnheitsmäßig abgehalten werden. Das Werben für ein Glücksspiel ist nach Absatz 4 ebenfalls unter Strafe gestellt.
In Betracht kommt eine Strafe allerdings erst dann, wenn Teilnehmer einen Einsatz machen in der Hoffnung, mehr Gewinn zu bekommen. Das Kaufen eines Loses reicht hierfür bereits.
Kopplungsverbot zwischen Gewinnspiel und Einkauf
In Deutschland gab es ein Kopplungsverbot, welches besagte, dass die Spielteilnahme unabhängig von einem Wareneinkauf möglich sein musste. Wenn beide Voraussetzungen miteinander gekoppelt wurden, war es nicht rechtmäßig. Im Jahre 2010 hat der Bundesgerichtshof (BGH) das Kopplungsverbot aufgehoben, weil der Europäische Gerichtshof (EuGH) die deutsche Rechtslage zu eng sah. Es ist seitdem also wieder möglich, die Gewinnspiel-Teilnahme an einen Warenabsatz zu koppeln. Man darf aber nicht vergessen, dass diese Kopplung trotzdem dem Wettbewerbsrecht unterliegt. Das Gesetz gegen den unlauteren Wettbewerb untersagt folgende Angaben ausdrücklich:
- Durch den Erwerb einer Ware oder Dienstleistung erhöhen sich die Gewinnchancen beim Glücksspiel.
- Der Verbraucher wird einen Preis gewinnen, hat ihn gewonnen oder erlangt einen sonstigen Vorteil, obwohl des den Preis gar nicht gibt oder das Erlangen des Preises nur durch Kostenübernahme möglich ist.
Wenn der Veranstalter allerdings die Teilnehmer unzulässig beeinflusst und dadurch sehr stark anlockt, kann es dennoch zu wettbewerbsrechtlichen Problemen kommen. Das ist dann der Fall, wenn sich das an den Absatz (Einkauf) gekoppelte Gewinnspiel an besonders schutzbedürftige Gruppen richtet. Damit sind vor allem Jugendliche und Kinder gemeint. Außerdem sollen Verbraucher davor geschützt werden, ihre rationalen Kaufentscheidungen von der in Aussicht gestellten Gewinnchance lenken zu lassen.
Das ist beispielsweise dann der Fall, wenn der Veranstalter einen hohen Gewinn mit hoher Gewinnwahrscheinlichkeit bewirbt, die den Verbraucher zu unnötigen Dispositionen veranlasst.
Glücksspiel kann süchtig machen. Betroffene erhalten Informationen und Unterstützung bei der Bundeszentrale für gesundheitliche Aufklärung (BZgA).
Wenn Sie rechtliche Beratung benötigen, kontaktieren Sie SBS LEGAL Rechtsanwälte. Der Erstkontakt ist kostenlos.
von Adrian Peters | Jun 13, 2022 | Allgemein, Internetrecht, Onlinehandel, Verbraucherschutz
Vorsicht vor unseriösen Anbietern beim Online-Trading
Die Welt des Online-Trading hat immer wieder für verblüffende Geschichten von einzelnen Tradern gesorgt, die praktisch über Nacht zu Millionären geworden sind. Es handelt sich jedoch nur um wenige Einzelfälle. Trotzdem werben einige Dienstleister dieser Branche mit verlockenden Angeboten. Die Kehrseite der Medaille sind Anleger, die ihr gesamtes Vermögen verlieren. Das hohe Risiko sorgt dafür, dass in Deutschland Finanzgeschäfte stark reglementiert sind. Erfahren Sie mit uns, was die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Handelsplattform ROICraft damit zu tun haben.
Sie haben Probleme im Bereich Internetrecht, Online Handel oder Kryptowährungen/Trading? Dann zögern Sie nicht SBS LEGAL zu kontaktieren. Der Erstkontakt ist immer kostenlos!
Online-Trading und ROICraft
Bei ROICraft handelt es sich um eine internationale Handelsplattform, die nach eigenen Angaben Online-Trading betreibt. Mit dem Aufkommen der Kryptowährungen hat sich in dieser Branche ein neuer Markt für Handelsplattformen aufgetan. Typischerweise kann man auf solchen Plattformen Kryptowährungen erwerben, verkaufen und anlegen und sich ganze Portfolios mit Kryptowährungen aufbauen, und zwar ganz bequem vom heimischen Arbeitsplatz. Je nachdem, wie die Anbieter ausgestaltet sind, partizipieren sie an den Geschäften, beispielsweise über die Erhebung von Gebühren. Sie haben also großes Interesse daran, möglichst viele Nutzer zu generieren.
Neben seriösen Anbietern hat der Markt allerdings auch äußerst fragwürdige Anbieter hervorgebracht. Beim Thema Kryptowährungen wollten viele die große Chance auf hohe Gewinne nicht verpassen. Dieser Umstand wurde und wird zum Teil immer noch in großem Maßstab ausgenutzt. Insbesondere internationale Handelsplattformen nehmen es mit nationalen Gesetzen nicht so genau. Im Inland können Bankgeschäfte oder Finanzdienstleistungen allerdings nicht ohne Erlaubnis nach dem Kreditwesengesetz (KWG) betrieben werden. Hat ein Anbieter diese Erlaubnis nicht, verstößt er gegen nationales Recht und macht sich sogar strafbar.
Gegen die kanadische Handelsplattform ROICraft wurden mittlerweile Ermittlungen diesbezüglich eingeleitet. Die Webseite von ROICraft hat Anlass dazu gegeben, dass die Betreiber unerlaubte Bankgeschäfte bzw. Finanzdienstleistungen in Deutschland angeboten haben. Sie ist seit wenigen Tagen nicht mehr im Internet erreichbar. Nicht nur ROICraft ist ins Visier der Ermittlungsbehörden geraten. Die Aufsichtsbehörden melden immer wieder Anbieter, die fragwürdige Angebote im Inland verbreiten. In diesem Zusammenhang kommt der BaFin eine zentrale Rolle zu.
BaFin und Kryptowährungen
Die BaFin ist eine Anstalt des öffentlichen Rechts. Sie kümmert sich im öffentlichen Interesse darum, in Deutschland ein stabiles und funktionsfähiges Finanzsystem zu gewährleisten. Hauptziel der BaFin ist es, Gefahren und Risiken für die den Instituten anvertrauten Vermögenswerte zu verhindern. Darüber hinaus sorgt sie für faire und transparente Verhältnisse an den Märkten und bekämpft den Missbrauch des Finanzsystems zum Zwecke der Geldwäsche und Terrorfinanzierung.
Die BaFin fungiert zusätzlich als Aufsichtsbehörde und überwacht die Einhaltung der Erlaubnispflicht nach dem KWG. Zur Erreichung dieser Zielsetzung wurden der BaFin gesetzlich umfangreiche Ermittlungs- und Eingriffsbefugnisse gewährt. Regelmäßig warnt die BaFin auf ihrer Webseite vor unerlaubten Bankgeschäften, so wie im Fall von ROICraft. In Deutschland bestehen also ernsthafte Bemühungen, die Risiken des Online-Tradings so gut es geht zu verhindern und ihnen entgegenzuwirken. Der Haken an der Sache sind allerdings internationale Anbieter.
Das Internet macht keinen Halt vor Landesgrenzen. Sobald Anbieter ihren Sitz im Ausland haben, gestaltet sich die Rechtsverfolgung als sehr schwierig. Die Untersagung der Geschäfte ist nur ein Teil der Konsequenzen, die auf entsprechende Anbieter zukommen. Die Rechtsverfolgung und Wiederbeschaffung der Vermögenswerte sind ein anderer Teil. Im Falle von ROICraft, die ihren Sitz in Kanada haben, sind die nationalen Ermittlungsbehörden auf die Zusammenarbeit mit internationalen Behörden angewiesen. Gerade für Privatanleger, die ihr investiertes Geld zurückverfolgen wollen, bestehen jedoch immense Hürden. Nicht selten führt die internationale Rechtsverfolgung zu dem Ergebnis, dass das Geld nicht zurückerlangt werden kann.
Worauf muss man achten?
Im Bereich des Online-Tradings sollte man höchste Vorsicht walten lassen. Die Website der BaFin bietet gute Anhaltspunkte für die Recherche über Online-Anbieter aus dem Bereich. Regelmäßig werden Warnungen ausgesprochen und es wird über Betrugsversuche im Zusammenhang mit Kryptowährungen aufgeklärt. In keinem Fall sollte man sich von Werbeaussagen über utopisch hohe Gewinne locken lassen. Eine sorgfältige Recherche hilft in jedem Fall. Zudem lohnt es sich genaue Informationen über anfallende Gebühren einzuholen. Häufig werden Kosten versteckt, die nicht ohne Weiteres ausfindig zu machen sind. Deuten Hinweise auf ein unseriöses Angebot, sucht man sich am besten einen anderen Anbieter.