Vorgehen gegen Onlinebewertungen: Der aktuelle Stand bei Jameda, Kununu & Co

Muss man es aushalten, dass die eigene Leistung im Internet schlecht bewertet wird, obwohl man selbst sie eigentlich ganz ordentlich fand? Und darf Jameda eigentlich einfach so meine Daten speichern? Diese Fragen treiben nicht nur Ärzte um, aber besonders diese Berufsgruppe. Und vor allem Ärzte horchten auch auf, als der Bundesgerichtshof Anfang 2018 dem Begehren einer Ärztin stattgab, komplett aus der Online-Bewertungsplattform “Jameda” gelöscht zu werden. “Besonders” ist das deshalb, weil gerade Ärzte – aber durchaus auch andere Freiberufler – unter der diesbezüglich recht meinungsfreundlichen BGH-Rechtsprechung zu leiden hatten, die es Bewerteten nicht so leicht macht, sich gegen schlechte Bewertungen zu wehren oder sich gar dem Online-Bewertungszirkus vollständig zu entziehen.

Zeit für ein Update: Wie ist der Stand bei Onlinebewertungen, bei Jameda, bei Kununu, Google und anderswo?

Mehr

Jurafunk #155: Fotografierverbot, Malle und das Markenrecht, Auskunftsrecht nach Art. 15 DSGVO

Wer hätte im Sommer 2009 gedacht, dass es Krasemann und Dirks nach der ersten gemeinsamen Jurafunk-Folge am 2. Juli 2009 so lange miteinander aushalten? 10 Jahre und 154 Folgen später ist es nun Zeit für … nunja: eine weitere, ganz normale und auf die übliche Weise schmucklose Jurafunk-Folge. In der geht es noch einmal um das Fotografierverbot bei Einschulungsfeiern, um Malle und das Markenrecht, um die Frage, wie weit das Auskunftsrecht nach Art. 15 Datenschutz-Grundverordnung reicht und darum, was das alles mit Oskar, dem Schnellzeichner zu tun hat.

Mehr

DSGVO-Verstoß nicht abmahnbar, DSGVO-Verstoß abmahnbar, DSGVO-Verstoß nicht abmahnbar… (LG Stuttgart, Urt. v. 20.5.2019, Az. 35 O 68/18)

Die DSGVO und die bislang ausgebliebene Abmahnwelle. Ich habe darüber zum ersten mal vor etwa einem Jahr etwas geschrieben und seither immer mal wieder. Einer der für eine “Welle” wichtigen Gesichtspunkte ist ja der, dass sie einen rechtlich eindeutigen Fall braucht, um den Abmahner möglichst wenig Gegenwehr und über verschiedene Umwege dann aber auch möglichst viele Einnahmen zu verschaffen, z.B. über Vertragsstrafen aus Unterlassungs- und Verpflichtungserklärungen.

Mehr

VvU#002: Und täglich grüßt der vzbv

in der zweiten Folge meines Videologs von unterwegs spreche ich kurz über ein weiteres Urteil, das der vzbv gegen Google erstritten hat und etwas länger darüber, was mich daran wundert.

Die Pressemitteilung des vbzv (ohne “n”) zum aktuellen Urteil ist hier zu finden. Informationen zum Verfahren des ULD gegen die WAK-SH seit 2011 z.B. hier. Und ja, meine Turnschuhe quietschen ein wenig.

10 verbreitete Rechtsirrtümer … zur Datenschutz-Grundverordnung (DSGVO)

Der Untergang des Internets wie wir es kennen, ist bekanntermaßen am 25.5.2018 eingeläutet worden. Ein halbes Jahr später steht das Internet zwar immer noch, rund um die Datenschutz-Grundverordnung existieren aber mehr Mythen denn je. Die passende Gelegenheit, sich einmal ein paar Fehlannahmen zu widmen, denen ich tagtäglich begegne.

Irrtum: Die DSGVO ist Teufelswerk
Tatsache: Mit der DSGVO ist Datenschutz endlich Thema.

Der Internetnutzer ist nicht mehr Kunde, er ist das Produkt. Jedenfalls, wenn er die großen Plattformen wie Facebook oder Google nutzt, in gewisser Hinsicht und teilweise auch bei Verkaufsplattformen wie Amazon. Es ist Zeit, dies nicht länger zu ignorieren und es wird Zeit, der Macht der Plattformen etwas entgegenzusetzen. Und genau dies erreicht die DSGVO. An ihr kommen nicht nur die vielzitierten und bemühten “kleinen Blogger” nicht mehr vorbei, die sich nun mit dem Datenschutz befassen müssen. Es müssen sich nunmehr auch alle Daten-Dienstleister gegenüber ihren Kunden in Hinblick auf Datenschutz und Datensicherheit rechtfertigen. Erstmals wird dem Thema Datenschutz bereits bei der Auswahl von Dienstleistern Priorität eingeräumt. Und das ist gut so.

Irrtum: Die Umsetzung der DSGVO bringt keine Probleme mit sich.
Tatsache: Vieles in der DSGVO ist unklar. Einiges erscheint widersprüchlich. Manches ist überflüssiger Formalismus.

Gebetsmühlenartig hört man die Datenschützer in den Aufsichtsbehörden vortragen: Probleme mit der DSGVO und deren Umsetzung sind nur Missverständnisse auf Seiten der Verpflichteten. Es ist alles ganz einfach, man muss es nur wollen. Das ist aber ganz offensichtlich nicht der Fall. Denn die DSGVO ist voller unbestimmter Rechtsbegriffe und deren Auslegung durch die Landesdatenschutzbeauftragten ist nicht immer hilfreich. Gerade kleine Unternehmen sind mit der Erfüllung von Informations- und Dokumentationspflichten überfordert. Sind seitenlange Datenschutzerklärungen bei der Bestellung im Buchladen sinnvoll? Darüber kann man geteilter Meinung sein. Vielleicht kann man auch sagen: “Was für ein Blödsinn”. Eine Kommunikationsstrategie des Abwiegelns ist aber sicherlich nicht hilfreich bei dem Versuch, dem Datenschutz zu mehr Akzeptanz zu verhelfen.

Irrtum: Auf einmal Auftragsverarbeitung +  AVV!
Tatsache: Schon lange Auftragsverarbeitung + AVV (früher: ADV)!

Die größte Veränderung im Bereich der Auftragsverarbeitung seit Anwendung der DSGVO am 25. Mai ist, nach meiner bescheidenden Meinung, die Einsparung eines “D” in der Abkürzung. Bis zum 25.5.2018 hieß die “Auftragsverarbeitung” nämlich “Auftragsdatenverarbeitung” und die entsprechenden Vereinbarungen hießen “Auftragsdatenverarbeitungsvereinbarungen” oder kurz “ADV”. Seit dem heißen sie “AVV”. Sonst hat sich herzlich wenig geändert, insbesondere wurde die bereits in § 11 BDSG (alt) geregelte Verpflichtung des Auftraggebers, mit seinen Auftragsverarbeitern entsprechende Vereinbarungen mit bestimmten Mindestinhalten zu schließen, nicht von der DSGVO erfunden. Nur weil viele Menschen die schon vor Anwendung der DSGVO geltende Rechtslage nicht kannten, bedeutet das nicht, dass sie nicht existiert hätte.

Irrtum: Die DSGVO-Abmahnwelle kommt.
Tatsache: Die DSGVO-Abmahnwelle kommt nicht.

Niemand kann voraussagen, ob nicht morgen jemand anfängt, komische Briefe zu schreiben. Dennoch sprach schon vor dem 25. Mai einiges dafür, dass die herbeifantasierten DSGVO-Abmahnwellen, die das Internet sofort ab dem Stichtag überschwemmmen würden, ausbleiben und jedenfalls bis Herbst 2018 sind sie auch ausgeblieben. Die Argumente habe ich hier bereits vor einiger Zeit einmal ausführlich aufgeschrieben.

Irrtum: Zwanzig Millionen Euro!
Tatsache: Erst mal alles andere.

Eins “weiß” jeder über die DSGVO: Wer verstößt, muss 20 Millionen Euro zahlen (oder 4% des Jahresumsatzes, was eben höher ist). Diese Horrorzahlen sind natürlich sexy, um damit Werbung für Gegenmaßnahmen zu machen. Rechtsberatung, Datenschutzbauftragtensoftware, you name it. Nur haben sie mit der Realität nicht das geringste zu tun. Richtig ist, dass das maximal (!) mögliche (!) Bußgeld (!) für bestimmte Verstöße gegen die DSGVO 20 Millionen Euro beträgt  (oder 4% des Jahresumsatzes, was eben höher ist). Weder wird aber bei den meisten Verstößen überhaupt ein Bußgeld festgesetzt werden, selbst wenn die Datenschutzbehörde davon Kenntnis erlangt (weil viele andere Aufsichtsmaßnahmen exisitieren, die viel geeigneter sind, den jeweiligen Verstoß zu ahnden, zum Beispiel Anordnungen zur Beendigung des Verstoßes gemäß Art. 58 Abs. 2 DSGVO, nämlich Rügen, Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen oder zeitlich begrenzte oder endgültiges Verbot der Datenverarbeitung). Noch werden auch in den Fällen, in denen Bußgelder verhängt werden, annähernd die genannten Maximalsummen erreicht werden.

Irrtum: Alle alten Newsletter-Einwilligungen müssen mit der DSGVO neu eingeholt werden.
Tatsache: Ordentlich eingeholte Einwilligungen müssen mit der DSGVO nicht neu eingeholt werden.

Zugegeben, der Hinweis kommt ein bisschen spät, denn zwischenzeitlich ist die Welle der E-Mails, die bei Newslettern und ähnlichem zu erneuter Einwilligung aufriefen, abgeebbt. Weil das, was alle machen, wohl seine Gründe haben muss, hat diese Welle aber zu der verbreiteten Meinung geführt, dass es eine Verpflichtung hierzu gibt. Diese gibt es natürlich nicht.

Bevor der Punkt erreicht war, an dem Alle sicherheitshalber ihre Einwilligungen noch einmal eingeholt haben, weil alle anderen das eben auch machen (…und außerdem 20 Millionen Euro !!!), dürfte es dieser Aspekt gewesen sein, der manche zurecht davon ausgehen ließ, ihre Einwilligungen seien unwirksam: Nach der DSGVO dürfen Einwilligungen (ausdrücklich) nicht (mehr) mit anderen Erklärungen verbunden werden, dies besagt das “Kopplungsverbot” aus Art. 7 DSGVO. Einwilligungen, die in der Vergangenheit unter Verstoß hiergegen eingeholt wurden (weil z.B. die Newsletter-Bestellung mit etwas ganz anderem verbunden war), mussten tatsächlich “nachqualifziert” werden, wie das im Marketing-Sprech heißt. Aber eben auch nur die.

Irrtum: Unter der DSGVO braucht jedes Unternehmen einen Datenschutzbeauftragten.
Tatsache: Die Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist, haben sich nicht wesentlich geändert.

Weiterhin müssen nur Unternehmen, die bestimmte Verarbeitungtätigkeiten zu ihren Kerntätigkeiten zählen (Art. 37 DSGVO) oder bei denen mehr als 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 BDSG), einen Datenschutzbeauftragten. Für andere Unternehmen kann ein Datenschutzbeauftragter sinnvoll sein. Vorgeschrieben ist er nicht.

Irrtum: Die DSGVO sorgt dafür, dass keiner mehr einen anderen Fotografieren darf. Und das Foto veröffentlichen schon gar nicht.
Tatsache: Die Voraussetzungen für das Anfertigen und Veröffentlichen von Fotos, die Menschen zeigen, haben sich nicht wesentlich verändert.

Obwohl die DSGVO schon seit 2016 galt, kam die Aufregung in Sachen Fotografie erst Anfang 2018 so richtig in Fahrt. Nicht weniger als das Ende der Personenfotografie, wie wir sie kennen, wurde ausgerufen. Bislang allerdings, ohne dass diese Diskussion große Auswirkungen auf die Lebenswirklichkeit außerhalb der Diskussion entfaltet hätte. Mit anderen Worten: Würde man es aus dem Internet nicht besser wissen, würde man gar nichts davon mitbekommen, dass die Welt untergegangen ist. Das mag auch daran liegen, dass die ersten Urteile und Einschätzungen aus dem Dunstkreis der Datenschutzaufsicht der Meinung zuneigen, dass das Recht, wie wir es kannten, auch weiterhin gilt (und die ganzen schlimmen Informationspflichten der DSGVO vielleicht gar nicht Anwendung finden). Fragen Sie einfach auch in Zukunft, bevor sie Fotos von anderen Menschen veröffentlichen.

Irrtum: Die DSGVO verlangt, dass mit einem Layer auf Cookies hingewiesen wird und der Nutzer “OK” drückt”.
Tatsache: Man kann sich auf den Standpunkt stellen, dass die DSGVO für bestimmte Cookies eine Einwilligung erfordert. Ein “OK”-Layer ist aber keine Einwilligung.

Die Sache mit den Cookies ist ein Beispiel für das (zumindest) kommunikative Versagen der Datenschutzaufsichtsbehörden, die es bis heute nicht einmal geschafft haben, anderen Menschen als Fachjuristen überhaupt nur zu erklären, was das rechtliche Problem an dieser Stelle ist. Der Jurafunk hat dies hier schon einmal versucht. Im Rahmen dieses Textes soll die Festellung reichen: Ob man für bestimmte Cookies eine “Einwilligung” braucht, ist zum Zeitpunkt der Abfassung dieses Textes eine reine Glaubensfrage. Man kann mit guten Gründen der Meinung sein, dass eine Einwilligung notwendig ist. Wenn man aber dieser Meinung ist, dann genügen Cookie Banner der Art “… wenn Sie unsere Webseite nutzen, stimmen Sie zu” nicht als Einwilligung, da es an der Freiwilligkeit fehlt. Letztlich ist der Cookie-Hinweis dann nur ein Hinweis, den man genauso gut direkt in der ohnehin notwendigen Datenschutzerklärung nach Art. 13 DSGVO geben kann.

Irrtum: Viel (Papier unterschreiben) hilft viel.
Tatsache: Gegen Hysterie hilft vielleicht Meditation (wobei...)

Spätestens, als der Kindergarten mich Anfang Mai mit einem Haufen Papier überschüttete, der die Frage behandelte, ob, wann und wohin Fotografien des Nachwuchses hergestellt, gespeichert oder übermittelt werden dürften und den ich schnell zu unterschreiben hätte, wurde mir klar: Hier liegt ein ganz grundsätzliches Missverständnis vor.

Die DSGVO hat nicht zum Ziel, der siechen Papierindustrie zu neuer Blüte zu verhelfen, in dem jeder Bürger ab sofort gezwungen werde, zigfach Einwilligungserklärungen für alles mögliche zu unterzeichnen. In den allermeisten Fällen ist der Formularwahn a.) unnötig, b.) verwirrend und/oder c) auch noch unwirksam, weil sich die verantwortlichen Stellen “um Dinge zu vereinfachen” generalklauselartige Einwilligungen “für alles” erteilen lassen. Genau dies will das Datenschutzrecht aber gerade nicht.

Anstatt also blindwütig hundertfach Blanko-Einwilligungen auszudrucken und im Akkord unterschreiben zu lassen, empfiehlt es sich, ein mal innezuhalten und sich zu fragen: Muss ich bestimmte Daten wirklich verarbeiten? (Überraschend häufige Antwort: “Nein”). Ist für diese Datenverarbeitung die DSGVO eigentlich anwendbar (Überraschend häufige Antwort: “Nein”). Benötige ich für diese Datenverarbeitung, die ich wirklich durchführen muss und für die tatsächlich die DSGVO andwenbar ist, eigentlich eine Einwilligung (Überraschend häufige Antwort: “Nein”). Was dann noch übrig bleibt, muss wirklich unterschrieben werden.

Was von DSGVO-Weltuntergang nach einem Jahr Anwendung der DSGVO übrig geblieben sein wird … sehen wir dann.