Briefing IT / Datenschutz Sept/2012 Liebe Mandanten, liebe Geschäftsfreunde, Themen Datenschutz im Internet spielt im E-Commerce und erst recht im Direktmarketing eine große Rolle. Im August und September sind einige Gesetzesänderungen zu diesem Thema in Kraft getreten, die alle Unternehmen beachten sollten, um Abmahnungen sowie Bußgelder zu vermeiden. Die wichtigsten Neuerungen sowie einen Überblick über den Entwurf der EU-Datenschutzverordnung haben wir in diesem Briefing für Sie zusammengefasst. Bei weiterführenden Fragen können Sie sich gerne an uns wenden. Wir finden für Sie und Ihr Unternehmen eine praktikable Lösung. Mit freundlichen Grüßen Gesetzesänderungen 1 Neue Gesetzesänderung im E-Commerce 2 Übergangsvorschrift zur E-Mail-Werbung läuft aus Aus Europa 1 Die neue EU-Datenschutz-Verordnung Aus der Practice Group 1 IT Practice Group erhält Gütesiegel der WirtschaftsWoche Dr. Alexander Niethammer Sandra Waigand Veranstaltungen 1 Workshop: Die neue EU-Datenschutzverordnung kommt
Seite 2 Briefing Sept/2012 I Heisse Kursawe Eversheds Gesetzesänderungen 1 Sicher online shoppen mit Kauf-Button Gesetzesänderung im E-Commerce zum 01.09.2012 stärkt Käufersicherheit Spätestens bis zum 01.08.2012 müssen Onlinehändler, die über ihren Online-Shop (auch) an Verbraucher verkaufen, die Vorgaben der Buttonlösung umgesetzt haben. Die neuen gesetzlichen Vorgaben umfassen dabei zwei wesentliche Punkte: Die Erfüllung erweiterter Informationspflichten Die Gestaltung der die Bestellung auslösenden Schaltfläche ( Button ) Sowohl die erweiterten Pflichtinformationen, als auch der Button sind auf der finalen Bestellseite darzustellen, auf der der Verbraucher seine Bestellung an den Unternehmer abschickt. Daneben sind bei den meisten Onlinehändlern begriffliche Anpassungen in den AGB und der Beschreibung des Bestellablaufs notwendig, etwa die Anpassung der AGB hinsichtlich der neuen Bezeichnung des Buttons. Pflichtinformationen auf der finalen Bestellseite Folgende Informationen müssen dem Verbraucher künftig klar und verständlich, d.h. deutlich formuliert und ohne ablenkende Zusätze sowie in hervorgehobener Weise mitgeteilt werden: Eine Darstellung der wesentlichen Merkmale der Ware oder Dienstleistung; Die Angabe der Mindestlaufzeit von Verträgen, wenn diese eine dauernde oder regelmäßig wiederkehrende Leistung zum Inhalt haben; Die Angabe des Gesamtpreises der Ware oder Dienstleistung einschließlich aller damit verbundenen Preisbestandteile sowie alle über den Unternehmer abgeführten Steuern oder, wenn kein genauer Preis angegeben werden kann, seine Berechnungsgrundlage, die dem Verbraucher eine Überprüfung des Preises ermöglicht; Die Angabe gegebenenfalls zusätzlich anfallender Liefer- und Versandkosten sowie einen Hinweis auf mögliche weitere Steuern oder Kosten, die nicht über den Unternehmer abgeführt oder von ihm in Rechnung gestellt werden. Die Pflichtinformationen sind so hervorzuheben, dass sie dem Verbraucher auf den ersten Blick ins Auge fallen. Andere Elemente auf der finalen Seite des Bestellablaufs dürfen daher nicht in ähnlicher Weise hervorgehoben werden, sondern müssen gestalterisch hinter die Pflichtinformationen zurücktreten. Der Button auf der finalen Bestellseite Zunächst sollte der Button, also die Schaltfläche, mittels derer der Verbraucher seine Bestellung an den Unternehmer auslöst, so platziert werden, dass ihm eine Abschlussfunktion ähnlich einer Unterschrift auf einer Vertragsurkunde zukommt. Der Button sollte daher unmittelbar unterhalb der vorgenannten Pflichtinformationen platziert werden. Der Button darf sich auf der finalen Seite des Bestellablaufs nur einmal befinden, eine Mehrfachplatzierung ist unzulässig. Daneben dürfen sich zwischen den Pflichtinformationen und dem Button keine trennenden Gestaltungselemente platziert sein. Texte, die nicht zu den Pflichtinformationen gehören und grafische Gestaltungselemente (etwa Checkboxen für Kenntnisnahme von AGB oder Kommentarfelder, Felder für Adressen, etc.) sind an dieser Stelle tabu und sollten idealerweise an den Seitenanfang verschoben werden. Ebenfalls von großer Bedeutung ist auch die korrekte Beschriftung des Buttons. Zulässige Beschriftungen des Buttons (ab dem 01.08.2012) sind: Zahlungspflichtig bestellen (vom Gesetzgeber vorgesehene Musterbeschriftung) Wird diese verwendet, darf der Button keinerlei weitere Beschriftung enthalten! Kaufen Kostenpflichtig bestellen Zahlungspflichtigen Vertrag schließen Kauf abschließen
Seite 3 Die Beschriftung des Buttons muss gut lesbar sein und darf auch im Fall der drei letztgenannten Beschriftungen keine überflüssigen bzw. sogar ablenkenden Zusätze enthalten. Beispiele unzulässiger Beschriftungen des Buttons (ab 01.08.2012) sind: Bestellung absenden Weiter Bestellen Herzlich willkommen in unserem Serviceparadies. Genießen Sie ab jetzt unsere Angebotsvielfalt, indem Sie bei uns kaufen! Fazit Folgen bei Nichtumsetzung oder zu später Umsetzung der Vorgaben Wer als Onlinehändler die neuen Anforderungen nicht bis zum 01.08.2012 umgesetzt hat, handelt in jedem Falle wettbewerbswidrig und muss mit einer Abmahnung rechnen. Ist auch die Beschriftung des Buttons fehlerhaft, kommt zudem mit dem Verbraucher kein Vertrag zustande. 2 Datenverarbeitung und -nutzung zu Werbezwecken kann jetzt teuer werden Übergangsvorschrift zur Verwendung von Daten für Werbezwecke läuft aus Ab 01.09.2012 nur noch mit Opt-in Bereits im Jahr 2009 hat der deutsche Gesetzgeber das Bundesdatenschutzgesetz umfassend reformiert. Unter anderem wurde die Verwendung von Kundendaten zu Werbezwecken neu geregelt: Danach gilt seit dem 01.09.2009, dass Kundendaten im Rahmen eines rechtsgeschäftlichen Schuldverhältnisses zum Zwecke der Werbung nur noch verwendet werden dürfen, wenn eine entsprechende vorherige Einwilligung des Kunden vorliegt (sog. Opt-in Prinzip). Bislang galt die nun auslaufende Übergangsvorschrift, wonach das Unternehmen Kundendaten, die bereits vor dem 01.09.2009 erhoben wurden nach dem alten Opt-out Prinzip für Werbezwecke weiterhin nutzen durfte. Als Resultat der Übergangsvorschrift waren Unternehmen daher gezwungen, zwischen Alt-und Neudatenbeständen zu differenzieren, um hiernach die Rechtmäßigkeit der Verwendung für Werbezwecke zu beurteilen. Mit Wegfall der Übergangsvorschrift gilt nunmehr ab dem 01.09.2012 ein einheitlicher Maßstab hinsichtlich sämtlicher Kundendaten, egal ob alt oder neu: Der Kunde muss explizit in die Verwendung seiner Daten zu Werbezwecken eingewilligt haben. Fazit Unternehmen dürfen die Altdatenbestände ihrer Kunden, sofern sie nicht zwischenzeitlich das Opt-in eingeholt haben, nicht mehr für Werbezwecke nutzen, es sei denn, einer der Ausnahmetatbestände greift ein. Ausnahmen vom Einwilligungsvorbehalt sind z.b.: Listendatenprivileg Die Speicherung von folgenden Merkmalen ist erlaubt: Personengruppenzugehörigkeit, Berufs-, Branchen- oder Geschäftsbezeichnung, Name, Titel und akademischer Grad, Anschrift, Geburtsjahr. Nicht erlaubt sind: E-Mail- Adresse oder Geburtsdatum. Das Listendatenprivileg findet nur Anwendung auf: Werbung für eigene Angebote, wenn die Daten beim Kunden im Rahmen eines Auftrags oder eines aktiven Interesses an den Angeboten des Unternehmens direkt oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben wurden; Werbung zwischen Unternehmen, hierfür dürfen auch die Namen der Ansprechpartner in den Unternehmen verwendet werden, um diese direkt anschreiben zu können. Übermittlung Die Übermittlung von Listendaten ist zulässig, wenn aus der Werbung eindeutig hervorgeht, wer die Daten erstmals gespeichert hat. Außerdem muss die Übermittlung für zwei Jahre protokolliert werden, um dem Betroffenen hierüber nachträglich Auskunft geben zu können. Fremdwerbung Erlaubt ist die Nutzung personenbezogener Daten für Werbung für fremde Angebote, wenn in der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist. Unter dieser Ausnahme wird das sog. Listbroking mit Auftragsdatenverarbeitung durchgeführt. Verstöße können mit Geldbußen von bis zu 300.000 Euro geahndet werden.
Seite 4 Briefing Sept/2012 I Heisse Kursawe Eversheds Aus Europa 1 Die neue EU-Datenschutz-Verordnung Ende des BDSG? Mit der Vorstellung ihres Entwurfes für eine Datenschutzgrundverordnung im Januar dieses Jahres hat die EU-Kommission die Diskussion um eine Weiterentwicklung der seit 1995 geltenden EU-Datenschutzvorschriften (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Datenschutzrichtlinie) eröffnet. Anders als die existierenden EU-Richtlinie zum Datenschutz und entsprechende nationale Gesetze zur Umsetzung würde eine EU-Datenschutzverordnung unmittelbar in allen EU-Mitgliedsstaaten gelten und nationales Recht außer Kraft setzen. Die Europäische Kommission will damit dem technischen Fortschritt und der Globalisierung Rechnung tragen, die die Art und Weise, wie Daten erhoben, abgerufen und verwendet werden, grundlegend verändert haben. Eine einheitliche Regelung soll daher jetzt der bestehenden Fragmentierung - die 27 Mitgliedstaaten der EU haben die Vorschriften von 1995 unterschiedlich umgesetzt, was teilweise zu erheblichen Unterschieden bei ihrer Durchsetzung geführt hat - ein Ende bereiten. Die Erhebung und Speicherung von personenbezogenen Daten ist im digitalen Zeitalter von wesentlicher Bedeutung. In der globalisierten Welt von heute ist die Übermittlung von Daten an Länder außerhalb der EU zu einem wichtigen Aspekt des täglichen Lebens geworden. In der Online-Welt gibt es keine Grenzen und das Cloud Computing macht es beispielsweise möglich, dass Daten von Berlin zu Verarbeitungszwecken nach Boston geschickt und dann in Bangalore gespeichert werden. Die Verordnung soll das Vertrauen der Verbraucher in Onlinedienste stärken und so dringend benötigte Impulse für mehr Wachstum, Arbeitsplätze und Innovationen in Europa geben.
Seite 5 Reichweite der Verordnung Unternehmen wie Facebook, Google & Co. hatten es bisher leicht zu argumentieren, dass das europäische Datenschutzrecht für sie nicht gilt, da sie ihren Hauptsitz in den USA, d.h. außerhalb der EU haben. Diese Argumentation trägt zukünftig nicht mehr. Bezugspunkt soll die Person werden, die ihren gewöhnlichen Aufenthalt in der EU hat. Das heißt konkret: Auch Unternehmen, die keinen Sitz in der EU haben, sollen sich nach der Verordnung richten müssen, wenn sie sich mit Diensten oder Produkten an EU-Verbraucher wenden oder die Datenverarbeitung der Beobachtung des Verhaltens der Verbraucher dient. Privacy-by-default / Privacy-by Design Datenschutzfreundliche Voreinstellungen sollen verpflichtend werden. Demnach müssen alle Produkte und Dienstleistungen bei ihrer Auslieferung oder ihrer ersten Inanspruchnahme datenschutzfreundlich voreingestellt sein. Es werden dann nur so viele Daten erfasst, verarbeitet und weiter gegeben, wie für die Nutzung unbedingt erforderlich ist. Recht auf Datenportabilität Es soll ein Recht auf Datenportabilität eingeführt werden. Die Bürger sollen leichter auf ihre eigenen Daten zugreifen und diese bei einem Wechsel zu einem anderen Dienstleistungsanbieter mitnehmen können. Dadurch wird die Kontrolle der Verbraucher über ihre Onlinedaten gestärkt und der Wettbewerb unter den Anbietern derartiger Dienste zunehmen. Detaillierte Regelung der Einwilligung Die Frage, was eine Einwilligung beinhalten und wie die Rahmenbedingungen aussehen müssen, damit die Erklärung überhaupt wirksam ist, beschäftigt die Gerichte in Deutschland immer wieder. Die EU-Verordnung greift hierbei Bekanntes auf: so kann eine Verarbeitung nicht auf eine Einwilligung gestützt werden, wenn in einem Abhängigkeitsverhältnis ein deutliches Ungleichgewicht zwischen verantwortlicher Stelle und dem Betroffenen besteht. Dies dürfte gerade im Hinblick auf das Erheben, Verarbeiten oder Nutzen von Daten im Zusammenhang mit Beschäftigungsverhältnissen von besonderer Bedeutung sein. Gestärkte Auskunftsrechte Die Auskunftsrechte des Betroffenen werden weiter gestärkt. Informationen an die Nutzer sollen einfach erreichbar und einfach verständlich sein. Es soll eine klare und deutliche Sprache verwendet werden, insbesondere wenn sich das Angebot an Kinder richtet. Das Unternehmen muss den Verbrauchern leichte Möglichkeiten zur Verfügung stellen, ihre Rechte, zum Beispiel auf Auskunft, wahr zu nehmen. Auskunftsanfragen müssen kostenlos innerhalb eines Monats schriftlich beantwortet werden. Je nach Geschäftstätigkeit des Unternehmens kann dies eine besondere Herausforderung darstellen. Das Recht vergessen zu werden Die neuen EU-Regelungen kennen nicht nur die altbekannten Löschpflichten. Es soll zukünftig auch ein Recht darauf geben, vergessen zu werden. Alle Bürger sollen das Recht erhalten, ihre eigenen Daten zu löschen, wenn keine legitimen Gründe für deren Vorhaltung bestehen. Hierzu zählt auch, dass jegliche Verknüpfungen zu oder Kopien von veröffentlichten und allgemein zugänglichen Daten entfernt werden müssen. Dies dürfte für soziale Netzwerke eine besonders anspruchsvolle Herausforderung darstellen. Strengere Informationspflichten Zwar sieht auch jetzt schon 42a BDSG Informationspflichten vor, wenn personenbezogene Daten Unbefugten zur Kenntnis gelangen. Allerdings sieht der Entwurf der EU-Verordnung eine 24-Stunden-Frist für die Meldung gegenüber der Aufsichtsbehörde vor. Die gleiche Frist gilt für die Information der Betroffenen. One-Stop-Shop Falls eine Datenverarbeitung sich über mehrere EU- Mitgliedsstaaten erstreckt, soll zukünftig alleiniger Ansprechpartner für Organisationen die nationale Datenschutzbehörde des EU-Landes sein, in dem die Organisation ihre Hauptniederlassung hat. Ebenso sollen sich Bürger künftig auch dann an die Datenschutzbehörde ihres Landes wenden können, wenn ihre Daten von einem außerhalb der EU niedergelassenen Unternehmen verarbeitet werden. Stärkung der Datenschutzbehörden / Verschärfte Strafen bei Datenschutzverstößen Die Unabhängigkeit der nationalen Datenschutzbehörden soll gestärkt werden, damit diese die EU-Vorschriften in ihren Ländern besser durchsetzen können. Für manche Unternehmen sind die im BDSG vorgesehenen Bußgelder von bis zu EUR 300.000 ein Betrag, der das Geschäft nur unmerklich beeinträchtigt. Sollte der Entwurf jedoch Realität werden, könnte diese Einschätzung schnell ganz anders ausfallen. Denn das Bußgeld kann bis zu EUR 1.000.000 oder bis zu 5 % des weltweiten Umsatzes betragen. Das kann manches Unternehmen durchaus in den Ruin treiben.
Seite 6 Briefing Sept/2012 I Heisse Kursawe Eversheds Aus der Practice Group 1 WirtschaftsWoche zeichnet IT Practice Group aus Heisse Kursawe Eversheds unter den 25 besten Kanzleien im Bereich IT-Recht Die Wirtschaftswoche (WiWo) hat die Top-Kanzleien Deutschlands 2012 für den Bereich der Informationstechnologie ausgewählt. Unter den 25 wichtigsten deutschen Top Kanzleien sind die IT-Praxis von Heisse Kursawe Eversheds sowie Partner und Head of IP Axel Zimmermann benannt worden. Die Wirtschaftswoche bewertet nach einem komplexen Verfahren. Zunächst wurde anhand von Expertenbefragungen und Datenbankrecherchen geprüft, welche Kanzleien und Anwälte in den letzten Jahren besonders positiv auf sich aufmerksam gemacht haben; 49 Kanzleien und 108 Kandidaten gelangten so in eine Vorauswahl, die 16 führenden Experten vorgelegt wurden. Die Experten empfahlen daraufhin 36 Kanzleien, die wiederum einer neutralen Jury vorgelegt wurden. Am Ende des Prozesses entschied die Jury nach vier Kriterien: nachweisbare Erfolge, langjährige Erfahrung, Stärke des Teams, Spezialisierung. Ein Erfolg für Axel Zimmermann, wie auch des gesamten Teams, das im Bereich der Informationstechnologie von Dr. Alexander Niethammer geleitet wird. Die Jury besteht aus: Karl Martin im Brahm (Vorstand dwpbank), Thomas Ochs (CIO bei Villeroy & Boch), Professor Achim Schunder (Leiter der Niederlassung des C.H. Beck- Verlags in Frankfurt), Bernd Wagner (CEO der Softline AG), Prof. Felix Hey (geschäftsführender Gesellschafter Verlag Dr. Otto Schmidt) sowie Roland Trichy (Chefredakteur der WirtschaftsWoche). Axel Zimmermann: Es ist eine große Anerkennung, von der Wirtschaftswoche empfohlen zu werden und ein Beleg für die vorzügliche Arbeit, die das gesamte Team im Fachbereich IP und insbesondere die Kollegen um Dr. Alexander Niethammer im Schwerpunkt IT bei uns in der Sozietät Tag für Tag vollbringen.
Seite 7 Veranstaltungen Workshop Die neue EU-Datenschutzverordnung kommt - Ende des BDSG? Datum: 11.10.2012 Uhrzeit: Ort: Zielgruppe: Anmeldung: 17.00-19.00 Uhr, anschließend Get-together Heisse Kursawe Eversheds Maximiliansplatz 5 80333 München Der Workshop richtet sich insbesondere an Justiziare, Marketing- sowie HR-Abteilungen und die Geschäftsführung von Unternehmen. Weitere Informationen sowie unser Anmeldeformular finden Sie unter www.heisse-kursawe.com/veranstaltungen. Ansprechpartner Für weitergehende Informationen kontaktieren Sie bitte: Dr. Alexander Niethammer, LL.M. (UConn) Leiter Practice Group IT/Data Protection Partner, Rechtsanwalt, Attorney-at-Law (New York) Tel +49 89 545 65 318 a.niethammer@heisse-kursawe.com Sandra Waigand IT/Data Protection Senior Associate +49 89 545 65 3805 s.waigand@heisse-kursawe.com Nils Müller IT/Data Protection Associate +49 89 545 65 318 n.mueller@heisse-kursawe.com
Diese Veröffentlichung hat den Stand 31.08.2012 Die darin enthaltenen Informationen sind allgemeiner Natur und ohne vorherige Beratung im Einzelfall nicht als Entscheidungsgrundlage geeignet. Insbesondere ersetzen sie keine rechtliche Beratung im Einzelfall. Für die Vollständigkeit und Richtigkeit der in dieser Veröffentlichung enthaltenen Informationen wird keine Haftung übernommen. Heisse Kursawe Eversheds Rechtsanwälte Patentanwälte Partnerschaft Als redaktioneller Ansprechpartner im Sinne des 55 RStV steht Ihnen zur Verfügung: Daniela Häßler, Heisse Kursawe Eversheds Rechtsanwälte Patentanwälte Partnerschaft, Maximiliansplatz 5, 80333 München, Deutschland, d.haessler@heisse-kursawe.com Heisse Kursawe Eversheds Rechtsanwälte Patentanwälte Partnerschaft mit Sitz in München ist im Partnerschaftsregister des Amtsgerichts München unter PR 1 eingetragen. Partner von Heisse Kursawe Eversheds sind nur die im vorgenannten Partnerschaftsregister eingetragenen Anwälte. Heisse Kursawe Eversheds ist Mitglied von Eversheds International Limited. Falls Sie keine weiteren Newsletter von Heisse Kursawe Eversheds erhalten möchten, können Sie sich jederzeit unter hke-info@heisse-kursawe.com aus unserem Verteiler austragen lassen. Dazu senden Sie bitte eine E-Mail mit Betreff Abmelden Newsletter an die genannte Adresse. www.heisse-kursawe.com www.eversheds.de Heisse Kursawe Eversheds ist Mitglied von Eversheds International Limited.