Verbraucher müssen bei Internet-Recherchen immer wieder damit rechnen, dass sie bei der Suche nach Produkten eines bestimmten Herstellers auch auf Konkurrenzprodukte anderer Hersteller aufmerksam gemacht werden.

Das Oberlandesgericht München hatte eine schon lange anhängige Klage des Fahrradtaschenherstellers Ortlieb gegen Amazon am 7. Juni 2019 abgewiesen, nachdem der Bundesgerichtshof das Verfahren mit Urteil vom 15. Februar 2018 – 1 ZR 138/16 – an das Oberlandesgericht München zurückverwiesen hatte. In diesem Verfahren war es um die Trefferlisten gegangen, die Amazon selbst beim Betrieb der Website www.amazon.de anbietet. Insoweit hatte der Bundesgerichtshof angenommen, der verständige Internetnutzer gehe bei den Amazon-Trefferlisten nicht davon aus, dass sämtliche Angebote der Liste von einem Hersteller stammen müssen.

Anders ist es jedoch bei Google-Recherchen der Internetnutzer. Hier wird die herkunftshinweisende Funktion einer Marke nach den Feststellungen des Bundesgerichtshofs – Urteil vom 25. Juli 2019 – 1 ZR 29/18 – beeinträchtigt, wenn in den Adword-Anzeigen von Amazon Konkurrenzprodukte des Markeninhabers erscheinen. Damit müsse der Verbraucher nicht ohne besondere Kenntlichmachung und die Irreführung vermeidende Hinweise rechnen.

Für die Internetwerbung heißt das, dass Vorsicht bei der Verwendung von Markennamen der Konkurrenz geboten ist, um eine kostspielige Auseinandersetzung mit den Inhabern bekannter Marken zu vermeiden.

Dr. Walter Brunner Rechtsanwalt

Am 26. April 2019 ist nach langer politischer Debatte das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten (Bundestagsdrucksache 19/ 4724). Mangels Übergangsvorschriften gilt das Gesetz seither uneingeschränkt und ist vom Geschäftsverkehr in Deutschland zu beachten. Das Gesetz beruht auf eine EU-Richtlinie (2016/943) über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (sogenannte „Know-how Schutzrichtlinie“). Auch die anderen Mitgliedsstaaten der EU sind zur Schaffung eines vergleichbaren Schutzniveaus verpflichtet. Dies wird den grenzüberschreitenden Austausch sensibler Informationen innerhalb der EU erleichtern.

Die wesentlichen Neuerungen gegenüber der bisherigen Gesetzeslage in Deutschland lassen sich wie folgt zusammenfassen:

1. Begriff des Geschäftsgeheimnisses, Notwendigkeit angemessener Geheimhaltungsmaßnahmen, § 2 Nr. 1 GeschGehG

Zu begrüßen ist grundsätzlich die Definition des Geschäftsgeheimnis-Begriffes, der sich an internationalen Standards orientiert. Geheime Informationen müssen zumindest einen potentiellen wirtschaftlichen Wert haben und Gegenstand angemessener Geheimhaltungsmaßnahmen des Inhabers sein.

2. Höheres Haftungsrisiko von Unternehmen, § 10 GeschGehG

Bislang beschränkte sich die Haftung von Unternehmen bei Geheimnisverletzungen auf wenige (nur vorsätzlich begehbare) Straftatbestände. Künftig führen Geheimnisverletzungen gemäß § 10 GeschGehG zur Haftung von Unternehmen schon bei leicht fahrlässigem Verhalten. Es wird verstärkt darauf zu achten sein, dass etwa neu eingestellte Mitarbeiter oder Berater kein rechtswidrig erlangtes Know-how Dritter bei der Unterstützung des Unternehmens verwenden.

3. Liberalisierung des Reverse Engineering, § 3 Abs. 1 Nr. 2 GeschGehG

Bislang war nach deutschem Wettbewerbsrecht jedem untersagt, das in einem Produkt enthaltene Know-how durch Rückbau und Analyse des Produkts für eigene Zwecke zu nutzen./offenzulegen. Dies galt zumindest dann, wenn der Rückbau mit Aufwand verbunden war.

Das neue Geheimnisschutzgesetz sieht jetzt vor, dass ein Beobachten, Untersuchen, Rückbau oder Testen von Produkten oder Gegenständen, die entweder öffentlich verfügbar sind oder sich aber im rechtmäßigen Besitz des Beobachtenden, Untersuchenden, Rückbauenden oder Testenden befinden, die keiner Pflicht zur Beschränkung oder Erlangung des Geschäftsgeheimnisses unterliegen, erlaubt ist, § 3 Abs. 1 Nr. 2 GeschGehG. 

Wer sein im Produkt befindliches Know-how gegen Reverse Engineering schützen möchte, muss daher ab sofort geeignete Regelungen mit dem Abnehmer seiner Produkte treffen.

Die neuen gesetzlichen Regelungen, die ohne Übergangsvorschriften im April 2019 in Kraft getreten sind, bedürfen rascher Maßnahmen von Unternehmen, die ihr  Know-how weiterhin schützen möchten.

Es wird zunächst eines Konzepts bedürfen, welche vertraglichen Maßnahmen neu zu treffen sind (Geheimhaltungspflichten, Ergänzung von Verträgen mit externen Dienstleistern etc.).

Notwendig werden unverzügliche organisatorische Maßnahmen zur Festlegung von Verantwortlichkeiten, der Kategorisierung und Kennzeichnung von Geheimnissen und Zuordnung von Schutzmaßnahmen sowie Erarbeitung von Berechtigungskonzepten.

Schließlich bedarf es technischer Maßnahmen zum Schutz von Know-how (wie etwa Zutritts-und Zugriffssteuerung, Umsetzung von Berechtigungskonzepten und EDV-Firewalls, Trennung von Server-Strukturen und Verschlüsselung von Kommunikation). Diese technischen Maßnahmen sind nicht nur wegen des neuen  Geschäftsgeheimnis-Gesetzes notwendig, sondern auch im Hinblick auf die seit Mai 2018 geltende Datenschutz-Grundverordnung.

Um alle diese Maßnahmen einleiten zu können, wird es eventuell der Lokalisierung, Identifizierung und Kategorisierung von Geschäftsgeheimnissen bedürfen, bevor Schutzkonzepte entworfen werden. Schließlich wird man in Zukunft nicht umhin kommen, die Maßnahmen regelmäßig zu überprüfen und zu aktualisieren.

Dr. Walter Brunner

Am 23. Mai 2018 hat Dr. Walter Brunner, Partner bei LANGE BRUNNER im Grünhof mit seinem Vortrag Antworten auf die wesentlichen Fragen gegeben, die sich für Gründer und Unternehmer stellen. Thema war unter anderem

• Verarbeitung von Kundendaten
• Gestaltung der Website nach den Vorgaben der DS-GVO
• technische und organisatorische Maßnahmen (TOM)
• unternehmensinterne Umsetzung
• Beschäftigtendatenschutz
• rechtliche Anforderungen bei Auftragsdatenverarbeitung
• Verpflichtung externer Dienstleister

Die Veranstaltung war ausgebucht und ein voller Erfolg!

mehr unter https://www.facebook.com/gruenhof/

Entscheidungen des Bundesarbeitsgerichts (Urteil vom 27.07.2017 – 2 AZR 681/16) und des Europäischen Gerichtshofs für Menschenrechte (vom 05.09.2017 – 61496/08 – Barbulescu) zeigen, dass Überwachungen dienstlicher Computer durch den Arbeitgeber selbst dann nicht ohne weiteres gestattet sind, wenn der Arbeitgeber nur die dienstliche Nutzung erlaubt hat.

Die Entscheidung des Bundesarbeitsgerichts vom 27.7.2017 betraf Datenerhebungen durch einen sogenannten „Keylogger“. Damit werden Tastatureingaben auf Computern aufgezeichnet und gespeichert, verbunden mit Bildschirmfotos (Screenshots). Das Bundesarbeitsgericht hält derartige Datenerhebungen nur dann für erlaubt, wenn ein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Es genügte dem Bundesarbeitsgericht nicht, dass der Arbeitgeber im entschiedenen Fall seinen Arbeitnehmern den Einsatz des Keyloggers mitgeteilt hatte und durch die Arbeitnehmer kein Widerspruch erfolgt war. Das Unterlassen eines Widerspruchs  ersetzte nicht die gemäß § 4 a Abs. 1 BDSG erforderliche Einwilligung des Arbeitnehmers in die Datenerhebung.  Auch die ab 25.05.2018 geltende neue Vorschrift zum Beschäftigtendatenschutz (§ 26 BDSG n.F.) setzt für Datenerhebungen durch den Arbeitgeber im Zweifel eine schriftliche Einwilligung des Arbeitnehmers voraus, die insbesondere freiwillig erfolgen muss.

Die Entscheidung des europäischen Gerichtshofs für Menschenrechte vom September 2017 beschäftigte sich ebenfalls mit Überwachungsmaßnahmen des Arbeitgebers. Ein Vertriebsingenieur hatte ein dienstliches Yahoo!-Messenger-Konto eingerichtet, das ausschließlich zur Kommunikation mit Kunden verwendet werden sollte. Der Arbeitnehmer wusste, dass es verboten war, dieses Konto für private Zwecke zu nutzen. Dennoch führte der Arbeitnehmer über das dienstliche Yahoo!-Messenger-Konto private Chats mit Verwandten und seiner Verlobten. Der Arbeitgeber überwachte den Inhalt der Chats und kündigte das Arbeitsverhältnis nach Kenntnisnahme der Privatnutzung. Der europäische Gerichtshof für Menschenrechte erblickte darin eine Verletzung von Art. 8 der Europäischen Menschenrechtskonvention (EMRK), was dazu führte, dass die Erkenntnisse des Arbeitgebers in der prozessualen Auseinandersetzung der Parteien nicht berücksichtigt werden durften.

Arbeitnehmern sollte in Deutschland nach den beiden Urteilen die Art der Überwachung der Kommunikation genau angekündigt werden. Es bedarf insoweit großer Transparenz entweder in den Datenschutz-Verabredungen mit dem Arbeitnehmer oder in entsprechenden Betriebsvereinbarungen zur IT-Nutzung. Arbeitgeber sollten in Betracht ziehen, dass zur Herstellung der sogenannten Überwachungstransparenz pop-up-Benachrichtigungen auf den Rechnern der Arbeitnehmer erscheinen, um sie auf die Möglichkeit der Überwachung hinzuweisen.

Das Bundesarbeitsgericht sieht als Voraussetzung für zulässige Überwachungsmaßnahmen die datenschutzrechtliche Zulässigkeit, die sich künftig an der Datenschutz-Grundverordnung zu orientieren hat. Jede Überwachung durch den Arbeitgeber bedarf konkreter Ankündigung über Art und Ausmaß der Überwachung.

Dr. Walter Brunner

Fachanwalt für Arbeitsrecht

Die Datenschutz-Grundverordnung 2016/679 vom 27.04.2016 ist bereits seit langem bekannt. Jetzt tritt sie am 25. Mai 2018 in sämtlichen Mitgliedstaaten der Europäischen Union in Kraft. Auch in Deutschland wird die DSGVO dann unmittelbar anwendbares Recht, ohne dass es einer gesetzestechnischen Umsetzung bedarf.

Ohne dem Anspruch auf Vollständigkeit insoweit gerecht werden zu können, lassen sich folgende wesentliche Änderungen gegenüber der bisherigen Rechtslage festhalten:

1. Die für die Datenverwaltung Verantwortlichen müssen künftig nicht nur den Datenschutz (wie schon bisher) beachten, vielmehr muss die Beachtung des Datenschutzes gegenüber den Aufsichtsbehörden im Zweifel nachgewiesen werden, Art. 5 Abs. 2 DSGVO.
2. Die Einwilligung der Betroffenen, dass ihre Daten verarbeitet werden dürfen, bedarf zwar in Zukunft nicht grundsätzlich der Schriftform. Den Datenverarbeitenden ist jedoch dringend zu raten, sich die unmissverständliche Einwilligung der Betroffenen jedenfalls in Textform geben zu lassen und sicherzustellen, dass die Einwilligung freiwillig mit der notwendigen Klarheit und dem Hinweis auf das jederzeitige Widerrufsrecht erfolgt ist, Art. 4 Nr. 11, 6 Abs. 1 sowie 7 und 8 DSGVO.
3. Die Datenübermittlung in Länder außerhalb der Europäischen Union ist nur möglich, wenn in den jeweiligen Ländern ein angemessenes Schutzniveau besteht. Insoweit sind auch in Zukunft Angemessenheitsbeschlüsse der Europäischen Kommission zu beachten (Einzelheiten stehen in den Artikeln 45-49 DSGVO).
4. Die Art. 35 und 36 der DSVGO verpflichten Unternehmen zur Datenschutz-Folgenabschätzung, soweit voraussichtlich hohe Risiken für die Rechte und Freiheiten von Personen zu erwarten sind.
5. 82 DSGVO erweitert die Schadensersatzpflichten auf Schmerzensgeld der Betroffenen. Außerdem haftet nicht nur der für die Daten ursprünglich Verantwortliche, sondern mit ihm der Auftrags(daten)verarbeitende als Gesamtschuldner.
6. Gemäß den Artikeln 42 und 43 DSGVO werden Zertifizierungsverfahren zum Nachweis der Einhaltung der Datenschutzvorschriften eingeführt. Die Verantwortlichen sind allerdings nicht zur Zertifizierung verpflichtet, haben den Nachweis dann aber auf andere Weise zu erbringen (siehe Ziff. 1).
7. Die Verantwortlichen und die Auftrags(daten)verarbeitenden haben interne Richtlinien, sogenannte technisch-organisatorische Maßnahmen-Kataloge (TOM) aufzustellen.
8. Der Beschäftigten-Datenschutz wird zwar in Art. 88 DSGVO geregelt, der deutsche Gesetzgeber hat ihn jedoch in § 26 BDSG neu gefasst. Insoweit geht die bundesdeutsche Regelung vor. Arbeitgeber haben wie alle übrigen Daten Verarbeiter auf die jederzeitige Widerruflichkeit der Einwilligung zur Datenverarbeitung hinzuweisen.

Dr. Walter Brunner

Rechtsanwalt