"Alea iacta est" bei Rubik's Cube, Glawischnig gegen Facebook und jede Menge Cookies...

Was Sie unbedingt über den "neuen" Verbraucherschutz wissen sollten, warum Rubik's Cube nicht als Marke in der EU geschützt werden kann und was der EuGH im Verfahren von Eva Glawischnig gegen Facebook tatsächlich entschieden hat, erfahren Sie hier.

„New Deal for Consumers“: Änderungen des Gesetz gegen den unlauteren Wettbewerb (UWG) und Verbraucherrechts 

Im November 2019 hat das Europäische Parlament die Richtlinie zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union beschlossen, die umfangreiche Änderungen des Lauterkeits- und Verbraucherschutzrechts bringen wird. 

Am 8. November 2019 hat das Europäische Parlament den Vorschlag für die Modernisierungs-Richtlinie in zweiter Lesung angenommen und am 27. November 2019 wurde er von den Präsidenten des Parlaments und des Rates unterzeichnet. Die Veröffentlichung im Amtsblatt steht unmittelbar bevor. Sie ist binnen zwei Jahren umzusetzen. Die Umsetzung der Modernisierungs-Richtlinie  wird in Österreich die umfangreichsten Änderungen des UWG seit der Novelle 2005 bringen. Sie sieht insbesondere folgende wichtige Änderungen vor:

Unerbetene Haustürbesuche und Werbefahrten:
Den Mitgliedstaaten wird es freigestellt, Bestimmungen zum Schutz der berechtigten Interessen der Verbraucher in Bezug auf aggressive oder irreführende Praktiken im Zusammenhang mit unerbetenen Besuchen von Gewerbetreibenden in der Wohnung eines Verbrauchers oder von Werbefahrten zu erlassen. Dies ist eine Ausnahme vom bisherigen Prinzip der Vollharmonisierung des Lauterkeitsrechts, das Mitgliedstaaten keinen Spielraum bei der Umsetzung ließ. In Österreich ist das Aufsuchen von Privatpersonen zum Sammeln von Bestellungen für bestimmte Waren (Nahrungsergänzungsmittel, Gift, Arzneimittel, Heilbehelfe, Waffen und Munition, pyrotechnische Artikel, Grabsteine und Grabschmuck) bereits nach § 57 GewO verboten.

Verbot unterschiedlicher Zusammensetzung von Waren („Dual Quality“):
Die Vermarktung unterschiedlicher Waren als identisch in verschiedenen Mitgliedstaaten ist nunmehr ein Tatbestand irreführender Werbung, sofern die Unterschiede nicht durch legitime und objektive Faktoren gerechtfertigt sind. Diese Regelung geht auf Beschwerden osteuropäischer Mitgliedstaaten über angeblich schlechtere Qualität von Lebensmitteln zurück. Nach bisheriger Praxis war es zulässig, Produkte derselben Marke in unterschiedlicher Qualität und Zusammensetzung anzubieten, solange die Inhaltsangaben korrekt waren. Unterschiedliche Kundengeschmäcker können Abweichungen auch in Zukunft rechtfertigen, was wohl für Diskussionen sorgen wird, weil gerade der Geschmack schwer objektiviert werden kann.

Gewerbliche Verkäufer:
Verkäufer auf Online-Marktplätzen müssen klarstellen, ob sie Gewerbetreibende sind, damit Erwerber wissen, ob für sie Verbraucherschutzvorschriften gelten.
 

Transparenz bei Online-Suchen:
Verbraucher müssen bei einer Suchanfrage Informationen über die Hauptparameter für das Ranking der im Ergebnis vorgeschlagenen Produkte sowie deren Gewichtung erhalten. Ähnliche Vorgaben sieht auch die Verordnung zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten (P2B-VO) vor, die bereits ab 12. Juli 2020 gilt. Darüber hinaus müssen bezahlte Anzeigen in Suchergebnissen gekennzeichnet werden.
 

Gefälschte Testimonials:
Ausdrücklich verboten ist nun auch die Veröffentlichung falscher Bewertungen von Verbrauchern. Dies erfüllte wohl in aller Regel auch bisher schon den Tatbestand irreführender Werbung.
 

Handel mit Eintrittskarten:
Unzulässig ist der Wiederverkauf von Eintrittskarten für Veranstaltungen an Verbraucher, wenn der Wiederverkäufer beim Kauf dieser Tickets automatisierte Verfahren (z.B. Bots) verwendet hat, um Mengenbeschränkungen zu umgehen, die der Erstverkäufer eingerichtet hatte, um den Zugang zu den Karten für alle Personen zu gewährleisten.
 

Verbraucherklagen:
Bisher überließ die RL- UGP die Sanktionen den Mitgliedstaaten. Nunmehr müssen Verbrauchern wirksame Rechtsbehelfe, einschließlich Schadenersatz, offenstehen. Bei Verletzungen des UWG konnten Verbraucher bereits bisher in Österreich vertragliche und sogar deliktische Schadenersatzansprüche stellen, auch wenn diese praktisch keine Bedeutung haben. Die Umsetzung der Modernisierungs-Richtlinie könnte diesen Weg der Rechtsdurchsetzung durch Verbraucher beleben.
 

Sanktionen:
Nach österreichischer Tradition wird das Lauterkeitsrecht durch Unterlassungsklagen bestimmter Verbände oder von Konkurrenten durchgesetzt („private enforcement“). Die meisten Mitgliedstaaten sehen jedoch Bußgelder vor. In Zukunft müssen bei weitverbreiteten Verstößen, insbesondere bei unionsweiter Dimension, Geldbußen in Höhe von mindestens 4% des Jahresumsatzes oder von EUR 2 Mio. (nach dem Vorbild des Kartellrechts und der DSGVO) vorgesehen werden.
 

Eva Glawischnig vs. Facebook: Prüfpflicht für Plattformbetreiber?

Am 3. 10. 2019 hat der EuGH im Verfahren Eva Glawischnig gegen Facebook (C-18/18) ein vielbeachtetes Urteil zur Haftung einer Social-Media Plattform erlassen, das jedoch häufig missverstanden wird. Was hat der EuGH tatsächlich entschieden?

Als Eva Glawischnig noch Abgeordnete zum Nationalrat und Klubobfrau der Grünen war, postete 2016 ein User auf Facebook einen Artikel eines Online-Nachrichtenmagazins zur Mindestsicherung für Flüchtlinge, der ein Foto von ihr zeigte. Außerdem veröffentlichte der User Kommentare, die geeignet sind, sie in ihrer Ehre zu beleidigen, sie zu beschimpfen und zu diffamieren.

Eva Glawischnig forderte Facebook auf, diesen Post zu löschen. Als dies nicht geschah, erhob sie Klage und beantragte nach § 1330 ABGB und § 78 UrhG eine einstweilige Verfügung gegen die Veröffentlichung ihres Fotos und des ehrenbeleidigenden Posts. Facebook sperrte daraufhin den Zugang zu dem ursprünglich geposteten Beitrag.

Strittig ist, ob Facebook nur Kommentare zu löschen hat, die den beanstandeten Kommentaren wörtlich entsprechen, oder auch „sinngleiche Behauptungen“. Nach österreichischer Rechtsprechung ist es in solchen Fällen zulässig und üblich, auch die Verbreitung sinngleicher Behauptungen, die kreditschädigend oder irreführend sind, zu untersagen, um Umgehungen eines gerichtlichen Verbots zu vermeiden. Art 15 der E-Commerce-Richtlinie der EU untersagt jedoch eine aktive Prüfpflicht von Providern. Der OGH fragte daher den EuGH, ob Art 15 der Verpflichtung eines Host-Providers entgegensteht, nicht nur eine konkrete rechtswidrige Information zu entfernen, sondern auch wortgleiche oder gar sinngleiche Informationen, insbesondere auch anderer Nutzer, weltweit oder nur im jeweiligen Mitgliedstaat.

Der EuGH kann in einem Vorabentscheidungsverfahren wie diesem nicht endgültig über die geltend gemachten Ansprüche entscheiden, sondern nur europarechtliche Bestimmungen für die nationalen Gerichte verbindlich auslegen. Anders als häufig berichtet hat Eva Glawischnig daher auch noch nicht gewonnen, auch wenn die Entscheidung des EuGH durchaus positiv für sie ist. Der EuGH kam zu dem Ergebnis, dass wortgleiche Informationen anderer Nutzer, welche den Inhalt des ursprünglichen Posts widergeben, ebenfalls entfernt werden müssen. Ebenso bestätigte der EuGH, dass auch sinngleiche Informationen zu sperren sind, weil sonst die Wirksamkeit einer gerichtlichen Anordnung unterlaufen werden würde. Damit dies allerdings nicht zu einer unzulässigen Überwachungspflicht der Provider führt, müssen solche sinngleichen Informationen spezifische, gebührend identifizierte Einzelheiten umfassen, nämlich den Namen der in ihren Rechten verletzten Person, die Umstände, unter denen die Rechtsverletzung festgestellt wurde sowie der als rechtswidrig eingestufte Inhalt einer Äußerung. Unterschiede in der Formulierung dieses sinngleichen Inhalts im Vergleich zu dem für rechtswidrig erklärten Inhalt dürfen jedenfalls nicht so geartet sein, dass sie den Hosting-Anbieter zwingen, eine autonome Beurteilung dieses Inhalts vorzunehmen, sondern dass er auf automatisierte Techniken und Mittel zur Nachforschung zurückgreifen kann. Schließlich sieht die E-Commerce-Richtlinie auch keine Beschränkungen für die Mitgliedstaaten vor, Verbote rechtswidriger Informationen auf bestimmte Staaten zu beschränken, weshalb auch weltweite Verbote möglich sind.

Ob ein solches weltweites Verbot im konkreten Fall aber gerechtfertigt ist, hängt vom hier konkret anwendbaren nationalen Recht ab, weil Ehrenbeleidigung und Persönlichkeitsrechte in der EU bisher nicht harmonisiert worden sind. Darüber haben nun die österreichischen Gerichte zu entscheiden. Allerdings hat der EuGH mit dieser Entscheidung die Tür zu einer – wenn auch beschränkten – Überwachungspflicht von Providern und Plattformbetreibern mit Hilfe technischer Filter einen Spalt weit geöffnet. Die EU-Kommission könnte diese Tür noch weiter öffnen, wenn der geplante „Digital Services Act“ tatsächlich weiter verfolgt wird.

Erneut keine Einigung über die ePrivacy-Verordnung

Der Rat der Europäischen Union hat die ePrivacy-Verordnung am 27. November 2019 zurückgewiesen. Ursprünglich sollte sie gleichzeitig mit der DSGVO in Kraft treten.

Datenschutzrechtliche Aspekte der Kommunikation zwischen Anbietern und Endnutzern, insbesondere die Verwendung von Cookies oder Direktwerbung, werden derzeit immer noch durch die in die Jahre gekommene Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG geregelt, die in Österreich im Telekommunikationsgesetz (TKG) umgesetzt worden ist. Diese Richtlinie soll durch eine neue, unmittelbar anwendbare ePrivacy-Verordnung ersetzt werden, welche dem aktuellen Stand der Technik entspricht und moderne Kommunikationsmittel wie WhatsApp und Skype reguliert. Nach dem ursprünglichen Plan sollte sie gleichzeitig mit der DSGVO am 25. Mai 2018 in Kraft treten, doch konnte bis heute keine Einigung gefunden werden. Die finnische Ratspräsidentschaft hatte sich vorgenommen, die Verhandlungen über die Verordnung noch dieses Jahr abzuschließen, es konnte jedoch im Europäischen Wirtschafts- und Sozialausschuss keine Mehrheit gefunden werden, Widerstand kommt unter anderem aus Österreich. Die Kommission will nun einen neuen Vorschlag erarbeiten. Für Unternehmen ändert sich daher an der aktuellen Rechtslage bis auf Weiteres nichts.

EuGH entscheidet über Einwilligung in Cookies

Der EuGH hat Anfang Oktober 2019 entschieden, dass das Setzen von Cookies, die nicht unbedingt erforderlich sind, der aktiven Einwilligung des Nutzers bedarf. Und zwar unabhängig davon, ob es sich bei den abgerufenen Informationen um personenbezogene Daten handelt oder nicht.

Im Verfahren (C-673/17, Planet 49 ) ging es im Wesentlichen darum, dass sich der deutsche Werbedienstleister Planet49 den Einsatz von Cookies mit einem vorangekreuzten Auswahlkästchen (opt-out) bestätigen ließ, um interessengerichtete Werbung schalten zu können. Die klagende Verbraucherzentrale sah darin einen Verstoß gegen das Datenschutzrecht sowie die europäische e-Privacy Richtlinie 2002/58/EG („Cookie-Richtlinie“).

Wenig überraschend hat der EuGH entschieden, dass für das Setzen von Cookies, die technisch für die Nutzung nicht erforderlich sind (insbesondere zu Werbe- und Analysezwecken), eine Einwilligung des Nutzers erforderlich ist. Das Erfordernis einer „Willensbekundung“ der betroffenen Person erfordert somit ein aktives Verhalten. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert kein aktives Verhalten eines Nutzers einer Website. Der EuGH stellt außerdem klar, dass der Diensteanbieter gegenüber dem Nutzer Angaben zur Funktionsdauer der Cookies und zur Zugriffsmöglichkeit Dritter machen muss.

Bereits der Generalanwalt hat in seinen Schlussanträgen ausgeführt, dass der Nutzer gemäß Art. 5 Abs. 3 der Cookie-Richtlinie vor jedem Eingriff in seine Privatsphäre geschützt werden muss und zwar unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen sind. Diese Auslegung wird durch den 24. Erwägungsgrund der Cookie-Richtlinie 2002/58 bestätigt, wonach die in Endgeräten von Nutzern elektronischer Kommunikationsnetze gespeicherten Informationen Teil der Privatsphäre der Nutzer sind, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasst insbesondere – wie ebenfalls aus diesem Erwägungsgrund hervorgeht – „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.

Für Österreich ergibt sich damit keine Änderung der Rechtslage. Die Zulässigkeit von Cookies ist in Österreich in § 96 Abs 3 Telekommunikationsgesetz 2003 (TKG 2003) geregelt. Danach ist für zustimmungspflichtige Cookies (Tracking-, Werbe- und Analyse-Cookies) eine aktive Einwilligung (opt-in) des Nutzers erforderlich.

Deutsche Bundesverwaltungsgerichtshof entscheidet über die Abschaltung von Facebook-Fanpages

Am 11. September 2019 hat das deutsche Bundesverwaltungsgericht (BVerwG) in Karlsruhe entschieden, dass der Betreiber einer Fanpage gemeinsam mit Facebook für die dortige Datenverarbeitung verantwortlich ist und die Fanpage bei datenschutzrechtlichen Mängeln abzuschalten ist.

Der Entscheidung (BVerwG, Az.: 6 C 15.18] ) war ein langjähriger Rechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein und der für Schleswig-Holstein zuständigen Datenschutzbehörde voraus gegangen. Die Wirtschaftsakademie betreibt eine Fanpage auf Facebook, auf der sie für ihre Bildungsangebote wirbt. Das BVerwG wandte sich im Februar 2016 an den EuGH zur Klärung der datenschutzrechtlichen Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten.

Der EuGH hatte im Juni 2018 entschieden (Az. C-210/16 ), dass Fanpage-Betreiber in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortliche anzusehen sind. Facebook stellt den Betreiber solcher Fanpages anonymisierte Daten über die Besucher der Seiten zur Verfügung. Diese werden mittels Cookies erfasst und zu statistischen Zwecken ausgewertet. Der EuGH erklärte, dass der Betreiber mit der Einrichtung und dem Betrieb der Fanpage erst die Datenverarbeitung durch Facebook ermögliche. Betreiber müssen daher ihre Besucher darüber informieren, welche Daten Facebook erhebt und wie diese verarbeitet werden. Dies ist jedoch ohne entsprechende Unterstützung durch Facebook schwierig.

Das BVerwG folgte dem EuGH und hat ebenfalls eine gemeinsame Verantwortlichkeit zwischen Facebook und dem Betreiber der Fanpage angenommen. In bestimmten Fällen könne der Betreiber der Fanpage dazu verpflichtet werden, die Fanpage abzuschalten. Es könne nämlich zur Wahrung des Datenschutzes jener Verantwortliche herangezogen werden, bei dem dies am effektivsten sei. Dies könne dem BVerwG zufolge dann der Fall sein, wenn schwerwiegende datenschutzrechtliche Mängel bei der digitalen Infrastruktur von Facebook vorlägen. Ob tatsächlich ein Mangel vorliegt, hat nun das Schleswig-Holsteinische Oberverwaltungsgericht zu beurteilen.

Zur Rechtssicherheit hat die Entscheidung im Hinblick auf den Betrieb von Fanpages nicht unbedingt beigetragen. Facebook selbst hat bereits am 11. September 2018 ein "Page Controller Addendum" für Fanpage Betreiber online gestellt. Die deutsche Konferenz unabhängiger Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht jedoch den Betrieb von Fanpages weiterhin als rechtswidrig an. Betreiber von Fanpages wird vorläufig empfohlen, auf die gemeinsame Verantwortlichkeit, insbesondere auf das "Page Controller Addendum" zu verweisen. Wer allerdings ein rechtliches Risiko vermeiden will, muss seine Fanpage bis zur Klärung der Rechtslage deaktivieren.

Hinweis: Dieser Newsletter stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Newsletter kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Newsletters.