Einer der besten Rechtsanwälte im Gewerblichen Rechtsschutz in Deutschland.
Möchte man eine App langfristig gewinnbringend in der eigenen Organisation einsetzen, ohne im Nachhinein unliebsame Überraschungen zu erleben, so muss die einzusetzende App im Vorfeld geprüft werden. Insbesondere datenschutzrechtliche Aspekte sind dabei zu beachten.
Am besten kann diese Prüfung durch eine frühzeitige Zusammenarbeit mit dem Datenschutzbeauftragten erfolgen. Gibt es keinen Datenschutzbeauftragten, so sollte externe Expertise eingeholt werden.
Um die Datenverarbeitung über die App zu rechtfertigen, bedarf es zunächst einer Rechtsgrundlage. Für den Einzelfall ist zu prüfen, welche Erlaubnisgrundlage einschlägig sein kann. Bei der Prüfung muss berücksichtigt werden, welche Daten die einzusetzende App zu welchem Zweck verarbeitet. Der beabsichtigte Einsatzzweck der App muss von der Rechtsgrundlage gedeckt sein. Gleiches gilt für die jeweiligen durch die App vorgenommenen Datenverarbeitungen.
Rechtsgrundlagen, welche häufig als Rechtfertigung in Frage kommen, sind:
Ebenfalls von zentraler Bedeutung ist der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO. Aus diesem Grundsatz folgt, dass die App nur solche personenbezogenen Daten verarbeiten darf, welche für den von der Rechtsgrundlage gedeckten Zweck erforderlich sind.
Bei einer App ist zu prüfen, ob und in welchem Umfang folgende Datenverarbeitungen erfolgen:
Dabei muss ermittelt werden, welche Daten jeweils verarbeitet werden und zu welchem Zweck dies erfolgt.
Bei dem Einsatz einer App spielen Berechtigungen unter zwei verschiedenen Gesichtspunkten eine Rolle. Einerseits, wie innerhalb der Organisation die Berechtigungen vergeben werden. Andererseits im Hinblick auf die Berechtigungen, welche die App selbst abfragt.
a) Berechtigungen innerhalb der Organisation
Die App muss einerseits in der Lage sein, das innerhalb der Organisation vorgesehene Rollen- und Berechtigungskonzept zu realisieren. Sieht das Konzept z.B. vor, dass Nutzer jeweils unterschiedliche Berechtigungen erhalten sollen, so muss die App die verschiedenen Rollen und entsprechend differenzierte Berechtigungen abbilden können.
Gemäß dem sog. „Need-to-know-Prinzip“ dürfen nur diejenigen Personen Lese- und Zugriffsrechte auf die verarbeiteten Daten erhalten, welche diese zur Erfüllung ihrer übertragenen Aufgaben benötigen.
b) Berechtigungen der App
Im Hinblick auf die Berechtigungen der App, sind folgende Punkte zu klären:
Heutzutage gibt es Möglichkeiten, die es Anbietern von Apps ermöglichen, das Verhalten der Nutzer auf Schritt und Tritt zu verfolgen. In den seltensten Fällen wird ein berechtigtes Interesse begründbar sein, die Nutzer der App derart zu überwachen.
Daneben besteht die Gefahr, dass Organisationen ohne ihr Wissen im Rahmen des Trackings Dienst-/Geschäftsgeheimnisse offenbaren. Folgende Aspekte sollten geklärt werden:
Eine App kann sich schneller als gedacht als eine Datenschleuder entpuppen. Denn eine App kann die gesammelten Daten ebenfalls gegenüber Dritten offenlegen. Damit die Organisation weiterhin die Herrschaftsmacht über ihre Daten behält, sind folgende Punkte zu untersuchen:
Eine Freigabe der App für den Einsatz kommt erst in Frage, wenn sämtliche Datenübermittlungen überprüft wurden.
Gemäß dem Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f) DSGVO, müssen die über die App verarbeiteten Daten durch geeignete technische und organisatorische Maßnahmen („TOM“) geschützt werden. Die Angemessenheit dieser Maßnahmen muss überprüft werden. Bei der Prüfung kann man sich gut an dem OWASP Mobile Application Verification Standard (MASVS) und dem OWASP Mobile Security Testing Guide orientieren, welche speziell auf Apps zugeschnittene Anforderungen auflisten.
Über die App verarbeitete personenbezogene Daten dürfen nicht länger gespeichert werden, als dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Ist nach diesem Kriterium eine Speicherung nicht mehr erforderlich, so sind die Daten zu löschen, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
Die App muss automatisch festgelegte Löschregeln abbilden und ggf. geltende Aufbewahrungsfristen berücksichtigen. Von einer manuellen Löschung ist abzuraten, da diese, je nach Datenmenge, sehr zeitintensiv und zudem anfällig für Fehler sein kann.
Zudem müssen die Daten rückstandslos gelöscht werden können. Hierfür ist die Kenntnis der Speicherorte notwendig. Deshalb sollten folgende Aspekte überprüft werden:
Zudem muss überprüft werden, in welcher datenschutzrechtlichen Beziehung die eigene Organisation zu dem App-Anbieter steht. Denkbar sind folgende Fälle:
Das Ergebnis der Prüfung bestimmt darüber, ob und ggf. welche datenschutzrechtlichen Vereinbarungen mit dem Anbieter geschlossen werden muss.
Über eines sind sich alle einig: Der Europäische Gerichtshof (EuGH) hat mit seiner Entscheidung zum Privacy Shield im vergangenen Jahr ein datenschutzrechtlich fragwürdiges Abkommen mit den USA gekippt – die Last der Versäumnisse der EU-Kommission bei der Verhandlung dieses Abkommens müssen nun aber die europäischen Unternehmen tragen.
Sie sind seit dem Urteil in der Pflicht, ihre Datentransfers in Drittländer außerhalb der europäischen Union, insbesondere den USA, besonders rechtlich abzusichern (zu ersten Schritten hatten wir hier bereits ausgeführt). Für viele Unternehmen bedeutete diese neue Entwicklung, überhaupt erst einmal alle Datentransfers zu lokalisieren, was für sich genommen bei vielen schon eine große Kraftanstrengung erforderte. Darüber hinaus war und ist die rechtliche und tatsächliche Umsetzung aufgrund der strengen Vorgaben des EuGH und der nicht minder strengen Anforderungen des Europäischen Datenschutzausschusses jedoch alles andere als einfach. Dies liegt vor allem daran, dass die „schnelle Lösung“ über den Abschluss von Standardvertragsklauseln (sogenannte SCC) sowohl nach Ansicht des EuGH als auch der Behörden allein nicht ausreicht, um den Datentransfer rechtssicher zu gestalten.
Ankündigung der Prüfung durch deutsche Aufsichtsbehörden
Genau 321 Tage nach der Entscheidung des EuGH sind nun die deutschen Datenschutzaufsichtsbehörden auf den Plan getreten und haben eine umfassende länderübergreifende Kontrolle der Umsetzung der neuen Vorgaben in den Unternehmen angekündigt. Laut Pressemitteilung verschiedener Datenschutzbehörden vom 1. Juni 2021 (Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und Saarland) schreiben die Behörden die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Thematisch legen die Behörden dabei einen Schwerpunkt auf die Überprüfung des Einsatzes
Offensichtlich wollen die Behörden dabei ein umfassendes Bild der Datentransfers und Rechtsgrundlagen in einem Unternehmen gewinnen, um im Anschluss zunächst darauf hinzuwirken, dass unzulässige Datentransfers eingestellt werden. Wenn dies nicht erfolgt, wollen die Behörden zu schärferen Maßnahmen greifen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit dazu: „Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“
Umfangreiche Fragebögen
Die von den Behörden verwendeten Fragebögen wurden veröffentlicht und sind hier abrufbar:
Die Fragebögen sind insgesamt sehr umfangreich und gehen in die Tiefe. Insbesondere werden in allen Fragebögen die „zusätzlichen Garantien“ abgefragt, die neben den Standardvertragsklauseln eingesetzt werden. Auch das Verarbeitungsverzeichnis muss für die relevanten Verarbeitungsvorgänge vorgelegt werden.
Was ist nun zu tun?
Die Ankündigung der Behörden sollte auch den letzten Zweifler davon überzeugen, dass ein schnelles und umfassendes Handeln im Hinblick auf internationale Datentransfers erforderlich ist, die im eigenen Unternehmen stattfinden. Selbst wenn die Behörden in nächster Zeit noch nicht anklopfen, sollte man für den Fall der Fälle vorbereitet sein. Denn eines ist klar: Wenn die Behörden da sind und die Beantwortung der Fragebögen verlangen, bleibt aufgrund der behördlichen Fristen so gut wie keine Zeit mehr, Versäumnisse im Hinblick auf internationale Datentransfers nachzuholen.
Sofern ein Schreiben der Behörde mit einem solchen Fragebogen eintrifft, sollte mit Bedacht vorgegangen werden. Zum einen sollte geprüft werden, ob überhaupt auf die Anfrage der Behörde detailliert geantwortet werden muss (dies hängt u.a. davon ab, ob es sich bei der Anfrage um einen behördlichen Verwaltungsakt handelt). Zum anderen sollte, sofern eine Antwortpflicht besteht, die Beantwortung der Fragen wohl durchdacht sein. Im Hinterkopf sollte man dabei auch behalten, dass der Behörde Bußgeldbefugnisse zustehen, wobei die Höhe des Bußgeldes auch von der Kooperation des Unternehmens abhängen kann, was wiederum ein strategisches Vorgehen zwingend erfordert.
Das OLG Düsseldorf hat entschieden, dass ein Markeninhaber nur dann Schadensersatz verlangen kann, wenn er die verletzte Marke auch selbst kommerziell verwertet (Urteil vom 19. November 2020, Az. I-20 U 152/16). Zwar können Unterlassungs- und Beseitigungsansprüche drohen, einen unmittelbaren finanzieller Ersatz eines (möglichen) Schadens hat das Gericht aber nicht zugesprochen.
Hintergrund des Verfahrens
In dem Verfahren ging es um die Verwendung des „ÖKO-TEST“-Siegels. Die Klägerin ist die Herausgeberin des bundesweit erscheinenden ÖKO-TEST-Magazins, in welchem insbesondere Waren- und Dienstleistungstests veröffentlicht werden. Die Klägerin ist zudem Inhaberin verschiedener Bildmarken, unter anderem der folgenden, beim Amt der Europäischen Union für geistiges Eigentum eingetragenen (Registernr. 010745529):
Laut den vom Gericht festgestellten Angaben gestattet die Klägerin den Herstellern getesteter Produkte, Werbung mit dem ÖKO-TEST-Label zu betreiben. Voraussetzung dafür ist der Abschluss eines unentgeltlichen Lizenzvertrages, der Einzelheiten zur Nutzungsberechtigung vorsieht. Nach Abschluss erhalten die Hersteller erhalten dann eine Datei mit der aktuellen Wort-/Bildmarke, in welche die Hersteller das getestete Produkt sowie das Testergebnis und dessen Fundstelle einfügen.
Die Beklagte in diesem Verfahren ist eine Herstellerin von Zahncremes. Der Warentest einer bestimmten Zahncreme wurde im Jahrbuch Kosmetik 2005 veröffentlicht, die Bewertung lautete „sehr gut“. Für die Bewerbung dieses Produktes schloss die Beklagte mit der Klägerin im Jahr 2005 einen Lizenzvertrag zur Nutzung des damals aktuellen ÖKO-TEST-Labels.
Im Jahr 2014 entdeckte die Klägerin die Werbung einer Zahnpasta der Beklagten, wobei diese Zahnpasta nach Auffassung der Klägerin von derjenigen abwich, für welche der Lizenzvertrag geschlossen wurde. Aufgrund der Abweichung hielt die Klägerin die Beklagte für nicht berechtigt, das ÖKO-TEST-Label zu verwenden und forderte die Beklagte mit Anwaltsschreiben zur Abgabe einer strafbewehrten Unterlassungserklärung auf. Die Beklagte hat eine solche Unterlassungserklärung nicht abgegeben, die Klägerin daraufhin gerichtlich die Unterlassung gefordert (erstinstanzlich Landgericht Düsseldorf, Az. 2a O 197/15).
Entscheidung des OLG Düsseldorf
Das OLG Düsseldorf billigte der Klägerin einen Anspruch auf Unterlassung sowie in begrenztem Umfang auf Auskunft zu. Weitergehende Ansprüche lehnte das Gericht ab. Insbesondere lehnte das OLG Düsseldorf auch einen Anspruch auf Schadensersatz ab. Ein materieller Schaden sei der Klägerin nicht entstanden, weil sie ihre Marke unentgeltlich lizensiert. Mangels Schadensersatzanspruchs hat auch die Auskunftsklage keinen Erfolg, soweit sie sich ausschließlich auf die Bezifferung eines etwaigen Schadensersatzanspruchs beziehe.
Im Einzelnen:
Unterlassungsanspruch wegen bekannter Marke
Hinsichtlich des Unterlassungsanspruchs ging das OLG Düsseldorf davon aus, dass es sich bei dem genannten ÖKO-TEST-Label um eine bekannte Marke im Sinne des Art. 9 Abs. 2 lit. c) der Unionsmarkenverordnung handelt. Aus diesem Grund können die Rechte der Klägerin auch dadurch verletzt sein, dass das Label hier gerade als Testsiegel verwendet wurde und nicht als klassische Marke.
Kein Schadensersatz
Einen Anspruch auf Schadensersatz billigte das Gericht der Klägerin hingegen nicht zu. Es fehle an einem materiellen Schaden der Klägerin. Grundsätzlich gibt es für die Berechnung des Schadens bei Verletzungen geistigen Eigentums drei Berechnungsmöglichkeiten:
Notwendig für jede Schadens-Berechnung ist, so das Gericht, allerdings ein Schaden. Voraussetzung ist eine Vermögenseinbuße beim Verletzten. Diese sei im vorliegenden Fall nicht gegeben. Die Klägerin habe für alle denkbaren Nutzungen eine unentgeltliche Lizenzierung angeboten und damit in der Sache auf eine geldliche Verwertung ihres Rechts vollständig verzichtet. Die Lizenzierungspraxis der hiesigen Klägerin unterscheidet sich daher vom Regelfall, dass Markeninhaber von Nutzern eine Gegenleistung etwa in Form einer Lizenzgebühr einfordern.
Unabhängig von der Berechnungsmethode sei der Klägerin damit kein Schaden entstanden, so das Gericht. Dies gelte auch nach der häufig verwendeten Methode der Lizenzanalogie: Die Lizenzanalogie geht davon aus, welche Lizenzgebühr redliche Parteien für die Nutzung vereinbart hätten. Verzichtet allerdings, wie im vorliegenden Fall, der Verletzte auf jegliche kommerzielle Nutzung seines Ausschließlichkeitsrechts, könne der objektive Wert der Nutzung nur mit „Null“ angesetzt werden.
Auch eine Berechnung über die Herausgabe des Verletzergewinns hat das Gericht ausgeschlossen. Zwar dürfte sich, wie im Verfahren zwischen den Beteiligten erörtert, ein Gewinn ermitteln lassen, den die Beklagte gerade durch die Nutzung des ÖKO-TEST-Labels erzielt hat. Aber auch diese Berechnungsmethode geht davon aus, dass der Verletzte einen Gewinn realisiert hätte, wenn der Verletzer die Verletzung nicht vorgenommen habe. Da aber die Klägerin auf die kommerzielle Verwertung verzichtet hat, kann ihr auch nach dieser Berechnungsmethode kein Schaden entstanden sein.
Kein Auskunftsanspruch bzgl. Schaden
Soweit die Klägerin Auskunft zur Schadensberechnung verlangt hatte, kann sie Aufstellungen von Umsatz und Gewinn nicht beanspruchen. Diese Aufstellungen wären unverhältnismäßig, weil der Klägerin kein Schadensersatzanspruch zusteht.
Revision zugelassen
Ob das letzte Wort in dieser Angelegenheit gesprochen wurde, ist offen. Das OLG Düsseldorf hat die Revision zum Bundesgerichtshof (dort ist das Verfahren nun unter dem Az. I ZR 201/20 anhängig) zugelassen – dies auch vor dem Hintergrund, dass eine solche Lizenzierungspraxis in Markensachen eher eine Ausnahme darstelle, sie aber im Bereich des Urheberrechts und verwandter Schutzrechte weit verbreitet sei.
Einordnung
Auf den ersten Blick scheint es zunächst nachvollziehbar zu sagen: „Wo kein Schaden entstanden ist, muss auch kein Ersatz geleistet werden“. Legt man den vom OLG Düsseldorf angesetzten Maßstab aber auch bei anderen IP-Rechten zugrunde, können insbesondere Inhaber von Urheberrechten, die ihre Werke unentgeltlich zur Verfügung stellen, keinen finanziellen Ausgleich für Verletzungen verlangen. Zugespitzt bedeutet dies, dass das Risiko einer unberechtigten Nutzung in derartigen Fällen „nur“ das Risiko einer Abmahnung bedeutet (und hierfür ggf. entsprechenden Aufwendungsersatz). Weitergehende Kosten wären nicht zu befürchten. Wie der BGH diese Frage entscheidet, ist daher spannend und kann weitreichende Folgen für die Inhaber jeglicher geistiger Schutzrechte haben.
