Informationstechnologie

Internetnutzung nur mit mobilen Geräten?

Das dürfen Mobilfunkanbieter ihren Kunden nicht vorschreiben: In der EU gilt "Endgerätefreiheit"

Der Mobilfunkanbieter Telefónica hat in seinem Angebot einen Mobilfunk-Tarif mit unbegrenztem Datenvolumen: "O2 Free Unlimited". Doch so richtig frei und unbeschränkt war der Tarif dann auch wieder nicht: Die Vertragsbedingungen enthielten eine Klausel, nach der keine kabelgebundenen Endgeräte genutzt werden durften — also Geräte, die zwecks Stromversorgung per Kabel dauerhaft an einer Steckdose hängen.

"Der mobile Internetzugang kann/darf nur mit Smartphones, Tablets und sonstigen Geräten genutzt werden, die eine mobile Nutzung unabhängig von einem permanenten kabelgebundenen Stromanschluss ermöglichen (nicht z.B. in stationären LTE-Routern)."

Diese Vorschrift benachteilige die Kunden unangemessen, beanstandete der Verbraucherzentrale Bundesverband und verlangte, die Klausel zu streichen. Zu Recht, entschied das Landgericht München I (12 O 6343/20). Telefónica schließe mit der strittigen Klausel viele gängige Geräte fürs Internet aus. Das verstoße gegen die Endgerätefreiheit in der Europäischen Union, die Regelung sei daher unwirksam.

EU-Recht räume Verbrauchern ausdrücklich das Recht ein, im Internet Endgeräte ihrer Wahl einzusetzen, so das Landgericht. Die betreffende EU-Verordnung (Verordnung 2015/2120/EU über Maßnahmen zum Zugang zum offenen Internet) sei seit sechs Jahren in Kraft, erklärte die Sprecherin der Verbraucherschützer. Mittlerweile sollte es eigentlich selbstverständlich sein, dass Verbraucher frei entscheiden könnten, welche Endgeräte sie verwenden.

(Der Mobilfunkanbieter hat gegen das Urteil Berufung beim Oberlandesgericht München eingelegt.)

Illegale "Uploads" auf Youtube

Der Bundesgerichtshof beendet jahrelangen Rechtsstreit um die Auskunftspflicht der Videoplattform

Internetnutzer hatten 2013 und 2014 urheberrechtlich geschützte Filme ("Parker", "Scary Movie 5") illegal auf Youtube hochgeladen, wo man sie kostenlos sehen konnte. Inhaberin des Urheberrechts an diesen Werken ist die Constantin Film Verleih GmbH, die von der Onlineplattform die "User-Daten" forderte. Wer auf Youtube Dateien einstellen will, muss ein Konto einrichten mit Namen und E-Mail-Adresse. Die IP-Adressen der Nutzer werden gespeichert.

Die Forderung der GmbH war der Ausgangspunkt eines langen Rechtsstreits: Denn die Videoplattform gab nur die Namen der Nutzer heraus. Das Landgericht Frankfurt wies die Klage der Constantin Film Verleih GmbH auf Preisgabe von IP-Adressen und E-Mail-Adressen ab, das Oberlandesgericht Frankfurt gab ihr teilweise Recht.

Der Bundesgerichtshof legte den Fall schließlich dem Europäischen Gerichtshof (EuGH) vor, der den Begriff "Adresse" klären sollte. Denn in der EU-Urheberrechtsrichtlinie steht, Gerichte könnten bei Verletzungen des Urheberrechts anordnen, dass eine Onlineplattform Auskunft über die Übeltäter bzw. deren Adresse erteilen muss. Der EuGH entschied, mit "Adresse" sei in der EU-Richtlinie nur die Postanschrift gemeint (Artikel Nr. 56414).

Das Urteil des EuGHs setzte nun der Bundesgerichtshof um und beendete damit das juristische Tauziehen (I ZR 153/17). Die Videoplattform müsse nur Namen und Postanschrift der Nutzer, die das Urheberrecht verletzt haben, an die Inhaberin der Filmrechte herausgeben, so die Bundesrichter: nicht die IP-Adresse, die E-Mail-Adresse oder die eventuell gespeicherte Telefonnummer der Youtube-Kontoinhaber. Es gebe keinen Anhaltspunkt dafür, dass der deutsche Gesetzgeber über den in der EU-Richtlinie vorgesehenen Auskunftsanspruch hinausgehen wollte.

Pseudonym oder Klarname?

Facebook darf verlangen, dass Nutzer auf ihren Profilen den richtigen Namen angeben

Lange Zeit war es ganz selbstverständlich, dass Internetnutzer in sozialen Netzwerken unter Pseudonym auftreten. Das deutsche Telemediengesetz sieht sogar ausdrücklich vor, dass Nutzer ihre Meinungen anonym äußern können: "Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist".

Facebook hat in diesem Punkt eine Kehrtwende hingelegt, weil Hass und Hetze im Netzwerk um sich greifen. In seinen Nutzungsbedingungen schreibt das soziale Netzwerk vor, dass Nutzer auf den Facebook-Profilen ihre Klarnamen angeben müssen. "Wenn Personen hinter ihren Meinungen und Handlungen stehen, ist unsere Gemeinschaft sicherer …", heißt es da. Und Facebook sperrt tatsächlich immer wieder Nutzerkonten, die unter Fantasienamen betrieben werden.

Das Landgericht Ingolstadt hat einer Frau Recht gegeben, die unter Verweis auf das Telemediengesetz gegen die Sperre ihres Kontos geklagt hatte. Die Sperre wurde aufgehoben. Anders entschied das Landgericht Traunstein: In diesem Fall hatte Facebook wegen Hassvideos das Profil eines Mannes so lange gesperrt, bis er seinen richtigen Namen verwendete. Die "Klarnamenpflicht" erhöhe die Hemmschwelle dafür, im sozialen Netzwerk Beleidigungen und Drohungen zu verbreiten, so das Landgericht Traunstein.

Im Fall, der in Traunstein verhandelt wurde, hat das wohl nicht geklappt: Der Nutzer postete wenig später unter seinem Klarnamen ein Video über schwarze Kannibalen und einen tanzenden Adolf Hitler mit dem Kommentar "Weekend yeah :)". Das Konto wurde wegen Verstoßes gegen die moralischen Standards der Facebook-Gemeinschaft wieder gesperrt. Das Oberlandesgericht (OLG) München entschied als Berufungsinstanz in beiden Fällen zu Gunsten des sozialen Netzwerks (18 U 5493/19 und 18 U 2822/19).

Facebook dürfe das Verwenden von Pseudonymen verbieten, so das OLG, um vorbeugend auf die Nutzer einzuwirken. Das sei berechtigt, weil sozialschädliches Verhalten im Internet zunehme. Hasstiraden und Drohungen bis hin zur Ankündigung gravierender Straftaten seien gang und gäbe. Die Pflicht, aus der Anonymität herauszutreten und den eigenen Namen anzugeben, könne Nutzer von rechtswidrigem Treiben abhalten. Nach allgemeiner Lebenserfahrung dämpfe das die Neigung, im sozialen Netzwerk zu pöbeln und andere Menschen verbal herabzuwürdigen.

Elfjähriger lädt Computerspiel herunter

Versteht ein Kind, dass das Nutzen einer Filesharing-Plattform illegal ist?

Ein elfjähriger Junge hatte 2014 an einem Wochenende seinen Opa besucht. Über den Internetanschluss des Großvaters hatte das Kind das Programm "Bittorent" installiert und damit ein (urheberrechtlich geschütztes) Computerspiel heruntergeladen. Wie das funktioniert, ließ sich der Junge von einem Anleitungsvideo auf Youtube vorführen.

"Bittorent" ist eine Art Vermittlungs-Netzwerk. Die Software hilft Nutzern, die z.B. einen Film oder ein Musikstück suchen, die Datei auf den Rechnern anderer Netzwerk-Teilnehmer zu finden und herunterzuladen. Andere Nutzer können dann wiederum diese Datei auf dem Rechner des Herunterladenden finden … So wird sie illegal im Netz verbreitet. Illegal, soweit es sich um urheberrechtlich geschützte Werke handelt.

Die X-GmbH, Inhaberin der Rechte am Computerspiel, verklagte den Elfjährigen und seinen Großvater auf Schadenersatz: den Jungen wegen illegalen Filesharings und den Großvater, weil er seine Aufsichtspflicht verletzt habe. Er habe dem Kind den Internetanschluss zur Verfügung gestellt, ohne sich um sein Treiben zu kümmern. Doch das Landgericht Frankfurt wies die Klage ab (2-03 O 15/19).

Für Straftaten seien nur Personen verantwortlich, die deren Unrecht einsehen könnten. Auch wenn der Junge intelligent sei: Mit elf Jahren fehle ihm das Verständnis dafür, dass das Herunterladen eines Spiels rechtswidrig sei. Eine Urheberrechtsverletzung sei etwas sehr Abstraktes und nicht ansatzweise zu vergleichen mit einer Körperverletzung. So etwas geschehe in der "realen Welt" und sei für Kinder begreifbar. Wie solle aber ein Kind verstehen, dass es sich bei der Plattform "Bittorent" um ein illegales Filesharing-Netzwerk handle?

Auch der Großvater sei für die Urheberrechtsverletzung nicht verantwortlich. Wenn ein Kind einmal beim Opa übernachte, müsse er das Kind nicht sogleich darüber aufklären, was im Internet alles verboten sei. Anlässlich eines Kurzbesuchs übertragen die Kindeseltern nicht stillschweigend Aufsichtspflicht und Erziehungsaufgaben auf den Großvater. Anders wäre dieser Punkt zu beurteilen, wenn der Junge ohne seine Eltern die großen Ferien beim Opa verbracht hätte.

User verweigert Identitätsprüfung

Plattformbetreiber Facebook darf das Konto des Nutzers deswegen kündigen

Am 7. März 2019 meldete sich Herr S beim sozialen Netzwerk Facebook als Nutzer an. Um sich zu vergewissern, dass ein Account kein "Fake-Account" ist, prüft der Plattformbetreiber bei einer Neuanmeldung grundsätzlich die Identität des Anmelders. So auch bei S.

Facebook versetzte das Konto in den "Fake-Account-Checkpoint" und verlangte vom Anmelder, die Echtheit des Kontos zu belegen: z.B. durch eine Ausweiskopie, durch ein Bild oder durch Eingabe eines Bestätigungscodes von einem seiner Geräte. Da S diese Forderung ignorierte, sperrte Facebook das Konto.

Das wollte sich der User nicht bieten lassen: Er pochte auf den Vertrag über die Nutzung der Plattform, den er mit dem Betreiber geschlossen habe. Der dürfe ihn nicht zur Vorlage von Nachweisen zwingen. Im Internet habe man das Recht, die Anonymität zu wahren. Facebook müsse den Account wiederherstellen, forderte S. Zusätzlich müsse ihm der Betreiber 50 Euro pro Tag als Entschädigung dafür zahlen, dass ihm die Nutzung des Netzwerks verweigert wurde.

Wenn jemand entgegen den Nutzungsbedingungen seine Identität nicht nachweise, könne man davon ausgehen, dass ein gefälschtes Konto erstellt wurde, konterte der Plattformbetreiber. Das Landgericht Frankfurt entschied den Streit zu Gunsten von Facebook (2-03 O 282/19). Zu Recht habe der Plattformbetreiber den Nutzungsvertrag gekündigt, denn Herr S habe gegen seine vertraglichen Pflichten verstoßen.

In den Nutzungsbedingungen sei festgelegt, dass neue Nutzer Informationen zur Person angeben müssten. Da fordere Facebook jedoch nicht zwingend, den Personalausweis vorzulegen. Herr S hätte auch ein Bild schicken oder einen Bestätigungscode von einem seiner Geräte übermitteln können. So wäre er anonym geblieben. Sein Facebook-Konto hätte er ohnehin nicht unter eigenem Namen führen müssen. Da der Plattformbetreiber zu Recht gekündigt habe, bestehe auch kein Anspruch des verhinderten Nutzers auf Schadenersatz.

O2 und die Roaming-Gebühren

Die EU hat die Gebühren 2017 abgeschafft, doch der Mobilfunkanbieter passte nicht alle Tarife an

Im Juni 2017 hat die EU die Roaming-Gebühren abgeschafft. Seither dürfen Anrufe in ausländische Mobilfunknetze und die Datennutzung im EU-Ausland nicht mehr kosten als im Inland. Der Verbraucherzentrale Bundesverband klagte gegen Mobilfunkanbieter O2 — deutsches Tochterunternehmen der spanischen Telefónica —, weil er diese Änderung nicht für alle Kunden sofort umgesetzt hatte.

O2 hatte nur solche Kunden automatisch auf einen neuen Tarif ohne Roaming-Gebühren umgestellt, die schon vorher eine Roaming-Regelung im Tarif hatten. Andere Kunden wurden aufgefordert, die Umstellung mit einer SMS extra zu beantragen. Dass hier die Kunden aktiv werden mussten, hielten die Verbraucherschützer für unzulässig.

So sah es auch der Europäische Gerichtshof (EuGH), den das Landgericht München I um eine Entscheidung gebeten hatte (C-539/19). O2 hätte 2017 alle Kunden automatisch auf einen Tarif ohne Roaming-Gebühren umstellen müssen, urteilte der EuGH, und zwar unabhängig davon, welchen Tarif sie zuvor gewählt hatten.

Mobilfunkanbieter O2 räumte ein, es seien immer noch nicht alle Verträge geändert. Das liege allerdings daran, dass so ein Wechsel nicht immer vorteilhaft für den Kunden sei. Das Unternehmen werde jetzt erst einmal ein Urteil des Münchner Landgerichts I abwarten. Den Kunden stehe es aber jederzeit frei, kostenlos in den regulierten EU-Roaming-Tarif zu wechseln. Der Verbraucherzentrale Bundesverband dagegen findet, O2 müsse jetzt "zu viel gezahlte Telefonkosten erstatten".

Film "Für immer Single" illegal im Netz angeboten

Inhaberin des Internetanschlusses muss in der Familie nach dem Täter suchen

Über den Internetanschluss einer Starnbergerin war der — erst kurz vorher erschienene — Film "Für immer Single?" illegal zum Herunterladen angeboten worden. Die Kinofirma, welche die Urheberrechte an dem Film hält, ließ die IP-Adresse ermitteln, von der die Urheberrechtsverletzung ausgegangen war. Das Unternehmen mahnte die Anschlussinhaberin aus Starnberg ab und forderte Schadenersatz.

Die Mutter mehrerer Kinder wies jede Schuld von sich. Sie sei zur fraglichen Zeit schon im Bett gewesen. Der Computer könne per Passwort von allen Familienmitgliedern benutzt werden, sei aber nachts immer ausgeschaltet. Niemand besitze Filesharing-Software, der WLAN-Zugang sei gesichert. Mit den Kindern habe sie über illegales Filesharing gesprochen und es verboten. Ob jemand den PC benützt habe, sei unklar. Wahrscheinlicher sei aber ein Hackerangriff.

Diese Erklärungen reichten dem Amtsgericht München nicht (114 C 22559/17). Der gerichtliche Sachverständige habe die Feststellungen des von der Kinofirma beauftragten IT-Dienstleisters bestätigt: Mit der IP-Adresse der Starnbergerin sei die Rechtsverletzung begangen worden. Unter diesen Umständen müsse die Anschlussinhaberin nachforschen, wer als Täter in Betracht komme und notfalls ein Familienmitglied benennen.

Der pauschale Hinweis, dass alle Familienmitglieder das Passwort wüssten und daher prinzipiell Zugriff aufs Internet hätten, genüge nicht. Vielmehr seien konkrete Nachfragen in der Familie erforderlich, und zwar auf den genauen Tatzeitpunkt bezogen. Wer sich damit begnüge zu behaupten, nachts sei der Computer immer ausgeschaltet, hafte selbst für die um halb ein Uhr früh begangene Rechtsverletzung.

Nach dem Urteil des Amtsgerichts musste die Frau die Kosten des Sachverständigengutachtens (3.441 Euro) ersetzen und der Kinofirma 1.391 Euro Schadenersatz zahlen. Dabei ging das Gericht davon aus, dass die Abruflizenzgebühr für einen legalen Abruf des Films 11,76 Euro betragen hätte.

"Jetzt kaufen" anklicken

Online-Shops dürfen Verbrauchern mit dem Bestellvorgang nicht zugleich eine Mitgliedschaft verkaufen

Eine X-GmbH vertreibt im Internet Lebensmittel, Kosmetik und Haushaltsartikel. Die Gestaltung ihrer Webseite wurde von einer Verbraucherzentrale beanstandet.

Wie üblich mussten Internetnutzer, die Ware bestellen wollten, den Button "jetzt kaufen" anklicken. Mit der X-GmbH schlossen sie damit aber nicht nur einen Kaufvertrag, sondern gleichzeitig einen Mitgliedsvertrag ab. Die Mitgliedschaft war nach Ablauf einer Testphase kostenpflichtig. Darauf wurde unter dem Bestellbutton ganz unauffällig hingewiesen.

Dieses Vorgehen sei unzulässig, fand die Verbraucherzentrale. Ihre Klage gegen die X-GmbH hatte beim Oberlandesgericht (OLG) Nürnberg Erfolg (3 U 3878/19). Einen Bestellbutton für zwei verschiedene Verträge zu verwenden, sei rechtswidrig, urteilte das OLG.

Unternehmer müssten im Onlinehandel den Vertragsschluss so gestalten, dass der Verbraucher mit der Bestellung ausdrücklich die Zahlungspflicht bestätige (§ 312 j Abs.3 Bürgerliches Gesetzbuch). Die Schaltfläche zum Anklicken müsse eindeutig beschriftet sein, zum Beispiel so: "zahlungspflichtig bestellen". Mit dieser Regelung sei der Bestellvorgang auf der Webseite der X-GmbH unvereinbar.

Verbraucher wüssten zwar, dass sie eine Zahlungspflicht akzeptierten, wenn sie den Bestellbutton "Jetzt kaufen" anklickten. Dass sie damit zugleich einem zweiten Vertrag anderen Typs und einer weiteren Zahlungspflicht zustimmten, sei ihnen aber nicht bewusst. Der Begriff "kaufen" bringe keineswegs zum Ausdruck, dass hier eine dauerhafte, kostenpflichtige Mitgliedschaft begründet werden solle. Genau vor solchen Kostenfallen solle die BGB-Regelung Verbraucher schützen.

Nicht jeder darf (Hotel-)Sterne vergeben!

Das Google-Hotel-Bewertungssystem stellt wettbewerbswidrige Reklame dar

In Deutschland organisiert der Deutsche Hotel- und Gaststättenverband (Dehoga) ein freiwilliges Bewertungssystem für Hotels, an dem fast 40 Prozent der Hotelbetriebe teilnehmen. Die Anforderungen bei der Vergabe von Sternen sind hoch, da nimmt man es bei der Dehoga sehr genau. Alle drei Jahre werden alle Teilnehmer durchgecheckt, ob sie noch die entsprechenden Standards erfüllen.

Reklame mit Sternen anderen Ursprungs ist daher nicht gern gesehen. Für die Dehoga verklagte die Zentrale zur Bekämpfung unlauteren Wettbewerbs den amerikanischen Suchmaschinenbetreiber Google auf Unterlassung. Google hatte in Suchergebnissen ("Local Listings") deutsche Hotels mit Angaben wie "3-Sterne-Hotel" aufgeführt. Darunter zahlreiche Hotelbetriebe, die nicht von der Dehoga ausgezeichnet wurden.

Irreführende Reklame sei das, fand die Wettbewerbszentrale: Viele der von Google gelisteten Hotels seien offiziell gar nicht klassifiziert — das Internetunternehmen vergebe eigenmächtig Sterne nach völlig unklaren Kriterien. So sah es auch das Landgericht Berlin und verbot die Werbung als unzulässig (101 O 3/19).

Nicht betroffen seien die Rezensionen und Bewertungen von Nutzern auf der Onlineplattform, die ebenfalls mit Sternen arbeiteten. Dass Privatleute nach subjektiven Kriterien urteilten, sei allen Internetnutzern klar — da komme kein Irrtum auf. Wenn aber Google Hotels mit Sternen schmücke, erwecke das den Eindruck objektiver Bewertung. Dabei liege dieser Klassifizierung keine unabhängige, nachvollziehbare Beurteilung nach sachlichen Kriterien zugrunde. Das verstoße gegen die Prinzipien fairen Wettbewerbs.

Kartellamt contra Facebook

BGH: Der Vorwurf, dass Facebook seine marktbeherrschende Stellung missbraucht, trifft zu

Das Bundeskartellamt hat der Kommunikationsplattform Facebook verboten, bestimmte Nutzerdaten ohne die Einwilligung der Nutzer zu verwenden. Dabei geht es um Daten, die die Kommunikationsplattform dann erfasst, wenn ihre Nutzer Facebook gerade nicht nutzen, sondern "anderweitig" im Internet unterwegs sind.

So entspreche es zwar den Nutzungsbedingungen des Unternehmens, erklärte das Bundeskartellamt. Doch ignoriere Facebook damit die Vorschriften zum Datenschutz und nutze seine marktbeherrschende Stellung auf dem Markt für soziale Netzwerke missbräuchlich aus.

Das Unternehmen hat gegen das Verbot der Behörde Beschwerde eingelegt, die im vorläufigen Eilverfahren vom Bundesgerichtshof zurückgewiesen wurde (KVR 69/19).

Die Bundesrichter begründeten dies allerdings nicht in erster Linie mit dem Datenschutz. Entscheidend sei vielmehr, dass private Facebook-Nutzer nicht die Wahl hätten, ob sie nur der Verwendung von Daten zustimmten, die sie auf Facebook.com selbst preisgeben. Oder ob sie auch einem potentiell unbeschränkten Zugriff auf Daten zustimmten, die Facebook gewinne, wenn sie "Off-Facebook" im Internet surften.

Das Unternehmen verlange von privaten Nutzern kein Entgelt. Es finanziere sich zum größten Teil dadurch, dass es anderen Unternehmen Online-Werbung im Netzwerk ermögliche. Dafür erfasse Facebook das Internetverhalten der Teilnehmer. Viele private Nutzer wünschten sich, sie müssten in diesem Netzwerk nicht so viele persönliche Daten preisgeben. Danach würden sie aber nicht gefragt. Diese fehlende Wahlmöglichkeit beeinträchtige ihre persönliche Autonomie.

Auf dem Markt für soziale Netzwerke gebe es derzeit, auch wegen der hohen Hürden von Facebook für einen Wechsel, kaum Wettbewerb. Würde der Wettbewerb auf diesem Markt funktionieren, könnten Nutzer auf andere Netzwerke ausweichen, die nicht ständig ihr Surfverhalten verfolgten, speicherten und für Reklame verwendeten. Man könne auch nicht ausschließen, dass die beherrschende Stellung von Facebook den Markt für Online-Werbung beeinträchtige.

"MyDevice" als Marke für Apps?

Die Wortfolge erhält keinen Markenschutz, weil "MyDevice" Inhalt und Zweck von Apps umschreibt

Eine Software-Firma wollte beim Deutschen Patent- und Markenamt (DPMA) den Begriff "MyDevice" als Marke für "Computerprogramme in Form von Apps" schützen lassen. Doch die Markenstelle der Behörde verweigerte den Eintrag ins Markenregister.

Begründung: "MyDevice" bedeute — auch für deutsche Konsumenten verständlich — "mein (elektronisches) Gerät". Und so ein Gerät könne ein Smartphone sein. Daher würden Verbraucher den Begriff nur als werbende Zweckangabe zu Apps verstehen und nicht als Hinweis auf die betriebliche Herkunft der Computerprogramme. Dass Device großgeschrieben sei, ändere daran nichts. Das stelle ein werbeübliches Stilmittel dar.

Gerade deshalb sei "MyDevice" ein Kunstwort und beschreibe nicht die angebotenen Waren, widersprach die Software-Firma. Doch das Bundespatentgericht wies ihre Beschwerde gegen den ablehnenden Bescheid des DPMA zurück (25 W (pat) 569/18).

Apps dienten vor allem dazu, Tablets oder Smartphones den persönlichen Bedürfnissen des Benutzers anzupassen, so das Gericht. Kunden würden die Wortfolge "MyDevice" daher ohne weiteres auf solche Geräte beziehen und auf die Funktion von Apps für diese, d.h. die Personalisierung elektronischer Geräte.

Beispiel dafür sei die so genannte Trackingfunktion, die es erlaube, das Gerät bei einem Verlust zu lokalisieren. Bei der Firma Google heiße die entsprechende Software "Find My Device".

Wegen dieses engen beschreibenden Bezugs zum Produkt sei die Wortfolge "MyDevice" als Marke ungeeignet. Sie umschreibe sachlich Inhalt und Zweck der Apps, anstatt auf deren Herkunft aus einem bestimmten Unternehmen hinzuweisen.

WhatsApp-Nachricht angekommen?

Zwei blaue Haken belegen, dass der Empfänger eine Nachricht erhalten und geöffnet hat

Im digitalen Zeitalter bezieht sich der juristische Begriff des "Zugangs" einer Nachricht nicht mehr automatisch auf den Briefkasten. Wann eine WhatsApp-Nachricht zugegangen ist, stellte das Landgericht Bonn neulich klar: Zwei blaue Haken zeigen es an.

Im konkreten Fall stritten Verkäufer und Käufer eines Grundstücks: Die Verkäufer waren vom Kaufvertrag zurückgetreten, weil der Käufer den Kaufpreis nicht überwiesen hatte. Danach forderten sie ihn auf, Termine für eine Hausbesichtigung mit neuen Interessenten zu nennen. Der Mann schickte den Verkäufern Terminvorschläge per WhatsApp, weil sie schon vor dem Vertragsschluss mit WhatsApp kommuniziert hatten.

Im anschließenden Prozess um die Rückabwicklung des Kaufvertrags behaupteten die Grundstücksverkäufer, sie hätten diese Nachricht nie erhalten. Allerdings zeigte ein Screenshot vom Smartphone des Käufers, dass die Nachricht mit zwei blauen Haken markiert war. Damit stand für das Landgericht Bonn fest, dass die Behauptung der Verkäufer nicht stimmte (17 O 323/19).

Eine Willenserklärung gelte als "zugegangen", wenn der Empfänger unter normalen Umständen ihren Inhalt zur Kenntnis nehmen könne, stellte das Landgericht fest. Wenn ein Empfänger im Prinzip per WhatsApp kommuniziere, treffe das auf WhatsApp-Nachrichten zu, sobald sie das Empfangsgerät des Adressaten erreichten und dort abrufbar gespeichert würden.

Das werde bei WhatsApp durch zwei blaue Haken angezeigt: Sie bedeuteten, dass die Nachricht auf dem Gerät des Empfängers eingegangen und dass sie geöffnet worden sei. Dann sei von einem Zugang der Nachricht auszugehen.

Auskunftspflicht von Online-Plattformen

Bei illegalen "Uploads" müssen Online-Unternehmen nur die Postanschrift des Nutzers offenlegen

Im Internet das Urheberrecht durchzusetzen, ist eine Sisyphos-Aufgabe. Die Constantin Film Verleih GmbH hat Online-Plattformen schon einige Male wegen illegaler Uploads auf Auskunft verklagt. Im konkreten Rechtsstreit ging es unter anderem um den Film "Scary Movie 5", der 2013 und 2014 ohne die Zustimmung der Rechteinhaberin bei YouTube eingestellt und von mehreren zehntausend Nutzern angeschaut worden war.

Die Constantin Film Verleih GmbH verlangte von YouTube (und der Muttergesellschaft Google) Auskunft über den oder die Nutzer, die die Filme hochgeladen hatten. Doch die Online-Unternehmen rückten keine Informationen heraus. Der Film Verleih zog vor Gericht und pochte auf eine EU-Richtlinie (Enforcement-Richtlinie 2004/48/EG): Demnach können Gerichte bei Verletzungen des Urheberrechts anordnen, dass Auskunft über deren Urheber bzw. dessen "Adresse" erteilt wird.

Der Europäische Gerichtshof entschied, dass die Rechteinhaberin von den Online-Plattformen nur die Postanschrift des betreffenden Internetnutzers verlangen kann, nicht aber dessen E-Mail-Adresse, IP-Adresse oder Telefonnummer (C-264/19). Da in der EU-Richtlinie ohne weitere Präzisierung nur der Begriff "Adresse" verwendet werde, könne hier nur die Postanschrift gemeint sein.

So, wie dieser Begriff üblicherweise gebraucht werde, beziehe er sich nicht auf andere Kontaktdaten. Auch im EU-Recht im Allgemeinen werde der Begriff Adresse nur im engeren Sinn der Postanschrift verwendet. Ihn so auszulegen, bringe zudem die unterschiedlichen Rechte am besten in Einklang, um die es hier gehe: das Recht der Rechteinhaberin auf Auskunft und das Recht der Internetnutzer auf Schutz ihrer personenbezogenen Daten.

Zustimmung der Internetnutzer zu Cookies muss aktiv erfolgen

Eine mit Haken im Ankreuzkästchen voreingestellte Einwilligung ist unwirksam

Der Bundesverband der Verbraucherzentralen kämpft konsequent für Datenschutz im Internet. So klagt er immer wieder gegen Unternehmen, die von Internetnutzern Nutzerprofile zu Werbezwecken erstellen und es dabei mit der vorgeschriebenen Zustimmung der Verbraucher nicht genau nehmen. Unter anderem beanstandete der Bundesverband das Internet-Gewinnspiel eines Unternehmens.

Nach Eingabe der Postleitzahl gelangte der Nutzer auf eine Internetseite, auf der er Namen und Anschrift eintragen sollte. Darunter stand folgende Einverständniserklärung zu Cookies: "Ich bin einverstanden, dass der Webanalysedienst R bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter … Cookies setzt, (was) eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch R ermöglicht".

Das zugehörige Ankreuzfeld war mit einem voreingestellten Häkchen versehen, das die Internetnutzer entfernen konnten. Wer sich weder für Cookies erwärmen mochte, noch mit telefonischer Werbung einverstanden erklärte, durfte am Gewinnspiel nicht teilnehmen. Die Verbraucherschützer verklagten den Gewinnspielveranstalter auf Unterlassung: So gestaltete Einverständniserklärungen seien unzulässig.

Nachdem er den Gerichtshof der Europäischen Union zum EU-Datenschutzrecht konsultiert hatte, gab der Bundesgerichtshof dem Bundesverband Recht (I ZR 7/16). "Webanalyse" durch Cookies bedeute, dass das "Surfverhalten" der Nutzer permanent verfolgt und gespeichert werde: welche Webseiten sie besuchten, für welche Themen und Produkte sie sich interessierten. Mit Hilfe von Cookies würden diese Informationen von ihren Geräten (Smartphone, PC etc.) abgerufen.

Gemäß EU-Datenschutzrichtlinie müssten Internetnutzer der Speicherung von Cookies aktiv zustimmen. Es benachteilige Verbraucher unangemessen, ihnen die Erlaubnis dazu per voreingestelltem Ankreuzkästchen abzuverlangen. Nutzer, die nicht wünschten, dass ihr Verhalten im Internet erfasst und dazu verwendet werde, ihnen auf sie zugeschnittene Werbung zu senden, müssten dann die Einverständniserklärung extra abwählen. Diese Form der Einwilligung sei unwirksam.

Zahnarzt klagt gegen "Jameda.de"

Ärztebewertungsportal darf gute Bewertungen löschen, wenn begründeter Verdacht auf Manipulation besteht

Die Betreiberin des Ärztebewertungsportals Jameda hat im Januar 2018 zehn positive Bewertungen für Zahnarzt X gelöscht. Bis dahin hatte er auf dem Portal 60 Bewertungen mit einer Gesamtnote von 1,5 erhalten. Die Portal-Betreiberin setzt ca. 20 Mitarbeiter ein, um Bewertungen zu überprüfen, sowie einen Algorithmus. Und der hatte die "guten Noten" für X als höchstwahrscheinlich manipuliert eingestuft.

Der Mediziner wehrte sich gegen die Löschung und forderte von der Portal-Betreiberin, die positiven Bewertungen weiterhin zu veröffentlichen: Sie weigere sich, die Kriterien für ihr Qualitätsmanagement offenzulegen. Da werde willkürlich vorgegangen, mit fatalen Folgen für sein Ansehen und für seine Praxis.

Das Oberlandesgericht München wies die Klage des Zahnarztes ab (29 U 2584/19). Das Löschen sei gerechtfertigt, wenn der begründete Verdacht bestehe, dass Bewertungen zugunsten eines Arztes manipuliert worden seien. Der Algorithmus "lerne ständig dazu" und habe über die Jahre verlässliche Indizien für nicht valide Bewertungen entwickelt.

Die Portal-Betreiberin sei darauf angewiesen, dass es ihr mit Hilfe von Mitarbeitern und von künstlicher Intelligenz gelinge, käuflich erworbene — oder anderweitig vom bewerteten Arzt selbst beeinflusste — Bewertungen von Jameda fernzuhalten. Denn der Wert der Plattform für die Nutzer hänge vom unverfälschten Meinungsbild vieler Patienten ab.

Entgegen der Ansicht von Zahnarzt X sei die Portal-Betreiberin nicht verpflichtet aufzudecken, wie der Algorithmus nicht "authentische" Patientenmeinungen aufspüre. Würde sie dieses Geschäftsgeheimnis verraten, würden Ärzte — oder von Ärzten beauftragte Agenturen für gefälschte Bewertungen — leichter Möglichkeiten finden, wie sie den Algorithmus überlisten könnten. Die Plattform verlöre damit für die Nutzer an Wert und die Portal-Betreiberin gefährdete ihr eigenes Geschäftsmodell.

Doppelzimmer für zwei statt zwei Doppelzimmer

Irrtum bei der Onlinebuchung: Der Kunde kann den Reisevertrag anfechten

Anders als im Onlinehandel gilt bei Buchungen auf Reiseportalen kein Widerrufsrecht: Bei Reiseverträgen können Verbraucher nicht innerhalb von 14 Tagen vom Vertrag zurücktreten. Sie können den Vertrag aber anfechten, wenn sie sich bei der Buchung über dessen Inhalt (Preis, Details der Leistung) geirrt haben. So wie im folgenden Fall.

Auf dem Internetportal X wollte Herr T für sich und einen Bekannten Pauschalurlaub auf Mallorca buchen. Im Suchfilter gab er ein: zwei Erwachsene, Einzelzimmer. Das Buchungsportal schlug einen Aufenthalt im Hotel H vor, zum Preis von jeweils 952,57 Euro (Gesamtpreis: 1.905,14 Euro). Als verfügbares Angebot des betreffenden Reiseveranstalters zeigte das Portal an: "Doppelzimmer (1 oder 2 Betten)". Herr T dachte an zwei Doppelzimmer zur Alleinbenutzung und buchte per Mausklick.

Der Reiseveranstalter bestätigte die Bestellung mit einem minimal aufgerundeten Gesamtpreis von 1.906 Euro. Da fiel dem Kunden auf, dass er nicht zwei Doppelzimmer, sondern eines bestellt hatte. Er bat den Reiseveranstalter um Korrektur. Der war jedoch der Ansicht, es sei wirksam ein Reisevertrag über ein Doppelzimmer im Hotel H für zwei Personen geschlossen worden. Dafür müsse der Kunde 762 Euro anzahlen.

Herr T zahlte nicht, sondern erklärte den Rücktritt vom Vertrag. Nun forderte der Reiseveranstalter Stornogebühren in gleicher Höhe und klagte den Betrag ein. Darauf habe er keinen Anspruch, urteilte das Amtsgericht Bielefeld (404 C 133/18).

Buchung und Reisebestätigung müssten den gleichen Preis enthalten. Auch wenn hier die Abweichung mit 86 Cent nur geringfügig sei: Wenn sich die Vertragsparteien über den Preis nicht einig seien, komme kein Vertrag zustande.

Doch sogar dann, wenn man hier einen wirksamen Vertragsschluss annähme, müsse der Kunde keine Stornogebühr zahlen. Denn er könne den Vertrag anfechten, weil er sich bei der Buchung in Bezug auf den Inhalt seiner Willenserklärung getäuscht habe.

Das Angebot lautete: Unterkunft in einem Doppelzimmer. Aber Herr T habe — wegen des von ihm eingegebenen Suchkriteriums "Einzelzimmer" — an eine Unterkunft von zwei Personen in jeweils einem Doppelzimmer geglaubt. Nachdem er seinen Irrtum erkannte, habe der Kunde dem Veranstalter sofort mitgeteilt, dass er vom Vertrag zurücktrete. Das sei als Anfechtung des Vertrags auszulegen.

Facebook und Datenschutz

Voreinstellungen zur Privatsphäre der Teilnehmer ersetzen nicht deren bewusste Zustimmung zur Datennutzung

Facebook und Datenschutz — a never ending story. Wieder einmal erhob der Bundesverband der Verbraucherzentralen Klage wegen zahlreicher Verstöße des sozialen Netzwerks gegen das Datenschutzrecht. Sie betrafen einige Allgemeine Geschäftsbedingungen (AGB) von Facebook und vor allem Voreinstellungen zur Privatsphäre der Teilnehmer.

Das Kammergericht in Berlin gab den Verbraucherschützern in vielen Punkten Recht (5 U 9/18). Unzulässig sei zum Beispiel, dass in der Facebook-App für Mobiltelefone ein Ortungsdienst aktiviert sei, der Chat-Partnern den Aufenthaltsort des Internetnutzers verrate.

Wesentlich für den Datenschutz sei: Internetnutzer müssten bewusst, aufgrund sachlicher Informationen in die Nutzung ihrer Daten einwilligen. So sei es gesetzlich vorgeschrieben. Diese Zustimmung dürfe Facebook nicht durch Voreinstellungen — z.B. angekreuzte Ankreuzkästchen — vorwegnehmen. Damit zwinge Facebook die Teilnehmer, eigens diese Voreinstellung "abzuwählen", wenn sie mit der Nutzung ihrer Daten durch das soziale Netzwerk nicht einverstanden seien.

Beispiel: In den Einstellungen zur Privatsphäre sei per Häkchen voreingestellt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. So werde das eigene Facebook-Profil für jedermann schnell und leicht auffindbar.

Ebenfalls unzulässig: Laut AGB-Klausel des Netzwerks erklären sich die Internetnutzer — quasi automatisch durch ihre Teilnahme — damit einverstanden, dass Facebook ihren Namen und ihr Profilbild "für kommerzielle, gesponserte oder verwandte Inhalte" einsetzt und sämtliche Daten in die USA weiterleitet. Eine weitere Klausel besagt, die Nutzer müssten im Voraus allen künftigen Änderungen der Facebook-Datenrichtlinie zustimmen.

Solche vorformulierten Erklärungen stellen nach Ansicht des Kammergerichts keine wirksame Einwilligung der Facebook-Teilnehmer in die Nutzung ihrer Daten dar.

Lücken im Android-Betriebssystem

Verkäufer von Smartphones müssen nicht auf Sicherheitslücken und fehlende Updates hinweisen

Ein Verbraucherverband kaufte bei einem Elektronikmarkt mehrere Smartphones und ließ sie von Experten des "Bundesamts für Sicherheit in der Informationstechnik (BSI)" auf ihre Sicherheit hin testen. 28 eventuelle Sicherheitslücken wurden überprüft: auf einem Gerät wurde nur eine Lücke entdeckt, bei einem anderen sogar eine Vielzahl: 15 Lücken — für die Nutzer ein eklatantes Sicherheitsrisiko, so das BSI. Dabei hatte der Hersteller auf beide Smartphones dieselbe ältere Version des Betriebssystems Android aufgespielt.

Wie ist der große Unterschied zu erklären? Betriebssysteme werden von den Herstellern an das jeweilige Smartphone-Modell angepasst. Auch neue Versionen des Betriebssystems können erst genutzt werden, wenn das geschehen ist — manchmal wird offenbar die Anpassung versäumt oder unzureichend durchgeführt.

Nach dem Test wandte sich zunächst das BSI an den Hersteller, ohne Erfolg. Dann zog der Verbraucherverband vor Gericht und forderte vom Betreiber des Elektronikmarkts, die Geräte nur noch mit Hinweis auf die Sicherheitslücken zu verkaufen.

Doch das Oberlandesgericht Köln wies die Klage der Verbraucherschützer ab (6 U 100/19). Für die Verbraucher seien solche Informationen zwar sehr wichtig, betonte das Gericht: Denn Sicherheitslücken machten es möglich, ihre Privatsphäre zu verletzen und Daten für Betrug zu missbrauchen. Es wäre aber für einen Elektronikmarkt ein unzumutbarer Aufwand, sich in Bezug auf jedes einzelne Smartphone-Modell im Sortiment über dessen Sicherheitsstandard zu informieren.

Sicherheitslücken könne man nur durch spezielle Tests für den jeweiligen Typ Smartphone feststellen. Obendrein entdecke der Anbieter eines Betriebssystems dessen Sicherheitslücken häufig selbst erst dann, wenn Dritte Angriffe auf das Betriebssystem starteten. Und die Sicherheitslücken veränderten sich ständig, so dass Elektronikmärkte diese Tests regelmäßig wiederholen müssten. Diese Argumente träfen genauso auf die Sicherheitsupdates zu.

Der Verkäufer wisse in der Regel nicht, welcher Smartphone-Hersteller für welche konkreten Modelle noch Updates bereitstelle. Ohne Zutun der Hersteller hätten Elektronikmärkte keinen Zugang zu solchen Informationen und diese Informationen könnten sich außerdem täglich ändern, genauso wie die Sicherheitslücken. Oft könnten die Hersteller selbst nicht genau kalkulieren, wann das nächste Sicherheitsupdate fällig und fertig werde, das sie dann wiederum an ihre Smartphone-Modelle anpassen müssten.

"Cookies" müssen "aktiv" bejaht werden!

Kurzartikel

Fast auf jeder Webseite, die Internetnutzer aufrufen, werden sie dazu aufgefordert, dem Setzen von "Cookies" zuzustimmen. So werden für Werbezwecke Informationen über ihr Surfverhalten gesammelt. Dem müssen die Nutzer aktiv zustimmen: Ein voreingestelltes "Ankreuzkästchen" — das der Nutzer wegklicken muss, wenn er nicht einwilligt — genügt nicht als Zustimmung. Diese Vorschrift soll laut EuGH die Internetnutzer davor schützen, dass "Hidden Identifiers" oder ähnliche Instrumente in ihre Geräte und damit in ihre Privatsphäre eindringen.

Daten-Staubsauger Facebook

Betreiber kommerzieller Webseiten dürfen Daten der Kunden nicht ohne deren Wissen an Facebook übermitteln

Die Verbraucherzentrale Nordrhein-Westfalen führte gegen einen deutschen Online-Händler für Modeartikel (Fashion ID) einen Musterprozess. Sie warf ihm vor, seine Informationspflichten gegenüber den Kunden zu verletzen: Der Händler übermittle Daten der Internetnutzer ohne deren Wissen und Einverständnis an Facebook. Diese Praxis ist im Online-Handel anscheinend gang und gäbe.

Auf der Webseite des Online-Händlers prangt der "Gefällt mir"-Button des US-Konzerns. Wer auch immer die Mode-Webseite aufruft, dessen Daten werden an Facebook Irland übermittelt: IP-Adresse, Surfgewohnheiten etc. Diese Übermittlung erfolgt ohne Wissen der Webseiten-Besucher. Sie erfolgt unabhängig davon, ob die Kunden Mitglieder des sozialen Netzwerks Facebook sind und auch dann, wenn sie den "Gefällt mir"-Button auf der Mode-Webseite nicht anklicken.

Das mit der Klage der Verbraucherzentrale befasste Oberlandesgericht Düsseldorf bat den Europäischen Gerichtshof (EuGH) um Auskunft darüber, ob diese Praxis den gültigen Datenschutz-Richtlinien entspricht. Der deutsche Betreiber der Webseite sei zwar nicht für die spätere Verarbeitung der Daten durch Facebook auf irischen Servern verantwortlich, erklärte der EuGH (C-40/17). Wohl aber dafür, dass er gemeinsam mit Facebook die Daten der Webseiten-Besucher erhebe und an Facebook Irland weiterleite.

Die Einbindung des "Gefällt mir"-Buttons in die Webseite ermögliche dem Online-Händler, die Werbung für seine Produkte zu optimieren: Wenn ein Besucher der Webseite den Button anklicke, werde die Reklame im sozialen Netzwerk Facebook "sichtbar". Die Gegenleistung des Online-Händlers bestehe wohl darin, in die Weitergabe der personenbezogenen Daten der Internetnutzer ausdrücklich oder zumindest stillschweigend einzuwilligen. Dabei müsse er aber die Regeln des Datenschutzes einhalten.

Betreiber kommerzieller Webseiten müssten die Kunden im Voraus darüber informieren, dass ihre Daten übermittelt werden, und per "Ok-Button" deren Einverständnis abfragen. Anders wäre dies nur zu beurteilen, wenn ein Online-Händler ein berechtigtes Interesse an einer Datenübermittlung ohne explizite Zustimmung habe — das komme aber allenfalls bei Internetnutzern in Frage, die sowieso über ein Facebook-Konto verfügten.