Facebook, Swisscom, Migrolino & Co.

Big Data und Datenschutz in Kommunikation, Marketing und Werbung

Alles spricht über die «Datenkrake» Facebook im fernen Silicon Valley. Im Schatten von Facebook segeln aber auch Schweizer Unternehmen, deren Datenhunger gerade so gross ist. «Swiss Big Data» ist nicht per se illegal. Für Marketing- und Kommunikationsleuten ist es aber entscheidend, die rechtlichen roten Linien zu kennen, um nicht in einen juristischen Hammer zu laufen und Reputationsschäden zu vermeiden.

Bisher haben Swisscom und Migros vor allem unsere Daten in Bezug auf Dienstleistungen und Käufe gesammelt. In neuster Zeit gehen sie dazu über, uns zu fotografieren. Swisscom tut dies im Shop, um wartende Kunden für die Berater zu identifizieren. Migros plant Migrolino-Shops ohne Personal und will darum die Gesichter ihrer Kunden ebenfalls scannen. Auch wenn die Betroffenen, abgestumpft durch den Datenhunger ihrer Lieblingstools Facebook, WhatsApp und Instagram, bei ihren persönlichen Daten recht freigiebig geworden sind, stutzen sie nun doch bei den Berichten über Praxis und Absichten von Swisscom und Migrolino, ihre Gesichter zu scannen.

Rote juristische Linie im Datenmarketing

Datensammeln zu Marketing-Zwecken ist nicht verboten. Vielfach dient das Datenmarketing auch den Betroffenen selbst. Die rote juristische Linie findet sich in Artikel 4 des Datenschutzgesetzes (DSG), den Grundsätzen des schweizerischen Datenschutzes. Für Marketing und Kommunikation sind dabei vor allem der Grundsatz der Verhältnismässigkeit und der Zweckgebundenheit von besonderer Relevanz. Nach dem Grundsatz der Verhältnismässigkeit dürfen Daten von Usern und von Kunden nur dann gesammelt werden, wenn sie für den dem Betroffenen vom Sammler kommunizierten Zweck notwendig und geeignet sind. Nimmt jemand z.B. an einem Wettbewerb teil, ist es lediglich notwendig, dass der Teilnehmer eine Offline- oder Online-Adresse angibt, damit man ihn über einen allfälligen Gewinn informieren kann. Weitere Informationen, wie z.B. Geburtstag, Geschlecht oder Zivilstand sind für diesen Zweck weder notwendig noch geeignet und damit deren Erfragung unverhältnismässig. Bei der weiteren Verwendung dieser Wettbewerbs-Daten muss der Grundsatz der Zweckgebundenheit eingehalten werden. D.h., dass Daten nur für den dem Betroffenen bei der Erhebung kommunizierten Zweck verwendet werden dürfen. In Bezug auf die Wettbewerbs-Daten bedeutet dies, dass diese Daten z.B. nicht für künftige Werbung verwendet werden dürfen. Dies wäre ein klarer Verstoss gegen das Datenschutzgesetz. Will man dies trotzdem tun, muss beim Wettbewerb eine separate Box gesetzt werden, die von den Teilnehmenden angekreuzt werden kann, wenn sie über den Wettbewerb hinaus Werbung wünschen.

Gesichts-Scanning legal?

Unser Gesicht ist Teil unserer Persönlichkeit gemäss Zivilgesetzbuch (ZGB) und damit gemäss Artikel 28 ff. ZGB geschützt. Erfolgt eine Aufnahme bzw. ein Scanning ohne Einverständnis des Betroffenen verletzt bereits die Aufnahme bzw. das Scanning an sich die Persönlichkeit; d.h. also nicht erst deren Verwendung. Erhebung und Bearbeitung dieser personenbezogenen Daten fallen aber auch unter die genannten datenschutzrechtlichen Grundsätze der Verhältnismässigkeit und der Zweckgebundenheit. Wenn nun Swisscom und Migrolino ihre Kunden zur Identifizierung in ihren Shops fotografieren, verlangt dies vorab deren explizites Einverständnis. Ein Gesichts-Scanning darf zudem nur gemacht werden, wenn dies für den entsprechenden Zweck notwendig und geeignet ist. Dabei verlangt der Grundsatz der Verhältnismässigkeit auch, dass für die Erreichung des Zwecks immer das Mittel angewendet wird, das am wenigsten in die Persönlichkeit der Betroffenen eingreift. Bis anhin hat Swisscom offenbar für ihre Berater jeweils besondere Kennzeichen ihrer Kunden notiert («Mann, grüne Jacke, Brille» o.ä.). Offenbar hat dies funktioniert. Die Post sowie die Apotheken-Gruppe BENU setzen auf das System «Take a Number». Auch dies scheint praktikabel zu sein. Die Valora-Gruppe hat soeben einen Test mit einem Shop ohne Personal durchgeführt. Dort haben sich die User bei Eintritt ins Geschäft mit einer App identifiziert. Auch dies schein funktioniert zu haben. Das bedeutet, dass es offensichtlich Identifikations-Methoden im stationären Handel gibt, die bedeutend weniger in die Persönlichkeit der betroffenen eingreifen. Damit muss davon ausgegangen werden, dass das Fotografieren bzw. Scannen der Gesichter der Kunden als schwerer Eingriff in deren Persönlichkeit unverhältnismässig sind. Fragt sich noch, ob das Einverständnis der Kunden die Sache legal macht. Nein. Art. 27 Abs. 2 ZGB als Teil des Persönlichkeitsrechts schützt die Personen vor der «Entäusserung ihrer Freiheit». Dieser Artikel, der schon seit Jahrzehnten Teil des Schweizer Persönlichkeitsrechts ist, erlebt im Zeitalter der Digitalisierung, in dem die User bereit sind, ihr letztes «Daten-Hemd» für eine unwiderstehliche App hinzugeben, eine eigentliche Renaissance. Mit dieser gesetzlichen Bestimmung schützt der Staat die Leute vor sich selbst.

Risiken des Datenhungers

Das schweizerische Datenschutzgesetz ist nach wie vor ein «Tiger ohne Zähne». Die Verletzung der Datenschutzgrundsätze hat praktisch keine juristischen Konsequenzen. Biss haben lediglich Verfügungen des Eidg. Datenschutz- und Öffentlichkeitsbeauftragt (EDÖB). Dieser kann von sich aus oder auf Anzeige hin auf den Plan treten. Hingegen sind die Reputationsrisiken nicht zu unterschätzen. Die Medien messen Unternehmen an den Datenschutz-Grundsätzen. Datenschutz ist ein Key Issue des E-Commerce. Die Fälle von Facebook haben gezeigt, dass die Thematik geeignet ist, sogar einen «Big Player» ins Wanken zu bringen.

High Risk beim Daten-Fischen in der EU

Seit Mai letzten Jahres gilt in der EU die neue Datenschutz-Grundverordnung (EU DSGVO). Grundsätzlich gelten in der EU nach wie vor die ähnlichen Datenschutzgrundsätze, wie in der Schweiz. Die EU DSGVO ist aber ein eigentlicher «Game Changer». Denn neben Schadenersatzforderungen der Betroffenen drohen Unternehmen bei Verstössen Bussen von bis zu 4 % des globalen (!) Umsatzes (!) und fehlbare Manager, Datenschutzbeauftragte und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Hilfreiche Online-Quellen des Datenschutzes

Übersicht über den Datenschutz der Schweiz und der EU: www.digilaw.ch («Data Protection»)

Detaillierte Informationen des EDÖB: www.edoeb.admin.ch («Datenschutz»)

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch, www.hslu.ch, www.digilaw.ch, www.twitter.com/juristenfutter, www.linkedin.com/in/ueli-grueter

Aktualisiert am 14. Juli 2020

Wenn die Linke nicht weiss, was die Rechte tut

Digital Law & Legal Tech

Seit der Jahrtausendwende werden laufend neue Bereiche unseres Lebens von der Digitalisierung erfasst und teilweise dermassen verändert, dass von einer eigentlichen Revolution gesprochen wird. Als Abbild von Gesellschaft, Wirtschaft und Technik spiegelt sich die Digitalisierung in Recht und Ethik. Dabei werden jene in einer noch nie dagewesenen Art verzahnt. Diese ausserordentliche Situation verlangt eine enge Kooperation zwischen Fachleuten in Ökonomie, Technik und Recht. Das Verständnis des je anderen Fachbereichs spielt im Kontext der digitalen Welt eine entscheidende Rolle. Von den Akteuren werden sowohl ökonomische wie technische und rechtliche Kompetenzen verlangt. Kommt dazu, dass die Digitalisierung die Fachleute vermehrt an die Grenzen ihrer Möglichkeiten bringt. Jene können nur mit unkonventionellen Lösungen auch in Recht und Ethik überwunden werden.

Artikel als PDF

Rechte und Pflichten als Algorithmen

In der digitalen Welt ist am Ende alles Software. So auch die Verträge. Rechte und Pflichten werden nicht mehr auf Papier geschrieben, sondern in Algorithmen gefasst, den Bausteinen von Computerprogrammen. Damit entstehen sogenannte «Smart Contracts». Diese zeichnen sich dadurch aus, dass sie ohne weitere Eingriffe Vertragsverhältnisse selbst abwickeln. Ein einfaches Beispiel ist die Lizenz für Güter wie Software oder Musik. Das Programm prüft den Eingang der Zahlung des Lizenznehmers und gibt dann die Lizenz frei.

Blockchain – Neue Plattformen für neue Organisationsstrukturen

Während es sich bei den Smart Contracts um ein relativ einfaches Beispiel von digitalisierten Rechtsverhältnissen handelt, nimmt die Komplexität bei Blockchains als neue Plattformen für die digitale Organisation von Projekten, aber auch als Plattformen für Smart Contracts enorm zu. Das strukturelle und technische Verständnis ist bei Blockchains sogar für Informatikerinnen und Informatiker eine Herausforderung, erst recht für Juristen und Ökonominnen. Juristisch kommen zu den vertragsrechtlichen Fragen der Rechtsverhältnis-se zwischen den Projektpartnern und diesen und den Usern vor allem knifflige datenschutzrechtliche Fragen. Mit der Anwendung der Datenschutz-Grundverordnung (DSGVO) in der EU hat die Problematik sogar noch enorm an Bedeutung zugenommen.

Der Weg ist das Ziel – Agile Projekte mit agilen Verträgen

Wenn Ökonomen und Technikerinnen erklären, sie möchten zusammenarbeiten, hätten jedoch noch keine Ahnung wohin das Projekt führt, der Weg sei sozusagen das Ziel, sie bräuchten dafür aber einen Vertrag, dann sind Juristinnen und Juristen gefordert. Mit der Digitalisierung haben solche Formen der Zusammenarbeit zugenommen. Die Lösung für solche agilen Projekte sind in der Regel agile Verträge. Da man sich einen solchen Vertrag als Jurist/in nicht einfach aus den Fingern saugen kann, sind aber auch die beteiligten Ökonominnen und Techniker gefordert. Dafür müssen sie wissen, auf was es bei einem solchen Vertrag aus juristischer Sicht ankommt. Wesentlich sind dabei das Worst-Case und das Varianten-Denken der Juristinnen und Juristen.

Legal Tech

Während sich Juristinnen und Juristen mit laufend neuen Herausforderungen der digitalen Welt beschäftigen, zieht seit Jahren unspektakulär die digitale Welt in ihrem unmittelbaren Umfeld ein, die «Legal Technology», kurz «Legal Tech». Obwohl man denkt, Legal Tech sei eine neue Erscheinung, handelt es sich, weit gefasst, um Technologien die teilweise seit über zwanzig Jahren existieren. Legal Tech unterstützt bis anhin Juristinnen und Juristen bei ihrer Arbeit. Mit künstlicher Intelligenz erledigt nun aber Legal Tech einfache juristische Arbeiten selbst. In gewissen Gebieten, wie der Compliance und der Finanzmarktregulierung wäre die Arbeit für die Juristinnen und Juristen ohne Legal Tech sogar nicht mehr zu bewältigen. Für den juristischen Menschen bleiben komplexe, strategische Denkaufga-ben.

Damit die Rechte weiss, was die Linke tut

Bis anhin haben Juristinnen Verträge redigiert und Programmierer Software entwickelt. Smart Contracts, aber auch die Anwendung von Blockchains und anderen, neuen komple-xen digitalen Systemen verlangen nun eine Kooperation und Kommunikation der beiden Disziplinen, wobei sich Juristinnen und Juristen die Basics der technischen Grundlagen aneignen müssen, Informatikerinnen und Informatiker die Basics der digitalrechtlich relevanten Regulatorien und die Ökonominnen und Ökonomen beides. Denn, weiss der Jurist nicht was die Informatikerin oder der Ökonom tut und umgekehrt, kann dies fatale Folgen haben. Auch die Haftung in digitalen Projekten ist ein neues Thema! Dabei werden sich inskünftig weder Juristinnen noch Informatiker noch Ökonominnen darauf berufen können, sie bräuchten keine Kenntnisse der jeweils anderen Disziplin.

Voraussetzung einer erfolgreichen digitalen Transformation aus kombiniert ökonomisch-informationstechnisch-juristischer Sicht ist die Notwendigkeit, dass «die Linke weiss, was die Rechte tut» und umgekehrt!

Die Hochschule Luzern – Informatik führt ab Herbst 2019 das CAS Digital Law & Legal Tech durch. In diesem interdisziplinären Kurs geht es darum, dass sich Fachleute aus Wirtschaft, Technik und Recht die Basics der jeweils anderen Disziplin aneignen und sich zusammen mit den Hot Topics in Digital Law & Legal Tech vertieft auseinandersetzen. Detaillierte Informationen zum neuen CAS finden sich unter folgendem Link: https://www.hslu.ch/de-ch/informatik/weiterbildung/digital-value-creation/cas-digital-law-legal-tech/.

Weitere Informationen zu «Digital Law» auch im Online-Lehr- und Fachmittel digilaw.ch.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Cybercrime oder Cyberwar?

Cyberversicherungen

2017 wurde der amerikanische Lebensmittelkonzern Mondelez (Toblerone, Stimorol, Milka u.v.a.) Opfer einer Cyberattacke mit der Malware Petya bzw. NotPetya. Mondelez hat eine Cyberversicherung bei der Schweizer Versicherungsgesellschaft Zurich. Diese weigert sich jedoch den Schaden von behaupteten US$ 100 Mio. (!) zu übernehmen. Zurich wendet ein, die Police mit Mondelez enthalte einen Passus, der Risiken aus „feindlicher oder kriegsähnlicher Handlung“ durch eine „Regierung oder souveräne Macht“ ausschliesst. In der Folge hat Mondelez bei einem Gericht im US-Bundesstaat Illinois gegen Zurich Klage eingereicht. Gemäss beim Gericht eingereichter Unterlagen wurden bei Mondelez 1’700 Server und 24’000 Laptops dauerhaft beschädigt.

Ueli Grüter zum Cyberstreit zwischen Mondelez und Zurich in der Sendung 10vor10 von SRF vom 07.02.2019

Beweislast liegt bei Zurich

Da es sich um einen Versicherungsausschluss handelt, muss Zurich nun beweisen, dass die Cyberattacke gegen Mondelez ein feindliche oder kriegsähnliche Handlung einer Regierung oder einer souveränen Macht war. Dies dürfte ein sehr schwierig zu erbringender Beweis sein, da er wohl nur mittels Informationen von Geheimdiensten möglich ist, die für einen Zivilprozess wohl schwierig zu bekommen sind. Kann Zurich den Beweis nicht erbringen, wird Zurich wohl zahlen müssen. Bei der Sache Mondelez versus Zurich dürfte es sich um einen Präzedenzfall handeln, wurden doch bis jetzt nur Fälle von Cybercrime und nicht von Cyberwar gerichtlich beurteilt.

Unterschied zwischen Cybercrime und Cyberwar

Der Unterschied zwischen Cybercrime und Cyberwar ist, dass Cybercrime von Privaten begangen wird, währenddem Cyberwar von einem Staat (oder einer Volksgruppe) ausgeht (s. auch Wikipedia zur Definition des Begriffs „Krieg“: https://de.wikipedia.org/wiki/Krieg).

Sind Cyberversicherungen sinnvoll?

Immer, wenn in einem Fall eine Versicherung eine Zahlung verweigert, stelle sich auch die Frage, ob sich ein solche Versicherung denn überhaupt lohnt. Dies kann man sich natürlich auch bei einer Cybersicherung fragen. Bei allen Versicherungen sind für diese Einschätzung folgende Punkte bzw. Fragen wichtig:

Welches sind die konkreten Risiken und sind sie durch die Versicherung wirklich gedeckt bzw. eben nicht ausgeschlossen?

Ist die Summe der Versicherungsdeckung genügend hoch?

Was ist bei Cyberversicherungen besonders zu beachten?

Da die Risiken für die Versicherungen im Bereich Cybercrime besonders hoch sind, neigen sie dazu, diverse Risiken vom Versicherungsschutz auszuschliessen. Aus diesem Grund ist es bei der Cyberversicherung besonders wichtig, genau hinzuschauen und auch das „Kleingedruckte“ zu lesen und kritisch zu hinterfragen. Wenn nicht klar ist, ob ein Risiko wirklich gedeckt ist oder Klauseln nicht klar sind, müssen diese Punkte unbedingt mit der Versicherung erörtert werden. In der Folge sollte sich eine Versicherung auch zur Deckung von strittige Risiken explizit und schriftlich bekennen.

Offensichtlich haben sich weder Mondelez, noch Zürich mit der Ausschlussklausel betreffend Cyberwar ausdrücklich befasst. Sonst würden sie sich jetzt nicht vor Gericht gegenüberstehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Sogar K-Tipp verschickt Spam-Mails!

Das Konsumentenmagazin K-Tipp, das Woche für Woche illegale Machenschaften von Unternehmen anprangert, hat heute selbst ein Spam-Mail versandt! Ich war zwar einmal Abonnent von K-Tipp, bin es aber zwischenzeitlich nicht mehr. Als ich mich mit einem Klick auf den Unsubscription-Button („Klicken Sie hier, um sich vom Newsletter abzumelden“) vom Newsletter abmelden wollte, wurde ich auf eine Seite geleitet, auf der ich mich wieder für den Newsletter anmelden, jedoch nicht abmelden kann (sic!) – und bin prompt reingefallen …

Dieses E-Mail von K-Tipp ist damit umfassend illegal. Es verstösst sowohl gegen das Opt-in-, wie auch gegen das Opt-out-Prinzip von Art. 3 Abs. 1 lit. o Lauterkeitsgesetz (UWG). Ein Verstoss gegen Art. 3 UWG kann nach Art. 23 UWG mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft werden. Die Details betreffend Spam-Mails werden im Blog-Beitrag Spam – Unerwünschte E-Mails sind illegal erörtert.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter digilaw.ch

Dürfen Schulen Fotos von Kindern publizieren?

Eltern kennen es. Immer zu Beginn eines neuen Schujahres geben Kindergärten, Schulen und Kinderhorte den Kindern und Jugendlichen Formulare mit nachhause, mit denen sie von den Eltern die Erlaubnis der Publikation von Fotos und sogar Videos der Kinder und Jugendlichen verlangen. Ein Vater hat mich gefragt, wie man denn darauf reagieren soll und was die Schule, der Hort mache, wenn man das Einvertändnis verweigere.

Jeder hat das Recht am eigenen Bild. Dieses Recht ist Teil der Persönlichkeit und in der Schweiz in Art. 28 ff. des Zivilgesetzbuches (ZGB) geregelt. Ein Eingriff in diese Persönlichkeit ist nur zulässig, wenn insbesondere der Betroffene sein Einverständnis gibt.

Dabei ist zu unterscheiden zwischen Aufnahmen, die einzelne Personen fokussiert oder von Aufnahmen von Gruppen weniger Personen einerseits, und Personen die entfernt in Sujet stehen, bei der Schule z.B. auf einem Pausenplatz. Bei letzteren spricht man, etwas unschön, von den Personen als „Staffage“, was gemäss Duden soviel wie „[schmückendes] Beiwerk; Ausstattung“ bedeutet. Letztere dürfen gemäss Lehre und Rechtsprechung grundsätzlich ungefragt, d.h. ohne explizites Einverständnis fotografiert werden.

Kinder und Jugendliche sind bezüglich des Rechts am eigenen Bild weder besser, noch schlechter geschützt, als Erwachsene.

Für den Fall der Schule bedeutet dies, dass diese für das fokussierte Fotografieren oder Filmen von einzelnen Schülern oder kleineren Schülergruppen das explizite Einverständnis sowohl des Schülers, wie auch seiner Eltern benötigt. Verweigern Eltern und/oder Schüler das Einverständnis, dürfen die entsprechenden Schüler nicht fokussiert oder in kleinen Gruppen fotografiert oder gefilmt werden. Grundsätzlich genügt das spätere Pixeln dieser Schüler den fesetzlichen Vorgaben nicht. Denn, wie erwähnt, ist nur schon die Aufnahme ohne explizites Einverständnis nicht zulässig.

Zu beachten ist, dass schon die Aufnahme eines Bildes eine Persönlichkeitsverletzung darstellt und nicht erst dessen Publikation, wenn dafür die Einwilligung des Betroffen nicht vorliegt.

Übrigens. Aus dem Umstand, dass ein Kind oder ein Jugendlicher auf dem Internet Sefies publiziert, darf nicht geschlossen werden, dass das Kind, der Jugendliche generell mit der Publikation von Bildern seiner Person einverstanden ist. Das Kind, der Jugendliche bzw. seine Eltern dürfen in jedem einzelnen Fall darüber frei entscheiden.

Institutionen, die Kinder betreuen, wie Schulen, Horte, aber z.B. auch Pfadis und Fussballclubs ist zu raten, mit der Aufnahme und der Publikation von Fotos und Videos von Kindern und Jugendlichen äusserst vorsichtig umzugehen und sich strikt an die gesetztlichen Regeln zu halten. M.E. ist die Sensibilität der Betroffenen sehr gross und die Bereitschaft zur Ergreifung von Rechtsmitteln hoch.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter digilaw.ch
Aktualisiert am 04. April 2020

Gefangen in Internet und Suchmaschinen?

Einmal im Internet – immer im Internet? Wie löscht man Content aus Internet und Suchmaschinen?

Vor kurzem habe ich ein öffentliches Profil auf einer Online-Plattform für Kunst sowie ein Inserat für eine Assistenz auf der Job-Plattform einer Universität löschen lassen. Dabei ist es weder der Kunst-Plattform, noch der Job-Plattform auf Anhieb gelungen, die Inhalte so zu löschen, dass sie auch aus den Speichern der Internet-Suchmaschinen, allen voran Google gelöscht werden. Die Kunst-Plattform hat mich auf erste Rückfrage sogar darauf hingewiesen, dass die Sache mit den Suchmaschinen nicht ihr Problem sei … Da eine solche Haltung und Praxis insbesondere nach der Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) besonders risky ist (hohe Bussen!), ist es für Online-Anbieter wichtig, diese Sache kurz aus juristischer Sicht zu erläutern.

Inbesondere die EU-DSGVO (Art. 17 DSGVO), allgemein aber auch das schweizerische Datenschutzgesetz (Art. 4 DSG) sehen ein Recht auf Löschung („Recht auf Vergessen“) explizit vor. Insbesondere das Recht der DSGVO wird nun streng gehandhabt. Basierend darauf müssen Datenverarbeiter und Suchmaschinen-Betreiber insbesondere Daten löschen, die für den Zweck, für die sie erhoben wurden, nicht mehr gebraucht werden (Grundsatz der Verhältnismässigkeit, Grundsatz der Zweckbindung). Tun sie dies nicht, verletzen sie die entsprechenden datenschutzrechtlichen Grundsätze bzw. Prinzipien.

Aus diesem Grund haben Suchmaschinen, wie Google nun Online-Tools eingerichtet, bei denen konkrete Anträge auf Löschung gestellt werden können. Bei Google findet sich das entsprechende Tool mit entsprechender Erklärung unter folgendem Link: https://support.google.com/webmasters/answer/7041154. Allerdings verlangt Google für einen Löschungsantrag, was m.E. nicht rechtens ist, dass man sich bei Google anmeldet bzw. einen entsprechenden Account eröffnet.

Wichtig ist aber, und das ist absolut rechtens, dass Google grundsätzlich nur dann löscht, wenn auch der originäre Inhalt, also der Inhalt auf einer entsprechenden Website gelöscht ist. Das bedeutet eben für die Anbieter von Websites, dass sie öffentliche Profile und anderen Content so löschen, dass er auf dem Netz nicht mehr sichtbar ist.

In unserer Praxis haben wir auch immer wieder Fälle, in denen sich sowohl die Website-Betreiber, wie auch Suchmaschinen, wie Google, weigern, Content zu löschen. Sollte solcher Content jedoch gegen geltendes Recht verstossen (u.a. Datenschutz, Persönlichkeitsverletzung), können wir als Rechtsanwälte auch direkt eingreifen und die Suchmaschinen direkt offline zu Löschung auffordern. Dabei kommt uns zugute, dass immer mehr der Big Players des Internets in der Schweiz einen Sitz einreichten, wie z.B. Google in Zürich. Damit haben wir juristisch einen direkt Zugriff basierend auf schweizerischem Recht. Diesbezüglich haben wir insbesondere mit Google immer gute Erfahrungen gemacht.

Schlussendlich ist darauf hinzuweisen, dass es sich lohnt, die eigene Person, das eigene Unternehmen von Zeit zu Zeit zu „googeln“, und zu checken, welche Einträge in Suchmaschinen bestehen. Sollten Einträge nicht mehr aktuell sein oder sogar falsch, muss direkt bei den Website-Betreibern interveniert werden. Sollten die Website-Betreiber (rechtswidrig) keine Kontaktadresse auf ihrer Site publizieren, können die Inhaber von Websites über Online-Tools, wie www.eurodns.com/de/whois-suche abgefragt werden.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter digilaw.ch

Was gehört in eine Datenschutzerklärung?

Je näher der 25. Mai 2018 und damit die Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) rückt, desto emsiger beginnen auch Schweizer Unternehmen ihre Datenschutzerklärungen entsprechend anzupassen. Es stellt sich die Frage, was eigentlich in eine Datenschutzerklärung gehört und wie diese aufgebaut werden sollte. Dabei ist es auch für ein Schweizer Unternehmen durchaus sinnvoll, die Datenschutzerklärung entsprechend den neuen EU-Vorschriften zu verfassen (s. dazu „Neuer EU-Datenschutz – Gefahr für Schweizer KMU?“).

Der Inhalt einer Datenschutzerklärung ergibt sich im Wesentlichen aus den Informationspflichten des Datenschutzverantwortlichen, also des Unternehmens, gemäss Art. 12 ff. DSGVO. Dabei muss konkret bezogen auf die jeweilige Datenerfassung bzw. Datenverarbeitung informiert werden. Wichtig ist, dass eine Datenschutzerklärung klar und verständlich formuliert wird, andernfalls sie möglicherweise gar keine rechtliche Wirkung hat.

Vorab muss ein Unternehmen darüber informieren, dass es für die Datenverfassung und die Datenverarbeitung verantwortlich ist. Dabei muss es seine Kontaktdaten sowie die Kontaktdaten seines allfälligen Datenschutzbeauftragten (unternehmensintern oder -extern) publizieren.

In der Folge muss den betroffenen Personen mitgeteilt werden, welche personenbezogenen Daten erfasst werden und zu welchem Zweck. Zu dieser Information gehört auch, auf welcher rechtlichen Grundlage die Datenerfassung und die folgende Datenverarbeitung erfolgt. Rechtliche Grundlage können im Wesentlichen die Einwilligung der betroffenen Person, die Notwendigkeit für die Abwicklung einer Rechtsbeziehung (z.B. Kaufvertrag), ein Gesetz oder berechtigte Interessen des Unternehmens oder eines Dritten sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Fällt die rechtliche Grundlage für die Datenverarbeitung weg, müssen die entsprechenden personenbezogenen Daten ohne Verzug mit entsprechenden adäquaten technischen Mitteln dauerhaft gelöscht werden. Auch darüber ist in der Datenschutzerklärung zu informieren.

Sofern personenbezogene Daten nicht vom nämlichen Unternehmen selbst verarbeitet, sondern dafür an Dritte übermittelt werden, muss über diese Empfänger oder Kategorien von Empfängern informiert werden.

Werden personenbezogene Daten ins Ausland transferiert, ist dies insbesondere in der Datenschutzerklärung zu deklarieren und es ist darüber zu informieren, wie diesbezüglich das hohe Datenschutzniveau der Schweiz bzw. der EU auch im Ausland gewährleistet ist.

Ebenfalls müssen die betroffenen Personen über ihre Rechte in Bezug auf die Erfassung und Verarbeitung ihrer personenbezogenen Daten informiert werden. Dazu gehören gemäss DSGVO insbesondere folgende Rechte:
– Recht auf Auskunft
– Recht auf Berichtigung
– Recht auf Löschung
– Recht auf Einschränkung der Verarbeitung
– Recht auf Widerspruch gegen die Verarbeitung
– Recht auf Datenübertragbarkeit
– Recht auf Beschwerden bei den Aufsichtsbehörden
– Recht auf Widerruf der Einwilligung

Schlussendlich müssen die betroffenen Personen darüber informiert werden, ob die Überlassung bzw. Erfassung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten zur Verfügung zu stellen und welche mögliche Folge die nicht Zurverfügungstellung hätte (z.B. eingeschränkte Nutzung einer Website, wenn Cookies verweigert werden).

Bei diesen Ausführungen handelt es sich um eine Erläuterung zur Datenschutzerklärung basierend auf der EU-DSGVO. Es handelt sich um keine Empfehlung und darum wird auch jeden Haftung abgelehnt. Es wird empfohlen, für die Redaktion einer Datenschutzerklärung eine Fachperson, z.B. einen im Datenschutz spezialiserten Rechtsanwalt beizuziehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

NAVYBOOT verschickt illegale SMS

Seit einiger Zeit nimmt offenbar der Versand von Werbe-SMS bzw. kommerziellen SMS von ansich seriösen Schweizer Unternehmen zu. In letzter Zeit habe ich als Kunde solche insb. von UBS und NAVYBOOT erhalten. Während UBS die Vorschrift von Art. 3 Abs. 1 lit. o des schweizerischen Lauterkeitsgesetzes (UWG), unter die auch SMS fallen, einhält und mir die Möglichkeit gibt, mit einer Nachricht „STOP TWINT“ an die Nummer 5555 mich von der Liste der Adressaten der Werbe-SMS zu löschen, besteht diese Möglichkeit bei den Werbe-SMS von NAVYBOOT nicht. Damit sind die Werbe-SMS von NAVYBOOT gemäss Art. 3 Abs. 1 lit. o UWG illegal, was gemäss Art. 23 UWG strafbar ist.

Gemäss Art. 3 Abs. 1 lit. o UWG müssen auch bestehende Kunden die Möglichkeit haben, bei Werbemails und Werbe-SMS sich jederzeit aus entsprechenden Adressaten-Listen austragen zu lassen und dies auf einfache Weise (sog. „Unsubscription“, Opt-out-Prinzip).

Wie man legal Werbemails und Werbe-SMS versendet steht in diesem Blog-Beitrag: https://wp.me/p8RKnD-59.

Über zwei Monate nach meiner Abmahnung hat sich NAVYBOOT mit Schreiben vom 7. Februar 2018 bei mir gemeldet und zur Sache wie folgt Stellung genommen:

Wir hatten es leider bei Projektbeginn unterlassen, die von unserer Agentur vorgestellte
SMS Werbeversand Lösung rusätzlich selber auf die juristischen Voraussetzungen zu
prüfen. Sie haben selbstverständlich mit der Aussage recht, dass ein solcher SMS Werbeversand
dem Kunden eine einfache Möglichkeit geben muss, künftige Werbung abzustellen.
Wir haben aufgrund Ihrer Rückmeldung deshalb umgehend eine entsprechende Programmierung
für eine Abmeldung in Auftrag gegeben. Künftige Werbe-SMS seitens unserer
Unternehmung an unsere Crew Member werden somit künftig nur mit einem Link flir die
Abmeldung versandt.

Das wäre jetzt korrekt. Auch ein Abmelde-Link (Unsubscription), statt einer Stopp-SMS, erfüllt die Voraussetzungen von Art. 3 Abs. 2 lit. o UWG.

Zusätzliche „Lesson to learn“: Arbeiten von Werbe-/Marketingagenturen immer auch juristisch prüfen. Offenbar kann man sich nicht darauf verlassen, dass dies Agenturen selbst tun.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
Aktualisiert am 08. Februar 2018

Spam – Unerwünschte E-Mails sind illegal

Staatsanwaltschaft verurteilt Unternehmer zu Geldstrafe und Busse mit Eintrag im Strafregister

Nach Art. 3 Abs. 1 lit. o des schweizerischen Lauterkeitsgesetzes (UWG) handelt unlauter, wer Massenwerbung ohne direkten Zusammenhang mit einem angeforderten Inhalt fernmeldetechnisch sendet oder solche Sendungen veranlasst und es dabei unterlässt, vorher die Einwilligung (Opt-in) der Kunden einzuholen, den korrekten Absender anzugeben oder auf eine problemlose und kostenlose Ablehnungsmöglichkeit (Opt-out) hinzuweisen; wer beim Verkauf von Waren, Werken oder Leistungen Kontaktinformationen von Kunden erhält und dabei auf die Ablehnungsmöglichkeit hinweist, handelt nicht unlauter, wenn er diesen Kunden ohne deren Einwilligung Massenwerbung für eigene ähnliche Waren, Werke oder Leistungen sendet. Wer gegen diese Bestimmung verstösst, kann gemäss Art. 23 UWG auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft werden.

Unter diese Norm fallen E-Mails, Fax, SMS und automatisierte Telefonanrufe.

In einem neusten Entscheid hat die Staatsanwaltschaft St. Gallen einen Unternehmer wegen des Versandes eines Spam-Mails nach Art. 3 Abs. 1 lit. o UWG zu einer Geldstrafe und Busse von gesamthaft CHF 2’600.00 verurteilt. Die Strafe wird ins Strafregister eingetragen. Zudem muss der Unternehmer die Untersuchungsgebühr von CHF 700.00 tragen.

Gemäss Begründung der Staatsanwaltschaft handelte der Beschuldigte wissen- und willentlich. Er wusste, dass seitens des Adressaten keine Einwilligung für die Zustellung des kommerziellen E-Mails vorlag. Dennoch verschickte er dieses an den Adressaten.

Die Begründung der Staatsanwaltschaft St. Gallen entspricht der bisher höchstrichterlichen Rechtsprechung des Obergerichts des Kantons Zürich betreffend Spam-Mails nach Art. 3 Abs. 1 lit. o UWG.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
Aktualisiert am 10. November 2017

Software ist nicht telquel geschützt

Voraussetzungen für den urheberrechtlichen Schutz von Software und Raster für Softwarevergleich

Die Softwarebranche selber hat durch teilweise geradezu aggressive Publicity dafür gesorgt, dass heute jedes Kind weiss, dass Software urheberrechtlich geschützt ist. Was die Branche jeweils nicht publiziert, ist, dass Software nicht telquel geschützt ist, sondern nur wenn sie Individualität bzw. Originalität gemäss Art. 2 des schweizerischen Urheberrechtsgesetzes (URG) aufweist. Was heisst dies konkret und was muss man vergleichen, wenn es um die Frage geht, ob eine Software das Urheberrecht einer anderen Software verletzt?

Eine Software muss eine bestimmte Aufgabe erledigen. Die diesem Blog zugrunde liegende Software wandelt Text, den man in einem Tool eingibt (Input) grafisch so um, dass man ihn im entsprechenden Blog auf dem Internet wahrnehmen kann (Output). Die Tools, die diese Aufgaben in einer Software erfüllen, nennt man Algorithmen. Diese Algorithmen bzw. ihre Programmierung müssen bzw. muss genügend originell gemäss Art. 2 URG sein. Dabei geht Literatur und Rechtsprechung bei Software mehrheitlich davon aus, dass der Grad an Originalität nicht besonders hoch sein muss, da der Gestaltungsfreiraum für Programmierer in er Regel eher klein sein dürfte. Falls Algorithmen nicht banal sind, ist tendenziell von Urheberrechtsschutz auszugehen. Nicht originell sind aber Algorithmen, die Gemeingut darstellen, d.h. eine Programmierung enthalten, die von allen verwendet werden können muss. In Sprache und Grafik sind z.B. einzelne Buchstaben, allgemein gebräuchliche Worte (in der Regel im Duden aufgeführt), allgemeine Formen (insb. Kreis, Quadrat) und Farben nicht monopolisierbar. Ebenfalls nicht originell im Sinne des Gesetzes sind Algorithmen, deren Lösungen für einen Fachmann bzw. Fachfrau naheliegend sind. Beim urheberrechtlichen Softwarevergleich gibt es Analogien zum Vergleich von Patenten bzw. mutmasslich patentverletzenden Produkten mit Patenten.

Wenn sich nun die Frage stellt, ob die eine Software die Urheberrechte der anderen Software verletzt, müssen die Algorithmen miteinander verglichen werden. Diese befinden sich im Sourcecode der Software. Für einen Softwarevergleich ist es also notwendig, dass der Sourcecode beider Softwaren offengelegt wird. In einer rechtlichen Auseinandersetzung kann für den Softwarevergleich z.B. ein Informatikunternehmen bzw. ein Informatikexperte als Treuhänderin bzw. Treuhänder bestimmt werden. Damit bleibt den Parteien der Einblick in den je anderen Sourcecode verwehrt.

Bei der Frage nach der Originalität eines Algorithmus ist weder die Idee, die dahinter steckt, noch das Konzept relevant, sondern ausschliesslich die Programmierung.

Beim Softwarevergleich, der in der Regel ebenfalls mittels Analysesoftware erfolgt, sollte in einem ersten Schritt gecheckt werden, ob alle oder mindestens sehr viele Algorithmen identisch oder mindestens sehr ähnlich sind. Trifft dies zu, besteht eine hohe Wahrscheinlichkeit einer Urheberrechtsverletzung. Trifft dies nicht zu, muss in einem weiteren Schritt nach einzelnen identischen oder mindestens sehr ähnlichen Algorithmen Ausschau gehalten werden. In der Folge müssen in allen Fällen die Algorithmen auf ihre rechtliche Relevanz hin untersucht werden (s. dazu vorne).

Bereits ein identischer oder sehr ähnlicher Algorithmus kann für eine Urheberrechtsverletzung reichen.

Beinhaltet eine Software Algorithmen, die für sich alleine rechtlich nicht relevant sind (s. dazu vorne), kann eine Kombination solcher Algorithmen trotzdem zu einem urheberrechtlichen Schutz führen, wenn die Kombination ansich originell im Sinne des Gesetzes ist. Dies wäre dann ein geschütztes Sammelwerk im Sinne von Art. 4 URG.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
Aktualisiert am 02. März 2018