Kartellrecht – Big Players sind Opfer ihres eigenen Erfolgs

Immer wieder geraten die Big Players der digitalen Industrie, wie Microsoft und Google, in die Fänge der Kartellbehörde der Europäischen Union (EU), der EU-Kommission. Dabei spricht diese immer höhere Strafen aus. Erst im Jahre 2017 wurde Google wegen seines Preisvergleichsdienst „Google Shopping“ zu einer horrenden Geldbusse von 2.42 Milliarden Euro verknurrt. Nun steht ein weiterer Entscheid wegen des Google-Betriebssystems „Android“ unmittelbar bevor und es droht eine noch höhere Strafe. Auch wenn man sie nicht wirklich bedauern muss, werden die Big Players damit zum Opfer ihres eigenen Erfolgs. Denn ihr Handicap ist, dass sie den einen von drei Tatbeständen des EU-Kartellrechts durch ihren Erfolg per se erfüllen, die Marktbeherrschung.

Gemäss Art. 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) ist im EU-Binnenmarkt die missbräuchliche Ausnutzung einer beherrschenden Stellung auf dem EU-Binnenmarkt oder auf einem wesentlichen Teil desselben verboten, soweit dies dazu führen kann, den Handel zwischen Mitgliedstaaten zu beeinträchtigen. Eine analoge Bestimmung gibt es auch im schweizerischen Kartellrecht. Kumulative Voraussetzungen für einen Verstoss gegen diese Regeln sind die Marktbeherrschung, deren missbräuchliche Ausnutzung sowie einen dadurch entstehenden negativen Einfluss auf den Markt bzw. den Wettbewerb. Letzteren will das Kartellrecht schlussendlich zugunsten der Nachfrager gewährleisten. Denn ein funktionierender Wettbewerb garantiert aus ökonomischer Sicht ein optimales Preis-Leistungs-Verhältnis. Zudem fördert er die Innovation. Ein gutes Beispiel dafür ist der Telekom-Markt, wo die Preise seit der allgemeinen Liberalisierung laufend sinken und ständig neue Produkte angeboten werden.

Wohl in keinem Rechtsgebiet (neben dem Immaterialgüterrecht) sind die Regeln in der praktischen Anwendung so schwierig fassbar, wie im Wettbewerbsrecht. Der Tatbestand der Marktbeherrschung kann in der Regel relativ problemlos gemessen werden. Einen grossen Ermessensspielraum erlauben jedoch die Frage nach dem Missbrauch und ob der Markt bzw. Wettbewerb dadurch negativ beeinfluss wird. Im aktuellen Android-Fall gegen Google sieht die EU-Kommission einen Verstoss gegen das EU-Kartellrecht darin, dass Google von den Handy-Anbietern, die das Betriebssystem Android auf ihren Geräten laufen lassen wollen, verlangt, dass diese damit zwingend ein ganzes Bundle von Google-Apps, wie z.B. Google Maps und Gooogle Chrome, mit dem Betriebssystem übernehmen müssen. Google kontert, ein Mindestangebot an Apps sei nötig, weil Nutzer Google-Dienste sonst nicht vernünftig einsetzen könnten. Ob ein ganzes Google-Apps-Bundle für den User diendlich ist, unterliegt wohl am Schluss einer subjektiven Einschätzung. Eine Objektivierung ist schwierig.

Damit haben Unternehmen, die einen bestimmten Markt beherrschen, per se ein hohes Risiko, in die Fänge der Kartellbehörden zu geraten, wobei es für jene schwierig ist, das Risiko zu beherrschen, nur schon zu minimieren, auch wenn sie beträchtliche Mittel in die Compliance investieren. Solche Unternehmen sind aus kartellrechtlicher Sicht eigentliche „Borderliner“. Sie bewegen sich ständig an der juristischen roten Linie. Das fatale daran ist, dass die Bussen im Kartellrecht, wie nun auch im Datenschutz, enorm hoch sind. Eigentlich will man die Unternehmen damit zwingen, die Regeln einzuhalten. Was im Bereich Datenschutz wohl einfacher ist, ist, wie gezeigt, in diesem speziellen Teil des Kartellrechts objektiv schwierig. Damit werden die Big Players wohl immer wieder mit entsprechenden Verfahren konfrontiert sein. Gegen Google selbst läuft auch noch ein Kartellverfahren wegen dessen Werbe-Online-Dienst „AdSense“ …

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter

Was gehört in eine Datenschutzerklärung?

Je näher der 25. Mai 2018 und damit die Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) rückt, desto emsiger beginnen auch Schweizer Unternehmen ihre Datenschutzerklärungen entsprechend anzupassen. Es stellt sich die Frage, was eigentlich in eine Datenschutzerklärung gehört und wie diese aufgebaut werden sollte. Dabei ist es auch für ein Schweizer Unternehmen durchaus sinnvoll, die Datenschutzerklärung entsprechend den neuen EU-Vorschriften zu verfassen (s. dazu „Neuer EU-Datenschutz – Gefahr für Schweizer KMU?“).

Der Inhalt einer Datenschutzerklärung ergibt sich im Wesentlichen aus den Informationspflichten des Datenschutzverantwortlichen, also des Unternehmens, gemäss Art. 12 ff. DSGVO. Dabei muss konkret bezogen auf die jeweilige Datenerfassung bzw. Datenverarbeitung informiert werden. Wichtig ist, dass eine Datenschutzerklärung klar und verständlich formuliert wird, andernfalls sie möglicherweise gar keine rechtliche Wirkung hat.

Vorab muss ein Unternehmen darüber informieren, dass es für die Datenverfassung und die Datenverarbeitung verantwortlich ist. Dabei muss es seine Kontaktdaten sowie die Kontaktdaten seines allfälligen Datenschutzbeauftragten (unternehmensintern oder -extern) publizieren.

In der Folge muss den betroffenen Personen mitgeteilt werden, welche personenbezogenen Daten erfasst werden und zu welchem Zweck. Zu dieser Information gehört auch, auf welcher rechtlichen Grundlage die Datenerfassung und die folgende Datenverarbeitung erfolgt. Rechtliche Grundlage können im Wesentlichen die Einwilligung der betroffenen Person, die Notwendigkeit für die Abwicklung einer Rechtsbeziehung (z.B. Kaufvertrag), ein Gesetz oder berechtigte Interessen des Unternehmens oder eines Dritten sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Fällt die rechtliche Grundlage für die Datenverarbeitung weg, müssen die entsprechenden personenbezogenen Daten ohne Verzug mit entsprechenden adäquaten technischen Mitteln dauerhaft gelöscht werden. Auch darüber ist in der Datenschutzerklärung zu informieren.

Sofern personenbezogene Daten nicht vom nämlichen Unternehmen selbst verarbeitet, sondern dafür an Dritte übermittelt werden, muss über diese Empfänger oder Kategorien von Empfängern informiert werden.

Werden personenbezogene Daten ins Ausland transferiert, ist dies insbesondere in der Datenschutzerklärung zu deklarieren und es ist darüber zu informieren, wie diesbezüglich das hohe Datenschutzniveau der Schweiz bzw. der EU auch im Ausland gewährleistet ist.

Ebenfalls müssen die betroffenen Personen über ihre Rechte in Bezug auf die Erfassung und Verarbeitung ihrer personenbezogenen Daten informiert werden. Dazu gehören gemäss DSGVO insbesondere folgende Rechte:
– Recht auf Auskunft
– Recht auf Berichtigung
– Recht auf Löschung
– Recht auf Einschränkung der Verarbeitung
– Recht auf Widerspruch gegen die Verarbeitung
– Recht auf Datenübertragbarkeit
– Recht auf Beschwerden bei den Aufsichtsbehörden
– Recht auf Widerruf der Einwilligung

Schlussendlich müssen die betroffenen Personen darüber informiert werden, ob die Überlassung bzw. Erfassung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten zur Verfügung zu stellen und welche mögliche Folge die nicht Zurverfügungstellung hätte (z.B. eingeschränkte Nutzung einer Website, wenn Cookies verweigert werden).

Bei diesen Ausführungen handelt es sich um eine Erläuterung zur Datenschutzerklärung basierend auf der EU-DSGVO. Es handelt sich um keine Empfehlung und darum wird auch jeden Haftung abgelehnt. Es wird empfohlen, für die Redaktion einer Datenschutzerklärung eine Fachperson, z.B. einen im Datenschutz spezialiserten Rechtsanwalt beizuziehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

WhatsApp-Mindestalter 16 gilt auch für Schweiz

Aufgrund der Anwendung der EU-Datenschutz-Grundverordnung (DSGVO; s. Neuer EU-Datenschutz – Gefahr für Schweizer KMU?) ab dem 25. Mai 2018 hat WhatsApp seine Nutzungs- und Datenschutzrichtline insbesondere dahingehend angepasst, dass die WhatsApp-Dienstleistungen grundsätzlich nur noch Personen mit dem Mindestalter 16 zugänglich sind. Immerhin lässt es WhatsApp zu, dass Erziehungsberechtigte der Nutzung der WhatsApp-Dienste zustimmen können, wenn das Kind bzw. der Jugendliche jünger als 16 Jahre ist. Damit bleibt wohl de facto alles beim Alten. Zudem gehört für WhatsApp auch die Schweiz zur „Europäischen Region“ (s. faq.whatsapp.com/general/26000121). Damit gilt das generelle Mindestalter von 16 Jahren auch für die Schweiz, auch wenn das schweizerische Datenschutzgesetz der EU-Datenschutz-Grundverordnung noch nicht angepasst wurde (s. vorne oder hier). Dass die Schweiz für WhatsApp ebenfalls zur „Europäischen Region“ gehört, hat noch einen anderen Vorteil für die Schweizer User. Damit werden die Dienste von WhatsApp auch für die Schweiz von der WhatsApp Ireland Limited und nicht von der WhatsApp Inc. in den USA zur Verfügung gestellt. WhatsApp trennt offenbar wohlweislich Daten von Usern in Europa, von Daten von Usern in den USA und anderen Ländern, da die Daten von Usern in der EU nun unter dem strengen Datenschutz-Regime stehen, das Bussen von bis zu 4 % des Gruppenumsatzes eines Unternehmens, wie WhatsApp, vorsieht, wenn Datenschutz-Vorschriften verletzt werden (s. vorne oder hier)!

Wenn du in einem Land in der Europäischen Region lebst, musst du mindestens 16 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Wenn du in einem Land lebst, das nicht in der Europäischen Region liegt, musst du mindestens 13 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Zusätzlich zu der Anforderung, dass du nach geltendem Recht das zur Nutzung unserer Dienste erforderliche Mindestalter haben musst, gilt Folgendes: Wenn du nicht alt genug bist, um in deinem Land berechtigt zu sein, unseren Bedingungen zuzustimmen, muss dein Erziehungsberechtigter in deinem Namen unseren Bedingungen zustimmen.

Sind Klassenchats illegal?

Klassenchats mit Schüler unter 16 Jahren sind nicht per se illegal. Autorisiert wird die Teilnahme nicht durch die Schule bzw. die Lehrpersonen, sondern durch die Schüler selber. Und wie hier erläutert, können gemäss den AGB von Whatsapp die Eltern ihre Zustimmung geben. Also, keine Panik. Auch hier bleibt de facto alles wie gehabt.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Neuer EU-Datenschutz – Gefahr für Schweizer KMU?

Datenschutz kurz erklärt im neuen Blog zu den rechtlichen Hotspots in der digitalen Welt digilaw.ch: Digital Personality (Identity, Privacy).

Artikel mit Interview mit Rechtsanwalt Ueli Grüter in der Luzerner Zeitung vom 10.01.2018

Ab dem 25. Mai 2018 kommt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) zur Anwendung. Für Unternehmen hat die Verordnung gravierende Folgen. Neben Schadenersatzforderungen der Betroffenen drohen bei Verstössen Bussen von bis zu 4 % des globalen Umsatzes und fehlbare Manager, Datenschützer und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Obwohl die Datenschutz-Grundsätze (Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftsplicht) die gleichen bleiben, bedeutet die Verordnung ein Quantensprung im Datenschutz. Die Verordnung bringt den Unternehmen einen erheblichen Mehraufwand. Unternehmen müssen umfassende neue Strukturen und Prozesse schaffen, um den Vorgaben der Verordnung zu entsprechen. Die Verordnung verlangt eine erweiterte Dokumentations- und Nachweispflicht, eine Analyse der Datenschutzrisiken, eine Datenschutz-Folgeabschätzung bei voraussichtlich hohen Risiken, umfassende Informationspflichten bei der Datenerhebung, striktere Löschpflichten und ein Recht auf Vergessenwerden, erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen, einen stärkeren Datenschutz durch Technik und Voreinstellungen, ein Verzeichnis von Verarbeitungstätigkeiten, zusätzliche Verantwortung für Datenschutzbeauftragte im Unternehmen, umfassende Rechte der Betroffenen, insb. die Rechte auf Auskunft, Berichtigung, Löschung und eben das Recht auf Vergessenwerden.

Die EU-Datenschutzverordnung bringt nicht nur Zusatzaufwand für Unternehmen, sondern erleichtert diesen auch das Business in bestimmten Bereichen. So fallen z.B. die Daten juristischer Personen nicht mehr unter den Datenschutz (inskünftig wohl auch in der Schweiz), was den Bereich B2B erheblich entlastet. Daten von juristischen Personen sind aber inskünftig nicht „Freiwild“, sondern sind immer noch durch den generellen Persönlichkeitsschutz sowie insb. den Grundsätzen des Lauterkeitsrechts (in der Schweiz UWG) geschützt.

Schweizer Unternehmen, die auf dem EU-Markt tätig sind, dort insb. Daten erheben oder Marktteilnehmer beobachten, ist dringend zu raten, sich umgehend mit der neuen EU-Datenschutz-Grundverordnung zu befassen und entsprechende Vorkehren im Unternehmen zu treffen. Dabei dürfte der Zuzug von Datenschutz-Fachleuten unumgänglich sein.

Entsprechende datenschutzrechtliche Vorkehren sind aber nicht nur ein Tribut an die EU. Unter dem indirekten Druck der EU-Datenschutzreform, aber auch unter dem direkten Druck der Revision der Datenschutz-Konvention 108 des Europarates, bei der die Schweiz ja auch Mitglied ist und die sich wiederum auch an der EU-Verordnung orientiert, ist auch in der Schweiz eine Revision des Datenschutzgesetzes (DSG) in der Pipeline, die sich ihrerseit an der EU-Verordnung und an der Europarats-Konvention orientiert. Auch wenn der künftige Schweizer Datenschutz weniger rigide sein dürfte, z.B. wohl auch weniger drastische Bussen vorsehen wird, bewegt sich der Datenschutz in Richtung der EU-Verordnung. Damit dürften Schweizer Unternehmen, die ihren Datenschutz schon jetzt auf das neue Niveau der EU anheben, auch für das künftige Niveau in der Schweiz bestens gerüstet sein.

Datenschutz und Datenvertraulichkeit ist aber nicht nur ein juristischer Faktor, sondern ein ökonomischer Schlüssel in einer digitalisierten Geschäftswelt.

Zum Datenschutz-Fahrplan des Nationalsrats in der NZZ: https://t.co/DekGp0FuCQ

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Spam – Unerwünschte E-Mails sind illegal

Staatsanwaltschaft verurteilt Unternehmer zu Geldstrafe und Busse mit Eintrag im Strafregister

Nach Art. 3 Abs. 1 lit. o des schweizerischen Lauterkeitsgesetzes (UWG) handelt unlauter, wer Massenwerbung ohne direkten Zusammenhang mit einem angeforderten Inhalt fernmeldetechnisch sendet oder solche Sendungen veranlasst und es dabei unterlässt, vorher die Einwilligung (Opt-in) der Kunden einzuholen, den korrekten Absender anzugeben oder auf eine problemlose und kostenlose Ablehnungsmöglichkeit (Opt-out) hinzuweisen; wer beim Verkauf von Waren, Werken oder Leistungen Kontaktinformationen von Kunden erhält und dabei auf die Ablehnungsmöglichkeit hinweist, handelt nicht unlauter, wenn er diesen Kunden ohne deren Einwilligung Massenwerbung für eigene ähnliche Waren, Werke oder Leistungen sendet. Wer gegen diese Bestimmung verstösst, kann gemäss Art. 23 UWG auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft werden.

Unter diese Norm fallen E-Mails, Fax, SMS und automatisierte Telefonanrufe.

In einem neusten Entscheid hat die Staatsanwaltschaft St. Gallen einen Unternehmer wegen des Versandes eines Spam-Mails nach Art. 3 Abs. 1 lit. o UWG zu einer Geldstrafe und Busse von gesamthaft CHF 2’600.00 verurteilt. Die Strafe wird ins Strafregister eingetragen. Zudem muss der Unternehmer die Untersuchungsgebühr von CHF 700.00 tragen.

Gemäss Begründung der Staatsanwaltschaft handelte der Beschuldigte wissen- und willentlich. Er wusste, dass seitens des Adressaten keine Einwilligung für die Zustellung des kommerziellen E-Mails vorlag. Dennoch verschickte er dieses an den Adressaten.

Die Begründung der Staatsanwaltschaft St. Gallen entspricht der bisher höchstrichterlichen Rechtsprechung des Obergerichts des Kantons Zürich betreffend Spam-Mails nach Art. 3 Abs. 1 lit. o UWG.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch