Kurz vor dem neuen Jahr blicken wir auf eine ereignisreiche zweite Jahreshälfte zurück. Die EU setzte mit der Veröffentlichung der finalen Versionen des Digital Markets Act (DMA) und des Digital Services Act (DSA) im Amtsblatt wichtige Schritte bei der Umsetzung der Europäischen Datenstrategie. Der DSA soll eine sichere und faire Benützung des Internets gewährleisten. Durch den DMA soll die Marktmacht der grossen Plattformbetreiber (sog. "Gatekeeper") beschränkt werden, damit auch kleinere Unternehmen faire Wettbewerbsbedingungen im Internet vorfinden. Sofern die Voraussetzungen erfüllt sind, finden die Rechtsakte aufgrund des extraterritorialen Geltungsbereichs auch Anwendung auf Anbieter/Plattformen mit Sitz in der Schweiz.
Das neue Schweizer Geldspielgesetz sieht seit 1. Juli 2019 die Möglichkeit vor durch Netzsperren den Zugang zu nicht bewilligten Geldspielangeboten zu unterbinden. Drei ausländische Anbieter von Online-Gelspielen sahen sich durch eine "Domain-Name-System-Sperre" (DNS-Sperre) ihrer Dienste in ihrer Wirtschaftsfreiheit verletzt. Die Verfahren gingen bis zum Bundesgericht, welches den Eingriff in die verfassungsmässigen Rechte als verhältnismässig erachtete.
In den vergangenen Monaten gab es auch viel aus dem Bereich des Datenschutzrechts zu berichten. Der EuGH entschied, dass bei Datenverarbeitungen, welche indirekt Rückschlüsse auf besonders schützenswerte Daten zulassen, die strengen Anforderungen des Art. 9 EU-DSGVO zu beachten sind. Von grosser Bedeutung für die Praxis ist auch die von US-Präsident Biden unterzeichnete Executive Order, welche den Grundstein für den kürzlich veröffentlichten Entwurf des Angemessenheitsbeschlusses der EU-Kommission legte. Sofern der Angemessenheitsbeschluss die Begutachtung übersteht, würde der Datenaustausch zwischen den USA und der EU erheblich erleichtern werden. Bereits jetzt ist fraglich, ob das EU-US Data Privacy Framework – im Gegensatz zu seinen Vorgängern – einer Prüfung des EuGH standhalten würde. Max Schrems jedenfalls hat bereits seine Zweifel an der Rechtskonformität des Abkommens geäussert.
Das Datenschutzrecht wird uns bestimmt auch nächstes Jahr viel beschäftigen, insbesondere da am 1. September 2023 das neue Schweizer Datenschutzgesetz und die dazugehörigen Verordnungen in Kraft treten. Wir werden Sie hierzu und zu vielen anderen Themen auch im neuen Jahr regelmässig auf dem Laufenden halten und das nicht mehr gesammelt in Form eines Newsletters, sondern in Form von Legal Update Mails, welche wir Ihnen gerne nach Veröffentlichung eines Artikels zukommen lassen.
Wie immer finden Sie alle hier vorgestellten Informationen und noch vieles mehr auf www.mll-news.com.
Mit der am 7. Oktober 2022 von Präsident Biden unterzeichneten Executive Order erfolgte ein erster Schritt hin zum Abschluss eines Nachfolgeabkommens des EU-US Privacy Shields, welches mit dem Schrems II Urteils des EuGH obsolet wurde. Die Executive Order wird als Grundlage für eine neue Angemessenheitsentscheidung der Europäischen Kommission dienen. An der heutigen, von grosser Unsicherheit geprägten Rechtslage für den Datentransfer in die USA ändert sich durch den Erlass der Executive Order vorerst jedoch nichts.
Seit dem 1. Juli 2022 gilt eine revidierte Fassung der Schweizer Preisbekanntgabeverordnung (PBV). Mit der PBV-Revision werden die Anforderungen an die Preisbekanntgabe klarstellt. Demnach muss jede Preisbekanntgabe stets alle nicht frei wählbaren Zuschläge enthalten und somit dem tatsächlich zu bezahlenden Preis (sog. Detailpreis) entsprechen. In Abweichung von vereinzelten Stellungnahmen wurde damit bekräftigt, dass die Angabe von solchen Preiszuschlägen (wie z.B. Servicegebühren) erst am Ende des Online-Bestellprozesses unzulässig ist. Vielmehr sind nicht frei wählbare Zuschläge bereits von Beginn weg in den angebenden Preis einzubeziehen. Abweichende Stellungnahmen, die auf einer falschen Interpretation der bundesgerichtlichen Urteile in den Viagogo-Verfahren beruhten, werden damit obsolet. Nach der fortan geltenden Revision müssen Versandkosten zudem explizit nicht im Preis eingerechnet sein. Sie dürfen also weiterhin gesondert ausgewiesen werden, solange dies transparent erfolgt. Auch in diesem Punkt bleibt es bei der bisherigen Praxis und Sonderbehandlung. Die PBV-Revision bringt erfreulicherweise endlich Rechtssicherheit für diese in der Praxis wichtigen Fragen.
Am 10. Juni 2018 stimmte das Schweizer Stimmvolk deutlich für die Annahme des neuen Geldspielgesetzes (BGS). Als Folge dessen existiert in der Schweiz seit dem 1. Juli 2019 erstmals die Möglichkeit zur staatlichen Internet-Zensur mithilfe von Netzsperren (vgl. MLL-News vom 12.4.2018 und MLL-News vom 9.12.2018). Drei ausländische Anbieter von Online-Geldspielen sind nun bis vor das Bundesgericht gezogen, um sich gegen die angeordneten DNS-Sperren zu wehren, jedoch ohne Erfolg. Das Bundesgericht wies die Rüge, die angeordneten Netzsperren würden einen schweren Eingriff in verfassungsmässige Rechte (insb. in die Wirtschaftsfreiheit) darstellen, ab und bestätigte die Verhältnismässigkeit der Massnahme. Es bekräftigte damit, dass ausländische Anbieter von Online-Geldspielen geeignete technische Massnahmen (z.B. «Geoblocking») zur Einschränkung des Zugangs in der Schweiz treffen müssen, um einer Netzsperre zu entgehen.
Die Gesundheitsbranche, die Forschung und die Politik sind sich einig: die Sekundärnutzung von Gesundheitsdaten birgt ein enormes Potential für ein effizienteres, nachhaltigeres und auch kostengünstigeres Gesundheitssystem. Mit der Covid-Pandemie wurde dies auch für medizinische Laien offensichtlich. Doch bei der Umsetzung stossen die für den Umgang mit anvertrauten Gesundheitsdaten verantwortlichen Stellen rasch an rechtliche Grenzen. Die massgebliche Rechtslage ist – auch vergleichsweise – hochkomplex. Im Auftrag von Interpharma hat MLL Legal zusammen mit Dr. Ursula Widmer diese aktuelle Rechtlage analysiert und dabei die Vielzahl von grundlegenden Hindernissen in der Schweizer Gesetzgebung, die der Ausschöpfung des grossen Potentials der Sekundärnutzung von Gesundheitsdaten im Wege steht veranschaulicht. Ein grosser Teil der aufgezeigten Hindernisse lassen sich nicht mit der hohen Sensitivität von Gesundheitsdaten und einem damit verbundenen Regelungsbedarf begründen. Vielmehr sind sie als unnötig zu bezeichnen und sie werden auch mit der Totalrevision des Bundesdatenschutzgesetzes nicht beseitigt.
Seit dem 1. Juli 2022 sieht das deutsche Bürgerliche Gesetzbuch (BGB) mit § 312k eine neue Regelung zur Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr vor. Unternehmen, die es ermöglichen, einen Vertrag über ein entgeltliches Dauerschuldverhältnis online abzuschliessen, sind angehalten, eine Kündigungsschaltfläche bereitzustellen. Diese Verpflichtung gilt nicht nur in Bezug auf die eigene Website. Auch Dritte, die die Möglichkeit des Abschlusses eines solchen Vertrags auf ihrer Website vermitteln, müssen die Regelung umsetzen.
In einem kürzlich ergangenen Urteil des Europäischen Gerichtshofs (EuGH) hatte dieser zu klären, ob bei der Verarbeitung von Daten, welche Rückschlüsse auf besondere Kategorien personenbezogener Daten zulassen, die strengen Anforderungen gemäss Art. 9 EU-Datenschutzgrundverordnung (DSGVO) zu berücksichtigen sind. Im konkreten Fall ging es um die Online-Veröffentlichung von Angaben über den Ehegatten bzw. Lebensgefährten der betroffenen Person, woraus sich indirekt Hinweise über ihre die sexuelle Orientierung ableiten liessen. Gemäss EuGH lässt sich aus einer wortgetreuen Auslegung von Art. 9 Abs. 1 DSGVO nicht eindeutig herleiten, ob die indirekte Offenbarung besonderer Kategorien personenbezogener Daten von der erwähnten Bestimmung erfasst ist, weil gewisse Elemente für und andere gegen eine entsprechende Subsumtion sprechen. Nach wiederholter Anführung des Schutzzwecks der DSGVO, ein hohes Schutzniveau der Grundrechte und Grundfreiheiten zu garantieren, spricht sich der EuGH schliesslich für eine weite Auslegung von Art. 9 Abs. 1 DSGVO aus. Auch bei einer bloss indirekten Offenbarung – und damit Verarbeitung – besonderer Kategorien personenbezogener Daten sind zwingend die qualifizierten Anforderungen von Art. 9 DSGVO an die Datenverarbeitung zu berücksichtigen.
Nach Google Analytics steht mit Google Fonts eine weitere Anwendung des US-Konzerns in der Kritik gegen europäisches Datenschutzrecht zu verstossen. Bereits Anfang des Jahres urteilte das Landgericht München I, dass die Einbindung von Google Fonts über die Google-Cloud datenschutzwidrig sei. Diesem Entscheid folgte eine Abmahnwelle gegen österreichische Unternehmen, die den Google-Dienst auf ihrer Website verwendeten. In der Schweiz ist eine ähnliche Abmahnwelle kaum zu erwarten, dennoch sollten Schweizer Unternehmen auf eine datenschutzkonforme Einbindung von Google-Fonts achten.
Der DMA wurde am 12. Oktober 2022 im Amtsblatt veröffentlicht und steht somit unmittelbar vor dessen Anwendbarkeit. Die neue Verordnung soll zur Regulierung von digitalen Diensten beitragen und richtet sich dabei insbesondere an Betreiber grosser Online-Plattformen (sog. «Gatekeeper») wie bspw. Google, Amazon, Meta, Apple und Microsoft. Durch den DMA werden den Torwächtern unfaire Praktiken verboten und sie werden proaktiv veranlasst, bestimmte Massnahmen zu ergreifen (z.B. Erlaubnis zum Installieren von Apps anderer Anbieter aus anderen App-Stores). Beim Verstoss gegen die einschlägigen Vorschriften drohen den Gatekeepern harte Sanktionen, welche bis zur zwangsweisen Veräusserung von Geschäftsteilen führen können. Angesichts dessen werden im folgenden Beitrag die wichtigsten Eckpfeiler des DMA erläutert.
Was offline illegal ist, soll auch online verboten sein – so die Leitidee des neuen Gesetzes über digitale Dienste (Digital Service Act; DSA), welches das EU-Parlament mit grosser Mehrheit am 5. Juli 2022 verabschiedete und dem der Europäische Rat am 4. Oktober 2022 zugestimmt hat. In Anlehnung an die Werte der EU soll der DSA einen beispiellosen Standard für die Achtung von Rechten im Internet setzen (vgl. MLL-News vom 08.07.2021). Das sogenannte «erste Grundgesetz für das Internet» soll einheitliche Spielregeln für Vermittlungsdienste schaffen. Dies umfasst die zügige Entfernung von illegalen Inhalten, bei gleichzeitigem Schutz der Grundrechte der Nutzer*innen – insbesondere der Meinungsäusserungsfreiheit. Durch die Forderungen nach mehr Transparenz und Rechenschaftspflicht, mehr Rückverfolgbarkeit und Kontrollen von Händlern auf Online-Marktplätzen, dem Verbot irreführender Praktiken und bestimmter Arten gezielter Werbung werden Plattformanbieter stärker in die Pflicht genommen, um für Nutzer*innen ein sichereres Internet zu schaffen. Eine strengere Beaufsichtigung werden insbesondere diejenigen Plattformen erfahren, die mehr als 10% der EU-Bevölkerung erreichen.
Die Konferenz der deutschen Datenschutzbehörden (DSK) hat im März 2022 festgehalten, dass Online-Shop-Betreiber ihren Kunden grundsätzlich einen Gastzugang bereitstellen müssen. Mit anderen Worten muss nach der DSK eine Bestellung auch möglich sein, ohne ein Kundenkonto anzulegen. Begründet wird diese Haltung unter anderem mit dem Prinzip der Datenminimierung in der EU-Datenschutzgrundverordnung (DSGVO). Ausnahmen sollen nur in engen, aber leider nicht näher spezifizierten Grenzen möglich sein. Deshalb hat die Stellungnahme eine erhebliche praktische Reichweite und erfasst den gesamten «Online-Handel». Auch wenn das geltende und künftige Schweizer Datenschutzrecht im Ansatz etwas weniger streng ausgestaltet ist, wird die Beachtung der Stellungnahme und daher die Bereitstellung eines Gastzugangs auch für Schweizer Online-Shops oftmals empfehlenswert sein.
In seinem Urteil vom 26. April 2022 erklärte der EuGH die umstrittenen Uploadfilter nach Art. 17 DSM-Richtlinie für rechtmässig. Zwar schränken diese die Meinungs- und Informationsfreiheit der Nutzer von Online-Diensten ein, der EuGH erachtet sie jedoch als verhältnismässig. Die einzelnen Mitgliedstaaten sind verpflichtet, bei der Umsetzung der DSM-Richtlinie ein angemessenes Gleichgewicht zwischen dem Recht auf Meinungs- und Informationsfreiheit und dem Recht auf geistiges Eigentum zu schaffen.
Ein Urteil des deutschen Bundesgerichtshofes (BGH) zeigt auf, wie sogenanntes «Inbox-Advertising» (Werbenachrichten eingebettet in privaten E-Mail-Postfächern) lauterkeitsrechtlich einzuordnen ist. So stellte der BGH unter Berücksichtigung eines Vorabentscheidungsurteils des EuGH fest, dass Inbox-Advertising den Nutzer in ähnlicher Weise behindere wie Spam-Nachrichten. Da entsprechende Werbenachrichten zudem einen kommerziellen Zweck verfolgen und sie sich direkt an einen individuell bestimmbaren Verbraucher richten, wird eine ausdrückliche Einwilligung des Nutzers vorausgesetzt. Gemäss dem Urteil sind nach unionsrechtskonformer Auslegung des Lauterkeitsrechts an die Einwilligung von Nutzern entsprechender E-Mail-Dienste hohe Anforderungen zu stellen. So soll insbesondere die pauschale Einwilligung des Nutzers, Werbenachrichten zu erhalten, diesen Anforderungen nicht genügen. Die Nutzer müssen klar und präzise darüber informiert worden sein, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden.
