• Blog

DSGVO wirkt?!

#DSGVO wirkt. Das schreibt ein Landesbeauftragter für den Datenschutz derzeit regelmäßig auf Twitter. Mit diesen Worten kommentiert er die aus seiner Sicht positiven Folgen der DSGVO. Etwa eine aktuelle Entscheidung des Landgerichts Bonn, in der es um die Erhebung der Daten des technischen und administrativen Kontakts bei der Vergabe von Domains geht (Beschluss vom 29. Mai 2018, 10 O 171/18). Die DSGVO wirkt tatsächlich, auch weil sie für viel Verunsicherung sorgt: Mittelständler und Vereine geben dem wachsenden Druck scharfer Datenschutzregeln nach und schließen ihre Präsenzen im Internet. Aber leider wirkt die DSGVO in relevanten Fällen nicht. Beispiel: Fake-Shops im Internet – an sich ein Offenbarungseid des Rechtsstaats.

Seit Monaten werden in dem Fake-Shop haiau-dresden.de Produkte eines deutschen Markenherstellers angeboten. In deutscher Sprache. Sportschuhe für 59,00 EUR statt für 108,55 EUR. Wer Schuhe in dem Shop bestellt und hierzu seine Daten in das Bestellformular auf der Internetseite eingibt erhält keine Schuhe. Stattdessen werden in solchen Fake-Shops die Daten der Kunden „gestohlen“ und später missbräuchlich verwendet, warnt die Polizei Niedersachsen.

In den Datenschutzbestimmungen des Fake-Shops steht: „We takes seriously of customers‘ privacy security!“. Wer diesen Satz googelt stellt fest, dass es unzählige solcher Fake-Shops gibt, welche diesen Satz in ihren miserablen Datenschutzbestimmungen verwenden. Die Bedeutung und Tragweite des Problems zeigt ein Blick in die Liste von Online-Shops der Verbraucherschutzseite Watchlist Internet, die ständig aktualisiert wird. Welches Ausmaß der Betrug mit Fake Shops in der deutschen Wirtschaft angenommen hat, ist nicht genau bekannt, Experten schätzen den Schaden laut einem aktuellen Bericht von Internet World Business auf bis zu 50 Millionen Euro im Jahr.

Was können Behörden in Deutschland gegen solche Fake-Shops unternehmen? Man traut es sich kaum zu sagen, aber die Antwort lautet nach unserer Erfahrung: In vielen Fällen nichts.

  1. Meldung eines Verstoßes gegen die DSGVO bei den Datenschutzbehörden

Man muss kein Jurist sein, um zu erkennen, dass der Fake-Shop haiau-dresden.de in grober Weise gegen die DSGVO verstößt. Wer solche Fake-Shops unter Hinweis auf die DSGVO einem der zuständigen Landesbeauftragten für den Datenschutz meldet, erhält ein Schreiben, das – wir zitieren aus einem uns vorliegenden Schreiben – regelmäßig wie folgt lauten dürfte:

„…für Ihr o.g. Schreiben danke ich Ihnen. Da die bzw. der Verantwortliche der o.g. Webseite nicht zu ermitteln ist, empfehle ich Ihnen, Strafanzeige bei der Polizei zu stellen oder sich an die Verbraucherzentrale zu wenden“.

Soviel zu der einleitend zitierten Aussage „DSGVO wirkt“!

  1. Strafanzeige

Wer sodann dem Rat der Datenschutzbehörde folgend Strafanzeige erstattet erhält nach einiger Zeit von der Staatsanwaltschaft ein kurzes Schreiben:

„…das Ermittlungsverfahren wurde eingestellt, weil der Täter bisher nicht ermittelt werden konnte.“

Wohlgemerkt, „der Täter“ macht mit seinem Fake-Shop weiter. Über den Fake-Shop haiau-dresden.de werden laufend Verbraucher betrogen (§ 263 Strafgesetzbuch) und Marken vorsätzlich verletzt (§ 143 Markengesetz), um nur zwei Straftaten zu nennen.

Es scheint, als ob die Betreiber der Fake-Shops nur selten gestoppt werden. So zum Beispiel jüngst die Betreiber des Shops kkgtechnik.de. Laut aktueller Pressemitteilung der Staatsanwaltschaft Frankfurt am Main und der Frankfurter Polizei wurden sie nun – nach 6000 (!) Strafanzeigen und einem Gesamtschaden in Höhe von ca. 10 Millionen EUR – festgenommen.

  1. Bundeskriminalamt und Europol

Den Strafverfolgungsbehörden kann kein Vorwurf gemacht werden. Sie werden von der Politik im Stich gelassen, auch und insbesondere zu Lasten der Verbraucher (hierzu unten). Wer sich nicht damit abfinden will, dass die Behörden in Deutschland tatenlos zusehen (müssen), wie Fake-Shops in deutscher Sprache unter der Landesdomain .de betrieben werden, wird möglicherweise auf die Idee kommen, die Sache an eine andere Behörde zu melden. BKA? Europol? Um es vorwegzunehmen: Das bringt nichts.

Das BKA ist – aus guten Gründen – für solche Sachen nicht zuständig (§ 4 BKAG). An Europol zu schreiben macht ebenfalls keinen Sinn. Denn Europol kann zwar vereinzelt beachtliche Erfolge im Kampf gegen Fake Shops melden. Europol nimmt aber keine Anzeigen und Hinweise von betrogenen Bürgern, Anwälten oder Unternehmen, die ihre Marken verletzt sehen, entgegen:

If you have information about a crime that either is being planned or has already been committed, or if you are the victim of a crime, you need to contact your local or national police. The authorities will contact Europol if required. Europol can deal only with information provided by the appropriate law enforcement agencies, not members of the pub

  1. Meldung an die DENIC

Warum eine .de-Domain, über die ein Fake-Shop betrieben wird, nicht einfach der DENIC melden? Bei der DENIC (die keine Behörde ist) werden ja schließlich alle Domains mit der Länderkennung .de registriert. DENIC unternimmt aber nichts gegen Fake-Shops, selbst wenn offensichtlich ist, dass über einen Fake-Shop unter einer .de-Domain Straftaten begangen werden. Hierzu stellt DENIC klar:

Einen Zugriff auf die Inhalte von Webseiten, auf die eine Domain verweist, hat DENIC nicht. Deshalb kann DENIC auch nicht gegen Fake-Shops vorgehen oder die Inhalte einer Fake-Shop-Seite löschen.

Aber die DENIC gibt Tipps, was Opfer unternehmen können:

„Sind Sie Opfer eines unseriösen Online-Shops geworden, sollten Sie umgehend Strafanzeige bei der Polizei erstatten und Ihre Bank bzw. Zahlungsdienstleister verständigen.“

Was eine solche Strafanzeige im Regelfall bringt hatten wir oben bereits gesagt.

  1. Weitere Maßnahmen und ein „Trick“, der Markeninhabern helfen kann

Betroffene können einen Fake-Shop dem Unternehmen melden, welches die Domain verwaltet. Die Provider, welche Fake-Shop-Domains verwalten, haben ihren Sitz in der Regel nicht in Deutschland. Freilich ist ein Schreiben an den Provider ein Versuch, mehr aber auch nicht.

Auch Unterlassungsklagen gegen die Inhaber der Domains machen wenig Sinn. Denn die Daten der Inhaber der Domains von Fake-Shops in der Whois sind ebenso wie die Daten des sog. Admin-C falsch. Die Betreiber von Fake-Shops arbeiten meist mit gestohlenen Identitäten. Wer gerichtlich ein Verbot gegen einen Fake-Shop Betreiber erwirkt hat Zeit und Geld verloren, weil er regelmäßig auf den Kosten des Verfahrens sitzen bleibt.

Können Accessprovider gerichtlich verpflichtet werden, bestimmte Schutzrechtsverletzungen im Internet durch Sperren einzudämmen? Im Urheberrecht wird um diese Frage heftig gestritten, wie ein aktueller Fall beim Oberlandesgericht München zeigt (Vodafone muss Kinox.to sperren).

Wer Fake-Shops schnell stoppen möchte, dem hilft – bei .de-Domains – ein „Trick“: Anwälte, die für ihre Mandanten regelmäßig Markenverletzungen bekämpfen, wissen, dass die DENIC nach § 7 (f) der DENIC-Domainbedingungen einen Vertrag über eine .de-Domain aus wichtigem Grund kündigen kann, wenn

„die gegenüber DENIC angegebenen Daten des Domaininhabers oder eines nach § 3 Absatz 4 benannten Zustellungsbevollmächtigten falsch sind…“

Man muss hierzu der DENIC nachweisen, dass die Daten des Domaininhabers falsch sind. Die DENIC kündigt dann in der Regel nach einiger Zeit den Domainvertrag. Die Domain und damit die Internetseite werden – vereinfacht ausgedrückt – gelöscht. An sich ganz einfach. Bisher jedenfalls.

Problem ist nun, dass es aufgrund der DSGVO nur noch teilweise oder überhaupt nicht mehr möglich ist, die Daten des Domaininhabers oder des Admin-C abzurufen. Den Admin-C gibt es bei .de-Domains nicht mehr (hierzu Löffel, ZPO Blog, 17. Juli 2018). Verbraucher bekommen – anders als früher über die Whois der DENIC keine Daten zu den Inhabern von .de-Domains mehr. Die Whois fällt der DSGVO zum Opfer, DSGVO wirkt. Markeninhaber und Behörden haben zumindest noch die Möglichkeit, bei der DENIC Auskunft über den Inhaber einer Domain zu „erbitten“. In allen übrigen Fällen erteilt DENIC grundsätzlich keine Auskunft. Die DENIC stellt hierzu klar,

„Wenn Sie die Inhalte einer Website für rechtswidrig halten, die unter einer Domain aufrufbar ist, sollten Sie stattdessen einen Hinweis an die E-Mail-Adresse für Abuse richten, die Sie der Domainabfrage entnehmen können. Außerdem finden Sie den Betreiber der Website im dortigen Impressum, soweit vorhanden.“

Es wird niemand verwundern, zu hören, dass Fake Shops kein Impressum haben.

Kurzum, die DSGVO wirkt. Aber die Bekämpfung von Marken- und Produktpiraterie sowie das Vorgehen gegen Fake Shops – durch Markeninhaber und Anwälte – ist schwieriger geworden. Die Internetverwaltung ICANN drängt beim Aufbau eines einheitlichen Whois-Zugriffs für Strafverfolger, Securityforscher und Markenanwälte nun zur Eile.

Aus Sicht der Polizeibehörden wird zudem richtigerweise Kritik geäußert, dass Strafanzeigen zum Thema Fake Shops noch nicht einmal zentral von einer Stelle erfasst werden.

„Das ist das Problem“, so Hans-Joachim Henschel von der Zentralstelle Prävention Cybercrime vom Landeskriminalamt Niedersachsen. Hier wäre eine bundesweit einheitliche Stelle wünschenswert, an die auch noch unbekannte Shops durch Polizei und Bürger gemeldet oder abgefragt werden könnten und die dann zusätzlich auch die Provider bezüglich Sperrung der Webseite kontaktiert.“

Dass es noch nicht einmal eine solche Stelle gibt ist schon bemerkenswert. Denn die Problematik der Fake-Shops ist seit langem bekannt.

Wenn das Internet kein rechtsfreier Raum sein soll, müssen Unternehmen und Politik die digitale Zukunft ebenso verantwortungsbewusst wie innovationsfreundlich gestalten.“

So lautet das Grußwort der Bundesministerin der Justiz und für Verbraucherschutz Dr. Katarina Barley für die Jahrestagung der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht (GRUR) im September 2018 in Berlin.

Bis heute gibt es nach unserer Kenntnis die vom LKA Niedersachsen angeregte bundesweit einheitliche Stelle nicht. Auch dass man sich in den zuständigen Ministerien in Berlin nun endlich darum kümmert, dass dieses „wirklich große Problem“ (Kirsti Dautzenberg, von den Marktwächtern der Verbraucherzentrale Brandenburg im Interview mit dem „Kriminalreport“) kurzfristig und effektiv gelöst wird, ist uns nicht bekannt. Apropos Internet und rechtsfreier Raum: Dass nach einer Untersuchung der Organisation „Marktwächter Digitale Welt“ der Verbraucherzentrale Brandenburg schon 4,4 Millionen Bundesbürger Opfer von „Fake Shops“ geworden sind, genügt offensichtlich nicht, um den Worten von Politikern („Wenn das Internet kein rechtsfreier Raum sein soll“) auch Taten folgen zu lassen.

LÖFFEL ABRAR

[Aktualisiert am 20. Juni 2018: Frank Kemper, Fake Shops: So werden die Kunden bestohlen, Internet World Business]

[Aktualisiert, 5. September 2018: F.A.Z., 28. August 2018, Fake-Shops betrügen Verbraucher im großen Stil].