OLG Hamburg: Verbot eines Goldseller-Forums (Volltext)

Felix Hilgert — Thu, 06 Dec 2012 06:58:23 +0000

Das OLG Hamburg hat dem Betreiber eines Internetforums für Spieler von Onlinespielen untersagt, eine Plattform für den Handel mit Spielwährung und Accounts aus einem MMO zur Verfügung zu stellen, dessen AGB den Handel mit diesen virtuellen Gegenständen verbieten (Urteil vom 17. Oktober 2012, Az.: 5 U 168/11 (Volltext)). Die Bereitstellung von speziellen Handelsbereichen in dem Forum (mit sprechenden Namen wie etwa „Trading“) sei wettbewerbswidrig und die Nennung des markenrechtlich geschützten Namen des Onlinespiels selbst verstoße gegen das Markenrecht. Mit dieser Entscheidung bestätigen die Richter das erstinstanzliche Urteil.

Die in dem streitgegenständlichen Spiel der Klägerin verwendete virtuelle Währung kann nur von der Klägerin selbst erworben werden. Der Handel mit dieser Spielwährung unter den Spielern ist wie auch der Handel mit ganzen Spielaccounts in den AGB der Klägerin verboten.

In dem Forum der Beklagten war in zahlreichen Unterforen mit Spielwährung aus zahlreichen MMOs, darunter einem Spiel der Klägerin gehandelt worden. Außerdem hatten die Betreiber eine eigene virtuelle Währung verkauft. Das Gericht sah die Betreiber des Forums daher als Wettbewerber der Klägerin an. Jedenfalls würden sie den Handel der einzelnen Forumsteilnehmer fördern, die entgegen der AGB des Spiels solche Spielwährung verkauften.

Das Gericht erörtert ausführlich die Möglichkeit, den Betrieb des Forums als wettbewerbswidriges Verleiten zum Vertragsbruch (durch registrierte Spieler) einzuordnen. Zwar neigen die Richter erkennbar dazu, diese Einordnung vorzunehmen und weisen etliche Gegenargumente der Beklagten zurück. Letztendlich aber offen bleiben, ob schon das Bereitstellen einer Handelsplattform hinreichend für ein Verleiten zum Vertragsbruch ist, weil das Gericht – zutreffend – zu der Auffassung gelangt ist, dass das mit dem Betrieb der Handelsplattform verbundene Einwirken auf das Spiel der Klägerin jedenfalls unlauter ist.

Die Richter erkennen insbesondere ausdrücklich an, dass der Spielbetreiber ein Interesse daran hat, den Handel mit Spielwährung zu kontrollieren und gegebenenfalls zu unterbinden, weil dies für die Spielbalance und damit die langfristige Vermarktbarkeit des Spiels unerlässlich ist. Wörtlich heißt es in dem Urteil:

Hinzu kommt vielmehr […] die naheliegende Schädigung des Spiels als solchen. [Es liegt] auf der Hand, dass die Benachteiligung ehrlicher Spieler gegenüber solchen, die sich Gold preiswert zukaufen und so ihre Chancen in dem Spiel erhöhen, die Attraktivität des Spiels herabsetzen und damit langfristig das Geschäftsmodell der Klägerin beeinträchtigen und letztlich gar gefährden können. […] Auch ist nicht davon auszugehen, dass die „Goldseller“ von sich aus die Gewähr bieten, die Spielbalance zu wahren.

Die AGB-Klauseln, in denen der Handel mit Gold und Accounts untersagt bzw. unter einen ausdrücklichen Erlaubnisvorbehalt gestellt wird hat das Gericht unproblematisch für wirksam gehalten. Die Untersagung des Accounthandels, so die Richter, sei schon keine Abweichung vom gesetzlichen Leitbild, da jede Vertragsübernahme von der Zustimmung des Gläubigers abhänge.

Verboten war in den AGB darüber hinaus auch die Nutzung nicht autorisierter Zusatzsoftware (Bots, Hacks, etc.). Auch soweit diese Programme in den Foren der Beklagten angeboten wurde hat das Gericht eine unlautere Beeinträchtigung des klägerischen MMO bejaht und die Beklagten zur Unterlassung verurteilt.

Schließlich hatten die Beklagten in dem Forum auch mehrfach den Namen des klägerischen MMO verwendet, was deren Rechte an der entsprechenden eingetragenen Marke verletzte.

Die Revision wurde nicht zugelassen. Das Urteil ist damit rechtskräftig.

Diese Entscheidung stellt in dem schon länger andauernden und verstärkt mit juristischen Mitteln geführten Kampf um Cheats, Bots und Hacks sowie den unerlaubten Handel mit Accounts und Items einen weiteren Sieg der MMO-Betreiber dar. Wer im Internet entgegen den Vorgaben der Spielebetreiber mit virtuellen Items handelt, muss sich in Deutschland angesichts dieser Rechtsprechung auf weiteren juristischen Gegenwind einstellen.

Mitteilungspflicht bei Datenlecks

Dr. Marc Störing — Mon, 06 Jun 2011 06:20:13 +0000

Einbruch in das Playstation-Netzwerk bei Sony und Verlust von Millionen Spielekundendaten, Hack des auf IT-Sicherheit spezialisierten Unternehmens RSA, daraufhin Cyber-Attacken auf RSA-Kunde Lockheed-Martin, chinesischer E-Mail Diebstahl bei Morgan Stanley, angeblich Passwort-System von Googles Handy-Betriebssystem geknackt … Die Serie der Datenpannen bei international agierenden Großunternehmen scheint nicht abzureißen; die Aufmerksamkeit der Medien war nie größer. Aber was sind die rechtlichen Folgen?

Der Verlust von Kundendaten bedeutet in aller Regel einen beträchtlichen Imageschaden für das Unternehmen. Es ist dann die Rede von einem PR-Desaster, und die Seriosität des Unternehmens wird angezweifelt. Sogar ein Umsatzrückgang kann die Folge sein. So kostete der Hackerangriff auf das Playstation-Netzwerk Sony laut eigenen Angaben 1,3 Milliarden Euro, teilweise schätzen Analysten den Schaden sogar noch höher.

Angesicht solch verheerender Nachwirkungen dürfte die Versuchung bei Unternehmen groß sein, eventuelle Datenlecks zu verheimlichen.

Doch aufgepasst: Seit 1. September 2009 besteht gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) eine ausdrückliche Verpflichtung zur Information der Betroffenen (Kunden, Mitarbeiter …) und Datenschutzbehörden im Falle von Datenverlusten!

Unternehmen müssen also sich selbst als Datensünder an den Pranger stellen. Bei einem Verstoß drohen Bußgelder bis zu 300.000 Euro.

Wann besteht eine Mitteilungspflicht?

Trotzdem besteht die Mitteilungspflicht nicht in jedem Fall eines Datenlecks. Vielmehr besteht eine solche Pflicht nur bei Verlust bestimmter Datentypen. Im Einzelnen sind dies:

Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, eine eventuelle Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben
Informationen, die einem Berufsgeheimnis unterliegen (Anwaltsdaten, ärztliche Daten etc.)
Strafrechtlich relevante Daten
Daten zu Bank- und Kreditkartenkonten

Wichtig ist, dass die Pflicht auch nur gilt, wenn die Daten personenbezogen sind, d.h. mit einer konkreten Person in Verbindung gebracht werden können. Handelt es sich um vollständig anonymisierte Daten, besteht kein Risiko für die Betroffenen. Folglich existiert keine Mitteilungspflicht. Bei verschlüsselten Daten kommt es darauf an, ob eine Entschlüsselung für Dritte realistisch möglich ist.

Außerdem besteht die Mitteilungspflicht nicht schon beim bloßen Verlust von Daten. Vielmehr muss das Unternehmen dann auch feststellen, dass tatsächlich Dritte Kenntnis von den Daten erlangt haben. Auch das ist in der Praxis eine wichtige Einschränkung.

Zwar ist laut Gesetz weiterhin eine „schwerwiegende Beeinträchtigung der Rechte oder schutzwürdigen Interessen der Betroffenen“ notwendig. Die sperrige Wendung macht es schon deutlich: Hier ist eine Abwägung im Einzelfall erforderlich.

Wem muss was mitgeteilt werden?

Worst Case. Rien ne va plus. Jemand hat sich tatsächlich Zugriff auf die genannten Daten verschafft. Was tun?

Gesetzliche Pflicht ist eine sofortige persönliche Benachrichtigung der Betroffenen und der zuständigen Datenschutzbehörde, d.h. des jeweiligen Landesdatenschutzbeauftragten. Sollten, wie im Falle Sony, eine Vielzahl von Personen betroffen oder deren Kontaktdaten nicht bekannt und die persönliche Benachrichtigung daher mit unverhältnismäßigem Aufwand verbunden sein, kann sie durch eine Information der Öffentlichkeit in Form einer halbseitigen Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine zur Information der Betroffenen ebenso geeignete Maßnahme ersetzt werden. Die Pflicht zur gesonderten Informierung der Datenschutzbehörden bleibt bestehen.

Die Betroffenen müssen bei der Benachrichtigung darüber informiert werden, auf welche Weise die Daten in fremde Hände gelangt sind und wie etwaige „nachteilige Folgen“ gemildert werden können. In der Benachrichtigung der Behörde müssen auch noch die möglichen nachteiligen Folgen und die daraufhin vom Unternehmen getroffenen Maßnahmen konkret benannt werden.

Sicherheit und Aufklärung gehen vor

Aber: Das Unternehmen darf vielleicht mit der Benachrichtigung warten. Nämlich dann, wenn eine sofortige Benachrichtigung die Aufklärung des Sachverhalts oder den schnellstmöglichen Schließen der Sicherheitslücke behindern würden. So soll insbesondere verhindert werden, dass das bereits bestehende Datenleck weiteren Dritten eine einfache Angriffsfläche bietet. Weil die Behörden aber einer gesetzlichen Verschwiegenheitspflicht unterliegen, sind sie immer sofort nach Feststellung einer Drittkenntnisnahme zu informieren. Mit diesen Sicherheits- und Aufklärungserwägungen kann sich also ein Unternehmen niemals herausreden, wenn es völlig passiv geblieben ist.

Was bedeutet das für mein Unternehmen?

Ein Datenverlust ist neben dem Imageschaden auch ein rechtliches Problem. Pflichten können entstehen und bei deren Nichtbeachtung können Bußgelder zu 300.000 Euro anfallen. In der Aufarbeitung reicht also keine ausgefeilte Unternehmenskommunikation. Vielmehr ist eine datenschutzrechtlich korrekte Handhabung der Situation erforderlich. Ob eine Mitteilungspflicht besteht, kann nur nach sorgfältiger rechtlicher Prüfung festgestellt werden. Verschiedene Anknüpfungspunkte existieren dabei, um jedenfalls die unangenehme Mitteilungspflicht an Betroffene oder die Öffentlichkeit zu umgehen oder hinauszuzögern.

Hack – Online.Spiele.Recht

OLG Hamburg: Verbot eines Goldseller-Forums (Volltext)

Mitteilungspflicht bei Datenlecks