Internet-Law

Anhand einer beispielhaften Darstellung werde ich nachfolgend versuchen, einige fundamentale Defizite der geplanten EU-Datenschutzverordnung darzustellen, die bislang in der öffentlichen Diskussion wenig Beachtung gefunden haben, wobei mein Fokus hierbei auf dem Internet liegt.

In Deutschland gibt es seit Jahren eine kontroverse Diskussion darüber, ob IP-Adressen stets als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind oder nur dann, wenn die speichernde Stelle den Personenbezug herstellen kann. Diese Streitfrage, die ich bereits früher ausfürlich dargestellt habe, ist für die Internetkommunikation von entscheidender Bedeutung. Wenn man IP-Adressen per se als personenbezogen betrachtet, dann dürfen diese Daten nach dem geltenden Prinzip eines Verbots mit Erlaubnisvorbehalt grundsätzlich nämlich gar nicht gespeichert werden, es sei denn, eine gesetzliche Vorschrift erlaubt die Speicherung ausdrücklich.

Man muss sich also die Frage stellen, ob die geplante EU-Datenschutzgrundverordnung diese Streitfrage rechtssicher auflöst. Ein Blick in den Text und die Erwägungsgründe zeigt, dass dies nicht der Fall ist, sondern die Rechtsunsicherheit vermutlich sogar noch verschärft wird.

Art. 4 Abs. 2 der DatenschutzgrundVO definiert als personenbezogene Daten „alle Informationen, die sich auf eine betroffene Person beziehen„. Das ist m.E. bereits deshalb schlecht, weil damit letztlich der Personenbezug über den Personenbezug definiert wird und es sich somit eher um eine Tautologie als um eine Legaldefinition handelt. Der Ansatz erscheint aber derart weit, dass man angesichts des Wortlauts wohl darauf schließen müsste, dass sich die Verordnung für den absoluten Personenbezug entschieden hat.

In Widerspruch hierzu steht dann allerdings Erwägungsgrund 24 der Verordnung, der lautet:

Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.

Danach sollen also IP-Adressen und auch Cookies nicht stets personenbezogene Daten darstellen. Darüber, unter welchen Voraussetzungen Personenbezug zu bejahen ist, schweigt sich die Verordnung insgesamt freilich aus. Neben der Fundamentalkritik an der geplanten Datenschutzgrundverodnung, sind es derartige handwerkliche und regelungstechnische Ungenauigkeiten, die diese Verordnung so gefährlich machen und die Befürchtung nähren, dass die Rechtsunsicherheit über Jahre hinweg sogar noch erhöht werden wird.

Man muss sich in diesem Zusammenhang auch vor Augen führen, dass sowohl das BDSG als auch die datenschutzrechtlichen Vorschriften des TMG komplett wegfallen müssen, wenn die Verordnung als unmittelbar geltendes Recht in Kraft tritt.

Da die Verordnung andererseits das Konzept des Verbots mit Erlaubnisvorbehalt fortsetzt, bedeutet dies auch weiterhin, dass eine Datenverarbeitung zunächst verboten ist, soweit sie nicht von der Verordnung ausdrücklich erlaubt wird. Es stellt sich also die Frage, ob die Verordnung hinreichende Erlaubnistatbestände enthält. Denn das Problem besteht natürlich darin, dass gerade die Internetkommunikation einen fortwährender Prozess der Verarbeitung personenbezogener Daten darstellt, zumal wenn man – was die deutschen Aufsichtsbehörden seit Jahren tun – den Begriff des Personenbezugs extensiv auslegt.

Folge des Wegfalls der TMG-Vorschriften ist es in jedem Fall, dass auch die Unterscheidung zwischen Bestands-, Nutzungs- und
Inhaltsdaten nicht mehr stattfindet, ebensowenig wie die Unterscheidung zwischen der Datenverarbeitung zu eigenen bzw. fremden Zwecken.

Da die Verordnung nicht in ausreichendem Maße Erlaubnistatbestände enthält – was auch der Kommission sehr wohl bewusst ist – kommt ein weiterer zentraler Aspekt hinzu. Die Kommission wird durch die Verordnung nämlich ermächtigt, sog. delegierte Rechtsakte zu erlassen, die insbesondere derartige Erlaubnistatbestände näher ausgestalten (Art. 5 Abs. 5, Art. 86). Das ist unter demokratischen Gesichtspunkten schlicht eine Katastrophe, denn damit wird eine wesentliche und grundrechtsintensive Gesetzgebungsbefugnis auf eine Institution verlagert, die über keinerlei demokratische Legitimation verfügt. Die Kommission hat sich damit quasi selbst für den Bereich des Datenschutzrechts eine weitreichende Rechtssetzungsbefugnis eingeräumt, die keine paralamentarische Basis hat. Die Datenschutzgrundverordnung verfestigt damit das auf EU-Ebene ohnehin bestehende erhebliche Demokratiedefizit.

Diese Datenschutzgrundverordnung ist somit gerade aus demokratischer und bügerrechtlicher Sicht untragbar. Dass sich speziell bei Bürgerrechtlern bislang wenig Widerstand regt, sondern vielmehr eher Zustimmung vorzuherrschen scheint, wird sich vermutlich noch als folgenschwere Fehleinschätzung erweisen.

Wer https://www.facebook.com/records aufruft, gelangt auf eine Seite mit dem Titel „Law Enforcement Online Requests“. Dort kann man als Polizeibehörde eine Abfrage der von Facebook gespeicherten Bestands- und Verkehrsdaten beantragen. Wenn man dort eine E-Mail-Adresse die zu einer deutschen Polizeibehörde gehört, eingibt – z.B. …@polizei.hessen.de – dann erhält man eine automatische Antwortmail mit einem Tokenlink. Wenn man diesen Link aktiviert, gelangt man anschließend auf ein internes Portal von Facebook für die Abfrage von Bestands- und Nutzungsdaten. Es gibt dort eine Suchfunktion namens „Record Request“ in der u.a. Angaben zur anfragenden Stelle und zum Tatvorwurf gemacht werden müssen, sowie dazu, aus welchem Zeitraum man Daten benötigt.

Im Anschluss erhält die anfragende Stelle von Facebook eine Eingangsbestätigung und eine Fallnummer. Über das Portal lässt sich der Status der Anfrage bis zur Beantwortung durch Facebook nachverfolgen. Das Prozedere ist u.a. in einem Infoblatt des hessischen LKA – das mir vorliegt – detailiert beschrieben.

Daneben hat Facebook für Polizei- und Strafverfolgungsbehörden ein Formular zum Anfordern von Daten eines Facebook-Profils sowie ein gesondertes Formular zur Offenlegung von Daten in Notfällen entwickelt. Die Details sind in den „Facebook-Richtlinien für Strafverfolgungsbehörden“ erläutert, einem Dokument, das Facebook als vertraulich und rechtlich geschützt bezeichnet.

Wie großzügig oder restriktiv Facebook mit diesen Tools umgeht und inwieweit hier Unterschiede nach der Art der anfragenden (nationalen) Behörden gemacht werden, ist mir leider nicht bekannt. Facebook kooperiert jedenfalls äußerst eng mit den Sicherheits- und Strafverfolgungsbehörden. Wenn man außerdem berücksichtigt, dass Facebook möglicherweise auch die Chatkommunikation seiner Nutzer belauscht und aufzeichnet, dürfte sich hier für Ermittler ein interessanter Datenpool auftun.

Letzte Woche haben mehrere Blogs über Abmahnungen von Universal berichtet, in denen Blogbetreiber aufgefordert wurden, Embedded Links auf ein Musikvideo bei YouTube zu entfernen. Beispielsweise der Kollege Dosch hat unter Verweis auf eine Entscheidung des OLG Düsseldorf die Auffassung vertreten, dass Blogger bei dieser Art der Einbindung von Videos urheberrechtlich haften würde. Der rechtliche Hintergrund wird bei Telemedicus gut erläutert.

Ausgangspunkt der rechtlichen Betrachtung ist das Postulat der Paperboy-Entscheidung des BGH, dass im Falle eines (Deep-) Links keine urheberrechtlich relevante Nutzungshandlung stattfindet. Denn der BGH geht davon aus, dass ein urheberrechtlich geschütztes Werk durch einen bloßen Link nicht öffentlich zugänglich gemacht werden kann, weil es bereits zugänglich ist. Der BGH hat sich in diesem Urteil ausdrücklich der von mir vertretenen Ansicht angeschlossen, wonach grundsätzlich kein urheberrechtlicher Störungszustand geschaffen wird, wenn der Zugang zu dem Werk durch das Setzen von Hyperlinks (auch in der Form von Deep-Links) nur erleichtert wird.

Die Frage ist jetzt, ob sich an dieser Betrachtung dadurch etwas ändert, dass man ein Video einbettet, indem man einen von YouTube angebotenen HTML-Code in sein Blog integriert, der dazu führt, dass ein Vorschaubild des Videos angezeigt wird und das Video dann zwar direkt über das Blog gestartet werden kann, aber tatsächlich weiterhin über die Videoplattform abgerufen wird.

Auch beim Embedded-Video wird nämlich nur der Zugang zu einem Werk erleichtert, das an einer anderen Stelle im Netz bereits zugänglich ist. Die Argumentation aus dem Paperboy-Urteil passt also auch hier. Der zusätzliche Aspekt der Einbettung kann m.E. daher nur über ergänzende juristische Konstruktionen, wie etwa der Annahme eines Zueigenmachens, zur Bejahung einer Urheberrechtsverletzung führen.

An dieser Stelle muss m.E. zwischen unterschiedlichen Formen des Einbettens differenziert werden. Ein Inlinelink, bei dem der Betrachter tatsächlich den Eindruck gewinnt, beispielsweise ein Bild sei integraler Bestandteil der eigenen Website, muss nicht zwingend mit einem Embedded-Video gleichzusetzen sein. Denn beim eingebundenen Video ist dem Durchschnittsnutzer natürlich bewusst, dass es sich um ein YouTube-Video handelt, weil man das YouTube-Logo einerseits bereits auf dem Vorschaubild sieht und es sich andererseits mittlerweile um eine ebtalierte und verbreitete Form der Verlinkung von Videos handelt, an die sich der User gewohnt hat.

Nach meiner juristischen Einschätzung liegt in diesen Fällen also weder eine originäre Urheberrechtsverletzung vor, noch besteht eine Störerhaftung für eine fremde Urheberrechtsverletzung. Da diese Frage höchstrichterlich nicht geklärt ist und die Rechtsansichten der Gerichte durchaus auseinandergehen, besteht derzeit für Blogger allerdings ein Haftungsrisiko, wenn sie Videos einbetten.

Der Freistaat Bayern hat sich in einem Vergleich verpflichtet, die Einträge zur Antifaschistischen Informations-, Dokumentations- und Archivstelle München . e. V. (a.i.d.a.)  in den Verfassungsschutzberichten 2009, 2010 und 2011 zu streichen und a.i.d.a. auch künftig (!) nicht mehr in den Verfassungsschutzberichten zu nennen.

Das Bayerische Landesamt für Verfassungsschutz hatte den Verein im jährlichen Verfassungsschutzbericht mehrfach als linksextremistische Gruppierung eingestuft. Eine Bewertung, die der BayVGH bereits 2010 mit den Worten kassierte, es würde sich um ein “nicht ansatzweise durch tatsächliche Anhaltspunkte nachvollziehbar belegtes Negativurteil“ handeln. Das hat die Behörde allerdings nicht davon abgehalten, diese Eintragung, mit ausdrücklicher Unterstützung des Innenministeriums, auch in den Folgejahren zu wiederholen.

Diese Unbelehrbarkeit macht deutlich, dass der jetzige Vergleich alles andere als freiwillig zustande kam, sondern nur dem Zweck diente, eine erneute krachende Niederlage vor dem VGH abzuwenden.

Das Totalversagen von Innenministerium und Verfassungsschutz bei den NSU-Morden, von denen fünf in Bayern stattgefunden haben, muss in unmittelbarem Zusammenhang mit solchen Vorgängen wie der Beobachtung von a.i.d.a. gesehen werden. Denn die Überwachung kritischer Demokraten aus ideologischen Gründen hält den Bayerischen Verfassungsschutz ganz offensichtlich davon ab, seine eigentliche Arbeit zu machen. Als Bürger frage ich mich ernsthaft, wer uns vor solchen Verfassungsschützern und Politikern schützt.

Die Kommission für Jugendmedienschutz (KJM) hat ein weiteres Altersverifikationssystem (AVS) der Cybits AG  positiv bewertet. Damit können jugendgefährdende, insbesondere pornografische Inhalte in geschlossenen Benutzergruppen im Internet legal angeboten werden.

International häufig praktizierte Altersverifikationen z.B. durch Eingabe einer Kreditkartennummer genügen den Anforderungen des deutschen Jugendschutzrechts demgegenüber nicht.

Quelle: PM der KJM vom 18.10.2012

Udo Vetter weist in seinem Blog auf eine Entscheidung des Amtsgerichts Wiesbaden hin, nach der der Mandant eines Anwalts damit rechnen muss, dass bereits die ersten telefonischen Ratschläge des Anwalts kostenpflichtig sind. Vetter spricht in diesem Zusammenhang die Legende von der kostenlosen anwaltlichen Erstberatung an. Hierzu fällt mir eine E-Mail eines potentiellen Mandanten ein, der, nachdem ich ihn auf die Kostenpflichtigkeit der Beantwortung seiner Rechtsfrage hingewiesen hatte, geradezu empört reagierte und sich darüber beklagte, dass ich ihm die übliche kostenlose Erstberatung verweigert hätte.

Wie bei jedem Frisör, ist auch eine 15-minütige Dienstleistung kostenpflichtig. Jedenfalls bei mir, denn ich muss davon leben.

Twitter hat auf Aufforderung der Polizei in Hannover eine Sperrung des Accounts der rechtsradikalen Gruppierung „Besseres Hannover“ veranlasst, wobei die Besonderheit darin besteht, dass es sich streng genommen nicht um eine Sperrung handelt. Die Tweets bleiben abrufbar und werden nur für Benutzer mit der Ländereinstellung Deutschland ausgeblendet.

Die Vereinigung war zuvor vom Landesinnenministerium verboten worden. Dabei handelt es sich um einen sog. Verwaltungsakt, der solange rechtswirksam bleibt, solange er nicht von einem Gericht aufgehoben oder außer Vollzug gesetzt worden ist. Die Verbotsverfügung beinhaltete auch die Schließung sämtlicher Accounts in sozialen Netzwerken. Für die zuständige Polizeibehörde bedeutet dies, dass sie rechtlich verpflichtet war, diesen Verwaltungsakt zu vollziehen.

Dieses Vorwissen sollte man haben, bevor man Zensur ruft. Das Verbot erfolgte auf gesetzlicher Grundlage und ist vollständig gerichtlich überprüfbar.

Natürlich kommen an dieser Stelle die Besonderheiten des weltweiten Netzes hinzu, die die technische Sinnhaftigkeit einer Maßnahme, die grundsätzlich auf das Bundesgebiet beschränkt ist, in Frage stellt. Die Maßnahme von Twitter ist gerade keine Sperrung und leicht zu umgehen.

Mit der Diskussion um Sperrungsverfügungen hat der Fall dennoch nicht viel gemein. Twitter ist kein Zugangsprovider und es sind hier auch keine Chilling Effects wie bei den Netzsperren zu befürchten.

Man kann also sicherlich über den Sinn der Maßnahme diskutieren, aber um Zensur handelt es sich nicht.

Lesenswert zum Thema ist der Beitrag von Jens Ferner.

Wolfgang Kubicki ist FDP-Fraktionsvorsitzender im Landtag von Schleswig-Holstein und im Nebenberuf Rechtsanwalt. Im Interview mit der Welt vertritt der die Ansicht, dass es niemanden etwas angehe, was er durch seine Anwaltstätigkeit verdient.

Auch wenn ich einige der Argumente Kubicki nachvollziehen kann – wenngleich man die Eigennützigkeit seiner Argumentation nicht unberücksichtigt lassen sollte – halte ich sie im Ergebnis nicht für durchgreifend.

Die Offenlegung der Nebentätigkeiten von Abgeordneten und der daraus erzielten Einkünfte ist aus zwei Gründen unabdingbar. Die Öffentlichkeit hat nämlich ein Recht darauf zu wissen, welchen Herren die gewählten Abgeordneten sonst noch dienen. Es muss erkennbar sein, welche Verflechtungen bestehen und welche wirtschaftlichen Interessen den Abgeordneten möglicherweise beinflussen. Außerdem sollte der Wähler sich ein Bild vom Umfang der Nebentätigkeit machen können, um zu sehen, ob die Nebentätigkeit nicht eher eine Haupttätigkeit ist und deshalb die ordnungsgemäße Ausübung des Mandats beeinträchtigt.

Die Abgeordneten müssen sich daran gewöhnen, dass es legitim und notwendig ist, von ihnen als Volksvertreter ein höheres Maß an Transparenz zu verlangen als von einem Normalbürger. Sie sind nunmal gewählte Volksvertreter mit ganz spezifischen Pflichten und einem hohen Maß an Verantwortung der gesamten Bevölkerung gegenüber. Dieser Umstand scheint bei einigen allerdings in Vergessenheit geraten zu sein.

Die Argumentation des Anwaltskollegen Kubicki weist auch einige interessante Brüche auf. Wenn er als Anwalt einen Vertreter einstellen muss, weil er seine Anwaltstätigkeit nicht mehr oder nur noch sehr reduziert ausüben kann, dann sollte er doch auch kein Problem damit haben, seine insoweit niedrigen Einkünfte offenzulegen. Speziell bei Anwälten, die in Parlamente gewählt werden, ist es allerdings nicht selten so, dass dadurch eine bislang vielleicht gar nicht so gut gehende Kanzlei erst richtig in Schwung kommt. Womit ich natürlich nichts über den Kollegen Kubicki gesagt haben möchte.

netzpolitik.org hatte vor ein paar Wochen ein Rechtsgutachten des Wissenschaftlichen Dienstes des Bundestags zur Abgeordnetenkorruption veröffentlicht. Die Bundestagsverwaltung fordert Blogbetreiber Markus Beckedahl nunmehr auf, „die fortwährende rechtswidrige Veröffentlichung unverzüglich, spätestens jedoch bis zum 17.10.2012 einzustellen„.

Das entbehrt nicht eines gewissen Unterhaltungswerts, nur leider wird uns eine Begründung für die These der Rechtswidrigkeit der Veröffentlichung vorenthalten, ebenso wie die Nennung der Sanktionen die dem Blogger jetzt drohen.

Einziger juristischer Anknüpfungspunkt ist einmal mehr das Urheberrecht, wobei unklar ist, ob der unterzeichnende Beamte überhaupt derjenige ist, der eine urheberrechtliche wirksame Gestattung aussprechen kann.

Der Fall zeigt jedenfalls, dass die Vorschrift über die Urheberrechtsfreiheit amtlicher Werke (§ 5 UrhG) dringend erweiterungsbedürftig ist. Aus Steuergeldern bezahlte Gutachten werden der Öffentlichkeit aus urheberrechtlichen Gründen vorenthalten, obwohl für jedermann ersichtlich ist, dass das Gutachtenergebnis das ist, worüber die Öffentlichkeit nicht informiert werden soll.

Blogbetreiber Beckedahl hat bereits erklärt, dieser Aufforderung keine Folge zu leisten. Danke Markus, das ist die richtige Haltung.

Nachdem der EuGH bereits im Jahre 2010 die mangelnde Unabhängigkeit der deutschen Datenschutzaufsicht gerügt hatte, wurde nunmehr in einer weiteren Entscheidung vom heutigen Tag (Az.: C-614/10) in Bezug auf die österreichische Datenschutzkommission vom EuGH festgestellt, dass Österreich seine Verpflichtung aus der Datenschutzrichtlinie verletzt hat.

Der EuGH stellt in seiner Entscheidung klar, dass eine funktionale Unabhängigkeit der Datenschutzbehörde nicht ausreichend ist, sondern vielmehr die Leitung der Behörde keiner Dienstaufsicht unterliegen darf, die Datenschutzkommission nicht dem Kanzleramt angegliedert sein darf und auch keine Informationsrechte des Bundeskanzlers bzw. der Regierung bestehen dürfen.