Internet-Law

Onlinerecht und Bürgerrechte 2.0

26.11.21

EuGH zum sog. Inbox-Advertising

Speziell die Nutzer von kostenlosen E-Mail-Diensten wie GMX kennen das Phänomen. In seiner Inbox findet man immer wieder Werbeanzeigen, die wie E-Mails aussehen, bei denen es sich aber um bezahlte Werbeanzeigen handelt, die einem vom Freemailer direkt in die Inbox gepusht werden.

Der EuGH hat hierzu jetzt entschieden (Urteil vom 25.11.2021, Az.: C‑102/20), dass dieses Inbox-Advertising nur unter der Voraussetzung gestattet ist, dass der Nutzer klar und präzise über die Modalitäten der Verbreitung solcher Werbung informiert wurde und seine Einwilligung, solche Werbenachrichten zu erhalten, für den konkreten Fall und in voller Kenntnis der Sachlage bekundet hat.

Ohne eine ausreichende Einwilligung liegt folglich eine unzulässige Werbe-E-Mail vor.

Eine solche Einwilligung des Nutzers wird der Mail-Provider freilich kaum wirksam einholen können. Denn eine Werbeeinwilligung muss sich immer auf ein bestimmtes (werbendes) Unternehmen beziehen und auf konkret bezeichnete Waren- und Dienstleistungen. Das Geschäftsmodell des Mail-Providers besteht aber gerade darin, diese „Werbeflächen“ beliebigen Unternehmen anzubieten.

posted by Thomas Stadler at 16:48  

4.8.20

BGH zum Recht auf Vergessen

Der BGH hat am 27.07.2020 in zwei Verfahren (VI ZR 405/18 und VI ZR 476/18) über das Recht auf Vergessenwerden entschieden. Bislang liegt hierzu nur eine Pressemitteilung vor, deren Kernsätze ich wie folgt zusammenfassen würde:

1. Ergebnisoffene Grundrechtsabwägung

Der Auslistungsanspruch aus Art. 17 Abs. 1 DSGVO erfordert nach der Rechtsprechung des Europäischen Gerichtshofs und dem Beschluss des Ersten Senats des Bundesverfassungsgerichts vom 6. November 2019 (1 BvR 276/17 – Recht auf Vergessen II) eine umfassende Grundrechtsabwägung, die auf der Grundlage aller relevanten Umstände des Einzelfalles und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits (Art. 7, 8 GRCh), der Grundrechte der Beklagten, der Interessen ihrer Nutzer und der Öffentlichkeit sowie der Grundrechte der Anbieter der in den beanstandeten Ergebnislinks nachgewiesenen Inhalte andererseits (Art. 11, 16 GRCh) vorzunehmen ist. Da im Rahmen dieser Abwägung die Meinungsfreiheit der durch die Entscheidung belasteten Inhalteanbieter als unmittelbar betroffenes Grundrecht in die Abwägung einzubeziehen ist, gilt keine Vermutung eines Vorrangs der Schutzinteressen des Betroffenen, sondern sind die sich gegenüberstehenden Grundrechte gleichberechtigt miteinander abzuwägen.

2. Keine Privilegierung der Suchmaschine mehr!

Aus diesem Gebot der gleichberechtigten Abwägung folgt aber auch, dass der Verantwortliche einer Suchmaschine nicht erst dann tätig werden muss, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. An seiner noch zur Rechtslage vor Inkrafttreten der DSGVO entwickelten gegenteiligen Rechtsprechung (Senatsurteil vom 27. Februar 2018 – VI ZR 489/16, BGHZ 217, 350, 363 Rn. 36 i.V.m. 370 f. Rn. 52) hält der Senat insoweit nicht fest.

Die spannende Frage hierbei bleibt, in welchem Umfang der BGH die Haftungsprivilegierung von Suchmaschinen aufgeben will. Hierzu müssen die Urteilsgründe abgewartet werden.

3. (Fortdauernde) Rechtmäßigkeit der Berichterstattung ist maßgeblich

Nach den skizzierten Grundsätzen haben im konkreten Fall die Grundrechte des Klägers auch unter Berücksichtigung des Zeitablaufs hinter den Interessen der Beklagten und den in deren Waagschale zu legenden Interessen ihrer Nutzer, der Öffentlichkeit und der für die verlinkten Zeitungsartikel verantwortlichen Presseorgane zurückzutreten, wobei der fortdauernden Rechtmäßigkeit der verlinkten Berichterstattung entscheidungsanleitende Bedeutung für das Auslistungsbegehren zukommt.

4. Keine Anwendung von nationalem Recht, Europäische Grundrechte maßgeblich

Im Hinblick auf den Anwendungsvorrang des unionsweit abschließend vereinheitlichten Datenschutzrechts und die bei Prüfung eines Auslistungsbegehrens nach Art. 17 DSGVO vorzunehmende umfassende Grundrechtsabwägung kann der Kläger seinen Anspruch auch nicht auf Vorschriften des nationalen deutschen Rechts stützen. Die Grundrechte des GG sind also nicht Prüfungsmaßstab.

posted by Thomas Stadler at 10:07  

31.3.20

Die Corona-Tracking-App. Eine gute Idee?

Das Thema Corona-Tracking mittels Smartphone-Apps nach dem Vorbild von Singapur oder Südkorea ist derzeit in aller Munde. Auf netzpolitik.org ist dazu unlängst ein Beitrag von Johannes Abeler, Matthias Bäcker, Ulf Buermeyer erschienen, der die Nutzung eines „datensparsamen Corona-Tracking-Systems“ nach dem „App-Konzept der Regierung von Singapur“ auch aus grundrechtlicher und datenschutzrechtlicher Sicht positiv bewertet.

in dem Beitrag von Abeler/Bäcker/Buermeyer wird die Funktionsweise der Singapur-App folgendermaßen beschrieben:

Möglichst viele Menschen installieren freiwillig eine App auf ihrem Handy. Die App generiert mit kryptographischen Mitteln alle halbe Stunde eine neue temporäre ID. Sobald ein anderes Handy mit der App in unmittelbarer Nähe ist, empfangen beide Handys die temporäre ID der jeweils anderen App-Installation und speichern sie. Diese Liste mit IDs anderer App-Installationen wird auf beiden Handys lokal und verschlüsselt gespeichert (…). Sobald bei einem der App-User eine Coronavirus-Infektion diagnostiziert wird, bittet die diagnostizierende Ärztin den Nutzer, die lokal gespeicherten Daten an den zentralen Server zu übertragen (…). Falls der Nutzer zustimmt, erfährt der zentrale Server, mit welchen anderen temporären IDs dieses Handy in Kontakt war. Der Server kann aus diesen IDs zwar nicht entschlüsseln, welche Menschen sich dahinter verbergen, er kann aber alle betroffenen Handys informieren.

Jetzt sollte allerdings zum Singapur-Modell nicht unerwähnt bleiben, dass die dortige App eben doch ein Überwachungstool ist, das der Exekutive des autoritär regierten Stadtstaats Zugriff auf die Daten und insbesondere eine Identifizierung der erfassten Nutzer ermöglicht. In einer Untersuchung, die die TraceTogether-App aus Singapur analysiert, heißt es hierzu:

However, while Singapore’s TraceTogether app protects the privacy of users from each other, it has serious privacy concerns with respect to the government’s access to the data.

Das Konzept in Singapur fußt nämlich gerade auf der Erwägung, dass der Staat Zugriff auf den zentralen Server haben muss, um diejenigen, die als Kontaktpersonen ermittelt worden sind, konsequent zu isolieren, auch mit Methoden eines autoritären Staates. Es fällt mir daher bereits schwer, das Modell grundsätzlich als Vorbild zu betrachten. Sollten wir uns wirklich an den Methoden autoritärer Staaten orientieren? Und muss man sich nicht einfach auch fragen, ob die App aus Singapur gerade deshalb als effizient gilt, weil der Staat das Geschehen steuert.

Aber selbst wenn man dasselbe Prinzip so ausgestalten will, dass der Staat keinen Zugriff auf den zentralen Server erhält, bleibt die Frage zu klären, wer diesen Server betreibt und wie und wodurch gewährleistet ist, dass ein staatlicher Zugriff unterbleibt. Aber auch dann werden sich datenschutzrechtliche Fragen stellen. Denn die Kombination einer Vielzahl von Bewegungsdaten unterschiedlicher Personen wird häufig die Möglichkeit eröffnen, Rückschlüsse auf betroffene Personen zu ziehen. Es werden eben doch personenbezogene Daten verarbeitet. An dieser Stelle wird dann versucht, mit dem Aspekt der Freiwilligkeit zu argumentieren. Das setzt voraus, dass der Nutzer in die Verarbeitung seiner Daten (wirksam) einwilligt. Allerdings wem gegenüber? Dem Betreiber des Servers? Oder doch gegenüber einer staatlichen Stelle? Wer ist der datenschutzrechtlich Verantwortliche? Und wie wird die Entwicklung sein, wenn die Akzeptanz der App auf freiwilliger Basis gering ist? Wird dann nicht der Druck steigen, der Freiwilligkeit Nachdruck zu verleihen?

Oder man wählt schlicht den gegenteiligen Ansatz, der zumindest, was die Eindämmung des Virus angeht, mehr Effektivität verspricht. Nachdem aktuell bereits die Grundrechte auf Freizügigkeit weitgehend, auf Versammlungsfreiheit vollständig und auf Berufsfreiheit teilweise eingeschränkt sind, kann man natürlich auch die Frage stellen, warum eigentlich das Grundrecht auf informationelle Selbstbestimmung bzw. Datenschutz gänzlich unbehelligt bleiben soll. Dafür müsste man im Infektionsschutzgesetz eben eine gesetzliche Grundlage schaffen. Also am Ende das Modell Singapur auf Basis einer gesetzlichen Grundlage.

Aber man sollte auch die praktischen Aspekte dieser App nicht aus dem Auge verlieren. Die App würde jeden, der in die Bluetooth-Reichweite eines Infizierten kommt, also alles in einer Entfernung bis ca. zehn Meter, als Kontaktperson flaggen. Wenn man bedenkt, dass selbst von denen, die einem Infizierten kritisch nahe kommen, also unter 1,5 – 2 Meter, sich nicht annähernd jeder ansteckt, würde diese App im Ergebnis überwiegend Ergebnisse liefern, die false positive sind. Ganz abgesehen davon, dass man damit eine Vielzahl an Menschen grundlos verängstigt, bleibt die Frage offen, wie mit den identifizierten Kontaktpersonen weiter zu verfahren ist. Die Personen sollen in diesem Stadium schließlich noch anonym und nicht in irgendeiner Form staatlich erfasst sein. Es ist derzeit allerdings nicht so, dass man einfach zum Arzt gehen kann und sich testen lassen kann. Getestet werden allenfalls Personen, die nachweisbar Kontakt zu einem Infizierten hatten und selbst Symptome zeigen. Es ist also derzeit schon so, dass keineswegs alle Kontaktpersonen getestet werden. Es ergibt also wenig Sinn, eine App zu propagieren, die noch mehr solcher Kontaktpersonen produziert, die dann wiederum nicht getestet werden. Das Konzept wird allenfalls dann Sinn ergeben, wenn sichergestellt ist, dass sämtliche Kontaktpersonen, die die App ermittelt, anschließend auch zügig getestet werden können. Aber wie soll das gewährleistet werden? Muss der Betroffene, der sich ja anonym wähnt, dazu seine Anonymität aufgeben und hat der Staat für diesen Fall die Voraussetzungen geschaffen, dass der Betroffene einen Anspruch auf den Test hat und dieser auch umgehend durchgeführt wird?

Es ist also nicht damit getan, eine solche App zu entwickeln und für ihre Installation zu werben. Sie wird vielmehr nur als Teil eines stimmigen Gesamtkonzepts funktionieren, dessen Konturen noch nicht erkennbar sind.

Update vom 17.04.2020

Nach aktuellen Medienberichten verzögert sich die Einführung der Corona-App, weil es angeblich Streit unter den Entwicklern gibt und auch die Abstimmung mit den Datenschützern (welchen?) nicht abgeschlossen sei. Interessant an der Berichterstattung ist in jedem Fall, dass man mittlerweile offenbar wieder bei dem Konzept einer Datenspeicherung auf einem zentralen Server angekommen ist, nachdem zwischenzeitlich die dezentrale schweizerische Löschung favorisiert worden war. Das wirft weiterhin die hier bereits erörterte Frage auf, wer diesen Server betreibt, wie die Daten an die Gesundheitsämter weitergegeben werden und wie der staatliche Zugriff auf diese Daten geregelt ist bzw. verhindert werden soll.

Außerdem ist es weiterhin so, dass die öffentliche Debatte zumeist an dem Punkt endet, an dem es tatsächlich relevant wird. Entscheidend ist nämlich die Frage, wie es weiter geht, wenn ein Betroffener gewarnt worden ist. Erfolgt dann über den zentralen Ansatz eine Meldung an die Gesundheitsämter, liegt ein staatlicher Eingriff vor, der einer gesetzlichen Grundlage bedarf. Freiwilligkeit hin oder her. Wird nur der Betroffene informiert, würde dies bedeuten, dass er sich selbst um den Fortgang kümmern und um einen Test bemühen muss. Nach der aktuellen Situation hat er allerdings keinen Anspruch auf einen Test. Das System wäre also nur dann effektiv, wenn man einen gesetzlichen Anspruch auf einen Test schaffen würde. Andernfalls laufen da draußen nur massenhaft Gewarnte rum, die mit überwiegender Wahrscheinlichkeit zwar negativ sind, trotzdem ein mulmiges Gefühl haben und sich möglicherweise vergeblich um einen Test bemühen. Das wäre nicht nur ineffektiv, sondern kontraproduktiv. Derzeit erscheint das App-Konzept noch nicht zu Ende gedacht. Das sollte es allerdings sein, wenn die App auf den Markt kommt.

Hinzu kommt weiterhin die Frage der Effektivität. Nach den Zahlen des statistischen Bundesamts nutzen ca. 58 Millionen Menschen in Deutschland Smartphones, das sind ca. 70 % der Bevölkerung. Wenn man jetzt die Geräte abzieht, auf denen die App aus technischen Gründen nicht lauffähig ist, wird ein Prozentsatz von 60 – 65 verbleiben, der die App tatsächlich installieren und nutzen kann. Wenn man jetzt von einer Installationsquote von 50 % ausgeht – was ich für optimistisch hoch halte – dann würde am Ende jeder Dritte die App auch tatsächlich nutzen. Grundsätzlich geht man davon aus, dass die App aber nur dann effektiv sein kann, wenn es zu einer hohen Installationsquote kommt. Der Virologe Christian Drosten hat im NDR-Coronavirus-Update von 60 % der Bevölkerung gesprochen – was allerdings einer Installationsquote von nahe 100 % entsprechen würde – während andere Einschätzungen eine Effektivität ab einer Installationsquote von 60 – 70 % annehmen. Das erscheint beides nicht übermäßig realistisch.

Auf die technischen Beschränkungen, die zudem zu bedenken sind, hat Henning Tillmann bei Zeit Online hingewiesen.

Die App, so sie denn überhaupt kommt, wird also im besten Falle eine Ergänzung unter vielen sein. Die zentrale Rolle, die ihr in den Medien und der öffentlichen Debatte beigemessen wird, wird sie aber voraussichtlich nicht einnehmen können.

posted by Thomas Stadler at 08:38  

7.1.20

Kann man noch datenschutzkonform twittern?

Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink hat unlängst mitgeteilt, seinen Twitteraccount zu löschen, nachdem das Bundesverwaltungsgericht entschieden hat, dass Aufsichtsbehörden ermessensfehlerfrei direkt gegen Betreiber von Facebook-Fanpages vorgehen und von diesen verlangen können, die Fanpage abzuschalten. Das Verhalten von Brink ist auch deshalb bemerkenswert, weil er selbst zu seinem Twitterauftritt eine Datenschutzfolgenabschätzung vorgenommen und sich die datenschutzrechtliche Unbedenklichkeit seiner Twitter-Aktivitäten darin selbst bescheinigt hatte.

Die Frage bleibt aber, ob die Fanpage-Entscheidungen des EuGH und des BVerwG auf Twitter übertragbar sind und was das grundsätzlich bedeuten würde. Wäre damit jeder Twitter-Account, für den die DSGVO gilt, unzulässig, weil nicht datenschutzkonform?

Im Urteil des BVerwG heißt es:

Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36).

Auf Twitter besucht man aber keine Profile, sondern man sieht die Tweets derjenigen Nutzer in seiner Timeline, denen man folgt. Der einzelne Twitternutzer leistet damit keinen kausalen und relevanten Beitrag dazu, dass Twitter die Aktivitäten der Nutzer, und zwar die aller Nutzer, trackt. Das Tracking bei Twitter knüpft, anders als bei der Fanpage, nicht daran an, dass jemand ein fremdes Profil besucht. Nach der Logik von Brink wäre jeder Nutzer von Twitter (auf den die DSGVO anwendbar ist), stets auch zusammen mit Twitter gemeinsamer Verantwortlicher. Das widerspricht aber der Rechtsprechung des EuGH, der in seiner Fanpage-Entscheidung ausdrücklich betont hat, dass die bloße Nutzung eines sozialen Netzwerks noch keine gemeinsame Verantwortlichkeit begründet.

Dass also jeder einzelne Twitternutzer einen maßgeblichen Beitrag zu einer Datenverarbeitung im Sinne der EuGH-Rechtsprechung leistet, erscheint eher fernliegend.

Ungeklärt ist letztlich auch die zentrale Frage, welche Datenverarbeitung überhaupt stattfindet und ob diese rechtswidrig ist. Das BVerwG betont, dass das Oberverwaltungsgericht zunächst Feststellungen zur Datenverarbeitung treffen und anschließend danach differenzieren muss, ob jemand Facebook-Mitglied ist oder ein nicht bei Facebook registrierter Internetnutzer. Im ersten Fall kommt eine Einwilligung in Betracht, im zweiten Fall eine gesetzliche Gestattung nach der DSGVO.

Im Fall von Twitter werden m.W. nur (registrierte) Nutzer getrackt. Die Frage wäre dann also, ob das von der Einwilligung, die Twitter bei den Nutzern einholt, gedeckt ist.

Hinzu kommt ein weiterer, wenig diskutierter Umstand. Bei der Facebook-Fanpage steht die werbliche Präsentation im Vordergrund, während bei Twitter der Schwerpunkt auf Kommunikation und Information liegt. Mit Blick auf Twitteraccounts von Privaten muss hier also auch die Bedeutung der Meinungs- und Informationsfreiheit berücksichtigt und stärker gewichtet werden als bei Fanpages. Hier stellt sich letztlich sogar die Frage, ob sich der Inhaber des Twitter-Accounts wegen der Bedeutung der Meinungsfreiheit auf ein Medienprivileg berufen kann. Würden Aufsichtsbehörden Twitteraccounts untersagen können, würde dies einen empfindlichen Eingriff in die Meinungs- und Informationsfreiheit bewirken.

Bei Twitteraccounts von juristischen Personen des öffentlichen Rechts ist die Frage zu stellen, inwieweit der Twitter-Account der Aufgabe dient, die Allgemeinheit, also den Bürger, zu informieren.

Die Entscheidungen zu Facebook-Fanpages sind also nicht ohne weiteres auf Twitter übertragbar, auch wenn das vielfach behauptet wird.

posted by Thomas Stadler at 21:09  

26.11.19

BGH: Auskunftsansprüche gegen Portalbetreiber

Der BGH bejaht in einer aktuellen Entscheidung (Beschluss vom 24.09.2019, Az.: VI ZB 39/18) Auskunftsansprüche gegen Anbieter von Telemedien nach § 14 Abs. 3 – 5 TMG wegen Verletzung absolut geschützter Rechte, insbesondere wegen Persönlichkeitsrechtsverletzungen.

Das Interessante daran ist, dass der BGH das nicht auf soziale Netze im Sinne des NetzDG beschränken will – was der Wortlaut nahe legt – sondern der Anspruch sich gegen jeden Anbieter im Sinne des TMG richten kann. Der BGH spricht die Jameda-Entscheidung aus 2014 (VI ZR 345/13) in den Gründen ausdrücklich an und erklärt sie aufgrund der neuen Gesetzeslage letztlich für hinfällig. Portal- und Forenbetreiber sowie soziale Netzwerke werden also künftig grundsätzlich damit rechnen müssen, von einem Gericht zur Erteilung von Auskunft verpflichtet zu werden, wenn Dritte persönlichkeitsrechtsverletzende Bewertungen oder Kommentare einstellen.

Die Entscheidung ist auch für Datenschützer interessant, wegen der Ausführungen des BGH zu Art. 6 Abs. 4 DSGVO. § 14 Abs. 3 – 5 TMG ist nach Ansicht des BGH eine Rechtsvorschrift im Sinne von Art. 6 Abs. 4 DSGVO. Die Vorschrift dient der Durchsetzung zivilrechtlicher Ansprüche (Art. 23 Abs. 1 Buchst j DSGVO) und verfolgt damit ein in Art. 23 Abs. 1 DSGVO genanntes Ziel. Sie ist, so der BGH, in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz dieses Ziels.

posted by Thomas Stadler at 21:55  

15.11.19

OLG Köln: Löschanspruch gegen Jameda

Das Oberlandesgericht Köln hat gerade das Ärztebewertungsportal Jameda u.a. dazu verurteilt, sämtliche zu einem bewerteten Arzt gespeicherten Informationen zu löschen (Urteile vom 14.11.2019, Az.: 15 U 89/19 und Az.: 15 U 126/19).

Nach Auffassung des OLG Köln habe Jameda ihre grundsätzlich geschützte Position als „neutrale Informationsmittlerin“ dadurch verlassen, dass sie den zahlenden Kunden „verdeckte Vorteile“ zukommen lasse. Das sei der Fall, wenn die ohne ihre Einwilligung aufgenommenen Basiskunden auf dem Portal als „Werbeplattform“ für Premiumkunden benutzt würden und letzteren durch die Darstellung ein Vorteil gewährt werde, der für die Nutzer nicht erkennbar sei. Dann diene das Portal nicht mehr allein dem Informationsaustausch zwischen (potentiellen) Patienten. In diesem Fall müssten Ärzte nicht hinnehmen, ohne ihre Einwilligung als Basiskunden aufgeführt zu werden.

Zusätzlich vertritt das OLG Köln – in Einklang mit der Rechtsprechung des BGH – die Auffassung, dass sich Jameda nicht auf das Medienprivileg berufen könne, weil das Geschäftsmodell der Plattform nicht als eigene meinungsbildende Tätigkeit aufgefasst werden könne, sondern allenfalls als ein Hilfsdienst zur besseren Verbreitung von (Dritt-)Informationen. Das OLG meint, dass sich nur derjenige auf das Medienprivileg berufen könne, der einer eigenen journalistischen Tätigkeit nachgeht.

Damit beachtet das OLG, ebenso wie schon zuvor der BGH, die meinungseinschränkende Wirkung der von ihm postulierten Löschungsverpflichtung zu wenig und löst das erhebliche Spannungsverhältnis zwischen Datenschutz und Meinungsfreiheit nicht korrekt auf.

Art. 85 DSGVO verpflichtet die Mitgliedsstaaten dazu, das Recht auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen. Die Verarbeitung zu journalistischen Zwecken wird im Anschluss nur exemplarisch erwähnt. Am Ende ist eine Abwägung unterschiedlicher grundrechtlich geschützter Rechtspositionen vorzunehmen. Vor diesem Hintergrund ist bereits das Postulat, nur die journalistische Tätigkeit könne in den Genuss eines Medienprivilegs kommen, ersichtlich verfehlt und wird der zentralen Bedeutung der Meinungs- und Informationsfreiheit nicht gerecht. Dafür spricht auch Erwägungsgrund 153 der DSGVO, der verlangt, dass Begriffe wie Journalismus weit ausgelegt werden müssen, um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen.

Man wird auch nicht per se davon ausgehen können, dass die klassische journalistische Tätigkeit für die Meinungs- und gerade auch die Informationsfreiheit von größerer Bedeutung ist, als die bloße Informationsvermittlung über Bewertungsportale. Darüber hinaus stellt sich auch die Frage, weshalb die klassisch journalistisch-redaktionelle Tätigkeit äußerungsrechtlich einen weiterreichenden Schutz genießen sollte, als sonstige Meinungsäußerungen. Man darf im konkreten Fall auch nicht übersehen, dass das Oberlandesgericht Köln mit einer Löschung sämtlicher Daten eines Arztes auch die Löschung von Bewertungen verfügt, die äußerungsrechtlich nicht zu beanstanden sind, was zudem dazu führt, dass der betreffende Arzt auf Jameda gar nicht mehr bewertet werden kann. Das bewirkt aber dann genau den Effekt, den Art. 5 GG und Art. 11 der Grundrechtecharta verhindern wollen, nämlich, dass sich jemand mit Blick auf seine berufliche Betätigung der öffentlichen Kritik entziehen kann. Der Verbotsausspruch des OLG Köln stellt einen empfindlichen Eingriff in die Grundrechte unterschiedlicher Beteiligter dar, der sich am Ende auf eine Differenzierung zwischen journalistischer und nichtjournalistischer Betätigung in einem meinungsrelevanten Kontext stützt, was aus grundrechtlicher Sicht nicht maßgeblich sein kann.

Vor diesem Hintergrund hat auch der EuGH (Urteil vom 14.02.2019, Az.: C-345/17) entschieden, dass selbst das Einstellen eines Videos durch eine Privatperson, das einen fragwürdigen Polizeieinsatz dokumentiert, als journalistisch zu betrachten ist, wenn die Veröffentlichung ausschließlich zum Ziel hat, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten.

Wenn man dieses Begriffsverständnis des EuGH zugrunde legt, kann die Schlussfolgerung für Bewertungsportale nur die sein, dass man zunächst davon auszugehen hat, dass die Nutzerbewertungen, die Jameda veröffentlicht, eine journalistische Tätigkeit der Nutzer im Sinne der Rechtsprechung des EuGH darstellen, gegen die datenschutzrechtliche Einwände nicht durchgreifend sind. Auch in der juristischen Literatur wird mittlerweile die Ansicht vertreten, dass Nutzerbewertungen, die Informationen, Meinungen und Ideen in der Öffentlichkeit verbreiten, dem Medienprivileg unterfallen müssen (Michel, ZUM 2018, 836, 839).

Das bedeutet dann aber auch, dass äußerungsrechtlich zulässige Bewertungen nicht auf Grundlage datenschutzrechtlicher Erwägungen gelöscht werden dürfen. Wenn man eine solche Löschung vom Nutzer selbst nicht verlangen könnte, kann man sie aber auch nicht vom Portalbetreiber verlangen. Ansonsten gestattet man immer die Verkürzung von Grundrechten über die Hintertür. Nach der Logik der Presso-Grosso Entscheidung des BVerfG muss man deshalb Intermediäre wie die Betreiber von Bewertungsportalen, die eine notwendige Hilfstätigkeit dafür erbringen, dass solche Bewertungen überhaupt möglich sind, im selben Umfang wie den Äußernden selbst in den Schutzbereich der Meinungsfreiheit einbeziehen. Das bedeutet, dass sich solche Intermediäre auch auf das Medienprivileg berufen können.

Das OLG Köln hat den Anspruch der Kläger auf Löschung des ohne Einwilligung eingerichteten Profils auf §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 f) DSGVO gestützt. Diese rechtliche Bewertung ist deshalb unrichtig, weil sich auch Jameda auf das Medienprivileg stützen kann und deshalb weder eine Löschung ganzer Ärzteprofile verlangt werden kann, noch eine Löschung von Bewertungen, die nach allgemeinen Kriterien äußerungsrechtlich nicht zu beanstanden sind.

Man muss mit Blick auf die erstinstanzlichen Urteile des Landgerichts Köln dennoch hervorheben, dass dieses weitgehend aufgehoben wurden.

Hinweis: Die Kanzlei SSB, für die ich mittlerweile anwaltlich tätig bin, hat Jameda in dem Verfahren vor dem OLG Köln vertreten.

posted by Thomas Stadler at 22:27  

7.10.19

Die Cookie-Entscheidung des EuGH wird überschätzt

Nach der medial ausführlich besprochenen Entscheidung des Europäischen Gerichtshofs (Urteil vom 01.10.2019, Az.: C‑673/17) zu Cookies („Planet 49“) war vielerorts, beispielsweise bei Heise, zu lesen, dass Cookies künftig nur noch mit ausdrücklicher Einwilligung des Nutzers gesetzt werden dürften.

Mit dieser Frage hat sich der EuGH aber gar nicht explizit beschäftigt, weil der vorlegende BGH nicht danach gefragt hatte.

Vordergründig hat der EuGH nur entschieden, dass eine datenschutzrechtliche Einwilligung online nur im Wege eines Opt-In erfolgen kann und eine Opt-Out-Lösung nicht ausreichend ist. Das gilt für Einwilligungen im Sinne der weiterhin geltenden ePrivacy-Richtlinie ebenso wie für die Einwilligung nach der Datenschutzgrund-Verordnung (DSGVO). Zudem stellt der EuGH klar, dass der Anwendungsbereich der ePrivacy-Richtlinie nicht auf personenbezogene Daten beschränkt ist, sondern sich der Schutz vielmehr auf alle in Endgeräten der Nutzer gespeicherten Informationen erstreckt, unabhängig davon, ob es sich um personenbezogene Daten handelt.

Ob dem EuGH die Tragweite dieser Aussage bewusst war, darf man bezweifeln. Denn am Ende müsste dies dazu führen, dass jede Form der (Zwischen-)Speicherung auf dem Gerät des Nutzers zunächst einwilligungsbedürftig wäre. Der Ausweg wäre in diesem Fall nur noch Art. 5 Abs. 3 S. 2 der ePrivacy-RL, wenn die Speicherung allein dem Zweck dient, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen oder zu erleichtern oder, soweit dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen. In diesen Fällen ist keine Einwilligung nötig.

Mangels entsprechender Vorlagefragen hat sich der EuGH aber nicht mit der Frage befasst, wann ein Cookie „unbedingt erforderlich“ im Sinne von Art. 5 Abs. 3 der ePrivacy-RL ist. Session Cookies, die für einen Bestellprozess eingesetzt werden dürften aber hierunter fallen, ebenso wie Cookies, die einem Log-In-Prozess dienen.

Nicht beantwortet hat der EuGH zudem die Frage, ob ein Tracking bzw. das Setzen von Cookies auch auf andere Gestattungstatbestände als die Einwilligung gestützt werden kann, insbesondere auf Art. 6 Abs. 1 lit. f) DSGVO und mithin ein berechtigtes Interesse ausreichen kann. Nun lassen sich möglicherweise die Ausführungen des EuGH z.B. in Rn. 46 des Urteils schon derart interpretieren, dass der Gerichtshof auf Cookies ausschließlich Art. 5 der ePrivacy-RL anwenden will. Andererseits hat die Vergangenheit gezeigt, dass man einzelne Passagen aus Entscheidungen des EuGH, die nicht unmittelbar für die Vorlagefrage relevant sind, auch nicht überbewerten sollte.

Ob das Urteil also tatsächlich die Bedeutung hat, die ihm öffentlich beigemessen wird, darf bezweifelt werden. Klar ist lediglich, dass eine Opt-Out-Lösung bei Cookies künftig keine Option mehr darstellt.

Die fortbestehende Rechtsunsicherheit resultiert vor allem daraus, dass es dem Europäischen Gesetzgeber nicht gelungen ist, zeitgleich zur DSGVO die geplante ePrivacy-Verordnung in Kraft zu setzen, die derartige Fragen regeln müsste. Dieser Umstand verstärkt auch die Neigung im Zweifel alles über eine Einwilligung des Nutzers lösen zu wollen, was wiederum eine Pop-Up- und Wegklick-Logik nach sich zieht, die am Ende faktisch kaum zu einem besseren Schutz führen wird.

posted by Stadler at 17:38  

16.4.19

Die Datenschutzkonferenz zum Tracking

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht, die sich primär mit der Zulässigkeit des sog. Tracking befasst.

Das Papier erläutert zunächst, dass die datenschutzrechtlichen Vorschriften des TMG keine Anwendung mehr finden und auch die ePrivacy-Richtlinie die Dienstanbieter nicht unmittelbar verpflichtet, weshalb mit Blick auf die Datenverarbeitung von Diensteanbietern allein auf die Regelungen der Datenschutz-Grundverordnung (DSGVO) abzustellen ist.

Die DSK stellt das „Tracking“ in den Mittelpunkt ihrer Betrachtung, worunter sie die Datenverarbeitungen zu einer in der Regel websiteübergreifenden Nachverfolgung des individuellen Nutzerverhaltens versteht.

Die DSK stellt dar, dass die Datenverarbeitung in Fällen des Tracking aufgrund von drei Erlaubnistatbestände in Betracht kommt. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Vertrag (Art. 6 Abs. 1 lit. b) und Interessenabwägung (Art. 6 Abs. 1 lit. f).

Zum Thema Einwilligung wird erläutert, dass durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website oder einer App eine wirksame Einwilligung für einwilligungsbedürftige Datenverarbeitungen eingeholt werden kann, wobei betont wird, dass Cookies nicht per se einer Einwilligung bedürfen. Die Einwilligung erfordert in jedem Fall ein Opt-In.

Interessant sind aus meiner Sicht die Erläuterungen der Behörden zu Art. 6 Abs. 1 lit. f) DSGVO. Ganz allgemein wird dazu ausgeführt:

Ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln:

1.Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten

2.Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen

3.Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall.

Hier stellt sich mir die Frage, wie diese Vorgaben beim Einsatz automatisierter Tracking-Tools, die ja jeden Besucher der Website in gleicher Weise tracken, umgesetzt werden können, wenn doch eine Interessenabwägung im konkreten Einzelfall erfolgen muss. Die Software kann nicht abwägen. Insbesondere die 3. Stufe kann also beim Einsatz von Tracking-Tools jedenfalls nicht für den konkreten Einzelfall umgesetzt werden. An dieser Stelle sind wir bei einem generellen Problem des Datenschutzes bei Internetsachverhalten angelangt. Bei Massenphänomenen wie dem Tracking, ist eine Abwägung mit den Interessen der konkret betroffenen Person im Einzelfall gar nicht möglich. Gleichwohl tut man so, als würde man dennoch eine solche Abwägung vornehmen.

An diesem Punkt wird überdeutlich, dass die DSGVO nicht internettauglich ist und auch nicht in der Lage ist, typische Online-Datenverarbeitungsvorgänge zu erfassen. Das Kriterium der Abwägung im Einzelfall kann beim Tracking nicht zielführend sein. Vielmehr müssten allgemeingültige Kriterien definiert werden, die gerade unabhängig vom Einzelfall, den man von Ausnahmen abgesehen, in aller Regel gar nicht kennt, gelten. Ob die geplante ePrivacy-Verordnung diese Lücke sachgerecht schließen kann, bleibt abzuwarten.

Da in Fällen des Tracking eine Abwägung der Interessen des konkret betroffenen Nutzers, vor der Datenerhebung, letztlich nicht möglich ist, müsste dies konsequenterweise bedeuten, dass sich das Tracking nie auf den Gestattungstatbestand von Art. 6 Abs. 1 lit. f) stützen ließe. Diese Schlussfolgerung zieht das Papier allerdings nicht. Denn sonst wäre die Prüfung beendet und die Schlussfolgerung müsste lauten, dass das derzeit geltende Recht über keine geeignete Regelung verfügt und Tracking regelmäßig unzulässig ist.

Dass die DSK viele Fälle des Trackings gleichwohl als kritisch einstuft, zeigen die im Papier erläuterten Beispielsfälle.

posted by Thomas Stadler at 06:51  

25.3.19

Die Grenzen zwischen Lobbyismus und Journalismus verschwimmen

Mit der morgigen Abstimmung im Europäischen Parlament zur Urheberrechtsrichtlinie geht (vielleicht) eine bislang in dieser Form noch nicht dagewesene Lobbykampagne zu Ende, die leider auch vor den etablierten Medien nicht Halt macht.

Den publizistischen Tiefschlag liefern mit Heribert Prantl und Andrian Kreye ausgerechnet zwei der bekanntesten Journalisten der Süddeutschen Zeitung. Während Kreye meint: „Ihr unterstützt datengierige US-Konzerne“, um anschließend, die These aufzustellen, es ginge um Datensouveränität, spitzt Prantl noch stärker zu:

Aber die Vorwürfe stimmen nicht, es handelt sich um Lügen und Finten der Internet-Großkonzerne. Sie haben die Netzgemeinde mit diesen Lügen eingewickelt. Diese Konzerne tarnen ihre Geschäftsinteressen mit heuchlerisch idealistischem Gerede.

Hätte sich Prantl nur ein kleinwenig mit dem Thema befasst, dann wäre ihm nicht entgangen, dass sich eine Vielzahl führender Fachleute unterschiedlicher Disziplinen kritisch bis ablehnend mit dem Gesetzesvorhaben auseinandergesetzt haben. Reto Hilty und Valentina Moscon, Rechtswissenschaftler am Max-Planck-Institut für Immaterialgüter- und Wettbewerbsrecht in München, gehen davon aus, dass die Richtlinie ihre zentrale Zielsetzung über weite Strecken verfehlt. Hannes Federrath, Präsident der Gesellschaft für Informatik und einer der führenden Wissenschaftler auf dem Gebiet der Informationssicherheit appellierte an die EU-Abgeordneten, die Richtlinie abzulehnen.

Kreye hätte sich beispielsweise mit der Veröffentlichung des Datenschutzrechtlers Malte Engerer befassen können, der in einem aktuellen Beitrag Art. 17 (vormals Art. 13) der geplanten Richtlinie für unvereinbar mit Art. 7 und 8 der Grundrechtecharta und der Datenschutz-Grundverordnung hält. Wenn man auf die Website der Süddeutschen geht, wird der aufmerksame Nutzer bemerken, dass er von einer zweistelligen Anzahl an Tracking-Tools erfasst wird, was bei mir natürlich die Frage aufwirft, ob ich mich lieber datengierigen deutschen Verlagen aussetzen will – gegen die deutsche Aufsichtsbehörden interessanterweise nach wie vor nicht vorgehen – oder amerikanischen Großkonzernen. Noch bin ich unentschieden, aber in puncto Heuchelei sehe ich derzeit einen leichten Vorsprung deutscher Zeitungsverlage gegenüber Google & Co.

In einem eigenen Blogbeitrag hatte ich sechs gängigen Thesen der Befürworter der Richtlinie widersprochen. Womit ich mich nicht auseinandergesetzt habe, war die zentrale These der Befürworter, man müsse diese Richtlinie unterstützen, um für eine bessere Vergütung der Kreativen zu sorgen. Wem das ein ernsthaftes Anliegen ist, der darf sich, anders als Prantl und Kreye, auch dem Reality-Check nicht verweigern. Nichts in dieser Richtlinie wird die Vergütungssituation der Urheber verbessern, denn dafür fehlt es schlicht an den notwendigen Regelungen. Die geplante Vorschrift des Art. 16 (vormals Art. 12) normiert vielmehr folgendes:

Die Mitgliedstaaten können festlegen, dass für den Fall, dass ein Urheber einem Verleger ein Recht übertragen oder ihm eine Lizenz erteilt hat, diese Übertragung oder Lizenzierung eine hinreichende Rechtsgrundlage für den Anspruch des Verlegers auf einen Anteil am Ausgleich für die jeweilige Nutzung des Werkes im Rahmen einer Ausnahme oder Beschränkung für das übertragene oder lizenzierte Recht darstellt.

Was harmlos klingt, ist ein Bruch mit der jüngeren Rechtsprechung des BGH, der entschieden hat, dass die Verwertungsgesellschaft VG Wort keinen pauschalierten Verlegeranteil an Verlage abführen darf, sondern vielmehr alles an den Autor/Urheber auszuschütten hat. Die Neuregelung schafft die Voraussetzung dafür, dass künftig wieder an Verlage ausgekehrt werden und damit der Anteil des Autors reduziert werden kann. Ein Ergebnis des Lobbyismus der Verlage, das sich unmittelbar zum Nachteil von Autoren/Journalisten auswirken wird. Es ist deshalb auch kein Zufall, dass sich die Freischreiber, ein Berufsverband freier Journalisten und Autoren, gegen die Richtlinie aussprechen.

Und man sollte an dieser Stelle auch nicht verschweigen, dass es die deutsche Verlagslobby war, die, zusammen mit dem öffentlich-rechtlichen Rundfunk eine angemessene Vergütung ihrer Journalisten und Autoren verhindert hat. Es ist also keineswegs so, dass die Interessen der Autoren zwangsläufig mit denen der Verlage deckungsgleich sind, auch wenn dies gerne behauptet wird.

Jedenfalls dann, wenn man ein Mindestmaß an journalistischer Sorgfalt beachten will, ist es geboten, sich mit diesen Positionen auseinanderzusetzen, anstatt so zu tun, als wären die Gegner der Richtlinie samt und sonders von amerikanischen Großkonzernen fehlgeleitete Naivlinge. Aber es geht bei Prantl und Kreye offenbar nicht mehr darum, Argumente zu widerlegen und den konstruktiven Widerspruch zumindest zu versuchen. Ihre Texte enthalten keine Zwischentöne mehr, kein Pro und Contra, keine Abwägung. Die Technik dieser beiden Journalisten ist vielmehr die Diffamierung derjenigen, die man als Gegner ausgemacht hat, unter Ausblendung sämtlicher Sachargumente.

Dieses mediale Phänomen, für das Kreye und Prantl nur exemplarisch stehen, wird flankiert und befeuert von einer politischen Desinformationskampagne, die zumindest hierzulande alles in den Schatten stellt, was es bisher gab. Abgeordnete, vornehmlich der Union hatten u.a. behauptet, Beschwerde-E-Mails kämen von Bots und amerikanische Unternehmen würden Demonstranten kaufen und bezahlen.

Das was wir hier beobachten können, ist nichts anderes als eine Form des Dirty Campaignings, bei dem die Grenzen zwischen politischem Lobbyismus und Journalismus verschwimmen. Diese Form der politischen und medialen Auseinandersetzung scheint endgültig auch hierzulande angekommen zu sein und sie benutzt dieselben Techniken, die einen Trump an die Macht gebracht und den Brexit ermöglicht hat. Diejenigen, die sich wie ein Prantl auf die Aufklärung berufen, sollten einen Moment innehalten. Denn die einzig vernünftige Schlussfolgerung besteht in der Ablehnung dieses Richtlinienvorschlags. Nur das bietet die Chance, dass es doch noch zu einer sinnvollen und zukunftsorientierten Regelung kommen kann. Das würde allerdings voraussetzen, dass auf die Fachleute gehört wird und nicht nur auf die Lobbyisten der Verlage und Rechteverwerter. Auch die Zivilgesellschaft wäre in diese Debatte einzubeziehen. Denn es geht um weit mehr als um urheberrechtliche Fragen. Und am Ende würde man vielleicht sogar an den Punkt kommen, dass Google mehr zahlen muss als bisher. Aber in überwiegendem Maß an die Urheber und nicht an die Rechteinhaber und auf Basis eines auch für die Allgemeinheit akzeptablen Regelwerks.

posted by Stadler at 22:52  

8.3.19

Auf Datenschutzklauseln in AGB verzichten?

Eine aktuelle Entscheidung des Kammergerichts ( Urteil v. 27.12.2018, Az.: 23 U 196/13) bewertet mehrere Klauseln aus der „Datenschutzrichtlinie“ von Apple als unwirksame AGB.

Das Gericht unterwirft die Datenschutzrichtlinie von Apple der AGB-Kontrolle, weil es davon ausgeht, dass Apple den Eindruck erweckt, es würde sich nicht bloß um Datenschutzinformationen, sondern um (verbindliche) vertragliche Regelungen handeln.

Das Kammergericht führt hierzu u.a. aus:

Die vom Kläger beanstandeten Klauseln können ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden. Bereits die Überschrift des Klauselwerks („Apple Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten. (…)

Das Argument der Beklagten, dass die streitgegenständliche Datenschutzrichtlinie nicht zum Gegenstand einer Einwilligung gemacht, sondern lediglich informatorisch auf sie verwiesen werde und an keiner Stelle der vom Kläger beanstandeten Bestimmungen davon die Rede sei, dass der Verbraucher in eine Datenverarbeitung einwillige, wendet sich letztlich gegen sie. Denn darin liegt gerade die unzulässige Abweichung der Klauseln von der gesetzlichen Regelung, dass sie dem Verbraucher den unzutreffenden Eindruck vermitteln, dass die Beklagte zur Verarbeitung personenbezogener Daten berechtigt sei, ohne dass es auf dessen Einwilligung ankomme.

Auch das weitere Argument der Beklagten, dass sie mit der Bereitstellung der Datenschutzrichtlinie lediglich ihrer gesetzlichen Pflicht zur vollständigen und zutreffenden Unterrichtung der Verbraucher über ihre Datenverarbeitungspraxis genügt habe, liegt neben der Sache. Denn eine zutreffende Unterrichtung über geübte Datenverarbeitungspraktiken macht diese nicht rechtmäßig. Sie erzeugt und nährt bei dem Verbraucher lediglich die Fehlvorstellung, dass die geübten Datenverarbeitungspraktiken keiner Einwilligung bedürfen und allein deswegen rechtmäßig seien, weil die Beklagte in ihrer „Datenrichtlinie“ über sie unterrichtet.

Diese Entscheidung zeigt, dass man bloße informatorische Hinweise, mit denen man beispielsweise seinen Informationspflichten nach Art. 12 ff. DSGVO erfüllt, nicht in AGB einbetten sollte. Denn solche Datenschutzhinweise regeln nichts. Sobald man den Eindruck erweckt, es würde sich um vertragliche Vereinbarungen handeln, unterliegt man der AGB-Kontrolle. Dies ist speziell bei datenschutzrechtlichen Klauseln auch deshalb kritisch, weil sich dann die Folgefrage stellt, ob damit beabsichtigt ist, eine Datenverarbeitung durch eine Einwilligung des Betroffenen zu legitimieren. Auch wenn eine solche Einwilligung im Rahmen von AGB nicht per se ausgeschlossen ist, müssen die Anforderungen von Art. 7 DSGVO erfüllt sein, was auf Klauseln, die in ein AGB-Werk eingebettet sind, häufig nicht zutreffen wird.

Man sollte also darauf achten, dass man seine Datenschutzerklärung und seine AGB stritk trennt, um bloße Datenschutzinformationen nicht ohne Not einer AGB-Kontrolle zu unterwerfen.

posted by Thomas Stadler at 18:57  
Nächste Seite »