Internet-Law

Onlinerecht und Bürgerrechte 2.0

10.11.17

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht

Das Kammergericht hat ein Urteil des Landgerichts Berlin bestätigt, das es Facebook (Irland) untersagt, Spiele so zu präsentieren, dass der Nutzer mit dem Betätigen des Buttons „Spiel spielen“ die Erklärung abgibt, einer Übermittlung personenbezogener Daten an den (externen) Betreiber des Spiels zuzustimmen. Unwirksam ist nach Auffassung des Gerichts zudem eine Klausel, die es dem Betreiber des Spiels gestattet, im Namen des Nutzers auf Facebook zu posten. (Urteil des KG vom 22.09.2017, Az.: 5 U 155/14). Das Gericht geht davon aus, dass eine hinreichende Einwilligung des Nutzers in die Datenverarbeitung nicht erteilt wird.

Das Interessante an dem Urteil ist vor allem, dass das Kammergericht die Anwendung deutschen Datenschutzrechts bejaht, weil es Facebook Deutschland als eine Niederlassung von Facebook Ireland betrachtet. Das genügt, um die Datenverarbeitung als im Rahmen der Tätigkeit der Zweigniederlassung anzusehen, selbst dann, wenn die Daten nicht von der deutschen Niederlassung verarbeitet werden.

posted by Stadler at 08:29  

26.6.17

Nutzung von WhatsApp illegal und müssen Eltern die Nutzung des Messengers unterbinden?

Eine Entscheidung eines hessischen Familiengerichts (Beschluss des AG Bad Hersfeld vom 15.05.2017, Az.: F 120/17 EASO) verursacht gerade mächtig Aufruhr. Denn das AG Bad Hersfeld geht davon aus, dass jeder Nutzer von WhatsApp durch die Nutzung des Messengers laufend Rechtsverletzungen begeht und, dass Eltern, deren minderjährige Kinder WhatsApp nutzen, verpflichtet sind, bei allen Kontakten, die im Adressbuch des Smartphones des Kindes gespeichert sind, schriftliche Zustimmungserklärungen für die Datenübermittlung an den Dienst einzuholen. Werden diese Erklärungen dem Gericht nicht vorgelegt, müssen die Eltern die App vom Smartphone des Kindes löschen. Hintergrund der Auseinandersetzung ist folgende Klausel in den Nutzungsbedingungen von WhatsApp:

Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.

Vorausschicken möchte ich, dass ich kein Familienrechtler bin und deshalb nicht zu spezifisch familienrechtlichen Aspekten Stellung nehmen kann.

Der Ausgangspunkt, dass das Auslesen der Kontaktdaten eines Nutzers durch WhatsApp (Facebook) illegal ist, dürfte kaum zu beanstanden sein. Die entsprechende Regelung in den Nutzungsbedingungen des Dienstes ist sowohl als überraschende Klausel (§ 305 c BGB) als auch wegen Verstoß gegen wesentliche Grundgedanken des Gesetzes (§ 307 Abs. 2 BGB) unwirksam. Unabhängig davon, verschafft sich WhatsApp Daten Dritten ohne ausreichende rechtliche Grundlage.

Schon schwieriger wird es allerdings bei der Frage, ob der Nutzer von WhatsApp eine Rechtsverletzung begeht. Das Gericht lehnt die Anwendung des BDSG ausdrücklich ab, bejaht dann aber eine Verletzung des allgemeinen Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung, worin es zivilrechtlich eine unerlaubte Handlung i.S.v. § 823 BGB sieht. An dieser Stelle thematisiert das Gericht allerdings nicht, ob es den Nutzer hier als Täter oder Teilnehmer ansieht. Dieser Aspekt ist schon deshalb von Bedeutung, weil es eine fahrlässige Beihilfe nicht gibt. Nachdem das Gericht in seiner Entscheidung mehrfach von Fahrlässigkeit spricht, deutet dies daraufhin, dass es von einer Täterschaft des Nutzers ausgeht. Dies ist allerdings wegen der passiven Rolle des Nutzers bedenklich. Die Tathandlung des Auslesen von Daten wird durch WhatsApp begangen. Nach überkommener Dogmatik käme ergänzend auch eine Haftung als Störer für die fremde Rechtsverletzung in Betracht. Hierfür müsste man dann aber eine Verletzung zumutbarer Prüfpflichten durch das Kind annehmen. Die Annahme des Gerichts, das Kind würde eine tatbestandsmäßige und rechtswidrige unerlaubte Handlung begehen, kann man also durchaus in Zweifel ziehen. Andererseits wären möglicherweise, entgegen der Ansicht des Gerichts, datenschutzrechtliche Grundsätze anzuwenden gewesen.

Die weitere Annahme des Gerichts, es bestünde die Gefahr, dass das Kind durch andere Personen abgemahnt und zur Unterlassung aufgefordert wird, erscheint nach der bisherigen Rechtspraxis zumindest noch fernliegend. Derartige Abmahnungen sind mir bislang jedenfalls nicht bekannt.

Ob die sehr weitreichenden Anordnungen des Gerichts familienrechtlich statthaft sind, möchte ich nicht beurteilen.

posted by Stadler at 22:26  

16.5.17

Wieder mal: IP-Adressen als personenbezogene Daten

Der BGH hatte (erneut) die Frage zu entscheiden, ob die vom Betreiber eines Webservers geloggten IP-Adressen der Nutzer der Website als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind. Der BGH hatte die Frage zunächst an den EuGH vorgelegt und nach der Entscheidung des EuGH nunmehr in der Sache entschieden (Urteil vom 16. Mai 2017 – VI ZR 135/13).

In seiner heutigen Entscheidung bejaht der BGH den Personenbezug von IP-Adressen aus Sicht des Betreibers des Webservers. In der Pressemitteilung des Bundesgerichtshofs heißt es dazu:

Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.

Auch wenn bislang lediglich die Pressemitteilung vorliegt, darf man bezweifeln, dass der BGH die Rechtsprechung des EuGH damit korrekt umsetzt. Denn die Vorlagefrage zum Personenbezug von IP-Adressen hatte der EuGH folgendermaßen beantwortet:

Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.

Entscheidend ist also, ob der Betreiber des Onlinediensts/Webservers über rechtliche Mittel verfügt, die es ihm erlauben, mithilfe des Access-Providers die Nutzer zu identifizieren. Solche rechtlichen Mittel gibt es in Deutschland allerdings nicht allgemein, sondern nur in Ausnahmefällen aufgrund puntktueller gesetzlicher Regelungen wie z.B. § 101 Abs. 2 und Abs. 9 UrhG oder im Falle von strafbarem Verhalten über den Umweg als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können. Grundsätzlich verfügt der Betreiber eines Webservers also nicht über die rechtlichen Mittel, einen User anhand der IP-Adresse zu identifizieren.

posted by Stadler at 12:23  

30.3.17

Auskunftsanspruch gegen Facebook & Co.?

Zu dem geplanten Netzwerkdurchsetzungsgesetz, das ich erst kürzlich kritisch beleuchtet habe, liegt nunmehr ein weiterer, geänderter Referentenentwurf vor, der den Katalog derjenigen Inhalte, die das Gesetz als rechtswidrig qualifiziert erweitert und zudem – jedenfalls nach Ansicht des BMJ und einiger Blogs – den Weg hin zu einem zvilrechtlichen Auskunftsanspruch bei Persönlichkeitsrechtsverletzung ebnen soll. Dies soll erreicht werden, indem § 14 Abs. 2 TMG um die Wörter „oder anderer absolut geschützter Rechte“ ergänzt wird.

Insoweit ist zunächst zu beachten, dass § 14 Abs. 2 TMG unstreitig keinen Auskunftsanspruch begründet, sondern lediglich eine datenschutzrechtliche Gestattung des Anbieters darstellt, die es Facebook & Co. erlauben würde, Bestandsdaten eines Nutzers an eine zuständige Stelle zu übermitteln. Der BGH hat in einer Entscheidung zu Bewertungsportalen (Urteil vom 1.7.2014, Az.: VI ZR 345/13) die Auffassung vertreten, dass bei Persönlichkeitsrechtsverletzungen zwar grundsätzlich ein Auskunftsanspruch auch gegen den Portalbetreiber aus § 242 BGB in Betracht kommt, aber einem solchen Auskunftsanspruch das Gebot der engen datenschutzrechtlichen Zweckbindung (§ 12 Abs. 2 TMG) entgegen stünde. Wer jetzt allerdings glaubt, ein solcher Auskunftsanspruch ließe sich bereits begründen, indem man die datenschutzrechtliche Gestattung des § 14 Abs. 2 TMG erweitert, übersieht gleich mehrere Aspekte.

Die Vorschrift des § 14 Abs. 2 TMG ist ersichtlich auf Behörden ausgelegt, was sich bereits aus dem Wortlaut „auf Anordnung der zuständigen Stelle“ und die anschließende Aufzählung hoheitlicher Aufgaben ergibt. Da es sich um einen Ausnahmetatbestand handelt, ist die Vorschrift entgegen anderslautender Ansichten auch nicht analogiefähig. Die vom BMJ geplante Erweiterung führt also nur dazu, dass der Anbieter befugt ist, Bestandsdaten an Behörden herauszugeben. Eine Öffnungsklausel, die eine Datenweitergabe an private Anspruchsteller ermöglichen würde, stellt § 14 Abs. 2 TMG folglich nicht dar.

Eine solche Auslegung stünde auch in Konflikt mit § 13 Abs. 6 TMG, der den Anbieter grundsätzlich dazu verpflichtet, dem Nutzer eine anonyme oder pseudonyme Nutzung des Dienstes zu ermöglichen. Es stellt einen Wertungswiderspruch dar, von einem Anbieter Auskunft über die Person eines Nutzers zu verlangen, dessen Anonymität er gleichzeitig wahren und gewährleisten soll. Dieses Problem wird übrigens auch in der genannten Entscheidung des BGH angerissen, aber vom BGH nicht weitergehend erörtert.

Darüber hinaus wäre es auch die falsche Schlussfolgerung aus der Entscheidung des BGH, anzunehmen, gegen einen Portalbetreiber wie Facebook ließe sich aus § 242 BGB ein uneingeschränkter Auskunftsanspruch ableiten. Der Auskunftsanspruch ist seinem Wesen nach ein Hilfsanspruch, der der Durchsetzung eines Hauptanspruchs dient, also regelmäßig eines Unterlasungs- und/oder Schadensersatzanspruchs. Voraussetzung eines Auskunftsanspruchs, gerade aus § 242 BGB, ist allerdings das Bestehen des Hauptanspruchs. Soweit es um Portalbetreiber geht, besteht allerdings die Besonderheit, dass ihre Haftung auf Schadensersatz nach § 10 TMG und die Haftung auf Unterlassung nach den Grundsätzen der Störerhaftung eingeschränkt ist. Eine uneingeschränkte Haftung des Diensteanbieters tritt erst ein, wenn er nach Kenntnis von einer Rechtsverletzung nicht unverzüglich handelt und den beanstandeten Inhalt nicht entfernt. Wenn also zunächst nur ein eingeschränkter Hauptanspruch besteht, ist es nicht naheliegend, dem Portalbetreiber sogleich einen uneingeschränkten Auskunftsanspruch aufzuerlegen. Der Auskunftsanspruch muss nämlich derselben Haftungsprivilegierung unterliegen. In der Entscheidung des BGH, auf die sich das BMJ bezieht, hat sich diese Frage nicht gestellt, denn das Bewertungsportal hatte gerade nicht reagiert und wurde daher rechtskräftig zu einer vollständigen Unterlassung verurteilt.

Wenn das BMJ meint, durch eine bloße Ergänzung des § 14 Abs. 2 TMG ließe sich faktisch ein zivilrechtlicher Auskunftsanspruch bei Persönlichkeitsrechtsverletzungen begründen, so ist es einem juristischen Irrtum aufgesessen. Wenn der politische Wille vorhanden ist, einen Auskunftsanspruch auch für solche Fälle zu schaffen, wie es beispielsweise der Deutsche Richterbund fordert, dann müsste der Gesetzgeber einen solchen Auskunftsanspruch positiv normieren und zusätzlich eine klare datenschutzrechtliche Gestattung schaffen. Was wir stattdessen sehen, ist nur ein weiterer handwerklicher Mangel eines insgesamt nicht wirklich stimmigen Gesetzesentwurfs.

posted by Stadler at 16:32  

6.12.16

Fordern kann man viel… – zur sog. Charta für digitale Grundrechte

Von Dr. Arnd-Christian Kulow und Thomas Stadler

Am 30.11.2016 hat eine Initiative von Netzaktivisten, Politikern, Wissenschaftlern und Autoren den Entwurf einer „Charta der Digitalen Grundrechte der Europäischen Union“ vorgestellt.

Wir entsprechen dem Wunsch der Initiatoren und kommentieren den Vorschlag nachfolgend. „Gewogen und für zu leicht befunden“ ist vielleicht noch das mildeste Verdikt, jedenfalls von juristischer Seite. Die im einzelnen geäußerte und höchst berechtigte Kritik soll hier allerdings nicht nochmals vollständig wiederholt werden. Wir haben am Textende einige weiterführende Links zu kritischen Anmerkungen aufgenommen.

Die grundlegende Frage die sich uns stellt ist, ob das Vorgehen der Initiatoren als solches überhaupt hilfreich war und ist oder eher nicht. Um die Antwort vorwegzumehmen: Diese Charta ist nicht geeignet, die Grundrechte im digitalen Zeitalter zu stärken und sollte daher nicht weiter verfolgt werden. Eine öffentliche Debatte jedenfalls dieses Textes halten wir nicht für zielführend.

Wir unterstellen eine gute Absicht bei den Initiatoren und ja, die Digitalisierung wirft Fragen auf, die auch das Recht beantworten muss. Eine „Charta“ zu entwerfen, ist eine Möglichkeit einen Diskurs anzustoßen. Andern Orts ist schon gesagt worden, dass die Charta mit „digitalen“ Grundrechten allerdings etwas fordert, was es nicht gibt. Nein, das ist keine Beckmesserei, sondern mahnt sprachliche Klarheit an, die gerade bei solchen Texten notwendige Bedingung der Wirksamkeit ist.

Die Charta ist in doppelter Hinsicht anmaßend. Sie kombiniert Elemente des deutschen Grundgesetzes mit denen der Charta der Grundrechte der Europäischen Union, berücksichtigt aber in keinster Weise verfassungsjuristisches Handwerkszeug. Dies verwundert, sind doch renommierte Juristen unter den Initiatoren. Es ist längst verfassungsrechtliches Allgemeingut, dass Verfassungstexte und diesen nachempfundene „Charten“ Textstufen durchlaufen. In rechtlichen Kontexten, zumal wenn sie Neuland betreten ist „robustes“ Arbeiten angesagt und nicht mehr oder weniger freies Assoziieren.

Was hätte die Verfasser also tun sollen?

Es wäre zunächst eine Bestandsaufnahme von Grundrechten und einfachgesetzlichen Regelungen mit Bezug auf digitale Sachverhalte in allen Verfassungen und Rechtsordnungen der EU-Mitgliedstaaten durchzuführen gewesen. Brauchen wir überhaupt „digitale Grundrechte“ oder genügen uns die vorhandenen vollauf? So haben ja bekanntlich der Bundesgerichtshof und das Bundesverfassungsgericht mit dem Allgemeinen Persönlichkeitsrecht schon sehr früh ein unbenanntes Grundrecht geschaffen, das gleichwohl in der Lage ist, auf neue Fragen der Digitalisierung zu antworten: das Grundrecht auf informationelle Selbstbestimmung und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zeugen davon.

In einem zweiten Schritt hätte dann eine Defizitanalyse, bzw. wertende Rechtsvergleichung stattfinden müssen, um festzustellen, welche Lücken vorhanden sind und wie diese geschlossen werden können.

Die so gefundenen Ergebnisse hätte man anschließend mit dem Ziel einer Präzisierung bestehender Grundrechte sowohl in Fachkreisen als auch generell öffentlich diskutieren können. An einer derart strukturierten, methodischen Vorgehensweise fehlt es ganz augenscheinlich aber vollständig.

Was hat man stattdessen getan?

Die Verfasser versuchen, parallel zur bereits vorhandenen Grundrechtecharta der EU eine zweite (vollständige) Charta der digitalen Grundrechte zu schaffen, wobei beide offenbar gleichberechtigt nebeneinander stehen sollen. Der Ansatz verwundert bereits deshalb, weil man meinen könnte, die Unterscheidung zwischen einer Online- und Offlinewelt sei zu überwinden und nicht zu vertiefen.

Gibt es etwa eine besondere Menschenwürde im digitalen Raum oder vielleicht doch nur eine einzige universelle Menschenwürde? Wer die Frage in letzterem Sinne beantwortet, wird sich der Erkenntnis nicht verschließen können, dass Art. 1 Abs. 1 des Chartaentwurfs vollständig überflüssig ist.

Das erste ernsthafte juristische Problem wirft sodann bereits Art. 1 Abs. 3 des Entwurfs auf, der postuliert, dass die Charta gegenüber staatlichen Stellen und Privaten gelten soll. Das ist in zweierlei Hinsicht bemerkenswert. Grundrechtsverpflichtete waren bislang stets nur staatliche Stellen, nachdem Grundrechte per definitionem Abwehrrechte gegenüber dem Staat sind. Träger von Grundrechten sind demzufolge (nur) Private, vorrangig natürliche Personen. Wenn man nun den Kreis der Grundrechtsverpflichteten auf Private ausdehnt, stellt dies nicht nur einen Bruch mit der bisherigen verfassungsrechtlichen Dogmatik dar, sondern wirft Folgefragen auf, die niemand mehr widerspruchsfrei wird beantworten können. Es entstünde nämlich dadurch die Situation, dass Private (zugleich) Grundrechtsberechtigte und –verpflichtete wären. Wird also das Verfassungsrecht zum Privatrecht, oder welche Bedeutung hat es, wenn Grundrechte zwischen Privaten gelten? Und wer wacht darüber? Diese Rolle wird selbstverständlich der Staat einehmen. Was das bedeutet ist klar. Die Charta macht ihn zum Leviathan: zum freiheitsfressenden Monster.

Darüber hinaus gilt die Grundrechtecharta der EU nach ihrem Art. 51 nur für Stellen der EU, für die Mitgliedsstaaten aber nur dann, wenn sie Unionsrecht durchführen. Das hat seinen  Grund darin, dass die EU keine umfassende Regelungskompetenz für alle Rechts- und Lebensbereiche besitzt und demzufolge auch keinen Grundrechtskatalog definieren kann, der uneingeschränkt für sämtliches Handeln der Mitgliedsstaaten gilt. Das soll nach Art. 1 Abs. 3 dieses Entwurfs allerdings anders sein, die Charta soll für jedwedes staatliches Handeln gelten und damit auch jegliches Handeln der Mitgliedsstaaten regeln. Das ist schlicht nicht europarechtskonform.

Die Grundkonzeption der Charta funktioniert auch bei anderen Grundrechten nicht, was wir exemplarisch anhand von Art. 5 (Meinungsfreiheit) verdeutlichen wollen. Soweit Art. 5 Abs. 1 des Entwurfs die Meinungsfreiheit auch für die digitale Welt – was ist das eigentlich? – gewährleistet, so ist dies schlicht überflüssig. Die Meinungsfreiheit ist bereits in Art. 11 der Grundrechtecharta und in sämtlichen Verfassungen der Mitgliedsstaaten gewährleistet, in Deutschland in Art. 5 GG.

Die sich anschließende Regelung in Art. 5 Abs. 2 der Digitalcharta ist je nach Lesart merkwürdig, gefährlich oder überflüssig. Eine Auslegung, die auf eine sinnvolle Regelung hindeuten könnte, erschließt sich uns derzeit nicht. Die Vorschrift fordert, dass digitale Hetze, Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden, zu verhindern sind und zwar durch die Grundrechtsverpflichteten, also durch staatliche Stellen und Private. Wenn also alle staatlichen Stellen und alle Privaten diese Pflicht trifft, ist also im Grunde jeder dazu verpflichtet das zu verhindern. Auch der Hetzer ist danach verpflichtet, sich selbst in die Schranken zu weisen. Hier zeigt sich bereits die Absurdität der Ausweitung des Kreises der Grundrechtsverpflichteten auf Private.

Was soll damit aber sachlich-inhaltlich geregelt werden? Handelt es sich um eine Schranke wie in Art. 5 Abs. 2 GG, wonach das Grundrecht auf Meinungsfreiheit seine Schranken in den allgemeinen Gesetzen, den gesetzlichen Bestimmungen des Jugend- und Ehrschutzes findet? Wenn das gemeint sein sollte, ist die Formulierung komplett misslungen. Dem Wortlaut nach soll eine unmittelbare Handlungspflicht normiert werden, was Fragen aufwirft, zumal es sich bei unbestimmten Begriffen wie Mobbing und Hetze noch nicht einmal um Rechtsbegriffe handelt. Letztlich gehört eine solche Regelung systematisch in ein einfaches Gesetz. Sie kann nicht Verfassungsrang haben, weil sonst unterbunden wird, dass  sie uneingeschränkt auch anhand des Grundrechts überprüft und an diesem gemessen wird. Hetzerische Postings sind nach unserem aktuellen Verständnis von Meinungsfreiheit, wie es durch das Bundesverfassungsgericht (BVerfG) und den Europäischen Gerichtshof für Menschenrechte (EGMR) geprägt worden ist, keineswegs per se unzulässig. Es ist ganz im Gegenteil so, dass ein freiheitlich-demokratischer Staat in diesem Bereich u.U. sehr viel von dem ertragen muss, was man als hetzerisch, rassistisch oder diskriminierend empfindet.

Darüber hinaus muss der hier zum Grundrechtsverpflichteten mutierte Private – angesprochen sind damit u.a. Betreiber von sozialen Netzen oder Meinungsportalen – auch immer die Informationsfreiheit seiner Nutzer berücksichtigen. Die Informationsfreiheit regelt Art. 5 des Entwurfs interessanterweise aber nicht, sie wird vielmehr scheinbar in Art. 2 Abs. 1 als Recht auf freie Information angesprochen. Ob damit tatsächlich die Informationsfreiheit im Sinne von Art. 5 Abs. 1 S. 1 (2. Alt.) GG und Art. 11 Abs. 1 S. 2 EU-Grundrechtecharta abgebildet wird, erscheint angesichts des Wortlauts fraglich. Wer, wie die Verfasser dieser Charta, den Anspruch hat, die Meinungsfreiheit nochmals für den Digitalbereich zu regeln, der sollte dies zumindest vollständig tun und nicht die Hälfte weglassen.

Der aktuelle Textvorschlag wirft insgesamt die Frage auf, ob die dort skizzierte Vorstellung von Meinungsfreiheit nicht möglicherweise (deutlich) hinter dem Rahmen zurückbleibt, den EGMR und BVerfG abgesteckt haben. Die Meinungsfreiheit soll hier in einer Art und Weise einschränkt werden, die die Bedeutung und Tragweite dieses für jeden demokratischen Rechtsstaat schlicht konstituierenden Grundrechts fundamental verkennt.

Man kann insgesamt sicherlich darüber diskutieren, ob der tradierte Katalog der Grundrechte ergänzungsbedürftig ist. Existierende Grundrechte wie die Meinungsfreiheit müssen dafür aber nicht neu- und vor allem nicht umdefiniert werden.

Die Charta vergisst zudem auch, dass das vom BVerfG in der Lebach-Entscheidung in seiner Verfassungsgemäßheit bestätigte Allgemeine Persönlichkeitsrecht in seinen Ausprägungen des Rechts auf informationelle Selbstbestimmung und Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sehr wohl in der Lage ist, den Herausforderungen der Digitalisierung zu begegnen. Dass die datenschutzrechtlichen Regelungen des Entwurfs defizitär sind und der Entwurf insoweit ein „heilloses Durcheinander aus Buzzwords, unvollständigen Begriffssammlungen und ungenutzten Chancen“ darstellt, hat Malte Engeler treffend herausgearbeitet. Insgesamt ist die Frage zu stellen, ob wirklich Lücken des grundrechtlichen Systems zu beklagen sind oder ob wir nicht eher ein Vollzugsgedefizit beobachten können, an dem auch neue und veränderte Grundrechte nichts ändern werden. Die Schaffung neuer Grundrechtskataloge ist nicht die Antwort auf die zunehmende Gefährdung der Grundrechte in der sog. digitalen Welt. Vielmehr sollte man sich Gedanken darüber machen, wie man den bereits vorhandenen und weitestgehend ausreichenden Rechten und Regelungen zu stärkerer Geltung verhilft.

Eine methodische und wissenschaftliche Vorgehensweise unter Berücksichtigung des vorhandenen Grundrechtsniveaus hätte die Intiatoren vor ihrem zentralen Fehler bewahrt: Den an das Grundgesetz angelehnten und um Elemente der Grundrechtecharta ergänzten Entwurf allen Ernstes Europa als Lösung anzudienen. Wolfgang Michal kritisiert den Entwurf völlig zurecht als deutschen Sonderweg. Bescheidenheit und Integrationskompetenz, das sollten wir Europa anbieten, auch im Bereich der Informationstechnologie.

 

Weiterführende Links:

Unstable – Der Digitalcharta fehlt ihr Datenschutzfundament (Malte Engeler)

Verkehrte Welt: Zur Zweckentfremdung von “Grundrechten” und zur Verklärung des “Nichtwissens” (Niko Härting)

„Digi­tale Grund­rechte“ – warum eigent­lich? (Niko Härting)

Digitale Chartastimmung (Markus Kompa)

Kommentare zur “Charta der digitalen Grundrechte der Europäischen Union” (Jürgen Geuter)

Vorschlag für EU-Digitalgrundrechte: Nachbesserungen beim Urheberrecht nötig (Julia Reda)

Digitalcharta: Dinge verbieten, im Namen der Freiheit (Simon Assion)

Die Digitalcharta – und was wir statt dessen brauchen (Marc Pütz-Poulalion)

posted by Arnd Kulow at 09:20  

19.10.16

EuGH entscheidet zum Personenbezug von IP-Adressen

Zu der Frage, ob und unter welchen Voraussetzungen IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts darstellen, existiert seit vielen Jahren eine kontroverse Diskussion in der deutschen Rechtswissenschaft. Den Streitstand habe ich in einem älteren Blogbeitrag dargestellt.

Vor zwei Jahren hat der BGH dem EuGH die Frage vorgelegt, ob eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter – also der Zugangsprovider – über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Zudem wollte der BGH vom EuGH wissen, ob eine Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG gegen die Datenschutzrichtlinie verstößt.

In seiner Entscheidung vom 19.10.2016 (Az.: C-582/14) schließt sich der EuGH in der Tendenz der Theorie vom relativen Personenbezug an und führt aus, dass eine IP-Adresse nicht stets als personenbezogenes Datum im Sinne der Datenschutzrichtlinie zu betrachten ist, sondern nur dann, wenn der speichernde Diensteanbieter über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. Solche rechtlichen Mittel gibt es allerdings nicht allgemein, sondern nur aufgrund puntktueller gesetzlicher Regelungen wie z.B. § 101 Abs. 2 und Abs. 9 UrhG oder im Falle von strafbarem Verhalten über den Umweg als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können. Man wird vor diesem Hintergrund davon auszugehen haben, dass dynamische IP-Adressen, entgegen der beispielsweise von den Datenschutzaufsichtsbehörden vertretenen Auffassung, jedenfalls nicht generell als personenbezogen zu betrachten sind. Der EuGH geht zwar in seiner Entscheidung davon aus, dass das deutsche Recht entsprechende Mittel vorsehen würde, betont aber, dass das vorlegende Gerich, diese Frage zu prüfen habe.

Des weiteren hält der EuGH die deutsche Vorschrift des § 15 Abs. 1 TMG für europarechtswidrig, weil auch der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, zu einer Speicherung personenbezogener Daten berechtigen könne. Der speichernde Anbieter kann nach Ansicht des EuGH ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihm allgemein zugänglich gemachten Websites über die konkrete Nutzung hinaus zu gewährleisten. Zu diesem Zweck darf er personenbezogene Daten, auch IP-Adressen, speichern.

posted by Stadler at 12:32  

15.9.16

Unterlassungsanspruch gegen die Eltern wegen Kinderfotos bei Facebook?

Eines der Boulevardthemen der letzten Tage war eine Klage einer 18-jährigen Östereicherin wegen zahlreicher Babyfotos, die ihre Eltern ins Netz bzw. auf Facebook gestellt und trotz Aufforderung der Tochter nicht wieder entfernt haben.

Das Thema verfügt, wie jeder Facebooknutzer weiß, über enorme praktische Bedeutung. Das Recht am eigenen Bild ist in Deutschland im KUG gesetzlich geregelt, als Ausfluß des allgemeinen Persönlichkeitsrechts genießt es auch grundrechtlichen Schutz. Bilder, auf der eine Person erkennbar ist, dürfen im Grundsatz nach § 22 KUG nur mit Einwilligung der abgebildeten Person verbreitet und veröffentlicht werden. Bei der Verbreitung und öffentlichen Abbildung geschäftsunfähiger Minderjähriger ist die Einwilligung des gesetzlichen Vertreters, im Regelfall die Eltern, maßgeblich. Bei beschränkt Geschäftsfähigen – Kinder ab dem 7. Lebensjahr – ist wegen der persönlichkeitsrechtlichen Komponente zusätzlich eine Einwilligung des Minderjährigen erforderlich, sofern das Kind bereits über eine ausreichende Einsichtsfähigkeit verfügt. Zum Teil gesteht die Rechtsprechung dem einsichtsfähigen Minderjährigen sogar die alleinige Entscheidung zu.

Der Minderjährige wird sich vor diesem Hintergrund ab einem gewissen Zeitpunkt, der nicht notwendigerweise erst mit der Volljährigkeit beginnt, sondern regelmäßig jedenfalls ab dem Alter von 14 Jahren, auch gegen seine Eltern mit Unterlassungsansprüchen zur Wehr setzen können, wenn diese Bilder ins Netz gestellt haben, die der Abgebildete dort nicht sehen will. In der Rechtsprechung und Literatur wird zwar überwiegend davon ausgegangen, dass eine einmal erteilte Einwilligung nur aus wichtigem Grund widerrufen werden kann. Auf einen solchen wichtigen Grund, der auch in einer geänderten Überzeugung bestehen kann, wird sich aber der Minderjährige stets berufen können, wenn die Fotos zu einem Zeitpunkt ins Netz gestellt wurden, in dem er wegen mangelnder Einsichtsfähigkeit noch nicht selbst mitentscheiden konnte. Andernfalls würde man seinen Willen, den er ja erstmals selbst bilden konnte, vollständig missachten. Sobald eine ausreichende Einsichtsfähigkeit besteht, dürfen auch Eltern keine Fotos ihrer Kinder bei Facebook oder anderswo mehr ohne Zustimmung ins Netz stellen.

posted by Stadler at 10:08  

20.4.16

BKA-Gesetz teilweise verfassungswidrig

Das Bundesverfassungsgericht hat das BKA-Gesetz für teilweise verfassungswidrig erklärt und hierbei insbesondere die Vorschriften zum Einsatz von heimlichen Überwachungsmaßnahmen zur Abwehr von Gefahren des internationalen Terrorismus beanstandet (Urteil vom 20. April 2016 – 1 BvR 966/09, 1 BvR 1140/09).

Das Gericht hat u.a. entschieden, dass die Erlaubnis von Wohnraumüberwachungen gegenüber Kontakt- und Begleitpersonen (§ 20h Abs. 1 Nr. 1 c BKAG) nicht mit Art. 13 Abs. 1, 4 GG vereinbar ist. Insgesamt ist bei der Wohnraumüberwachung der Schutz des Kernbereichs privater Lebensgestaltung in § 20h Abs. 5 BKAG unzureichend ausgestaltet. Nach Durchführung einer solchen Maßnahme müssen nach Ansicht des BVerfG – außer bei Gefahr im Verzug – zunächst alle Daten von einer unabhängigen Stelle gesichtet werden, ob sie höchstprivate Informationen enthalten, bevor sie vom Bundeskriminalamt verwertet werden dürfen.

Auch beim Zugriff auf informationstechnische Systeme (§ 20k BKAG) fehlt es nach Ansicht des BVerfG an einer hinreichenden Regelung zum Schutz des Kernbereichs privater Lebensgestaltung. Erforderlich ist, dass die Sichtung und Kontrolle im Wesentlichen von externen, nicht mit Sicherheitsaufgaben betrauten Personen wahrgenommen wird. Die tatsächliche Durchführung und Entscheidungsverantwortung muss demnach in den Händen von Personen liegen, die gegenüber dem BKA unabhängig sind. Indem § 20k Abs. 7 Satz 3 und 4 BKAG die Sichtung im Wesentlichen in die Hände von Mitarbeitern des Bundeskriminalamts legt, genügt er diesen Anforderungen nicht.

Allgemein beanstandet das Gericht, dass der Schutz der Berufsgeheimnisträger nicht tragfähig ausgestaltet ist und die Regelungen zur Gewährleistung von Transparenz, Rechtsschutz und aufsichtlicher Kontrolle nicht vollständig den verfassungsrechtlichen Anforderungen genügen. Es fehlt nach der Entscheidung des BVerfG an hinreichenden Vorgaben zu turnusmäßigen Pflichtkontrollen, an einer umfassenden Protokollierungspflicht, die es ermöglicht, die jeweiligen Überwachungsmaßnahmen zu prüfen, sowie an Berichtspflichten gegenüber Parlament und Öffentlichkeit.

Auch die Regelungen zur Datenlöschung sind vom Gericht beanstandet worden. Die Möglichkeit, von der Löschung erhobener Daten nach Zweckerfüllung allgemein abzusehen, soweit die Daten zur Verfolgung von Straftaten oder zur Verhütung oder zur Vorsorge für die künftige Verfolgung einer Straftat mit erheblicher Bedeutung erforderlich sind (§ 20v Abs. 6 Satz 5 BKAG), ist verfassungswidrig. Als nicht verfassungskonform betrachtet das Gericht auch die sehr kurze Frist für die Aufbewahrung der vom Bundeskriminalamt zu erstellenden Löschungsprotokolle, weil dadurch eine spätere Kontrolle nicht hinreichend gewährleistet wird.

Verfassungswidrig sind auch die Übermittlungsbefugnisse an andere inländische Behörden (§ 20v Abs. 5 BKAG). Das Gericht rügt hier zusätzlich, dass es bei allen Übermittlungsbefugnissen an einer hinreichenden Gewährleistung einer effektiven Kontrolle durch die Bundesdatenschutzbeauftragte fehlt.

Die Übermittlung von Daten an das Ausland setzt eine Begrenzung auf hinreichend gewichtige Zwecke, für die die Daten übermittelt und genutzt werden dürfen, sowie die Vergewisserung über einen menschenrechtlich und datenschutzrechtlich vertretbaren Umgang mit diesen Daten im Empfängerland voraus. Im Übrigen bedarf es auch hier der Sicherstellung einer wirksamen Kontrolle. Die Regelungen im BKA-Gesetz zur Übermittlung von Daten an öffentliche Stellen anderer Staaten genügen diesen verfassungsrechtlichen Anforderungen teilweise nicht. Das Gericht beanstandet, dass die Ermittlungszwecke zu weit gefasst sind. Die Erlaubnis zur Datenübermittlung allgemein zur Erfüllung der dem Bundeskriminalamt obliegenden Aufgaben (§ 14 Abs. 1 Satz 1 Nr. 1 BKAG) ist nicht hinreichend eingegrenzt und daher unverhältnismäßig. Außerdem ist nicht sichergestellt, dass Daten aus eingriffsintensiven Überwachungsmaßnahmen nur für Zwecke übermittelt werden dürfen, die dem Schutz von Rechtsgütern oder der Aufdeckung von Straftaten eines solchen Gewichts dienen, die verfassungsrechtlich ihre Neuerhebung mit vergleichbar schwerwiegenden Mitteln rechtfertigen könnten.

Das BVerfG hat damit zum wiederholten Male Überwachungsregelungen, die bereits bei ihrem Inkrafttreten umstritten waren, kassiert. Der Bundestag ist in diesem Bereich offenbar kaum mehr in der Lage, verfassungskonforme Gesetze zu schaffen. Dies liegt auch teilweise daran, dass der Gesetzgeber (bekannte) verfassungsrechtliche Grenzen bewusst ausreizt oder gar überschreitet. Steter Tropfen hölt auch hier den Stein, den jedes Mal bleiben auch immer einige fragwürdige Regelungen bestehen und bei den anderen hat man dann zumindest die Grenzen des Verfassungsgericht wieder einmal ausgelotet und kann dann bei der Neufassung exakt an diese Grenze gehen. Es bleibt dabei, dass diejenigen Gesetze und Befugnisse, die eine Überwachung des Bürgers ermöglichen, in den letzten 20 Jahren ganz erheblich ausgeweitet wurden, was durch das Bundesverfassungsgericht zwar immer wieder, aber eben auch nur zum Teil beanstandet wird. Aufgrund der gestiegenen technischen Möglichkeiten, insbesondere im Bereich der TK-Überwachung, wird der Bürger immer gläserner.

 

posted by Stadler at 11:18  

10.3.16

Sind Social Plugins rechtswidrig?

Das Landgericht Düsseldorf hat in einem brandaktuellen Urteil (Urteil vom 09.03.2016, Az.: 12 O 151/15) einem Unternehmen untersagt, auf seiner Website das „Social Plugin „Gefällt mir“ von Facebook zu integrieren“, ohne die Nutzer vorab darüber zu informieren, dass Facebook Zugriff auf die IP-Adresse und den Browserstring des Nutzers nimmt und ohne insoweit ausdrücklich und unübersehbar über den Zweck der Erhebung und Verwendung der an Facebook übermittelten Daten aufzuklären. Zusätzlich wurde dem Unternehmer auch verboten, das Plugin zu verwenden, ohne vorab die Einwilligung des Nutzers in die Datenverwendung einzuholen.

Wenn sich diese Rechtsprechung durchsetzt, kann man den Like Button und das Page Plugin von Facebook in Deutschland wohl nicht mehr rechtskonform in die eigene Website einbauen. Denn eine konkrete Information des Nutzers darüber, wie und zu welchem Zweck Facebook die Daten verarbeitet, ist schon deshalb nicht möglich, weil  kein Webseitenbetreiber mit Sicherheit sagen kann, was Facebook mit den Daten macht. Einen Ausweg bietet hier allenfalls die sog. Zwei-Klick-Lösung, wobei sich auch hier die Frage stellt, ob eine informierte Einwilligung des Nutzers in Betracht kommt, nachdem der Umfang der Datenverarbeitung durch Facebook am Ende immer unklar bleibt.

Das Landgericht Düsseldorf schließt sich in seinem Urteil zunächst der Meinung vom absoluten Personenbezug an und geht davon aus, dass (dynamische) IP-Adressen stets als personenbezogene Daten zu bewerten sind.

Anschließend qualifiziert das Landgericht Düsseldorf den Webseitenbetreiber als verantwortliche Stelle im Sinne des Datenschutzrechts. Dies scheint mir der zentrale, diskutable Aspekt der Entscheidung zu sein. Letztlich stützt das Landgericht seine Auffassung primär darauf, dass der Webseitenbetreiber die Daten, die Facebook dann verarbeitet, beschafft. Das Landgericht stellt damit eine Kausalitätsbetrachtung an, die in der Tendenz auf eine datenschutzrechtliche Störerhaftung hinausläuft.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng am Wortlaut auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation nicht eindeutig. Die entscheidende Frage lautet hier also, ob allein Facebook verantwortliche Stelle im Sinne des Datenschutzrechts ist oder ob daneben (auch) der Webseitenbetreiber datenschutzrechtlich verantwortlich ist. Ist verantwortliche Stelle also nur derjenige, der die Kontrolle und Herrschaft über die Daten und den Datenverarbeitungsvorgang hat, oder darüber hinausgehend jeder, der in kausaler Weise an der Beschaffung oder Verarbeitung der Daten mitwirkt? Diese Frage wird die Rechtsprechung eindeutig zu klären haben.

Das Urteil ist noch nicht rechtskräftig.

Thomas Schwenke hat FAQs zum Urteil zusammengestellt.

posted by Stadler at 11:01  

23.2.16

Verbandsklagerecht bei Datenschutzverstößen ab dem 24.02.2016

Das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts vom 17.02.2016 ist heute im Bundesgesetzblatt verkündet worden und tritt morgen, am 24.02.2016, in Kraft.

Durch die Neuregelung werden u.a. die Unterlassungsansprüche bei verbraucherschutzgesetzwidrigen Praktiken erweitert um datenschutzrechtliche Verstöße, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

Verbraucherschutz- und Wettbewerbsverbände können solche Datenschutzverstöße von nun an im Rahmen ihrer Verbandsklagebefugnis nach dem UklaG abmahnen und gerichtlich geltend machen.

posted by Stadler at 14:23  
Nächste Seite »