Internet-Law

Onlinerecht und Bürgerrechte 2.0

8.3.19

Auf Datenschutzklauseln in AGB verzichten?

Eine aktuelle Entscheidung des Kammergerichts ( Urteil v. 27.12.2018, Az.: 23 U 196/13) bewertet mehrere Klauseln aus der „Datenschutzrichtlinie“ von Apple als unwirksame AGB.

Das Gericht unterwirft die Datenschutzrichtlinie von Apple der AGB-Kontrolle, weil es davon ausgeht, dass Apple den Eindruck erweckt, es würde sich nicht bloß um Datenschutzinformationen, sondern um (verbindliche) vertragliche Regelungen handeln.

Das Kammergericht führt hierzu u.a. aus:

Die vom Kläger beanstandeten Klauseln können ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden. Bereits die Überschrift des Klauselwerks („Apple Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten. (…)

Das Argument der Beklagten, dass die streitgegenständliche Datenschutzrichtlinie nicht zum Gegenstand einer Einwilligung gemacht, sondern lediglich informatorisch auf sie verwiesen werde und an keiner Stelle der vom Kläger beanstandeten Bestimmungen davon die Rede sei, dass der Verbraucher in eine Datenverarbeitung einwillige, wendet sich letztlich gegen sie. Denn darin liegt gerade die unzulässige Abweichung der Klauseln von der gesetzlichen Regelung, dass sie dem Verbraucher den unzutreffenden Eindruck vermitteln, dass die Beklagte zur Verarbeitung personenbezogener Daten berechtigt sei, ohne dass es auf dessen Einwilligung ankomme.

Auch das weitere Argument der Beklagten, dass sie mit der Bereitstellung der Datenschutzrichtlinie lediglich ihrer gesetzlichen Pflicht zur vollständigen und zutreffenden Unterrichtung der Verbraucher über ihre Datenverarbeitungspraxis genügt habe, liegt neben der Sache. Denn eine zutreffende Unterrichtung über geübte Datenverarbeitungspraktiken macht diese nicht rechtmäßig. Sie erzeugt und nährt bei dem Verbraucher lediglich die Fehlvorstellung, dass die geübten Datenverarbeitungspraktiken keiner Einwilligung bedürfen und allein deswegen rechtmäßig seien, weil die Beklagte in ihrer „Datenrichtlinie“ über sie unterrichtet.

Diese Entscheidung zeigt, dass man bloße informatorische Hinweise, mit denen man beispielsweise seinen Informationspflichten nach Art. 12 ff. DSGVO erfüllt, nicht in AGB einbetten sollte. Denn solche Datenschutzhinweise regeln nichts. Sobald man den Eindruck erweckt, es würde sich um vertragliche Vereinbarungen handeln, unterliegt man der AGB-Kontrolle. Dies ist speziell bei datenschutzrechtlichen Klauseln auch deshalb kritisch, weil sich dann die Folgefrage stellt, ob damit beabsichtigt ist, eine Datenverarbeitung durch eine Einwilligung des Betroffenen zu legitimieren. Auch wenn eine solche Einwilligung im Rahmen von AGB nicht per se ausgeschlossen ist, müssen die Anforderungen von Art. 7 DSGVO erfüllt sein, was auf Klauseln, die in ein AGB-Werk eingebettet sind, häufig nicht zutreffen wird.

Man sollte also darauf achten, dass man seine Datenschutzerklärung und seine AGB stritk trennt, um bloße Datenschutzinformationen nicht ohne Not einer AGB-Kontrolle zu unterwerfen.

posted by Thomas Stadler at 18:57  

3.3.19

Journalistische Privilegien auch für Blogger und YouTuber?

Der Europäische Gerichtshof (EuGH) hat kürzlich entschieden, dass auch die Veröffentlichung eines Videos auf YouTube eine Verarbeitung personenbezogener Daten darstellen kann, die allein zu journalistischen Zwecken erfolgt und damit privilegiert ist (EuGH, Urteil vom 14.02.2019, Az.: C‑345/17).

Nach der Rechtsprechung des Gerichtshofs sind „journalistische Tätigkeiten“ solche Tätigkeiten, die zum Zweck haben, Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten.

In Anbetracht der Bedeutung, die der Freiheit der Meinungsäußerung in jeder demokratischen Gesellschaft zukommt, müssen die damit zusammenhängenden Begriffe, zu denen der des Journalismus gehört, weit ausgelegt werden. Der Umstand, dass jemand kein Berufsjournalist ist, schließt es jedenfalls nicht aus, dass eine Tätigkeit allein zu journalistischen Zwecken ausgeübt wird. Nach Ansicht des EuGH kann eine Veröffentlichung, durch die auch personenbezogene Daten verarbeitet werden, das datenschutzrechtliche Medienprivileg genießen, wenn die Veröffentlichung ausschließlich zum Ziel hat, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten.

Das ist eine durchaus bedeutende Entscheidung, die es beispielsweise auch Bloggern erleichtert, sich gegenüber datenschutzrechtlichen Ansprüchen auf Auskunft oder Löschung auf ein Medienprivileg zu berufen.

Umso mehr sollte der deutsche Gesetzgeber dies als Auftrag begreifen, von der Öffnungsklausel des Art. 85 DSGVO Gebrauch zu machen und ein Medienprivileg auch außerhalb des professionellen Journalismus zu normieren, das Blogger, Podcaster und Youtuber einbezieht.

posted by Thomas Stadler at 22:46  

28.2.19

Sechs Gegenthesen zur EU-Urheberrechtsreform

Die aktuelle Debatte um die Urheberrechtsreform der EU wird von dem Versuch dominiert, die Diskurshoheit durch bestimmte Thesen und Behauptungen zu erringen. Der Beitrag unterzieht vier Grundthesen der Befürworter von Art. 13 der geplanten Richtlinie über das Urheberrecht im digitalen Binnenmarkt einer kritischen Prüfung.

These 1: Google und andere US-Anbieter versuchen, die EU-Urheberrechtsreform mit unglaublichem lobbyistischem Aufwand zu verhindern

Dass große amerikanische Anbieter insbesondere gegen Art. 11 und Art. 13 der geplanten Richtlinie über das Urheberrecht im digitalen Binnenmarkt lobbyieren, ist kaum zu bestreiten. Die Frage ist nur, in welchem Verhältnis das zum Lobbyismus deutscher und europäischer Verbände und Unternehmen steht, die die Regelungen befürworten. Vor einigen Jahren habe ich mich intensiv mit dem deutschen Leistungsschutzrecht für Presseerzeugnisse beschäftigt – das jetzt seine europäischen Fortsetzung in Art. 11 der geplanten Richtlinie findet – und bin dabei auch mit den lobbyistischen Anstrengungen der deutschen Zeitungsverleger in Berührung gekommen. Der Einfluss der Zeitungsverlage war derart groß, dass einer der Hauptlobbyisten von Springer als Sachverständiger (sic!) in die Ausschussanhörung des Bundestages geladen war, während die Vertreter von Google nur als Zaungäste anwesend waren. Es ist gerade der über Jahrzehnte hinweg gewachsene Einfluss europäischer Verbände, der Art. 11 und Art. 13 möglich gemacht hat. Google und andere US-Player verfügen, egal wieviel Geld sie in die Waagschale werfen, in Europa nicht ansatzweise über einen vergleichbaren politischen Einfluss. Wenn in diesem Gesetzgebungsverfahren der Eindruck eines übermächtigen Lobbyismus von Google & Co. erweckt wird, ist dies nichts weiter als ein Zerrbild. Richtig ist vielmehr, dass der politische Einfluss der Befürworter von Art. 11 und Art. 13 ungleich größer ist.

These 2: Die Richtlinie fordert doch gar keine Uploadfilter

Der zwischen Parlament und Rat abgestimmte endgültige Text, regelt in Art. 13 Nr. 3 zunächst, dass derjenige Anbieter, den die Richtlinie als Online Content Sharing Service Provider bezeichnet, nicht mehr in den Genuss der Haftungsprivilegierung aus Art. 14 der E-Commerce-Richtlinie für Host-Provider kommen soll. Das ist der eigentliche juristische Kern von Art. 13. Plattformen, die von Nutzern eingestellte Inhalte zum Abruf bereithalten, sollen nicht mehr als Hoster betrachtet werden. Obwohl sie natürlich zunächst auch weiterhin nichts anderes tun, als fremde, von Nutzern hochgeladene Inhalte zum Abruf bereit zu halten, werden sie nunmehr so behandelt wie die Anbieter von eigenen Inhalten. Die Veränderung des Haftungsregimes ist der eigentliche Knackpunkt der Neuregelung. Der europäische Gesetzgeber stellt damit Plattformen wie YouTube in haftungsrechtlicher Sicht gleich mit Anbietern wie Spotify oder Netflix.

Der gesamte Rest ist nur eine Folge dieser Regelungslogik. Online Content Sharing Service Provider werden angehalten, mit Rechteinhabern bzw. Verwertungsgesellschaften wie der GEMA Lizenzvereinbarungen zu schließen. Gelingt ihnen dies nicht, sind sie für die unerlaubte Veröffentlichung urheberrechtlich geschützter Werke voll verantwortlich, wie Art. 13 Nr. 4 unmissverständlich klarstellt. Der Plattformbetreiber kann sich exkulpieren, indem er darlegt, dass er hohe Industriestandards beachtet und eingesetzt hat, um die Nichtverfügbarkeit urheberrechtlich geschützter Werke zu gewährleisten. Aus dieser Vorschrift wird die Notwendigkeit des Einsatzes technischer Maßnahmen zur Verhinderung des Uploads (Uploadfilter) hergeleitet. Denn die Nichtverfügbarkeit können solche Plattformen nur durch Uploadfilter, die automatisiert den Upload solcher Inhalte verhindern, die die Software als urheberrechtlich geschützt erkennt, gewährleisten.

These 3: Das Gerede von Zensur ist Quatsch, die geplante Neuregelung stellt keine Gefahr für die Meinungs- und Informationsfreiheit dar

An dieser Stelle stellt sich zunächst die Frage, wem man mehr glauben will. Unabhängigen Experten, die erhebliche Bedenken äußern oder Verbänden die die Interessen ihrer Mitglieder vertreten. Die Gesellschaft für Informatik (GI) warnt eindringlich vor der geplanten Neuregelung. Ihr Präsident Hannes Federrath, einer der führenden Köpfe auf dem Gebiet der IT-Sicherheit in Deutschland hat es so formuliert:

Es ist richtig und wichtig, das Urheberrecht an das digitale Zeitalter anzupassen. Die hier vorgeschlagene automatisierte Prüfung auf Urheberrechtsverletzungen legt jedoch den technischen Grundstein für eine Zensur- und Kontrollinfrastruktur im Internet. Zugleich wird sie Urheberrechtsverletzungen und kriminelle Inhalte nicht wirkungsvoll verhindern können.

Der Bundesdatenschutzbeauftragte warnt ebenfalls und rückt einen anderen Aspekt in den Vordergrund:

Auch wenn Uploadfilter nicht explizit im Gesetzentwurf gefordert werden, wird es in der praktischen Anwendung auf sie hinauslaufen. Gerade kleinere Plattform- und Diensteanbieter werden nicht die Möglichkeit haben, mit allen erdenklichen Rechteinhabern Lizenzverträge zu schließen. Ebensowenig werden sie den immensen Programmieraufwand betreiben können, eigene Uploadfilter zu erstellen. Stattdessen werden sie auf Angebote großer IT-Unternehmen zurückgreifen, so wie das heute schon unter anderem bei Analysetools passiert, bei denen die entsprechenden Bausteine von Facebook, Amazon und Google von vielen Apps, Websites und Services verwendet werden.

Letztendlich entstünde so ein Oligopol weniger Anbieter von Filtertechniken, über die dann mehr oder weniger der gesamte Internetverkehr relevanter Plattformen und Dienste läuft.

Dass man die Plattformbetreiber letztlich dazu zwingt, eine Kontrollinfrastruktur zu schaffen, deren Aufbau man dann vermutlich wieder wenigen großen Anbietern überlässt, mutet nahezu grotesk an.

Aber auch die häufig anzutreffende These, die Meinungsfreiheit werde nicht beeinträchtigt, es ginge nur um eine faire Vergütung der Urheber, hält einer kritischen Prüfung nicht stand. Dieser Aussage liegt vielmehr der die nur als naiv zu bezeichnende Annahme zugrunde, Filtertechnologien könnten urheberrechtsverletzende Inhalte zuverlässig ausfiltern und würden andere, nicht zu beanstandende Inhalte passieren lassen. Jeder, der sich auch nur ein bisschen mit diesem Thema befasst hat, weiß, dass diese These eine Schimäre darstellt. Der Einsatz von Uploadfiltern wird in relevantem Ausmaß dazu führen, dass auch Inhalte ausgefiltert werden, die nicht zu beanstanden sind.

Der Journalist Peter Welchring hat anschaulich erläutert, dass die Uploadfilter, die Google derzeit ohnehin schon einsetzt, im Bereich von Musik und Film dann gut funktionieren, wenn zuvor bereits eine Prüfsumme der maßgeblichen Datei hinterlegt worden ist. Schwieriger wird es bei unbekannten Werken und erst recht bei Fotos, Bildern und Texten. Über die Neuregelung freuen werden sich sicherlich die bereits jetzt sehr abmahnfreudigen Bildagenturen, denn sie können in Zukunft unmittelbar beim Plattformbetreiber Schadensersatz geltend machen, was andererseits für viele Plattformen zu einem schwer kalkulierbaren Risiko werden dürfte.

Ob man in diesem Kontext bereits von Zensur im juristischen Sinne sprechen kann, ist zumindest diskutabel. Auch wenn hier nicht der Staat selbst Äußerungen und Geistesinhalte vor ihrer Veröffentlichung einer inhaltlichen Prüfung unterzieht, so zwingt der Gesetzgeber die Anbieter solcher Plattformen – sofern sie ihr Geschäftsmodell nicht aufgeben wollen – faktisch dennoch dazu, eine Infrastruktur für eine inhaltliche Vorkontrolle aller Inhalte zu etablieren. Damit verpflichtet der Staat den Provider zu einer zensurähnlichen Maßnahme. Es galt daher bisher als Konsens, dass Dienstanbietern keine proaktiven Prüf- und Überwachungspflichten auferlegt werden dürfen. Diesen in der fast 20 Jahre alten E-Commerce-Richtlinie normierten Konsens will die neue Richtlinie aufkündigen. Ein enormer lobbyistischer Erfolg, der unausgewogen und für die Allgemeinheit nachteilig ist.

These 4: Das betrifft doch ohnehin nur YouTube bzw. Google, die sollen ruhig mehr zahlen

Der Richtlinienentwurf hat einen neuen Providertypus erfunden, der Online Content Sharing Provider genannt wird. Der ist legaldefiniert als

provider of an information society service whose main or one of the main purposes is to store and give the public access to a large amount of copyright protected works or other protected subject-matter uploaded by its users which it organises and promotes for profit-making purposes.

Das umfasst zunächst alle kommerziellen Dienste, die es Nutzern gestatten, Inhalte hochzuladen. Das Korrektiv besteht nun darin, dass einer der Hauptzwecke darin bestehen muss, urheberrechtlich oder anderweitig geschützte Inhalte öffentlich zugänglich zu machen. Wie weit oder einschränkend dieses Merkmal auszulegen ist, bleibt zunächst unklar.

Umfasst sind neben Plattformen wie YouTube auch soziale Medien, deren Schwerpunkt auf Bildveröffentlichungen liegen. Also Plattformen wie Instagram, Pinterest, aber auch Dating-Services wie Tinder. Denn Fotos genießen immer urheberrechtlichen Schutz. Auch alle anderen sozialen Netzwerke wie Facebook oder Twitter dürften darunter fallen. Letztlich wird man auch ernsthaft darüber diskutieren müssen, ob Meinungs- und Diskussionsforen ebenfalls erfasst sind. Denn von Usern verfasste Texte werden zumindest in nennenswertem Umfang als urheberrechtlich schutzfähig anzusehen sein.

Letztlich sollte sich keine Plattform, die den Upload von Inhalten durch ihre Nutzer ermöglicht, zu sicher sein, dass sie der Regelung nicht unterfällt.

These 5: Die Neuregelung verlagert die Haftung von den Nutzern auf die Plattformbetreiber

Nein, diese Aussage ist falsch. Im Grundsatz bleibt es dabei, dass derjenige Nutzer, der urheberrechtswidrige Inhalte auf einer Plattform einstellt, in vollem Umfang selbst haftet. Neben ihm haftet nunmehr auch der Plattformbetreiber. Wenn der Anbieter allerdings eine Lizenz erworben hat, dann soll diese Lizenz auch Uploads durch nicht kommerziell handelnde Nutzer abdecken. Das ergibt sich aus Art. 13 Nr. 2. Wobei man die Frage diskutieren muss, ob das nicht bereits nach aktueller Rechtslage so ist. Denn die Handlung, die dem Plattformbetreiber derzeit vorgeworfen wird, ist ja auch nur die des Nutzers und nicht seine eigene. Im Ergebnis ist es also so, dass neben die Haftung des Nutzers noch die des Plattformbetreibers tritt. Für die Rechteinhaber ist das günstig, weil sie künftig beide in Anspruch nehmen können.

These 6: Art. 13 Nr. 7 schließt Uploadfilter aus

Die Vorschrift des Art. 13 Nr. 7 betont, dass aus der Regelung des Art. 13 keine allgemeine Überwachungspflicht im Sinne von Art. 15 der E-Commerce-Richtline folgt. Diese Vorschrift steht allerdings in einem erkennbaren Spannungsverhältnis zu Art. 13 Nr. 4, der den Ausschluss der Haftungsprivilegierung für den Content Sharing Provider postuliert und ihm gleichzeitig die Pflicht auferlegt, hohe Anstrengungen zu unternehmen, um zu gewährleisten, dass urheberrechtswidriger Content über seine Plattform nicht verfügbar ist. Das ist widersprüchlich und klingt ein bisschen nach wasch mir den Pelz, aber mach mich nicht nass. Denn die Nichtverfügbarkeit von urheberrechtswidrigen Inhalten kann man, selbst man sich bemüht, Lizenzverträge zu schließen, nur gewährleisten, wenn man jeden Upload einer Vorprüfung unterzieht. Offenbar hat der Gesetzgeber bemerkt, dass die Schaffung einer proaktiven Überwachungspflicht bedenklich nah an die Vorzensur heranrückt, weshalb er sich beeilt hat zu betonen, dass eine solche Pflicht natürlich nicht besteht. Das ändert allerdings nichts daran, dass sich Art. 13 Nr. 4 und Nr. 7 widersprechen und nicht sinnvoll in Übereinstimmung zu bringen sind. Das wiederum führt zu erheblicher Rechtsunsicherheit und wird viele kleinere Anbieter vermutlich zur Aufgabe zwingen. Denn klar ist, dass der Anbieter erhebliche Anstrengungen unternehmen muss, um den Upload von urheberrechtswidrigen Inhalten zu verhindern. Wie hoch insoweit die Anforderungen sind, kann derzeit niemand zuverlässig sagen. Das werden am Ende die Gerichte festlegen, in einem Rechtsprechungsprozess, der Jahre dauern wird.

posted by Thomas Stadler at 22:27  

13.12.18

SPD will Datenschutz und Meinungsfreiheit in Einklang bringen

Das Spannungsverhältnis von Datenschutz und Meinungsfreiheit war bereits mehrfach Thema hier im Blog, zuletzt auch mit Blick auf die seit Mai geltende Datenschutzgrundverordnung (DSGVO). Der europäische Gesetzgeber hat nicht versucht, dieses Spannungsverhältnis aufzulösen, oder den äußerungsrechtlichen Bereich von der DSGVO auszunehmen, sondern es vielmehr dabei belassen, mit Art. 85 DSGVO eine Öffnungsklausel zu schaffen, die es den nationalen Gesetzgebern ermöglicht, sie letztlich aber auch dazu verpflichtet, spezifische Regelungen zu treffen, die das Recht auf den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, in Einklang bringen. Dieser Ansatz ist regelungstechnisch zunächst insofern unbefriedigend, als die DSGVO damit den gesamten meinungsrelevanten Bereich mitregelt, ohne selbst unmittelbar sicherzustellen, dass der Datenschutz die Meinung- und Informationsfreiheit nicht beeinträchtigt.

Der deutsche Gesetzgeber ist dem Regelungsauftrag des Art. 85 DSGVO bislang nur teilweise nachgekommen. Die Länder haben für den journalistisch-redaktionellen Bereich Regelungen in den Landespressegesetzen und im Rundfunkstaatsvertrag (RStV) geschaffen. Exemplarisch sei insoweit auf § 57 Abs. 1 S. 4 – S. 8 RStV verwiesen, der ein Medienprivileg für die Onlineangebote der Rundfunkanbieter schafft und weite Teile der DSGVO für nicht anwendbar erklärt.

Eine Regelung für private bzw. nichtjournalistische Äußerungen fehlt bislang. Das ist schon deshalb unbefriedigend, weil veröffentlichte Meinungen und Informationen in sozialen Medien und Blogs damit nicht explizit privilegiert sind, sondern nur solche im journalistisch-redaktionellen Kontext. In einer Anhörung im Innenausschuss des Bundestages hat Malte Engeler unlängst deshalb eine solche gesetzliche Regelung angemahnt und als ausgesprochen relevant bezeichnet.

Mittlerweile liegt ein erster Vorschlag aus der Bundestagsfraktion der SPD vor, der die Schaffung eines neuen § 27a BDSG mit folgendem Wortlaut vorsieht:

27a BDSG-neu – Datenverarbeitung zu Zwecken der Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit

(1) Eine Verarbeitung personenbezogener Daten ist zulässig, sofern sie zu Zwecken des Rechts auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken stattfindet und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen am Schutz ihrer personenbezogenen Daten nicht überwiegen.

(2) Spezielle Regelungen des Bundes- und Landesrechts zur Zulässigkeit der Verarbeitung zu den in Art. 85 der Verordnung (EU) 2016/679 genannten Zwecken der Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit sowie der Verarbeitung zu wissenschaftlichen, künstlerischen, journalistischen oder literarischen Zwecken, einschließlich der Veröffentlichung, bleiben unberührt.

(3) Die Rechte der Betroffenen des Abschnitt II bis IX der Verordnung (EU) 2016/679 gelten nur, sofern sie unter Abwägung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu wissenschaftlichen, künstlerischen, journalistischen oder literarischen Zwecken angemessen sind. Satz 1 gilt nicht für Artikel xx, xx, xx.

(4) Führt die Verarbeitung personenbezogener Daten gemäß Absatz 1 zur Verbreitung von Gegendarstellungen der betroffenen Person oder zu Verpflichtungserklärungen, Gerichtsentscheidungen über die Unterlassung der Verbreitung oder über den Widerruf des Inhalts der Daten, so sind diese Gegendarstellungen, Verpflichtungserklärungen, Gerichtsentscheidungen und Widerrufe zu den gespeicherten Daten zu nehmen und dort für dieselbe Zeitdauer aufzubewahren, wie die Daten selbst sowie bei einer Offenlegung der Daten gemeinsam offenzulegen.

Der Vorschlag ist im Grundsatz zu begrüßen, wirkt aber insgesamt noch nicht ausgereift.

In Abs. 1 wird durch die Formulierung „sofern sie zu Zwecken…stattfindet“ zunächst dem Äußernden die Darlegung- und Beweislast dafür auferlegt, dass seine Datenverarbeitung meinungsrelevanten Zwecken dient und außerdem die notwendige Grundrechtsabwägung zu seinen Gunsten ausfällt. Diese Regelungstechnik ist kritikwürdig, weil in einem freiheitlichen Rechtsstaat eine Vermutung zugunsten der freien Rede zu gelten hat, was vom BVerfG auch immer wieder betont worden ist. Aus grundrechtlicher Sicht erscheint daher eine Regelung geboten, die die Datenverarbeitung zu Zwecken der Meinung- und Informationsfreiheit zunächst grundsätzlich für zulässig erklärt und es dem von einer Äußerung Betroffenen überlässt, das Überwiegen seiner persönlichkeits- und datenschutzrechtlichen Interessen darzulegen.

Abs. 3 des Gesetzesvorschlags will die Regelungen der Abschnitte II bis IX der DSGVO – es handelt sich weitgehend um datenschutzrechtliche Folge- und Nebenpflichten – weiterhin anwenden, allerdings einer Abwägung im Einzelfall unterziehen, während diese Regelungen im journalistischen Bereich weitgehend nicht gelten sollen. Hier stellt sich auch die Frage, ob es nicht eher sachgerecht ist, einen Gleichlauf mit der Vorschrift des § 57 RStV herzustellen.

Der in Abs. 4 des Vorschlags enthaltene Verweis auf Gegendarstellungen des Betroffenen, erscheint ebenfalls nicht zu Ende gedacht. Die Gegendarstellung ist ein typisches presserechtliches Instrumentarium. Ein Blick auf die für den Onlinebereich relevante Vorschrift des § 56 RStV zeigt, dass der Gegendarstellungsanspruch journalistisch-redaktionell gestaltete Angebote verlangt. In diesem Bereich würde aber dann ohnehin § 57 RStV gelten und nicht § 27a BDSG. Es stellt sich also die Frage, ob es überhaupt Gegendarstellungen gibt, die § 27a BDSG unterfallen können oder ob man sich in diesen Fällen nicht ohnehin vollständig im Bereich des Landesrechts bewegt. Ganz generell erscheint es vorzugswürdig, in der bundesgesetzlichen Regelung des § 27a BDSG jedweden Hinweis auf journalistische Zwecke, wie er auch in Abs. 1 enthalten ist, zu streichen, weil damit nur unnötige Abgrenzungsfragen zu den landesrechtlichen Regelungen aufgeworfen werden. Sofern es dieser Formulierung darum geht, den Veröffentlichungszweck zu betonen, wäre es vorzugswürdig einen anderen Begriff zu wählen.

Obwohl die DSGVO schon mehr als ein halbes Jahr gilt, ist der Bundesgesetzgeber seinem Regelungsauftrag aus Art. 85 DSGVO bislang nicht nachgekommen. Eine entsprechende Regelung ist überfällig.

posted by Stadler at 17:54  

14.11.18

Recht auf Vergessenwerden gegenüber Suchmaschinen?

Das OLG Frankfurt hat entschieden, dass sich das in der Datenschutzgrund-Verordnung (DSGVO) normierte Recht auf Vergessenwerden auch gegen den Betreiber einer Suchmaschine richten kann und die Entfernung von Links aus der Trefferliste einer Suchmaschine grundsätzlich nach Art. 17 DSGVO geltend gemacht werden kann (Urteil vom 06.09.2018, Az.: 16 U 193/17).

Das Gericht hält aber im Suchmaschinenkontext dann stets eine Abwägung zwischen dem Recht auf Meinungs- und Informationsfreiheit einerseits und dem Recht des Betroffenen auf informationelle Selbstbestimmung andererseits für notwendig, die der Senat an Art. 17 Abs. 3 Nr. 1 DSGVO festmacht. Das OLG Frankfurt bezweifelt sodann, dass die Grundsätze des Google-Spain-Urteils des EuGH auf Presseartikel übertragbar sind. Außerdem hält es das Gericht für denkbar, dass der „Regel-Ausnahme-Mechanismus“, wie ihn der EuGH in seinem google-spain-Urteil statuiert hat, im Rahmen der Abwägung nach Art. 17 Abs. 3, Art. 6 Abs. 1 S. 1 lit. f) DSGVO keine Anwendung mehr findet. Das lässt das OLG letztlich aber offen und nimmt aufgrund einer Einzelfallabwägung ein überwiegendes öffentliches Interesse an.

Die Leitsätze des OLG Frankfurt lauten:

1.  Das Begehren auf Unterlassung, beanstandete Inhalte auf bestimmte Internetseiten durch Anzeige in den Suchergebnissen einer Suchmaschine mit entsprechender Verlinkung auffindbar zu machen, wird von der Rechtsfolge des Art. 17 DS-GVO erfasst.

2. Über die Rechtmäßigkeit der Verlinkung von Inhalten mit Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DS-GVO ist nach Art. 17 Abs. 1 lit. d) DS-GVO in Verbindung mit Art. 17 Abs. 3 lit. a) DS-GVO im Wege einer Abwägung der widerstreitenden Interessen zu entscheiden, wobei sich die Abwägung an Art. 6 Abs. 1 S. 1 lit. f) DS-GVO orientieren kann.

3.  Die von dem EuGH in seinem Urteil vom 13.05.2014, C-131/12, zu einem „Recht auf Vergessen“ festgelegten Abwägungskriterien sind im Rahmen des Art. 17 Abs. 1 lit. a) lit. d) in Verbindung mit Art. 17 Abs. 3 lit. a), Art. 6 Abs. 1 S. 1 lit. f) DS-GVO nicht schematisch anzuwenden, sondern es ist den jeweiligen Besonderheiten des Einzelfalls Rechnung zu tragen.

posted by Stadler at 17:33  

6.11.18

Auch E-Mails mit doppeltem Zweck können Spam sein

Die erneute Bestätigung durch den BGH, dass Werbung per E-Mail ohne Einwilligung des Empfängers grundsätzlich einen Eingriff in die geschützte Privatsphäre und damit in das allgemeine Persönlichkeitsrecht des Empfängers darstellt, ist auf den ersten Blick wenig überraschend (BGH, Urteil vom 10.07.2018, Az.: VI ZR 225/17). Das entspricht vielmehr seit langer Zeit der ständigen Rechtsprechung des BGH.

Neu ist allerdings die Aussage, dass auch eine Feedback-Anfrage bzw. Kundenzufriedenheitsbefragung Werbung darstellt und zwar auch dann, wenn mit der E-Mail gleichzeitig eine Rechnung übersandt wird. Der BGH betont ausdrücklich, dass Werbung auch dann vorliegt, wenn die beanstandete E-Mail einem doppelten Zweck dient, nämlich der nicht zu beanstandenden Übersendung einer Rechnung und zusätzlich einem Werbezweck. Für die Annahme, die nicht zu beanstandende Rechnungsübersendung nehme der E-Mail insgesamt den Charakter der Werbung, ist laut BGH kein Raum.

Das bedeutet im Ergebnis allerdings auch, dass eine E-Mail, mit der ein legitimes vertragliches Anliegen verfolgt wird, zur Werbemail wird, sobald zusätzlich Werbebotschaften in diese E-Mail aufgenommen worden sind. Damit dürften jedwede werblichen Elemente auch in vertragsbezogenen E-Mails kritisch zu bewerten sein.

Dogmatisch interessant an der Entscheidung ist auch, dass der BGH im Rahmen des allgemeinen Persönlichkeitsrechts die Wertung von § 7 Abs. 2 UWG berücksichtigt. Hierzu führt er aus:

Dabei ist auch – zur Vermeidung von Wertungswidersprüchen – die Wertung des § 7 Abs. 2 UWG zu berücksichtigen (vgl. Senatsurteil vom 14. März 2017 – VI ZR 721/15, GRUR 2017, 748 Rn. 28), mit der der deutsche Gesetzgeber Art. 13 der Datenschutzrichtlinie EK umgesetzt hat. Nach § 7 Abs. 2 Nr. 3 UWG stellt – abgesehen von dem Ausnahmetatbestand des § 7 Abs. 3 UWG – jede Werbung unter Verwendung elektronischer Post ohne vorherige ausdrückliche Einwilligung des Adressaten stets eine unzumutbare Belästigung dar (vgl. BGH, Beschluss vom 20. Mai 2009 – I ZR 218/07, GRUR 2009, 980 Rn. 14-E-Mail-Werbung II).

posted by Stadler at 19:13  

18.10.18

LG Bochum: Datenschutzverstöße können nicht als Wettbewerbsverstöße geahndet werden

Nach bisheriger Rechtsprechung wurden datenschutzrechtliche Vorschriften häufig als sog. Markverhaltensregeln im Sinne von § 3a UWG angesehen, mit der Folge, dass der Verstoß gegen Normen des Datenschutzrechts in der Regel zugleich auch als Wettbewerbsverstoß verfolgt werden konnte.

Seit Geltung der Datenschutzgrundverordnung (DSGVO) gibt es einen juristischen Streit darüber, ob die Vorschriften der Art. 77 bis 84 DSGVO abschließend sind und wettbewerbsrechtliche Ansprüche von Mitbewerbern ausschließen. Dieser Auffassung hat sich jetzt das Landgericht Bochum (Urteil vom 07.08.2018, Az.: I-12 O 85/18) angeschlossen.

Ob sich diese Ansicht durchsetzen wird, wage ich zu bezweifeln. Die Vorschriften der Art. 77 ff. DSGVO regeln ausschließlich die Rechte von betroffenen Personen und mögen insoweit auch abschließend sein. Die betroffene Person ist in Art. 4 Nr. 1 DSGVO legaldefiniert. Drittbetroffene fallen nicht darunter. Die Rechte von mittelbar Betroffenen, die beispielsweise in ihrer Funktion als Wettbewerber beeinträchtigt werden, regelt die DSGVO also nicht, weshalb es sich insoweit auch nicht um eine abschließende Regelung handeln kann. Der Sinn und Zweck der DSGVO besteht auch nicht darin, den bisherigen Rechtsschutz  einzuschränken. Insoweit ist auch zu berücksichtigen, dass die Rechtsprechung des EuGH wenig Neigung zeigt, Vorschriften des EU-Rechts in einer Weise auszulegen, die ihre effektive Rechtsdurchsetzung einschränkt. Der EuGH wird sich daher schwerlich einer Auslegung anschließen, die den Datenschutz im Ergebnis schwächt. Er präferiert vielmehr eine Auslegung, bei der sich das Unionsrecht am wirkungsvollsten durchsetzt.

Man sollte daher ein einzelnes landgerichtliches Urteil nicht überbewerten, auch wenn es sich auf die Ansicht Köhlers stützen kann, der zu den bekanntesten deutschen Wettbewerbsrechtlern zählt. Die Kollegen Löffel Abrar haben sich mit dem Thema ausführlicher beschäftigt.

posted by Stadler at 19:43  

16.10.18

Lehrer am Pranger der AfD

Die AfD-Fraktion in der Hamburger Bürgerschaft hat unter dem Titel „Neutrale Schule Hamburg“ vor ein paar Wochen ein Online-Portal gestartet, auf dem Schüler oder Eltern „mutmaßliche Neutralitätsverstöße“ von Lehrern melden sollen. Eine Veröffentlichung sei hier nicht angedacht. In Baden-Württemberg gibt es eine vergleichbare Website, betrieben von einem AfD-Abgeordneten, die aber derzeit nicht mehr erreichbar ist. Anders als in Hamburg sollen hier auch die Namen der Lehrer veröffentlicht werden. Noch deutlich weiter geht die sächsische Variante, bei der sogar Meldungen mit vordefinierten Kriterien wie „Werbung für kulturfremde Weltanschauungen“ vorgesehen sind und auch Fotos des denunzierten Lehrers hochgeladen werden können, wie die Leipziger Volkszeitung berichtet.

Wenn die Daten nur erfasst, aber nicht veröffentlicht werden, stehen vor allem datenschutzrechtliche Fragen im Vordergrund, während in den Fällen der Veröffentlichung persönlichkeitsrechtliche Fragen hinzutreten, im Falle von Bildveröffentlichungen ist zudem das Recht am eigenen Bild betroffen.

1. Datenschutz

Datenschutzrechtlich ist davon auszugehen, dass die AfD personenbezogene Daten von Lehrern erhebt und verarbeitet, die die politische und weltanschauliche Haltung des Lehrers betreffen. Solche Informationen sind nach Art. 9 der DSGVO als besondere Kategorien personenbezogener Daten geschützt, ihre Verarbeitung ist grundsätzlich untersagt. Die engen Ausnahmen, die Art. 9 Abs. 2 DSGVO vorsieht, sind nicht einschlägig. Insbesondere kann nicht davon ausgegangen werden, dass die Verarbeitung nach Art. 9 Abs. 2 g) DSGVO aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Bereits die Bejahung eines allgemeinen öffentlichen Interesses – außerhalb der Schulöffentlichkeit – erscheint mir fragwürdig. Ein erhebliches öffentliches Interesse der AfD daran, solche Daten zu erheben und zu sammeln, besteht nicht. Es ist vielmehr so, und hierauf hat der Kollege Simon Assion auf Twitter zu Recht hingewiesen, dass man annehmen muss, dass die AfD damit eine systematische Sammlung über politische Gegner in der Lehrerschaft anlegen will. Der primäre Zweck dürfte die Einschüchterung sein. Und letztlich ist diese Sammlung auch geeignet, den Schulbetrieb zu stören. Insoweit besteht wohl eher ein öffentliches Interesse daran, diesen Praktiken entgegenzuwirken.

Diese Portale zur Meldung von Lehrern erfüllen die Voraussetzungen von Art. 9 DSGVO nicht und sind daher datenschutzwidrig. Die Aufsichtsbehörden tun sich allerdings offenbar schwer mit einer Verfolgung. Der Hamburgische Datenschutzbeauftragte verwies zum Beispiel darauf, dass er für die Kontrolle von Fraktionen nicht zuständig sei. Das erscheint allerdings fraglich, denn der Betrieb einer Onlinemeldeplattform ist schwerlich der parlamentarischen Arbeit einer Fraktion zuzuordnen. Demzufolge versucht der baden-württembergische Landesdatenschutzbeauftragte zu klären, ob es sich um eine mandatsbezogene oder parteipolitische Tätigkeit handelt. In letzterem Fall sind die Aufsichtsbehörden zuständig.

2. Persönlichkeitsrecht

Wenn die Informationen veröffentlicht werden, steht zudem eine Verletzung des allgemeinen Persönlichkeistrechts im Raum. Im Fall des Lehrerbewertungsportal „spickmich“ war zumindest eine Registrierung der Nutzer erforderlich. Die Daten waren damit nicht allgemein zugänglich, der Abruf war auf registrierte Personen beschränkt, die ein typisiertes berechtigtes Informationsinteresse an den zur Verfügung gestellten Daten geltend gemacht hatten. Diesen Aspekt betont der BGH auch ausdrücklich in seiner Spickmich-Entscheidung (Rn. 37). Die Zulässigkeit einer Veröffentlichung lässt sich also nicht auf diese Entscheidung stützten.

Ungeachtet dessen, können einzelne Einträge natürlich auch immer unrichtig und deshalb zu löschen sein. Nach neuerer Rechtsprechung des BGH unterliegt der Betreiber einer Bewertungsplattform zudem, sobald ein Betroffener den Eintrag beanstandet, einer Pflicht zur gewissenhaften Prüfung der Beanstandung. Dies gilt in vertärktem Maße, wenn Einträge anonym vorgenommen werden können.

Sollte außerdem die Möglichkeit bestehen, wie dies in Sachsen der Fall zu sein scheint, ein Foto des betroffenen Lehrers zu posten, wäre dies zusätzlich ein Verstoß gegen das Recht des Lehrers am eigenen Bild.

3. Fazit

Die verschiedenen Meldeportale der AfD, mittels derer „Neutralitätsverstöße“ von Lehrern gemeldet werden sollen, verstoßen gegen das Datenschutzrecht und wegen der erzeugten Prangerwirkung auch gegen die Persönlichkeitsrechte der betroffenen Lehrer.

Die Frage ist auch, ob nicht zudem ordnungsrechtlich gegen diese Portale vorgegangen werden kann, was Josef Franz Lindner im Verfassungsblog diskutiert.

posted by Stadler at 18:28  

1.8.18

Fordert der Datenschutz ein Fotografierverbot auf Schulfesten?

In letzter Zeit liest man immer wieder, dass Schulen und Kindergärten das Fotografieren auf Festen und anderen Veranstaltungen der Einrichtung, an denen Eltern und Angehörige teilnehmen, verbieten. Zumeist mit dem Argument, die Datenschutzgrundverordnung (DSGVO) würde dies verlangen. Über einen solchen Fall berichtet aktuell beispielsweise die Lausitzer Rundschau.

Man wird vermutlich schon darüber diskutieren können, ob die Schulleitung das Fotografieren und Filmen auf Veranstaltungen der Schule kraft ihres Hausrechts untersagen kann. Das Datenschutzrecht verlangt ein solches Verbot allerdings nicht.

Die DSGVO ist in den Fällen, in denen Eltern oder andere Angehörige Fotos anfertigen, auf denen neben ihren eigenen Kindern auch fremde Kinder zu sehen sind, nämlich schon gar nicht anwendbar. Art. 2 Abs. 2 c) DSGVO besagt, dass der Anwendungsbereich der Verordnung nicht eröffnet ist, wenn natürliche Personen personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erheben. Das trifft auf das Fotografieren auf Schulveranstaltungen zu rein privaten Zwecken unzweifelhaft zu.

Davon strikt zu trennen ist allerdings die Frage, ob solche Fotos anschließend z.B. in sozialen Netzen veröffentlicht werden können. Diese Frage wurde im deutschen Recht, jedenfalls bis zum Wirksamwerden der DSGVO, im sog. Kunsturheberrechtsgesetz (KUG) geregelt. Ob das KUG weiterhin anwendbar ist oder durch die DSGVO verdrängt wird, ist juristisch umstritten. Ungeachtet der Frage, ob das KUG oder die DSGVO diese Frage regelt, bedarf es im Falle der Veröffentlichung von Bildmaterial, auf dem Personen erkennbar sind, grundsätzlich einer Einwilligung des Abgebildeten. We also auf Instagram oder Facebook Fotos veröffentlicht, auf denen Personen zu erkennen sind, muss diese Menschen fragen, bevor er die Fotos postet.

Schulen und Kindergärten schießen, wenn sie das Fotografieren verbieten, also über das Ziel hinaus. Was die Anfertigung von Fotos betrifft, hat sich die Rechtslage seitdem die DSGVO gilt, nicht verändert. Was wir hier erleben, ist lediglich eine gefühlte Verschärfung des Datenschutzrechts.

posted by Stadler at 21:13  

7.7.18

Störerhaftung jetzt auch im Datenschutzrecht?

Der Europäische Gerichtshof (EuGH) hat vor einigen Wochen (Urteil vom 05.06.2018, Az.: C-210/16) entschieden, dass der Betreiber einer Facebook-Fanpage (neben Facebook) als datenschutzrechtlich Verantwortlicher zu betrachten ist. Der EuGH macht zunächst deutlich, dass er eine weite Definition des Begriffs des „Verantwortlichen“ präferiert, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Der Betreiber einer Fanpage beteiligt sich durch die Unterhaltung der Fanseite an der Datenverarbeitung und ist daher gemeinsam mit Facebook Irland als für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen. Die Entscheidung wird, jedenfalls was die Frage des Verantwortlichen angeht, auch auf die DSGVO Anwendung finden.

Es ist nach dieser Lesart also keinesfalls so, dass der Verantwortliche, was der englische Begriff des Controllers nahelegen würde, den Prozess der Datenverarbeitung steuern und kontrollieren muss. Vielmehr genügt auch ein (untergeordneter) Beitrag, um zum gemeinsamen Verantwortlichen zu werden. Damit hat der EuGH eine Art Störerhaftung im Bereich des Datenschutzes geschaffen, die es ermöglicht, nahezu beliebige (kausale) Beiträge als verantwortungsbegründend zu qualifizieren.

Insoweit verbleibt aber die dogmatische und auch rechtspolitische Frage, ob es wirklich sachgerecht ist, neben dem Hauptverantwortlichen, der den Datenverarbeitungsvorgang tatsächlich steuert und kontrolliert, jeden als Verantwortlichen zu begreifen, der einen Beitrag zu einer (fremden) Datenverarbeitung leistet. Der EuGH betont in seiner Entscheidung zwar, dass die bloße Nutzung eines sozialen Netzwerks nicht ausreichend sein soll, um den Nutzer zum Mitverantwortlichen zu machen. Konsequent erscheint diese Einschränkung im Lichte der weiten Auslegung des EuGH aber nicht. Denn wer als Nutzer Inhalte postet – und nichts anderes macht der Betreiber einer Fanseite am Ende auch – trägt dazu bei, dass Facebook das Verhalten anderer Nutzer, die die geposteten Inhalte lesen oder betrachten, auswerten kann. Mithin leistet man nach der Logik des EuGH also bereits durch das bloße Einstellen von Inhalten in ein soziales Netzwerk einen kausalen Beitrag für eine sich anschließende Datenverarbeitung von Facebook. Diese Konsequenz will der EuGH freilich nicht ziehen, weil man damit jeden Nutzer eines sozialen Netzwerks als Verantwortlichen einstufen müsste.

Es zeigt sich auch hier wieder etwas, was man seit Jahren beobachten kann. Die konsistente Anwendung des Datenschutzrechts würde die Nutzung des Internets wie wir es kennen und wie es von einer Mehrzahl der Menschen genutzt wird, deutlich beeinträchtigen. Weil aber weder der Gesetzgeber noch die Gerichte diese Konsequenz ziehen wollen, kommt es immer wieder zu widersprüchlichen datenschutzrechtlichen Schlussfolgerungen, die zu Rechtsunsicherheit führen.

posted by Stadler at 15:18  
Nächste Seite »