Internet-Law

Heute entstand auf Twitter und in Blogs eine gewisse Aufregung um die Meldung, dass der Bundesrat soziale Netzwerke erst ab einem Alter von 16 Jahren erlauben will. Hintergrund war eine etwas irreführende Meldung von internetworld, die sich mit einer geplanten Änderung des Telemediengesetzes befasst, die ich hier aus anderen Gründen schon kritisiert habe.

Worum geht es bei dieser Altersgrenze genau? Hier ist der relevante Wortlaut:

Der Diensteanbieter hat denNutzer bei der erstmaligen Erhebung von personenbezogenen Daten in allgemein verständlicher Form, leicht erkennbar, unmittelbar erreichbar und ständig verfügbar darüber zu unterrichten, welche Sicherheitseinstellungen zum Schutz der Privatsphäre des Nutzers voreingestellt sind. Der Diensteanbieter muss dem Nutzer die Einstellungsmöglichkeit bieten, dass das Nutzerkonto sowie sonstige vom Nutzer erstellte Inhalte mittels anderer, nicht in diesen Telemediendienst integrierter Telemediendienste, welche die Suche von Inhalten ermöglichen (externe Suchmaschinen), nicht gefunden oder ausgelesen werden können; der Diensteanbieter hat dies entsprechend Satz 1 voreinzustellen. Satz 3 gilt nicht, soweit der Zweck des Telemediendienstes bei objektiver Betrachtung die Auffindbarkeit oder Auslesbarkeit von Inhalten mittels externer Suchmaschinen umfasst. Einem Nutzer, der bei der Erhebung seiner personenbezogenen Daten ein Alter von unter 16 Jahren angegeben hat, darf eine Änderung der Voreinstellung nach Satz 3 erst ermöglicht werden, wenn er das Alter von 16 Jahren erreicht hat.

Die Grundidee besteht – neben wieder einmal neuen Belehrungspflichten – darin, die sozialen Netzwerke zu verpflichten, per default die strengsten Privacy-Einstellungen vorzugeben, die der Nutzer dann durch eine bewusste eigene Änderung lockern kann. Die Grundeinstellung soll dafür sorgen, dass weder Suchmaschinen noch Nichtmitglieder die Nutzeprofile sehen können. Und diese Lockerung soll erst möglich sein, wenn der Nutzer 16 Jahre alt ist.

Jetzt muss man ganz pragmatisch natürlich sehen, dass sich speziell Facebook bislang wenig um die Einhaltung des TMG und BDSG schert und man deshalb zunächst überlegen sollte, wie man das bestehende Vollzugsdefizit beseitigt. Denn immer neue Gesetze, die die großen Player wie Facebook ohnehin wieder ignorieren, verbessern die Position der Nutzer ja nicht.

Außerdem wird die Regelung in der Praxis bereits deshalb leerlaufen, weil die Nutzer dann eben im Zweifel angeben werden, dass sie 16 sind. Die geplante Regelung bringt aber eine interessante datenschutzrechtliche Problematik in Erinnerung. Für eine datenschutzrechtliche Einwilligung ist nach überwiegender Ansicht zwar keine Geschäftsfähigkeit (also Volljährigkeit), wohl aber eine ausreichende Einsichtsfähigkeit erforderlich, die Kindern regelmäßig fehlt. Deshalb können sich Kinder eigentlich schon nach geltendem Recht nicht selbständig in sozialen Netzen anmelden.

In einer Entscheidung vom heutigen Tag (Az.: C-324/09) stellt, der Europäische Gerichtshof (EuGH) fest, dass sich eBay nicht auf das Haftungsprivileg des Art. 14 der E-Commerce-Richtlinie – entspricht § 10 TMG – berufen kann, wenn das Unternehmen Hilfestellungen geleistet hat, die u. a. darin bestehen, die Präsentation von Verkaufsangeboten zu optimieren oder diese Angebote zu bewerben. Ob eBay derartige Hilfestellung leistet, muss laut EuGH allerdings wiederum das nationale Gericht klären.

Der EuGH geht zunächst davon aus, dass sich ein Online-Marktplatz grundsätzlich auf die Haftungsprivilegierung für das Hosting (Art. 14 ECRL) berufen kann, wenn er sich darauf beschränkt, seinen Dienst mittels rein technischer und automatischer Verarbeitung der von seinen Kunden eingegebenen Daten neutral zu erbringen. Sobald er eine aktive Rolle spielt, die ihm eine Kenntnis dieser Daten oder eine Kontrolle über sie verschaffen konnte, soll er allerdings uneingeschränkt haften.

Hat der Betreiber des Online-Marktplatzes keine solche aktive Rolle gespielt und fällt die Erbringung seines Dienstes folglich in den Anwendungsbereich von Art. 14 Abs. 1 der Richtlinie 2000/31, kann er sich hinsichtlich von Schadensersatzansprüchen, gleichwohl nicht auf die Ausnahme von der Verantwortlichkeit berufen, wenn er sich Tatsachen oder Umständen bewusst war, auf deren Grundlage ein sorgfältiger Wirtschaftsteilnehmer die Rechtswidrigkeit der fraglichen Verkaufsangebote hätte feststellen müssen und er anschließend nicht unverzüglich tätig geworden ist.

Außerdem hat der EuGH noch ausgesprochen, dass es zum effektiven Schutz des geistigen Eigentums notwendig ist, dass die nationalen Gerichte dem Anbieter eines Onlinedienstes Maßnahmen aufgeben können, die nicht nur zur Beendigung der konkreten Verletzung führen, sondern auch wirksam zur Vorbeugung gegen erneute Verletzungen beitragen.

Dies schränkt der EuGH sogleich allerdings wieder ein. Solche vorbeugenden Maßnahmen dürfen nämlich nicht darin bestehen, den Diensteanbieter zu verpflichten, aktiv alle Angaben seiner Kunden zu überwachen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Eine solche allgemeine Überwachungspflicht wäre nach Ansicht des EuGH auch nicht mit Art. 3 der Richtlinie 2004/48 zu vereinbaren, wonach die Maßnahmen im Sinne dieser Richtlinie gerecht und verhältnismäßig sein müssen und nicht übermäßig kostspielig sein dürfen.

Als zumutbare Maßnahmen sieht es der EuGH insbesondere an, den Rechtsverletzter von der Benutzung der Plattform asuzuschließen, um eine erneute Verletzung derselben Marken durch denselben Händler zu verhindern. Außerdem hält es der EuGH für zumutbar, dem Betreiber eines Online-Marktplatzes aufzugeben, Maßnahmen zu ergreifen, die die Identifizierung seiner als Verkäufer auftretenden Kunden erleichtern.

Die Entscheidung erscheint auf den ersten Blick spektakulärer als sie ist. Für das Geschäftsmodell von eBay könnte dies allerdings dennoch bedeuten, dass eBay nicht wie ein (passiver) Hoster privilegiert ist, sondern als aktiver Marktteilnehmer unbeschränkt haftet.

Bereits vor einigen Wochen hatte ich auf die geplante Vorschrift des § 13 Abs. 8 TMG hingewiesen, die sich derzeit im Gesetzgebungsverfahren befindet und vom Bundesrat bereits beschlossen wurde. Obwohl die Vorschrift äußerst brisant ist, blieb eine größere Resonanz damals aus, was an der Überschrift meines Beitrags gelegen haben mag. Jens Ferner befasst sich in seinem Blog nunmehr ebenfalls mit dem Thema.

Die Vorschrift, die in einem Entwurf zur Änderung von Vorschriften des Telemediengesetzes enthalten ist, bedeutet für Deutschland nichts weniger als das Ende von Cookies, wenn man den User nicht alternativ mit einem Pop-Up-Gewitter behelligen will. Die geplante Vorschrift lautet:

Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Diese Vorschrift reicht nach ihrem Wortlaut freilich weit über Cookies hinaus und erfasst alles, was auf dem Endgerät des Nutzers (also PC, Notebook, Smartphone, iPad etc.) gespeichert wird. Für mich klingt das wieder einmal nach einer Vorschrift, die in der Praxis auf breite Missachtung stoßen wird, weil sonst verschiedenste Dinge nicht mehr wie gehabt funktionieren werden.

Die Webserver des Landes Niedersachsen sperren laut einer Heise-Meldung Anonymisierungsdienste aus.

Der technische Dienstleister, der Landesbetrieb für Statistik und Kommunikationstechnologie, räumt ein, eine Sperrliste für bestimmte Anonymisierungsdienste einzusetzen und hält dies aus Gründen der IT-Sicherheit für geboten.

In dem Beitrag von Heise-Online wird bereits angedeutet, dass diese Praxis in Konflikt mit der gesetzlichen Regelung des Telemediengesetzes stehen könnte. Nach § 13 Abs. 6 TMG hat der Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist.

Die juristisch interessante Frage ist die, ob hieraus eine Verpflichtung des Diensteanbieters folgt, den Einsatz von Anonymisierungsdiensten wie Tor zu tolerieren, weil der Nutzer nur damit die vom Gesetz gewünschte Pseudonymität selbst herstellen kann. Eine Pseudonymisierung kann nur durch den Nutzer oder durch einen Dritten vorgenommen werden und nicht vom Diensteanbieter. Nach der Legaldefinition in § 3 Abs. 6a BDSG bedeutet Pseudonymisieren das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Diese Pseudonymisierung führt der Betreiber des Anonymisierungsdienstes durch. Nach der Vorstellung des Gesetzgebers – zum TDDSG, das die fragliche Vorschrift bereits enthielt – soll der Nutzer ein Pseudonym verwenden dürfen, das verhindert, dass man auf seine wahre Identität schließen kann (BT-Drs. 13/7385, 23).

Indem der Gesetzgeber die Verwendung von Pseudonymen ausdrücklich ermöglichen will, folgt daraus auch, dass der Diensteanbieter diese Pseudonymisierung grundsätzlich zu respektieren hat. Dies gilt umso mehr für ein staatliches Informationsangebot. Es ist auch nicht ersichtlich, weshalb die Pseudonymisierung gerade in dem konkreten Fall technisch unzumutbar sein sollte.

Es kommt wohl nicht von ungefähr, dass Netzpolitik bzw. die dazugehörige Gesetzgebung in Deutschland von Ausschüssen für Agrarpolitik und Verbraucherschutz bestimmt wird. Die vom Bundesrat auf Vorschlag des besagten Ausschusses bereits beschlossenen Änderungen des Telemediengesetzes bewirken das prinzipielle Ende von Cookies oder wahlweise neue Pop-Up-Gewitter (§ 13 Abs. 8 TMG neu).

Nach dem geplanten §13a TMG sollen die Anbieter, insbesondere sozialer Netze, verpflichtet werden, die Voreinstellungen auf die „höchste Sicherheitsstufe gemäß dem Stand der Technik“ zu setzen. Was von dieser geplanten Neuregelung zu halten ist, habe ich bereits vor einiger Zeit erläutert.

Das Landgericht Düsseldorf hat mit Urteil vom 15.12.2010 (Az.: 12 O 312/10) entschieden, dass für Vorschalt- und Wartungsseiten keine Informationspflichten nach § 5 TMG und auch nicht nach § 55 RStV bestehen.

Die Impressumspflicht nach § 5 TMG verneinte das Landgericht mit der Begründung, im konkreten Fall sei der Internetauftritt zu diesem Zeitpunkt nicht mit dem Zweck der Verfolgung wirtschaftlicher Interessen betrieben worden. Das ist insoweit nachvollziehbar als, die Informationspflichten des § 5 TMG voraussetzen, dass die Website zumindest mit wirtschaftlichem Hintergrund betrieben wird. Wenn es sich also evident um die Baustellenseite eines Unternehmens handelt, muss die Beurteilung allerdings anders ausfallen.

Die Begründung für die Verneinung einer Impressumspflicht nach § 55 RStV ist dann allerdings mehr als erstaunlich. Das Landgericht geht davon aus, dass der Rundfunkstaatsvertrag nur Regelungen für den öffentlich-rechtlichen und den privaten Rundfunk trifft und eine Internet-Präsenz keine Rundfunkveranstaltung sei. Diese Rechtsansicht des Landgerichts Düsseldorf ist schlichtweg falsch. Der Rundfunkstaatsvertrag enthält seit geraumer Zeit auch Regelungen für sog. Telemedien und heißt mittlerweile auch Staatsvertrag für Rundfunk und Telemedien. § 55 RStV regelt ganz ausdrücklich auch Informationspflichten für Telemedien wie Websites. Wie diese Informationspflichten von denen des § 5 TMG abzugrenzen sind, habe ich anderer Stelle am Beispiel von Blogs dargestellt.

Die Entscheidung ist in ihrer Begründung evident falsch und deshalb mit höchster Vorsicht zu genießen.

Der BGH hat in einer unlängst im Volltext veröffentlichten Entscheidung (Urteil vom 17. Dezember 2010, AZ.: V ZR 44/10) zur Frage der Haftung des Betreibers eines Internetportals für die Inhalte seiner Nutzer Stellung genommen. Das Urteil stammt interessanterweise von dem für Grundstücksrecht zuständigen V. Zivilsenat, was folgenden Hintergrund hat.

Der BGH greift auf die Grundsätze der Haftung eines sog. mittelbaren Störers zurück und stellt zunächst klar, dass eine Haftung nur dann in Betracht kommt, wenn dem Plattformbetreiber eine Prüfung zumutbar war. Dafür muss der Rechtsverstoß für den Portalbetreiber erkennbar sein. Werden Fotos eingestellt, denen man selbst nicht ansehen kann, ob sie ungenehmigt aufgenommen worden sind, liegt eine solche Erkennbarkeit nicht vor, so dass auch keine Prüfpflichten verletzt werden. Auch der Einsatz von Filtersoftware ist nach Ansicht des BGH nicht zumutbar, jedenfalls dann nicht, wenn es keine klaren Merkmale gibt, anhand derer nach Verdachtsfällen gesucht werden könnte.

Erst gestern habe ich hier über die Schieflage des geltenden Datenschutzrechts geschrieben. Heute berichtet der Kollege Jens Ferner über einen Gesetzesantrag der hessischen Landesregierung, der über den Bundesrat eingebracht werden soll. Der Gesetzesentwurf sieht die Änderungen der datenschutzrechtlichen Vorschriften des Telemediengesetzes vor. Der Vorschlag zielt auf soziale Netzwerke und Internetforen ab.

Neu eingefügt werden soll der Begriff des Nutzerkontos in § 2 Nr. 4 TMG. Unabhängig davon, worauf die Regelung abzielt, ist der Gesetzeswortlaut so formuliert, dass jegliches Nutzerkonto bei einem registrierungspflichtigen Dienst umfasst ist. Betroffen sind damit soziale Medien, Online-Shops und Dienstleister aller Art ebenso wie Blogs und Diskussionsforen, die für die Kommentierung eine Registrierung verlangen.

Daran schließen sich dann neue Belehrungs- und Verhaltenspflichten der Diensteanbieter an, die durch eine Ausweitung von § 13 TMG erreicht werden sollen sowie eine Neuregelung in § 13a TMG für Dienste mit nutzergeneriertem Content. Der Kollege Jens Ferner hat eine Reihe von Kritikpunkten bereits genannt.

Die Sinnhaftigkeit von Regelungen wie des geplanten § 13a Abs. 1 S. 1 TMG muss man ernsthaft in Frage stellen. Dort soll folgendes geregelt werden:

„Soweit der Diensteanbieter dem Nutzer die Möglichkeit bietet, den Telemediendienst durch eigene Inhalte mit personenbezogenen Daten zu erstellen und zu gestalten und diese Inhalte anderen Nutzern zugänglich zu machen (Telemediendienst mit nutzergenerierten Inhalten), hat der Diensteanbieter die Sicherheitseinstellungen auf der höchsten Sicherheitsstufe, die dieser Telemediendienst zum Schutz der Privatsphäre bietet, voreinzustellen.“

Die Regelung ist nicht geeignet, ein einheitliches Schutzniveau zu etablieren, sondern regelt nur dass die „höchste Sicherheitsstufe“ – die damit beliebig ausgestaltet sein kann – per Default eingestellt sein muss.

§ 13a Abs. 2 S. 3 TMG, wonach dem Nutzer die Möglichkeit geboten werden muss, die Aufnahme der von ihm erstellten Inhalte in externe Suchmaschinen – also primär Google – zu unterbinden, dürfte Blogger und Betreiber von Meinungsforen vor Probleme stellen. Hier könnte dann evtl. Satz 4 wieder helfen, der anordnet, dass Satz 3 nicht gelten soll, wenn der Zweck des Telemediendienstes bei objektiver Betrachtung die Auffindbarkeit oder Auslesbarkeit von Inhalten mittels externer Suchmaschinen umfasst. Das legt zumindest die Begründung nahe, die davon spricht, das Satz 4 „z. B. Diensteanbieter von Diskussionsforen und Blogs wie Twitter“ betrifft. Dass Twitter ein Blog ist, war mir allerdings neu.

Diskussionsbedürftig erscheint auch die Regelung in § 13a Abs. 2:

Der Diensteanbieter des Telemediendienstes mit nutzergenerierten Inhalten hat den Nutzer

1. über mögliche Risiken für personenbezogene Daten und damit verbundene Beeinträchtigungen seiner Persönlichkeitsrechte und

2. darüber, dass durch das Zugänglichmachen von personenbezogenen Daten, insbesondere von Foto-, Video-, Ton- oder Textinhalten, weder die Persönlichkeitsrechte noch sonstige Rechte einer anderen natürlichen Person verletzt werden dürfen,

in für den Nutzer verständlicher Form, leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu unterrichten.

Über welche konkreten Risiken für personenbezogene Daten – gibt es überhaupt Risiken für personenbezogene Daten? – aufgeklärt und unterrichtet werden soll und in welchem Umfang, besagt der Gesetzesvorschlag nämlich nicht. Rechtsunsicherheit ist damit vorprogrammiert.

Dass die Nichtbeachtung dieser reichlich diffusen Vorschläge natürlich wettbewerbsrechtliche Abmahnungen nach sich ziehen kann – auch wenn manche Gerichte datenschutzrechtliche Vorschriften bislang nicht als Marktverhaltensregeln im Sinne des UWG betrachten – sollte man ebenfalls im Auge haben.

Dieser Vorschlag schafft Rechtsunsicherheit und die Notwendigkeit, die Datenschutzerklärungen – die heute schon kaum jemand liest – aufzublähen.

Das Landgericht Berlin (Beschluss vom 14.03.2011, Az. 91 O 25/11) musste sich mit der Frage beschäftigen, ob die Einbindung des Facebook Like-Buttons auf einer Website außerhalb von Facebook gegen die datenschutzrechtliche Vorschrift des § 13 TMG verstößt und ob dies wiederum einen Verstoß gegen das Wettbewerbsrecht darstellt.

Die datenschutzrechtliche Frage hat das Gericht erst gar nicht erörtert, weil es der Ansicht war, dass die Vorschrift des § 13 TMG keine sog. Marktverhaltensregelung im Sinne von § 4 Nr. 11 UWG darstellt und bereits deshalb ein wettbewerbsrechtlicher Verstoß nicht in Betracht kommt.

Dieses Begründung des Landgerichts Berlin ist allerdings wenig überzeugend. Das Gericht macht zunächst ganz allgemeine Ausführungen zur Frage des Vorliegens von Marktverhaltensregeln, um sich dann ohne nähere konkrete Argumentation auf ein Urteil des OLG Hamburg zu berufen, wonach die datenschutzrechtliche Vorschrift des § 28 Abs. 4 BDSG keine Marktverhaltensregelung darstellen soll, woraus das Landgericht schließt, dass dasselbe dann auch für § 13 TMG gelten müsse. An dieser Stelle versäumt das Gericht allerdings zu erwähnen, dass eine Verletzung von § 28 (und auch § 35) BDSG von mindestens zwei anderen Oberlandesgerichten (OLG Naumburg, Urteil vom 10. 10. 2003, Az.: 1 U 17/03 und OLG Stuttgart) durchaus als wettbewerbsrechtlich relevant eingestuft worden ist.

Darüber hinaus wird vom Landgericht Berlin in dieser Frage zu wenig beachtet, dass spätestens mit dem Inkrafttreten der letzten UWG-Novelle zum 30.12.2008 ein Paradigmenwechsel stattgefunden hat. Das deutsche Wettbewerbsrecht regelte bis zum Jahre 2004 ausschließlich das Verhältnis von Mitbewerbern zueinander und war ein echtes Wettbewerbsrecht. Unter dem Einfluss der EU entwickelte sich das Wettbewerbsrecht allerdings immer stärker zu einer Art  Verbraucherschutzrecht. Gerade die Richtlinie über unlautere Geschäftspraktiken, die mit der Neureglung vom 30.12.2008 umgesetzt wurde, betrifft ausschließlich unlautere Verhaltensweisen gegenüber Verbrauchern. Dieser Paradigmenwechsel zeigt sich auch daran, dass der alte Zentralbegriff der „Wettbewerbshandlung“ durch den der „geschäftlichen Handlung“ ersetzt worden ist (§ 2 Abs. 1 Nr. 1 UWG). Die geschäftliche Handlung ist deutlich weiter und umfasst alle Handlungen gegenüber Mitbewerbern und sonstigen Marktteilnehmern (z.B. Verbrauchern und potentiellen gewerblichen Kunden) vor, bei und nach Vertragsschluss. Bei der Bezugnahme auf ältere Urteile, die noch zur alten Rechtslage ergangen sind, ist daher stets Vorsicht geboten.

Vor dem skizzierten Hintergrund wird man datenschutzrechtliche Vorschriften in der Tendenz überwiegend als Marktverhaltensregeln qualifizieren müssen, zumindest dann, wenn eine Verarbeitung von Daten von Verbrauchern und/oder potentiellen Kunden erfolgt. Genau das ist aber bei der Vorschrift des § 13 TMG, die eine Datenerhebung (bei jedem beliebigen Nutzer) im Zusammenhang mit dem Betrieb von Telemedien, also insbesondere Websites, regelt, der Fall.

Man darf die Entscheidung des Landgerichts Berlin also nicht überbewerten, zumal Grund zu der Annahme besteht, dass andere Gerichte eine abweichende rechtliche Bewertung vornehmen werden.

In den letzten Tagen wurde viel über ein Urteil des Amtsgerichts München vom 03.02.2011 (Az.: 161 C 24062/10) diskutiert und geschrieben, wonach eine Privatperson bzw. ein Unternehmen grundsätzlich keinen Anspruch gegen den Betreiber eines Meinungsforums darauf hat, Name und Anschrift eines Nutzers benannt zu bekommen.

Die Entscheidung ist im Ergebnis wenig überraschend, denn (durchsetzbare) zivilrechtliche Auskunftsansprüche gibt es in diesem Bereich eigentlich nur im Falle der Verletzung des Urheberrechts nach § 101 UrhG. Was übrigens sehr viel über den Einfluss der Urheberrechtslobby in diesem Land besagt, denn das Urheberrecht ist damit einfachgesetzlich besser geschützt als das allgemeine Persönlichkeitsrecht und die persönliche Ehre.

Die Begründung des Amtsgerichts München ist dennoch fragwürdig, denn das Gericht scheint zu glauben, in § 14 Abs. 2 TMG sei ein Auskunftsanspruch geregelt. § 14 Abs. 2 TMG stellt allerdings (nur) eine datenschutzrechtliche Gestattungsvorschrift dar, aus der keine Rechtspflicht eines Forenbetreibers folgt, Auskunft zu erteilen, auch nicht gegenüber der Polizei oder anderen Behörden. Eingriffsgrundlagen zugunsten von Polizei oder Staatsanwaltschaften müssen sich vielmehr aus anderen Gesetzen ergeben, zum Beispiel dem TKG.