Internet-Law

Eine neue Entscheidung des BGH zur Haftung des Filehosters Rapidshare – die ich hier anhand der Pressemitteilung des BGH bereits besprochen habe – ist gestern im Volltext veröffentlicht worden (Urteil vom 12.07.2012, Az.: I ZR 18/11).

Der BGH betrachtet Rapidshare als Host-Provider, der ab dem Zeitpunkt für Urheberrrechstverletzungen haftet, in dem er von einer konkreten Rechtsverletzung in Kenntnis gesetzt wurde. Die Pflichten von Rapidshare beschränken sich nach Ansicht des BGH aber nicht auf die bloße Löschung beanstandeter Dateien. Vielmehr ist es Rapidshare in diesem Fall auch zumutbar, Wortfilter einzusetzen und externe Linksammlungen zu überprüfen, die auf Server von Rapidshare verweisen.

Der BGH meint inosweit, dass es Rapidshare grundsätzlich auch zumutbar sei, eine manuelle Kontrolle jedenfalls einer einstelligen Zahl von Linksammlungen durchzuführen. Ob darüber hinaus auch eine automatisierte Kontrolle einer größeren Anzahl von Linksammlungen zuzumuten ist, hängt nach Ansicht des BGH von den derzeitigen technischen Möglichkeiten ab. Der BGH hierzu wörtlich:

Die Klägerin hätte dann unter Sachverständigenbeweis stellen können, dass es mittlerweile mit denselben Techniken, mit denen Suchmaschinen und interessierte Nutzer die Download-Links auffinden, möglich ist, automatisiert die Linksammlungen zu durchsuchen und die entsprechenden Hyperlinks aufzufinden. Dabei wäre insbesondere zu berücksichtigen gewesen, dass der Antrag zu b) nur Hyperlinks mit dem Bestandteil „rapidshare.com/files“ erfasst.

Der BGH weist in seiner Entscheidung allgemein darauf hin, dass die Fa. Rapidshare nicht verpflichtet ist, die von ihr gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen (Art. 15 Abs. 1 RL 2000/31/EG – umgesetzt durch § 7 Abs. 2 TMG). Ob allerdings die anschließend vom BGH konkretisierten Prüfpflichten mit dem gesetzlichen Verbot von § 7 Abs. 2 TMG bzw. Art. 15 Abs. 1 ECRL vereinbar sind, thematisiert der Senat nicht weiter. Denn die Verpflichtung zum Einsatz von Wortfiltern lässt sich durchaus auch als Verpflichtung zur Überwachung gespeichterter Informationen deuten, ebenso wie die Verpflichtung zur Kontrolle externer Linksammlungen dahingehend verstanden werden kann, dass damit nach Umständen geforscht werden muss, die auf eine rechtswidrige Tätigkeit hinweisen. Denn es handelt sich gerade nicht um eine bloße Entfernung oder Sperrung im Sinne von § 7 Abs. 2 S. 2 TMG. Es stellt sich insoweit also durchaus die Frage, ob diese Entscheidung des BGH mit europäischem Recht vereinbar ist.

Vor einigen Wochen hatte ich über eine Verfügung des Unabhängigen Landeszentrum Schleswig-Holstein (ULD) berichtet, durch die Facebook u.a. förmlich verpflichtet wird, für alle natürlichen Personen, die Facebook in Schleswig-Holstein nutzen möchten, sicherzustellen, dass sich die Nutzer anstelle über Eingabe von Echtdaten (Vorname, Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum) auch durch Eingabe eines Pseudonyms für Facebook registrieren können.

Nach einem Bericht von Heise hat Facebook gegen den Verwaltungsakt Widerspruch erhoben und gleichzeitig beim Verwaltungsgericht Schleswig die Wiederherstellung der aufschiebenden Wirkung des Widerspruchs beantragt. Dieser Eilantrag Facebooks kann sich aber nur auf Ziff. I.2. der Verfügung des ULD beziehen, da nur dieser Teil für sofort vollziehbar erklärt wurde. Dieser Teil der Verfügung beinhaltet die Verpflichtung, Accounts die aufgrund des Klarnamenszwangs gesperrt wurden, wieder zu entsperren.

Vermutlich wird die gesamte Verfügung aber im Rahmen eines verwaltungsgerichtlichen Hauptsacheverfahrens geklärt werden.

Nachdem ich die rechtliche Beurteilung des ULD für falsch halte, rechne ich mit einer Niederlage des ULD vor den Verwaltungsgerichten, zumal Facebook vermutlich im Zweifel den Rechtsweg ausschöpfen wird.

Das Unabhängigen Landeszentrum Schleswig-Holstein (ULD) hat Facebook – nämlich die Facebook Inc. und die Facebook Ltd. – per Verwaltungsakt förmlich verpflichtet, für alle natürlichen Personen, die Facebook in Schleswig-Holstein nutzen möchten, sicherzustellen, dass sich die Nutzer anstelle über Eingabe von Echtdaten (Vorname, Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum) auch durch Eingabe eines Pseudonyms für Facebook registrieren können.

Facebook wird vom ULD ferner verpflichtet, registrierte Personen – aus Schleswig-Holstein – die allein wegen der Nichtangabe oder der nicht vollständigen Angabe ihrer Echtdaten bei der Registrierung gesperrt sind, zu entsperren. Dieser Teil der Verfügung wurde sogar für sofort vollziehbar erklärt.

Außerdem muss Facebook die Nutzer vor der Registrierung in einfacher, verständlicher und leicht zugänglicher Form sowie in deutscher Sprache über die Möglichkeit der Registrierung unter Angabe eines Pseudonyms informieren.

Das ULD hat ihre Verfügung im Wortlaut veröffentlicht.

Die Anordnung des ULD erscheint auf den ersten Blick kühn und man stellt sich die Frage, wie das wohl tatsächlich durchgesetzt werden soll. Andererseits nimmt das ULD nunmehr endlich Facebook direkt in Anspruch und wählt nicht wie beim Thema Like-Button den Umweg über die Nutzer.

Update:
Ob sich eine solche Verfügung tatsächlich auf § 13 Abs. 6 TMG stützen lässt, ist allerdings aus zwei Gründen zweifelhaft. § 13 Abs. 6 TMG verpflichtet die Diensteanbieter nur dazu, eine anonyme oder pseudonyme Nutzung zu ermöglichen. Eine pseudonyme Nutzung ist aber auch dann möglich, wenn man sich mit Klarnamen registrieren muss. Denn das Gesetz verlangt gerade keine anonyme Nutzungsmöglichkeit, sondern stellt es dem Diensteanbieter frei, ob er eine anonyme oder nur eine pseudonyme Nutzung ermöglicht.

Außerdem unterliegen möglicherweise auch Facebookprofile der Impressumspflicht des § 55 RStV oder des § 5 TMG weil sie selbst Telemedien sind. Es besteht dann das Problem, dass jemand gleichzeitig Nutzer und Anbieter eines Telemediums ist. Wer aber gesetzlich verpflichtet ist, Name und Anschrift zu nennen, kann ohnehin nicht anonym oder pseudonym nutzen.

Die Linke hat den Gesetzesvorschlag der Digitale Gesellschaft e.V. zur Änderung des TMG und zur Haftungsprivilegierung offener W-LANs übernommen und wörtlich in den Bundestag eingebracht. Abweichungen ergeben sich nur in der Begründung.

Angesichts der Formulierung habe ich allerdings weiterhin gewisse Zweifel daran, dass damit auch der private Betreiber eines W-LANs in den Genuss der Privilegierung kommen kann.

Die Grünen haben angekündigt, dass sie den Vorstoß der Linken zwar begrüßen, aber dennoch einen eigenen Gesetzesentwurf einbringen wollen. Ob es sich hierbei um das übliche parteipolitische Geplänkel handelt, weil man der Gesetzesinitiative der anderen Fraktion nicht zustimmen möchte, oder ob es substantielle Abweichungen geben wird, wird sich zeigen.

Seitens der SPD gibt es über den Bundesrat ebenfalls eine Initiative, die allerdings nicht so weit reicht wie der Vorschlag der DigiGes. Ob die Regierungsparteien sich dieser Tendenz anschließen wollen, bleibt abzuwarten. Aber selbst dann wird es aus dieser Richtung wiederum neue Gesetzesentwürfe geben.

Dass diese überfällige politische Diskussion jetzt überhaupt in Gang gekommen ist, ist aber in jedem Fall zu begrüßen.

24 der 27 nationalen Aufsichtsbehörden der EU-Mitgliedsstaaten für den Datenschutz haben nach Medienberichten Google schriftlich aufgefordert, seine vor einem halben Jahr eingeführte neue Datenschutzerklärung abzuändern. Die Datenschützer kritisieren primär die Zusammenführung der Daten aus den unterschiedlichen Diensten. Außerdem möchte offenbar auch die EU-Kommission die neuen Datenschutzregeln von Google beanstanden.

Eine aktuelle Pressemitteilung der französischen Datenschutzbehörde CNIL erläutert die Forderungen der europäischen Datenschützer etwas genauer.

Warum die neue Datenschutzerklärung von Google nicht mit deutschem und europäischem Datenschutzrecht vereinbar ist, habe ich vor einigen Monaten erläutert. Das Beispiel zeigt aber auch deutlich, dass das geltende Datenschutzrecht auf Geschäftsmodelle wie das von Google nicht ausgerichtet ist, weshalb es bei konsequenter Rechtsauslegung und -anwendung ohnehin schwierig werden wird, sämtliche Googledienste in ihrem aktuellen Funktionsumfang datenschutzkonform auszugestalten.

Das OLG Celle hat mit Beschluss vom 02.08.2012 (Az.: 13 U 72/12) entschieden, dass Diensteanbieter und damit Adressat der Impressumspflicht nach § 5 TMG nur derjenige ist, der maßgeblich die Funktionsherrschaft über die Domain bzw. das Telemedium inne hat. Danach ist bei einer Unternehmenshomepage nur der Unternehmer/Arbeitgeber Diensteanbieter und nicht dessen Mitarbeiter.

Auch wenn ich die Gleichsetzung von Inhaltsangebot und Domain für höchst fragwürdig halte, weist die Entscheidung des OLG Celle auf einen interessanten Aspekt hin, nämlich die Frage der Funktionsherrschaft. Vor diesem Hintergrund habe ich bereits vor einiger Zeit die Ansicht vertreten, dass beispielsweise ein Twitter-Profil keinen eigenständigen Dienst im Sinne des TMG darstellt und damit keiner Impressumspflicht unterliegt. In der juristischen Literatur wird dies freilich mehrheitlich anders gesehen.

Wie die Verbraucherzentrale Bundesverband meldet, hat Facebook Berufung gegen ein Urteil des Landgerichts Berlin vom 06.03.2012 (Az.: 16 O 551/10) eingelegt, durch das der Facebook FreundeFinder als wettbewerbswidrig und verschiedene Bestimmungen der Nutzungs- und Datenschutzbedingungen als unwirksam qualifiziert wurden.

Zum Urteil des LG Berlin hatte ich bereits vor einer Weile gebloggt.

Im Zusammenhang mit dem Urteil des Landgerichts Berlin bin ich außerdem mehrfach gefragt worden, ob mein Blogbeitrag  „Gilt deutsches Datenschutzrecht für Facebook überhaupt?“ durch das Urteil hinfällig geworden sei. In meinem Beitrag hatte ich geschrieben, dass § 1 Abs. 5 BDSG nicht vertraglich abbedungen werden kann, während das Landgericht Berlin in seinem Urteil vom 06.03.2012 ausführt:

Deutsches Datenschutzrecht gilt aufgrund zulässiger Rechtswahl. § 1 Abs. 5 BDSG steht dem nicht entgegen.

Das Landgericht Berlin geht also davon aus, dass die Vorschrift des § 1 Abs. 5 BDSG vertraglich abbedungen werden kann und das Datenschutzrecht der Rechtswahl der Parteien unterliegt. Diese Rechtsmeinung des Landgerichts ist nach meiner Einschätzung juristisch nicht vertretbar.

Das LG Berlin stützt seine Ansicht auf Art 3 Abs. 1 der Rom-I-Verordnung, übersieht dabei aber Art. 9 der Rom-I-Verordnung. Datenschutzrechtliche Vorschriften gelten als Eingriffsnormen im Sinne von Art. 9, die gerade nicht der freien Rechtswahl unterliegen. Das LG Berlin verliert außerdem kein Wort über Art. 4 der Datenschutzrichtlinie, deren Umsetzung § 1 Abs. 5 BDSG dient. Danach hat jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten anzuwenden. § 1 Abs. 5 BDSG kann deshalb nicht dispositiv sein.

Vor diesem Hintergrund war es bislang auch einhellige Meinung in der juristischen Literatur, dass das Datenschutzrecht gerade nicht der Rechtswahl der Parteien unterliegt.

Bei Facebook ist davon auszugehen, dass es derzeit keine Niederlassung (im datenschutzrechtlichen Sinne) in Deutschland gibt und gleichzeitig aber Daten im Inland erhoben werden, während die maßgebliche Datenverarbeitung durch die verantwortliche Stelle aber dann außerhalb der EU – nämlich in den USA – stattfindet. Deutsches Datenschutzrecht gilt damit nicht aufgrund einer Rechtswahl, sondern nach § 1 Abs. 5 S. 2 BDSG.

Das Urteil des Landgerichts Berlin dürfte zwar im Ergebnis weitgehend zutreffend sein, ist aber teilweise unrichtig begründet worden.

Der Verein „Digitale Gesellschaft“ möchte die Haftung der Betreiber privater und gewerblicher W-LAN-Netze durch eine gesetzliche Ergänzung von § 8 Telemediengesetz (TMG) für Rechtsverletzungen durch Dritte ausschließen. Udo Vetter hat das Vorhaben in seinem Blog zustimmend kommentiert. Ähnliche Vorschläge gibt es derzeit aus den Stadtstaaten Berlin, Hamburg und Bremen, die über den Bundesrat die Störerhaftung von W-LAN-Betreibern einschränken wollen. Den Anlass dieser Initiativen liefert ein fragwürdiges Urteil des BGH, in dem faktisch eine Rechtspflicht zur Verschlüsselung von W-LAN-Routern konstituiert worden ist.

Die „Digitale Gesellschaft“ hat einen ausformulierten Gesetzesvorschlag vorgestellt, der folgende Ergänzung von § 8 TMG vorsieht:

(3) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch gewerbliche und nichtgewerbliche Betreiber von Funknetzwerken, die sich an einen nicht im Voraus namentlich bestimmten Nutzerkreis richten (öffentliche Funknetzwerke).

(4) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch Ansprüche auf Unterlassung.

Der Vorschlag weist aus meiner Sicht in die richtige Richtung, wenngleich er in dieser Form kaum Aussichten auf eine Umsetzung haben dürfte. Auch wenn ich den Vorstoß außerordentlich begrüße, kann ich mir zwei kritische Anmerkungen nicht verkneifen.

Der BGH geht davon aus, dass die Haftungsprivilegien der §§ 8-10 TMG Unterlassungsansprüche nicht erfassen, sondern in diesen Fällen generell auf die Grundsätze der Störerhaftung zurückzugreifen ist. Insoweit erscheint es mir nicht sinnvoll, nur für Access-Provider klarzustellen, dass die Haftungserleichterung auch für Unterlassungsansprüche gilt, weil dies im Gegenzug ja bedeutet, dass es in Fällen des Hostings und des Cachings bei diesem Ausschluss verbleibt.

Man kann sich außerdem die Frage stellen, ob der Wortlaut tatsächlich ganz allgemein die Betreiber privater W-LAN-Router umfasst. Denn die gewählte Formulierung deutet darauf hin, dass nur derjenige in den Genuss der Haftungsprivilegierung kommen soll, der sein W-LAN gezielt für die Allgemeinheit öffnet. Das erscheint mir aber letztlich zu eng, denn warum sollte derjenige, der aus Nachlässigkeit oder anderen Gründen sein W-LAN nicht verschlüsselt, schlechter stehen, als derjenige, der sein privates Netz gezielt für Andere öffnet?

Das Landgericht Essen hat mit Urteil vom 26.04.2012 (Az.: 4 O 256/11) entschieden, dass ein Verein seiner Impressumspflicht nach § 5 TMG nicht dadurch genügt, dass sich die notwendigen Angaben aus der Vereinssatzung ergeben, die über die Website des Vereins abrufbar ist.

Das Gericht betrachtet dies als eine versteckte Angabe, die nicht der gesetzlichen Vorgabe genügt, die notwendigen Informationen leicht erkennbar und unmittelbar erreichbar bereitzuhalten.

Die Angabe e.V. für einen eingetragenen Verein erachtet das Landgericht allerdings als eine ausreichendeBezeichnung der Rechtsform, vollständig angeschrieben muss die Angabe also nach Ansicht des Gerichts nicht sein.

Insgesamt keine wirklich überraschende Entscheidung.

Das Bayerische Landesamt für Datenschutzaufsicht teilt heute mit, dass es mithilfe einer selbst entwickelten Software 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft habe. Hierbei habe man festgestellt, dass auf 2.449 Websites bayerischer Anbieter Google Analytics zum Einsatz kommt, aber nur auf  78 Websites (d.h. 3%) in datenschutzkonform Art und Weise.

Den Einsatz von Google Analytics hält die bayerische Aufsichtsbehörde, ähnlich wie der Hamburgische Datenschutzbeauftragte, dann für datenschutzkonform wenn folgende Kriterien erfüllt sind:

• der von Google vorbereitete Vertrag zur Auftragsdatenverarbeitung schriftlich abgeschlossen worden ist,
• die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden
  Widerspruchsmöglichkeiten hinweist und über die damit verbundenen Datenverarbeitungen aufklärt,
• die Anonymisierungsfunktion im Quellcode eingebunden ist und,
• falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlossen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

Diese Rechtsansicht des Bayerischen Landesamts für Datenschutzaufsicht ist teilweise widersprüchlich und teilweise falsch.

Auf den Abschluss einer von Google vorformulierten Vereinbarung über eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG muss man als Webseitenbetreiber eigentlich bereits deshalb verzichten, weil eine solche Vereinbarung die materiellen Anforderungen des § 11 BDSG nicht erfüllen kann und damit evident unwirksam ist.  Eine Aufragsdatenverarbeitung setzt nämlich voraus, dass das Service-Unternehmen (Google) nur als Hilfsperson des Webseitenbetreibers fungiert, der damit als sog. verantwortliche Stelle weiterhin Herr der Daten bleibt und deshalb allein über die Erhebung, Verarbeitung und Nutzung der Daten entscheidet. Das heißt mit anderen Worten, dass der Auftragnehmer (Google) an die Weisungen des Auftraggebers (Webseitenbetreibers) gebunden ist und die Daten nur nach Weisung des Auftraggebers verarbeiten und nutzen darf.Wer eine solche Vereinbarung bereits unerschrieben hat, kann ja mal versuchen, Google Weisungen zu erteilen.

Hinzu kommt, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer (Google) getroffenen technischen und organisatorischen Maßnahmen überzeugen muss (§ 11 Abs. 2 S. 4 BDSG). Das kann der Webseitenbetreiber aber tatsächlich nicht.

Da diese gesetzlichen Anforderungen im Verhältnis zwischen Google und dem Nutzer von Analytics also nicht ansatzweise erfüllt sind, besteht zwischen Google und dem Webseitenbetreiber auch nach Unterschrift unter diese Vereinbarung kein wirksames Rechtsverhältnis im Sinne einer Auftragsdatenverarbeitung. Die vertragliche Vereinbarung einer Auftragsdatenverarbeitung funktioniert in diesen Fällen aber auch deshalb nicht, weil die Auftragsdatenverarbeitung außerhalb der EU überhaupt nicht von § 11 BDSG umfasst ist. Auch wenn der Vertrag mit Google Deutschland geschlossen wird, ändert dies nämlich nichts daran, dass die Datenverarbeitung tatsächlich in den USA stattfindet.

Rechtlich folgt hieraus allerdings, dass der Einsatz von Google Analytics datenschutzrechtlich unzulässig ist, sofern die Datenverarbeitung tatsächlich ein Auftragsverhältnis im Sinne von § 11 BDSG erfordert. Sollten demgegenüber mittels Google Analytics – mit oder ohne Einsatz des sog. IP-Maskings – keine personenbezogenen Daten mehr übermittelt werden,  dann wären überhaupt keine datenschutzrechtlichen Anforderungen zu erfüllen. Denn das BDSG und das TMG gelten nur für die Verarbeitung personenbezogener Daten (§ 1 Abs. 2 BDSG, § 12 TMG). Damit könnten dann aber auch die weiteren, von der Aufsichtsbehörde postulierten Anforderungen, wie z.B. eine Datenschutzerklärung, nicht gefordert werden.

Eine ähnliche Pressemitteilung des Hamburger Datenschutzbeauftragten aus dem letzten Jahr hatte ich bereits mit den Worten kommentiert, dass Deutschland damit endgültig zum datenschutzrechtlichen Schilda geworden ist. Diese Feststellung muss ich an dieser Stelle leider nochmals bekräftigen. Denn juristisch ist das was die Aufsichtsbehörden hier veranstalten, schlicht haarsträubend und eigentlich nicht diskutabel.

Der Fall zeigt aber einmal mehr, dass unser strukturell aus den 70’er und 80’er Jahren stammendes Datenschutzrecht im Internetzeitalter nicht funktioniert. Die Versuche, es dennoch immer wieder hinzubiegen, haben mittlerweile groteske Ausmaße angenommen.