Internet-Law

In Fefes Blog war gestern folgendes zu lesen: „Kurze Durchsage der EU: Web-Cookies sind ab jetzt genehmigungspflichtig“.

Damit meint er wohl den im Rahmen des Telekompakets erarbeiteten Richtlinienvorschlag (2007/0248/COD) der u.a. eine Ergänzung der Richtlinie 2002/58/EC (Datenschutzrichtlinie für elektronische Kommunikation) in seinem Artikel 5(3) vorsieht. Das Verfahren ist m.W. noch nicht abgeschlossen, da die 3. Lesung im EU-Parlament noch nicht stattgefunden hat. Allerdings handelt es sich bei der letzten Textfassung um denjenigen Kompromiss zu dem alle Seiten Zustimmung signalisert haben, weshalb mit Widerstand des Parlaments nicht mehr zu rechnen ist. Die aktuelle (deutschsprachige) Vorschlagsfassung zur Änderung von Artikel 5 Abs. 3 der Richtlinie lautet:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat . Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann .

Diese Neufassung ist kritikwürdig, zumal ein früherer Entwurf die durchaus sinnvolle Regelung enthielt, dass die Browsereinstellungen die notwendige Zustimmung des Nutzers indizieren. Die Regelung zielt in der Tat auf sog. Cookies ab und ist auch hierzulande bereits in der Presse diskutiert worden, ohne, dass es zu einem großen Aufschrei gekommen wäre.

Diese Änderung wird vermutlich vermehrte Belehrungen durch PopUp-Fenster und/oder spezielle Landing-Pages zur Folge haben, was bei Internetnutzern erfahrungsgemäß wenig beliebt ist.

Ob damit der beabsichtigte Zweck, ein höheres Datenschutzniveau im Web zu gewährleisten, erreicht werden kann, darf bezweifelt werden. Die User werden diese Belehrungen nämlich überwiegend genervt wegklicken bzw. zügig durch den OK-Button bestätigen, ohne die Information überhaupt wahrgenommen zu haben.

Das Datenschutzrecht ist, wenn es funktionieren soll, aber letztendlich auf die Akzeptanz derjenigen angewiesen, die es schützen möchte. Ein Umstand, den professionelle Datenschützer oft nicht hinreichend beachten. Die Entwicklung im Netz hat dazu beigetragen, dass die gesetzlichen Regelungen und das tatsächliche Datenschutzniveau immer weiter auseinanderdriften, weil sowohl diejenigen die Daten verarbeiten als auch diejenigen, deren Daten geschützt werden wollen, nicht in ausreichendem Maße Verständnis für derartige Regelungen aufbringen. Dass man dieses Dilemma nicht auflöst, sondern eher verstärkt, indem man die gesetzlichen Anforderungen immer weiter verschärft, ist bei den politischen Entscheidern offenbar immer noch nicht angekommen.

Die fast logische Konsequenz ist, dass die neuen Regeln immer weniger beachtet werden.

Vielleicht sollte man sich deshalb, gerade bei einem Thema wie dem Datenschutz, das wirklich jeden betrifft, stärker mit der Frage beschäftigen, was sich die Menschen für eine Regelung wünschen, bzw. ob sie mit dem derzeitigen Rechtszustand zufrieden sind. Gerade auf Ebene der EU muss man lernen, die Menschen nicht nur eindimensional als Verbraucher, sondern vielmehr als Bürger wahrzunehmen.

Und es gibt ehrlich gesagt auch ganz andere datenschutzrechtliche Probleme in Europa. Solange es die EU erlaubt, dass Bankdaten ihrer Bürger in die USA übermittelt werden, mutet eine gesetzliche Regelung zu Cookies als eher lächerlich an.

Diese neuen Regeln werden die Nutzer vor allen Dingen nerven, die Seitenbetreiber mit zusätzlichen Pflichten belasten und insgesamt die Useability beeinträchtigen.

Es gibt sicher Gründe, die „Kekse“ als nicht ganz unbedenklich einzustufen. Aber der Nutzer hat durch Änderung seiner Browsereinstellungen auch die Möglichkeit selbst zu steuern, ob und in welchem Umfang er Cookies akzeptieren will. Vielleicht sollte die EU einfach stärker auf die Aufklärung und auf mündige Bürger – nicht Verbraucher – setzen. Durch Regelungen wie diese wird eine möglicherweise gute Absicht in ihr Gegenteil verkehrt und der bestehende Unmut gegenüber den Institutionen der EU nur noch verstärkt.

Update:

Weil offenbar z.T. immer noch die Vorstellung existiert, dass die Browsereinstellungen des Nutzers für eine Einwilligung reichen würden, nochmal der Hinweis dass die Formulierung

„sofern der betreffende Teilnehmer oder Nutzer nicht zuvor seine Einwilligung gegeben hat, wobei zu berücksichtigen ist, dass die Browser-Einstellung eine vorherige Einwilligung darstellt“

die in einem früheren Entwurf noch vorhanden war, in der letzten Fassung wieder gestrichen worden ist. Dadurch wird deutlich, dass die Browsereinstellung gerade nicht als Einwilligung ausreichen soll. Und auch nach allgemeinen juristischen Auslegungskriterien wird hierin schwerlich eine Einwilligung im datenschutzrechtlichen Sinne gesehen werden können. Im Widerspruch hierzu scheint Erwägungsgrund 66 darauf hinzudeuten, dass die Browsereinstellung des Nutzers vielleicht doch als Einwilligung angesehen werden können. Dieser Erwägungsgrund verweist freilich wiederum auf die Datenschutzrichtlinie und dort ist unter Einwilligung eine (ausdrückliche) Willensbekundung zu verstehen, was mit Default-Einstellungen des Browsers schwierig in Einklang zu bringen ist. Handwerklich aber einmal mehr schlecht gemacht.

Telemedicus berichtet über einen sehr interessanten Beschluss des LG Köln vom 08.10.2009 (Az.: 31 O 605/04 SH II) der im Rahmen eines Ordnungsmittelverfahrens erging.

Das Landgericht Köln ist der Meinung, dass es einem Anbieter von Online-Glückspielen möglich ist, deutsche Internetnutzer anhand der IP-Adresse zu lokalisieren und von Deutschland aus abgegebene Gebote zu unterbinden. Das wirft nach Ansicht des Landgerichts Köln auch keine datenschutzrechtlichen Probleme auf, weil die IP-Adresse keiner bestimmten Person zuzuordnen ist.

Diese lapidaren Ausführungen des Gerichts überraschen, angesichts des Umstandes, dass die Frage, ob IP-Adressen personenbezogene Daten darstellen, heftig umstritten ist. Wobei die Datenschutzbeauftragten durchwegs der Rechtsansicht sind, dass es sich um personenbezogene Daten handelt.

Dass die Lokalisierung von Internetnutzern (Geolocation) außerdem mit einer durchaus relevanten Ungenauigkeit verbunden ist, scheint das Gericht nicht zu stören. Wenn das Landgericht sagt, dass sich innerhalb der Bundesrepublik abgegebene Wettgebote lokalisieren lassen, sollte man vielleicht hinzufügen, dass sich diese mit einer Wahrscheinlichkeit von ca. 90 % identifizieren lassen, wobei sich ein Geolocation-Blocking natürlich ebenfalls umgehen lässt. Ob das alles wohl ausreichend dafür ist, die Befolgung einer Unterlassungspflicht als möglich anzusehen? Der Anbieter kann natürlich versuchen, deutsche Nutzer auszusperren, zuverlässig gewährleisten kann er das aber nicht.

Die taz sieht sich gerne als unabhängige Qualitätszeitung, die Gegenöffentlichkeit schafft. Wer der Genossenschaft der taz beitritt, fördert die tägliche Arbeit für die Pressefreiheit, heißt es auf der Website des Blattes vollmundig.

Wie verträgt sich das mit der Tatsache, dass die Onlineausgabe der taz durch selektive Freischaltung von Leserkommentaren auffällt und bevorzugt kritische Anmerkungen nicht veröffentlicht werden?

Mir ist das kürzlich passiert mit einem Kommentar zu diesem Beitrag von Eva Schweitzer und wie ich gestern erfahren habe, ist es zwei weiteren Anwaltskollegen ebenso ergangen.

Ich hoffe, die Genossen der taz wissen, welche Form der Pressefreiheit sie unterstützen.

Update vom 10.11.09:
Die taz hat sich bei mir gemeldet und mitgeteilt, dass es bei den Blogs auf taz.de den AutorInnen selbst überlassen bleibt, Kommentare freizuschalten und weder die Redaktion noch der „Blogwart“ eingreifen. Das möchte ich hier der Fairness halber ergänzen, wobei damit auch klar ist, dass Frau Schweitzer selbst aussortiert hat.

An dieser Stelle hatte ich bereits des öfteren darauf hingewiesen, dass sich die urheberrechtliche Abmahnung mehr und mehr zu einem Geschäftsmodell entwickelt.

Passend hierzu hat der Kollege Dosch kürzlich einen interessanten Blogeintrag verfasst, in dem er über eine Einsicht des Kollegen Boecker in zwei Akten des Landgerichts Köln berichtet. Allein diese beiden Akten enthalten Auskünfte über die Inhaber von Internetanschlüssen zu 11.000 bzw. 1.700 IP-Adressen. Die Musikindustrie und die Rechteinhaber sind nämlich dazu übergegangen, ihre Auskunftsanträge zu einem Massenverfahren umzufunktionieren, was vor allem dank des Landgerichts Köln auch prächtig funktioniert.

Dem gerichtlichen Auskunftsverfahren gehen Recherchen eines Unternehmens – das oft ein Tochterunternehmen eines Rechteverwerters oder gar einer Anwaltskanzlei ist – voraus, durch die IP-Adressen in P2P-Netzwerken ermittelt werden. Mit diesen IP-Adressen marschiert man dann zum Gericht, das auf Grundlage von § 101 Abs. 9 UrhG beschließt, dass der Provider den zu der IP gehörenden Anschlussinhaber benennen muss.

Dass es sich hierbei mittlerweile um ein richtig dickes Geschäft handelt, an dem auch die Rechteinhaber besser verdienen als am regulären Vertrieb ihrer Werke, ist ein offenes Geheimnis.

Der BGH hat mit Urteil vom 23.07.2009 (Az.: VII ZR 151/08) entschieden, dass Kaufrecht auf sämtliche Verträge mit einer Verpflichtung zur Lieferung herzustellender oder zu erzeugender beweglicher Sachen anzuwenden ist. Danach sind Verträge, die allein die Lieferung von herzustellenden beweglichen Bau- oder Anlagenteilen zum Gegenstand haben, nach Maßgabe des § 651 BGB nach Kaufrecht zu beurteilen.

Auch wenn diese Entscheidung nicht explizit IT-Verträge, wie umfangreiche Projekte zur Softwareerstellung, betrifft, dürfte diese Rechtsprechung auch für derartige Verträge relevant sein. Bislang sind Softwareerstellungsverträge – auch nach der Schuldrechtsreform – zumeist nach Werkvertragsrecht beurteilt worden. Die Verträge sind demzufolge regelmäßig auch werkvertraglich ausgestaltet gewesen und haben insbesondere Regelungen zur Abnahme enthalten.

Zu einer Einstufung von Softwareerstellungsprojekten als Werkverträge wird man nur noch dann kommen, wenn man hierin keine Verträge sieht, die auf die Herstellung beweglicher Sachen gerichtet sind oder wenn man den Schwerpunkt des Vertrags in einer Art Planungsleistung sieht. Letzteres kommt aber gerade bei komplexen Projekten durchaus in Betracht und der BGH lässt dieses Schlupfloch auch explizit offen. Entgegen ersten anderen Stimmen bin ich deshalb nicht der Meinung, dass durch diese Entscheidungen Softwareerstellungsverträge stets und per se dem Kaufvertragsrecht zu unterwerfen sind.

Das aktuelle Album der Band Rammstein ist von der Bundesprüfstelle für jugendgefährdende Medien auf den Index gesetzt worden. Grund ist offenbar der Text des Songs „Ich tu Dir weh“, der SM-Praktiken beschreibt, sowie das Lied „Pussy“, das nach Ansicht der Jugendschützer zu ungeschütztem Geschlechtsverkehr animiert.

Nachdem diese Songtexte im Netz heute noch problemlos abrufbar waren, könnte diese Indizierung natürlich auch Anlass für neue Forderungen nach Netzsperren bieten, zumal Ursula von der Leyen ihre Finger auch wieder im Spiel hat.

Darüber, dass Rammstein keine qualitativ hochwertigen Texte liefert, braucht man nicht weiter zu diskutieren. Wäre dies allerdings ein relevantes Kriterium, dann gehörte das Programm von RTL und SAT 1 nahezu komplett auf den Index.

Diese medienträchtige Entscheidung der Bundesprüfstelle könnte und sollte eine öffentliche Diskussion darüber auslösen, was man heutzutage tatsächlich als jugendgefährdend qualifizieren muss. Denn es geht hier um Wert- und Moralvorstellungen einer Gesellschaft und dies unter dem Deckmantel des Jugendschutzes. Texte wie „Pussy“ von spätpubertierenden Rockmusikern taugen kaum mehr als Provokation und sind noch weniger geeignet, die Entwicklung eines Jugendlichen, der in einer medialen Welt aufwächst, negativ zu beeinflussen. Zumindest nicht mehr als das, was andere Qualitätsmedien – unbeanstandet von den Jugendschützern – tagtäglich anbieten.

Meine These von der urheberrechtlichen Abmahnung als Geschäftsmodell erhärtet sich gerade aufgrund der Redseligkeit einer Abmahnerin. Die Journalistin Eva Schweitzer, die unlängst einen Blogger wegen eines Zitats aus einem ihrer Artikel abgemahnt hat, hat dem SZ-Journalisten Johannes Boie nun erzählt, dass sie gar nichts bezahlen muss, also weder an die von ihr beauftragte Fa. Textguard noch an den für Sie tätigen Rechtsanwalt.

Das bedeutet freilich, dass auch die mit der Abmahnung geltend gemachte Erstattung von Anwaltskosten nicht verlangt werden kann. Hierauf hat der Kollege Vetter in seinem Blog hingewiesen. Denn letztlich reicht der Rechtsinhaber nur die ihm entstandenen Anwaltsgebühren an den Verletzer weiter. Er macht eine Erstattung der ihm entstanden Kosten geltend.

Der in diesem Fall tätige Anwalt wird sich jetzt die Frage gefallen lassen müssen, weshalb er bei der Gegenseite eine Forderung geltend macht, von der er weiß, dass sie nicht besteht. Darüber hinaus stellt sich aber auch die Frage, ob wir es hier nicht insgesamt mit einem Vergütungsmodell zu tun haben, das mit anwaltlichem Berufsrecht nicht vereinbar ist.

Seit kurzem wird die Frage der datenschutzrechtlichen Zulässigkeit von Personensuchmaschinen wie Yasni diskutiert.

Das OLG Hamburg hat nun mit Beschluss vom 23.10.09 (Az.: 7 W 119/09) u.a. ausgeführt, dass Yasni selbst gar keine Daten verarbeitet, sondern nur die Fundstellen zu anderweitig bereits im Netz abrufbaren Daten bereitstellt.

Demgegenüber hat Jens Ferner unlängst die Ansicht vertreten, dass Personensuchmaschinen personenbezogene Daten erheben und zugleich wegen § 12 TMG auch gegen das geltende Datenschutzrecht verstoßen, weil es keine Rechtsvorschrift gebe, die eine solche Datenverarbeitung zur Bereitstellung des Dienstes gestatten würde.

Beide Ansichten halte ich für unzutreffend. Yasni verarbeitet entgegen der Ansicht des OLG Hamburg sehr wohl personenbezogene Daten. Wenn ich mir z.B. den Eintrag zu meiner Person bei Yasni anschaue, dann finde ich dort zu meinem Namen u.a. die Berufsbezeichnung Rechtsanwalt, den Namen und Telefonnummer unserer Kanzlei, sowie mehrere Fotos. Diese personenbezogenen Daten werden von Yasni somit also gesammelt, im Rahmen eines Profils gespeichert und zum Abruf bereitgehalten. Ein klassischer Fall von Datenerhebung und -verarbeitung.

Ist das aber auch zulässig? Was das Foto betrifft, kann dies nur mit einem klaren Nein beantwortet werden, weil ich eine Zustimmung nach § 22 KUG nicht erteilt habe. Ansonsten kann – entgegen der Ansicht von Ferner – aber grundsätzlich schon auf die Gestattung des § 28 oder 29 BDSG zurückgegriffen werden, die u.a. eine Datenverarbeitung für eigene Geschäftszwecke erlaubt bzw. zum Zwecke einer Übermittlung, wenn die Daten allgemein zugänglich sind. Die §§ 12 ff. TMG sind insoweit nicht anwendbar, weil die hier in Rede stehenden Daten nicht von einem Nutzer zum Zwecke der Bereitstellung des Dienstes erhoben worden sind. Derjenige, dessen Daten bei Yasni präsentiert werden, ist nicht der Nachfrager und damit insoweit nicht Nutzer. Diese Daten werden aber auch nicht deshalb erhoben, um dem Nutzer den Dienst bereitzustellen. Nachdem das TMG diese Konstellation also gar nicht regelt, kann und muss auf das allgemeinere BDSG zurückgegriffen werden.

Es bleibt aber die Frage, ob bei einer Zusammenstellung von personenbezogenen Daten, wie man sie beispielsweise bei Yasni findet, nicht im Einzelfall wegen des entstehenden Persönlichkeitsprofils davon auszugehen ist, dass hier die schutzwürdigen Interessen der betroffenen Person so hoch zu bewerten sind, dass eine Datenverarbeitung ohne ausdrückliche Zustimmung unzulässig ist. Diese Fragen werden in Zukunft noch zu diskutieren sein.

Die Entscheidung des OLG Hamburg enthält daneben auch durchaus interessante Ausführungen zur Haftung des Suchmaschinenbetreibers. Anders als unlängst das Landgericht Köln geht das OLG Hamburg nicht von einem Zueigenmachen der von der Personensuchmaschine zusammengestellten Informationen aus.

Update:
Ich wurde darauf hingewiesen, dass die Bilder bei Yasni, die sich in der rechten Spalte befinden, im Wege eines Inline-Links einbezogen werden und nicht auf dem Server von Yasni liegen. Das ändert allerdings meine rechtliche Einschätzung nicht, da sich diese Darstellung nicht von einer solchen unterscheidet, bei der die Bilddatei auf dem eigenen Server liegt. Tim-Berners-Lee hat das übrigens als „Embedded-Link“ bezeichnet und zu Recht darauf hingewiesen, dass man insoweit nicht von einem normalen, referenzierenden Link sprechen kann.

„Das Mittelalter ist keine Epoche sondern der Name der mesnchlichen Natur“ postuliert die Schriftstellerin Juli Zeh in ihrem Roman „corpus delicti“. Wer dies für eine gewagte These hält, sollte einen kurzen Blick über den großen Teich werfen, denn dort beleben Richter gerade die gute alte Tradition des Prangers.

Das Gericht verurteilte die Angeklagten dazu, vor dem Gerichtsgebäude viereinhalb Stunden lang neben einem Schild ausharren, auf dem stand: „Ich habe einem neunjährigen Kind sein Geburtstagsgeschenk gestohlen. Sei kein Dieb, Du siehst, was Dir passieren kann.“ Hintergrund war der Diebstahl von Geburtstagsgutscheinen im Wert von 80 Dollar.
Das ist offenabr kein Einzelfall, vielmehr existiert dort eine Initiative für öffentliche Bestrafung, die verhindern soll, dass die Gefängnisse der Region wegen kleinerer Delikte überlastet werden. Ob man in Pennsylvania wohl schon mal etwas von der Menschenrechtskonvention gehört hat?
Quelle: SZ vom 05.11.09

Der Streit um das sog. Telekompaket ist zu Ende und man verkauft uns die Einigung um den umstrittenen Zusatz 138 gar als neue Internetfreiheit, weil angeblich Verfahren wie das Three Strikes Out eingeschränkt würden. Und selbst die Piratenpartei und die Grünen klatschen Beifall.

Der materielle Gehalt des gefundenen Kompromisses tendiert allerdings gegen null, weil er nicht über das hinausgeht, was jeder EU-Mitgliedsstaat ohnehin beachten muss. Die allgemeine Bezugnahme auf die Meinungs- und Informationsfreiheit und die MRK stellen nur Allgemeinplätze dar. In Wirklichkeit handelt es sich also um eine Mogelpackung ohne substantiellen Gehalt, was zum Beispiel vom Kollegen Lehofer trefflich dargestellt wird.