INTERNET-RECHT

Droht eine Abschaltung von Anwendungen, die in US-Clouds ausgelagert sind (etwa in Google- und Amazon- oder Citrix- und SAP-Clouds) ?

IT-Anwender dürfen personenbezogene Daten (etwa ihrer Mitarbeiter oder Kunden) nur unter engen Voraussetzungen verarbeiten. Keinesfalls dürfen diese Daten in Staaten übermittelt werden, in denen kein mit den EU-Reglungen vergleichbarer Datenschutz besteht und Betroffene ihre Datenschutzrechte nicht oder nur sehr schwer durchsetzen können. Insbesondere dürfen nicht Personen, Unternehmen oder Behörden aus diesen Staaten auf diese Daten zugreifen. Das gilt auch für Zugriffe auf Daten in der Cloud. Personendaten verlieren nicht dadurch ihren Schutz, dass IT-Anwender die Verarbeitung dieser Daten in die Cloud auslagern.

Die Übermittlung der Daten ist sogar bereits dann unzulässig, wenn ein Anbieter in der EU eine Datenbank betreibt, dieser Anbieter aber ein Tochterunternehmen eines US-Unternehmens ist. US-Behörden dürfen nämlich diese US-Unternehmen verpflichten, die Abfrage von Daten durch Sicherheitsbehörden zuzulassen. Von den Muttergesellschaften können außerdem die Tochtergesellschaften in der EU verpflichtet werden, ebenfalls solche Datenzugriffe durch US-Behörden zuzulassen.

Die Rechtsfolge ist, dass Unternehmen in der EU keinesfalls personenbezogene Datenverarbeitungen in Clouds auslagern dürfen, zu denen Behörden aus Nicht-EU-Staaten Zugriff erhalten können. Derartige DV ist datenschutzrechtlich unzulässig, da durch diese die Daten aller Betroffenen gefährdet sind. Die Betroffenen erfahren nicht einmal von einem Zugriff durch eine US-Behörde nach dem Patriot Act, da das jeweilige den Zugriff duldende US-Unternehmen zur Verschwiegenheit verpflichtet ist. Alle Datenschutzrechte der Betroffenen werden so gekappt.

Die Aufsichtsbehörde kann anordnen, dass die gesamte Auslagerung der DV in die Cloud unverzüglich beendet wird. Außerdem können alle Betroffenen Schadensersatzansprüche gegen das auslagernde Unternehmen geltend machen. Die Auslagerung kann für Cloud-Provider sogar strafbar sein (§ 44 I BDSG).

 Dieses Problem besteht aber nicht nur bei Cloud-Nutzung. Es tritt auch bei anderen grenzüberschreitenden Anwendungen auf, etwa bei Microsoft Office 365 oder vergleichbaren Anwendungen.

Was ist zu tun ? Zwingend notwendig ist eine umgehende Überprüfung sämtlicher genutzter Internet-Services, ob durch diese Personendaten (auch) in den USA oder in anderen Nicht-EU-Staaten verarbeitet werden. Diese Auslagerungen sind rechtswidrig. Aufsichtsbehörden können die Abschaltung anordnen. Deshalb müssen umgehend Lösungen geprüft werden, um einen solchen Datenzugriff durch (nach EU-Recht) Unberechtigte zu verhindern. Vertragsregelungen können helfen, aber US-Unternehmen nicht wirksam verpflichten, Weisungen ihrer US-Behörden nicht zu folgen. Vielmehr müssen Datenkommunikationen technisch “umgeleitet” werden.

Alles Weitere www.anwaltskanzlei-koch.info

Internet -  Cloud Computing - “Sopot Memorandum” zum Datenschutz

GEMA gegen YouTube: Neue Pflicht zur präventiven Wortfilterung ?

Das Landgericht Hamburg hat in seiner Entscheidung vom 20.4.2012 eine mittelbare Störerhaftung von YouTube für das Bereithalten von Musikstücken angenommen. Als Rechtsverletzer gelten User, die diese Werke ohne eingeräumte Rechte heraufladen. Störer ist dem Gericht zufolge YouTube, soweit den Usern dieses Heraufladen erst möglich gemacht wird (http://heise.de/-1544381). Dieses (noch nicht rechtskräftige) Urteil wird teilweise als salomonisch eingestuft, teilweise aber auch heftig kritisiert. Zwei Punkte sind hier zu trennen:

Eine Störerhaftung von YouTube besteht, wenn YouTube Titel, die tatsächlich rechtswidrig heraufgeladen und YouTube mitgeteilt wurden, monatelang nicht gesperrt hat. Dies ist nicht neu. Neu ist aber der Ansatz, dass YouTube aus dem Urteil verpflichtet werden soll, mit technischen Vorkehrungen wie etwa Wortfiltern sicherzustellen, dass die rechtsverletzenden Titel nicht erneut (durch andere User) heraufgeladen werden sollen - und zwar auch dann, wenn es sich um andere Fassungen des Titels handelt.

Ob eine solche Ausweitung der Pflichten von Internet-Dienstleistern noch mit der geldenden Rechtslage zu vereinbaren ist, erscheint zweifelhaft. Immerhin soll mit derartigen Maßnahmen möglichen künftigen Rechtsverletzungen vorgebeugt werden. Derartige präventive Prüfpflichten hat aber der Europäische Gerichtshof (EuGH) mit seinem Urteil C-360/10 vom 16.2.2012 ausdrücklich abgelehnt.. Hosting-Anbieter müssen hiernach keine komplizierten, kostspieligen, auf Dauer angelegten und selbst zu finanzierenden Filtersysteme anlegen, um präventiv Rechtsverletzungen zu verhindern (http://heise.de/-1435670) . Wenn zudem ein solches Filtersystem erst einmal implementiert ist, wäre es nur noch ein kleiner Schritt zu einer Pflicht von YouTube, einfach gleich sämtliche GEMA-geschützten Titel in das Filtersystem aufzunehmen und jedes Musikstück beiim Heraufladen zu sperren. Damit würde sich YouTube von selbst erübrigen (jedenfalls im Musikbereich).

www.anwaltskanzlei-koch.info 23.4.2012

Chancen für Änderungen der Facebook-Nutzungsbedingungen sind gering

Mit Stand 23.03.2012 haben 36.875 Nutzer die von Facebook geplanten Änderungen der Nutzungsbedingungen abgelehnt. Bei Eingang von mehr als 7000 kritischen Kommentaren bis zum 22.03. will Facebook Änderungen überprüfen (http://heise.de/-1479259). Änderungen setzen voraus, dass über konkrete Vorschläge von Facebook abgestimmt wird. Facebook ist aber an die Abstimmung nur gebunden, wenn sich 30% der “aktiven registrierten Nutzer” (Nr. 14.3 Nutzungsbedingungen) an der Abstimmung beteiligen. Wikipedia gibt an, dass mit Stand Januar 2012 Facebook über 845 Millionen aktive Nutzer hat. Folge: Facebook wäre nur dann an das Abstimmungsergebnis gebunden, wenn gut 253 Millionen Nutzer an der Abstimmung teilnehmen. Dies erscheint bisher eher fraglich.

Hinzu kommen weitere Zweifel:

1. Die meisten Nutzer haben nur die pauschale Erklärung abgegeben: “Ich lehne die Änderung(en) ab”. Diese Erklärung bezieht sich wohl überwiegend allein auf die deutsche Fassung der Mitteilung über die Änderungen (https://www.facebook.com/note.php?note_id=10151419988630301), in der die Änderungen knapp in drei Punkten zusammengefasst werden. Die jeweiligen Bestimmungen werden aber nicht neu eingeführt, sondern nur in einzelnen Formulierungen geändert. Dies wird erst erkennbar, wenn man die englische Fassung der Nutzungsbedingungen vergleicht (https://www.facebook.com/fbsitegovernance). Der Widerspruch kann sich also nur gegen die Formulierungsänderungen richten, nicht gegen die Bestimmungen als solche. Facebook hat sich nicht verpflichtet, die Bestimmungen generell zu ändern, sondern stellt nur die Änderungen zur Disposition. Die Nutzungsbedingungen in der bisherigen Fassung gelten unverändert  weiter, wenn die Abstimmung nicht wirksam über Änderungen entscheidet.                                                                                                

2. In der letzten Zeit kritisierte Regelungen der Nutzungsbedingungen werden durch die geplanten Änderungen nicht erfasst. Die Bedingungen schließen etwa nach wie vor nicht aus, dass Namen und E-Mail-Adressen von Freunden importiert werden, wenn diese nicht bei Facebook sind bzw. nicht zugestimmt haben (rechtswidrig nach LG Berlin, Urt.v. 06.03.2012 - 16 O 551/10). Keine Regelung in Nutzungsbedingungen   und keine Änderung dieser Bedingungen kann wirksam Datenschutzrechte Dritter regeln, die nicht auch Vertragspartei sind.                                                                                                                    Auch die weltweite, kostenlose, übertragbare, unterlizenzierbare Lizenz an jeglichen “IP-Inhalten” wie Fotos und Videos (Nr. 2.1 der Bedingungen,ebenfalls nach LG Berlin unzulässig) bleibt unberührt, da sie schon vor der Änderung Teil der Bedingungen war.                                                                        In beiden Fällen bleibt nach wie vor nur gerichtliche Klärung bei Verletzung von Persönlichkeits- und Datenschutzverletzungen.

3. Facebook verweist auf die englische Fassung der Nutzungsbedingungen, die bei Streitigkeiten den Ausschlag geben soll. Kommt es jedoch zu einem Rechtsstreit, muss das Gericht allein nach der deutschen Fassung der Nutzungsbedingungen entscheiden. Inhaltlich ist es außerdem nichtkaufmännischen Nutzern (und wohl auch Kaufleuten) nicht zumutbar, bei Streitfällen etwa auf die komplexe englische Haftungsklausel von Facebook zurückgreifen zu müssen.                                                                                           Unzulässig ist es regelmäßig auch, den Nutzer zu verpflichten, einen Rechtsstrei mit Facebook vor einem Gericht in Santa Clara County, California führen zu müssen, vor dem außerdem kalifornisches Recht, etwa Datenschutzrecht (!) anwendbar ist (Bedingungen Nr. 14. bzw. 16 Nr. 1) .  

 4. Unternehmen, die sich auf Facebook präsentieren, sollten genau prüfen, ob die Klausel Nr. 2.1, nämlich die Übertragung kostenloser Nutzungsrechte an allen “intellectual property rights”, dazu führt, dass Facebook alle geschützten Urheber- und Markenrechte des Unternehmens für eigene Zwecke nutzen darf, wenn sie in Facebook präsentiert werden. Ist dies der Fall, sollte Facebook zur Auskunft über diese Nutzung verpflichtet werden.

Beratung: www.anwaltskanzlei-koch.info, 26.03.2012 

Neues Leistungsschutzrecht für Verlage in Vorbereitung

Verlage sollen an der Auswertung ihrer Produkte durch Suchmaschinen beteiligt werden. Allerdings weist bereits die Mitteilung des Koalitionsausschusses begriffliche Unschärfen auf. So wird das vorausgesetzte “gewerbliche Handeln” nicht nur bei Suchmaschinenbetreibern vorliegen, sondern u.U. bereits bei Anbietern auf eBay.

Auch hat die Auswertung elektronischer Texte durch Suchmaschinen im Internet nichts mit einem “Verbreiten” zu tun, dass die geplante Regelung erfassen soll. “Verbreitung” ist im Urheberrecht nur möglich, wenn ein Werk oder ein sonstiger Inhalt verkörpert auf einem Datenträger in den Verkehr gebracht wird, etwa auf CD/DVD. Eigentlich gemeint ist wohl das öffentliche Zugänglichmachen im Netz.

Das Leistungsschutzrecht wäre außerdem näher von anderen Leistungsschutzrechten abzugrenzen. Immerhin können Verleger jetzt schon für ihre Produkte online auch Datenbankschutz genießen. Und schließlich: Die Mühen der Neugründung einer Verwertungsgesellschaft, die die Rechteverwertung verwalten soll, sind bekannt. Diese kann Jahre dauern.

Facebook-Klausel zur umfassenden Rechteeinräumung durch Mitglieder unwirksam

Das LG Berlin hat mit Urteil v.6.3.2012 - 16 O 551/10 (Pressemitt. www.berlin.de/sen/justiz/gerichte/kg/presse/archiv/20120306.1545.367067.html)              hat in zwei Punkten die Rechtsposition von Facebook deutlich eingeschränkt:

• Rechtswidrig ist die Praxis, Namen und E-Mail-Adressen von Freunden zu importieren, die selbst nicht bei Facebook sind; ihnen darf keine Einladung zugesandt werden, wenn sie hierzu nicht ihre Einwilligung erklärt haben.
• Außerdem darf Facebook sich nicht von Nutzern ein umfassendes, weltweites und kostenloses Nutzungsrecht an Inhalten einräumen lassen   (Info in der Pressemitt. www.vzbv.de/8981.htm)

Weitere Infos: www.heise.de/newsticker/meldung/Landgericht-Facebooks-Freundefinder-ist-unrechtmaessig-1464738.html.

Erster Facebook-Account beschlagnahmt

Das Amtsgericht Reutlingen hat mit Beschluss vom 31.10.2011 als erstes deutsches Gericht in einem Strafverfahren die Beschlagnahme eines Facebook-Nutzeraccounts beschlossen (JurPC Web-Dok. 26/2012, www.jurpc.de/rechtspr/20120026.htm).

Diese Entscheidung hat grundsätzliche Bedeutung. Sie eröffnet den Zugriff auf alle vollständigen Registrierungsdaten und vollständigen Datensätze zu “Messages”, “Friends”, “Notes”, Chats” und “E-Mails” (!) “sowie sämtliche Lichtbilder”. Das Gericht begründet dies mit einer bemerkenswerten Folgerung:”Sämtliche elektronischen Äußerungen sind prinzipiell und erkennbar stets für Dritte, so auch den Anbietern zu kommerziellen Zwecken zugänglich”. Auf diese Daten wurde Zugriff genommen, da zu erwarten war, dass sich im Account Mitteilungen in Bezug auf eine Straftat finden. Der Umstand, dass solche Äußerungen nur eingeschränkt oder gar nicht gelöscht werden können, stehe nicht entgegen. Der Angeklagte habe sich “aus freien Stücken entschlossen, das seit längerer Zeit umstrittene und in der öffentlichen Diskussion stehende Angebot der Fa. Facebook zu verwenden”. Ist Facebook also ein mit besonderen Nutzerrisiken behafteter Dienst ?

Dies wirft verschiedene Fragen auf: Inwieweit sind (unvermeidlich) auch Daten Dritter Gegenstand der Beschlagnahme ? Was genau bedeutet “Beschlagnahme” ? Darf niemand mehr auf den Account zugreifen ? Kann das im Ergebnis bedeuten, dass der Zugriff auch auf “Timeline” gesperrt ist ?

Was gilt für Account-Daten, die zentral in den USA gespeichert werden, also außerhalb des räumlichen Geltungsbereich von Straf- und Strafprozessrecht ? Müssen hier langwierige Amtshilfeverfahren mit anderen Staaten abgstimmt werden ? Wie ist sichergestellt, dass an beschlagnahmten Inhalten keine Veränderungen (etwa durch Dritte) vorgenommen werden können ?

Aktuelle Urteile des BGH und des EuGH zum Internet-Recht

Der Bundesgerichtshof (BGH) hat mit Urteil vom 25.10.2011 - VI ZR 93/10 entschieden, dass ein US-Hostprovider (hier:blogspot.com)  nur dann zur Prüfung eines Blog-Eintrags verpflichtet ist, wenn der Hinweis so konkret gefasst ist, dass der Rechtsverstoß auf der Grundlage der Behauptungen des Betroffenen unschwer, d.h. ohne eingehende rechtliche und tatsächliche Prüfung - bejaht werden kann. Der Provider muss den für den Blog Verantwortlichen zur Stellungnahme auffordern. Erfolgt diese nicht in angemessen gesetzter Frist, ist der Eintrag zu löschen. Widerspricht der Verantwortliche substantiiert, muss der Betroffene eine mögliche Rechtsverletzung nachweisen (Pressemitt. über http://heise.de/-1366234)        Urteilstext: NJW 2012, 148; JurPC: www.jurpc.de/rechtspr/20120011.htm .

Der Europäische Gerichtshof (EuGH) hat mit Urteil auch vom 25.10.2011 - C-509/09 und C-161/10 (http://heise.de/-1366238) entschieden, dass das Opfer einer im Internet (also mit weltweiter Wirkung) begangenen Persönlichkeitsrechtsverletzung den Schädiger grundsätzlich am Ort ihres gewöhnlichen Aufenthaltes gerichtlich auf Schadensersatz in Anspruch nehmen kann oder wahlweise am Ort, an dem sich der Urheber dieser Inhalte niedergelassen hat.                                                                                                    Urteilstext: NJW 2012, 137

QR-Code ohne Datenschutz ?

Immer häufiger findet man auf Publikationen ein kleines Quadrat mit schwarzen Punktmustern. Hierbei handelt es sich um QR-Codes. “QR” steht für “Quick Response”. QR-Codes können unterschiedliche Informationen enthalten, etwa Webadressen. Per Handy-Kamera können diese Muster gelesen werden. Ist in dem Handy ein Webbrowser installiert, kann die Website unmittelbar angesurft werden.

Wenig Informationen findet man bisher zur Frage, welche Daten der Nutzer bei dem Aufrufen der Ziel-Website von deren Betreiber gespeichert werden. Mittlerweile werden für Anbieter besondere Auswertungsfunktionen verfügbar gemacht, um diese Zugriffe statistisch auszuwerten. Technisch möglich ist auch das Setzen von Cookies (s. unten “Das Aus für Cookies ?”). Hier beginnt aber das Datenschutzproblem. Setzt der annavigierte Anbieter automatisiert auf dem Rechner/Smart Phone des Nutzers Cookies, ohne die Nutzer hierüber  vorher zu informieren, verletzt er deutsches Datenschutzrecht (das auf EG-Datenschutz(richtlinien)recht basiert.  Auch statistische Auswertungen, die bestimmten Rechnern zugeordnet werden können, sind nicht zulässig, sondern setzen die Einwilligung der Nutzer voraus, es sei denn, die Daten werden sofort anonymisiert.

Gerade weil bisher nur wenig über die weitere Verwendung der Zugriffsdaten der Daten der Nutzer bekannt ist, können Anbieter nicht davon ausgehen, dass jeder Nutzer, der über einen QR-Code auf die Website gelangt, in unterschiedlichste  weitere Verwendungen  einwilligt. QR-Codes sollen dem Nutzer nur das Eintippen der Webadresse ersparen. Die Nutzer müssen nicht damit rechnen, dass die Daten des Zugriffs auf die Website auf unterschiedlichste Weisen weiterverwendet werden.

koch@anwaltskanzlei-koch.de

Abmahnfalle Download - Abwehr unberechtigter Abmahnungen

In der Beratungspraxis zeigt sich, dass eine große Zahl von Abmahnungen wegen Download etwa von Songs oder Filmen unberechtigt ist. Oft wird nur auf einen Download-Vorgang verwiesen und dieser pauschal als rechtswidrig bezeichnet. Nicht selten werden in wiederverwendete Standardtexte nur die Namen der vermeintlichen Rechtsverletzer und der betroffenen Inhalte eingesetzt. Auch werden die Unterschiede der Download-Verfahren nicht beachtet. Dies ist mit geltendem Recht nicht zu vereinbaren.

Derart in Anspruch genommene Nutzer sollten sich fachspezifisch anwaltlich beraten lassen. Nur im konkreten Einzelfall lässt sich klären, ob tatsächlich eine Verletzungshandlung vorliegt, denn nicht jeder Download ist rechtswidrig. Ist dies nicht der Fall, kann umgekehrt der Nutzer Ersatz erforderlicher Anwaltskosten verlangen. Das gilt aber nur, wenn nicht voreilig bereits eine Unterlassungserklärung unterschrieben wurde.

BGH schränkt Haftung des Inhabers eines eBay-Kontos bei unbefugter Nutzung ein.

In seinem Urteil vom 11.5.2011 - VIII ZR 289/09 hat der BGH die Haftung des Inhabers eines eBay-Kontos für die Fälle eingeschränkt, in denen ein NIchtberechtigter unter dem Namen des Inhabers ein Rechtsgeschäft über eBay abschließt und sich als dieser ausgibt. Diese Erklärung des Nichtberechtigten muss sich der Inhaber nicht zurechnen lassen. Eine entsprechende Zurechnungsklausel in den AGB von eBay hat der BGH im Verhältnis zum klageführenden Bieter nicht als anwendbar angesehen.

Pressemitteilung Nr. 84/2011                                                                               http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?

Weitere aktuelle Themen

Cyber-Abwehrzentrum eröffnet. Schutz von Unternehmen erweitern.

Facebook-Gesichtserkennung - Verletzung des Datenschutzes ?

Welche Daten dürfen nicht in die Cloud ?

Das “Aus” für Cookies ? eBay-Haftung

Datenverluste in der Cloud    Ortungsdienste   Haftung von SONY

“Like” to “Find-friends” Rabattfalle Groupon   WikiLeaks

Cyber-Abwehrzentrum eröffnet. Schutz von Unternehmen erweitern.

Am 16.06.2011 wurde das “Nationale Cyber-Abwehrzentrum” beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eröffnet.  Die Angriffe aus dem Internet häufen sich. Ziele sind nicht nur nationale Behörden oder internationale Institutionen (IWF), sondern auch und zunehmend Unternehmen (Lockheed Martin, Sony, RSA). Angriffsmittel sind oft gekaperte Botnetze (“Zombierechner”), zuweilen aber auch mit großem Ressourcenaufwand erstellte, vielfach abgestufte Schadprogramme (Stuxnet). Unternehmen müssen zunächst selbst erforderliche Sicherheitsvorkehrungen treffen und laufend “updaten”, aber auch ständig Warnungen etwa des BSI auswerten und ihren Schutz aktualisieren. Dies ist zwingend Teil der Compliance-Pflichten und Haftung der Geschäftsleitung.                         Näheres s. www.spiegel.de/politik/deutschland/0,1518,768667,00.html

Das Risiko wird zudem wachsen: Mit der Energiewende kommen zunehmend dezentrale Stromversorgungssysteme zum Einsatz, die mit spezieller Software gesteuert werden müssen, um die Lastverteilung zu steuern. Sämtliche hier integrierten Systeme und Messeinrichtungen sind bereits oder werden über IPv6-Adressen zugreifbar, damit aber auch extern gezielt aus dem Netz angreifbar sein. Nicht nur  Datenbestände müssen also geschützt werden, sondern auch Notstromsysteme sollten aufgerüstet werden, um Produktionsausfälle zu überbrücken.

Facebook-Gesichtserkennung - Verletzung des Datenschutzes ?

In diesen Tag aktiviert Facebook eine Applikation, die Fotos in Benutzerprofilen automatisch erkennt [1]. Der Bundesdatenschutzbeauftragte Peter Schaar und der Datenschutzbeauftragte Johannes Caspar in Hamburg haben kritisiert, dass Facebook diese Funktionalität über Nacht freigeschaltet habe, ohne vorher die Einwilligung der Betroffenen einzuholen. [2]

Die Frage ist allerdings, worauf sich die Einwilligung beziehen muss. Eindeutig ist das etwa, wenn man mit iPhoto von Apple eine Person aufnimmt und dann auf dem Handy die Gesichtserkennungssoftware ablaufen lässt. Das  Erstellen des Fotos ist nicht einwilligungsabhängig, aber sehr wohl das Verbreiten von Fotodrucken oder öffentliche Zurschaustellen (wozu auch das Einstellen des Fotos in das Internet gehört). Wenn der Fotografierende das Bild nur für eigene Zwecke erstellt und Dritten nicht (online) zugänglich macht, benötigt er die Einwilligung also nicht. Hiervon unabhängig kann das Fotografieren aber im Einzelfall Persönlichkeitsrechte des Fotografierten verletzen, wenn es seine Privat- oder gar Intimsphäre verletzt.

Vom Erstellen des Fotos ist das Auswerten digital erstellter Fotos in Rechnern etwa zum Zwecke der Gesichtserkennung zu unterscheiden. Soweit eine Person erkennbar ist (bei Handy-Fotos nicht immer der Fall), ist bereits das Speichern des Fotos einwilligungsbedürftig, da es Personenbezug aufweist. Als zu schützendes Datum gelten im Datenschutzrecht nämlich nicht nur Einzelangaben über Personen in verbaler Form, sondern auch Videoaufzeichnungen und digitale Abbildungen. Das Abgleichen des Fotos mit einer Gesichtserkennungssoftware  stellt außerdem zwar  kein Verändern des digitalen Bildes dar, wenn dieses nicht inhaltlich (etwa mit Photoshop) umgestaltet wird, aber sehr wohl eine “Nutzung” (§ 3 Abs. 5  BDSG), die auch der getrennten Einwilligung bedarf.

Bei Facebook-Fotos stellt sich nicht die Frage, ob das Bild der Person erstellt werden darf, wenn es das Facebook-Mitglied selbst ins Netz stellt. Hierin ist eine Einwilligung in das öffentliche Zurschaustellen des Bildes durch Facebook zu sehen. Diese Einwilligung erfasst aber nur die Nutzung für die Zwecke des jeweiligen sozialen Netzwerks, nicht jedoch neuartige Anwendungen wie eine Gesichtserkennung - insbesondere nicht, wenn sie jedermann im Netz zugänglich gemacht wird.

[1]  www.heise.de/newsticker/meldung/Facebook-erkennt-Gesichter-1256586.html                 [2]  Riedl, Facebook is watching you, Südd. Zeitung v.9.6.2011 Nr. 132, S. 27.

Welche Daten dürfen nicht in die Cloud ?

Cloud Computing wird immer stärker genutzt. Bei aller Cloud-Euphorie darf aber nicht übersehen werden, dass bestimmte Datentypen nicht in die Cloud gehören. Das gilt etwa auch und besonders für manche neue Software-as-a-Service-Dienste.  So verwaltet ein Unternehmen über die Cloud Herzfrequenzen und -töne von Patienten. Als bei einem Provider die Cloud für mehrere Tage ausfiel, konnte dieses Unternehmen vier Tage lang nicht die laufend generierten Daten abrufen. (s. den Bericht www.dradio.de/dlf/sendungen/computer/1463909). Dieser Ausfall konnte das Leben von Patienten gefährden.

Nicht ganz so gefährlich, aber auch riskant ist auch die cloud-basierte Verarbeitung sonstiger personenbezogener Daten etwa zu ärztlichen Diagnosen oder allgemeiner aus elektronischen Personalakten. Auch Geschäftsgeheimnisse sollten nicht von außen zugänglich sein.

Ein Einfallstor für Risiken können auch Konzepte sein, den Mitarbeitern die betriebliche Nutzung privater Smartphones oder Notebooks zu ermöglichen oder sie aus Kostengründen hierzu zu verpflichten (“Bring your own Device”, ByoD). Bei unzureichender Trennung und Absicherung können solche privaten Geräte zum Einfallstor für Angriffe auf die betriebliche IT werden. Sind zudem private E-Mails auf den Geräten der Mitarbeiter nicht klar abgetrennt, kann es dem Arbeitgeber passieren, dass er wegen des Fernmeldegeheimnisses auf seine geschäftliche E-Mail-Korrespondenz nicht mehr zugreifen kann.

Auch können private Geräte der Mitarbeiter irgendwo liegengelassen odser gestohlen werden. Hier wird eine “Remote Wipe”-Funktion zur Implementierung empfohlen, um sensible Datenbestände aus der Ferne vorsorglich löschen zu können. Zusätzlich muss aber (durch eine Art “Remote-Disconnect”-Funktion) technisch sichergestellt sein, dass Unberechtigte nicht über das Gerät in die betriebliche IT eindringen kann.

UPDATE 28.6. 2011: Flash Cookies

Unzulässig ist besonders das Setzen von Flash Cookies (“Local Shared Objects”) ohne Einwilligung der Nutzer. Dies gilt umso mehr, als Nutzer solche Flash Cookies nur erschwert auf ihren Systemen finden und löschen können. Auf der Grundlage der EG-Richtlinie ist dasheimliche Setzen von Flash Cookies rechtswidrig. Unzulässig ist ebenso das heimliche Erstellen von Persönlichkeitsprofilen mittels Flash Cookies.

Noch problematischer ist der Einsatz von Flash Cookies, um http-Cookies wiederherzustellen (“re-spawning”), da viele Nutzer regelmäßig Cookies löschen und der Analysewert hierdurch sinkt. In den USA hat dies zur Klageerhebung gegen verschiedene Anbieter geführt.[1] Nach deutschem Recht kann dieses heimliche Wiederlesbarmachen eine strafbare Datenveränderung darstellen (§ 303 a Abs. 1 StGB darstellen.

Welche Cookies ein Anbieter setzt, lässt sich über die Cookie-Suchmaschine  http://b-versio.verbraucher-sicher-online.de/jcookie/cookie_search   feststellen.

[1]  http://de.wikipedia.org/wiki/Flash-Cookie S. 3

Das “Aus” für Cookies ?

Ab dem 26. Mai 2011 gehen Anbieter beim Setzen von Cookies deutlich höhere rechtliche Risiken ein. Bis zum 25.5.2011 hatten nämlich die EG-Mitgliedsstaaten die Datenschutz(änderungs)richtlinie (RL) 2009/136/EG in nationales Recht umzusetzen. Art. 5 Abs. 3 der RL sieht nämlich vor, dass im Endgerät von Nutzern für Anbieter das Abspeichern von und Zugreifen auf Informationen nur nach ausführlicher Information des Nutzers hierüber und Erteilung einer Einwilligung durch den Nutzer zulässig sind. Eine Ausnahme gilt nur für Informationen, deren alleiniger Zweck die Übertragen von Nachrichten ist.

Diese neue Regelung hat grundsätzliche Bedeutung. Zunächst spricht die RL generell von “Informationen” und nicht, wie an anderer Stelle, von “personenbezogenen Daten”. Das Einwilligungserfordernis greift also auch dann ein, wenn kein Personenbezug zum Nutzer hergestellt werden kann.

Außerdem - und wichtiger noch - ist es unzulässig, weiterhin ohne Einwilligung und gar unbemerkt vom Nutzer “Cookies” zu setzen oder sonstige Informationen ohne Wissen des Nutzers zu speichern, wann er etwa welche Webseite besucht hat. Die neue Regelung gilt keineswegs ausschließlich nur für “Cookies”, sondern für alle Informationen, die etwa über “Social Plugins” gewonnen und gespeichert werden. Das gilt auch für das Erzeugen von Geodaten der Bewegung von Nutzern,  erst recht, wenn die Nutzer den Ortungsdienst ausschalten und dennoch Daten gespeichert werden.

Allerdings haben die meisten Mitgliedsstaaten die Änderungen der Richtlinie noch nicht in nationales Recht umgesetzt. Auch die Bundesregierung will noch die Klärung von Fragen auf EU-Ebene klären[1], etwa ob Tracking-Cookies gesetzt werden dürfen [2. ] Bedeutet das, dass alles rechtlich zunächst beim Alten bleibt ? Dies wäre en Fehlschluss:

In allen Staaten, in denen die Richtlinie zum Stichtag 25.05.2011 nicht umgesetzt ist, muss sich der Mitgliedsstaat so behandeln lassen, als hätte er umgesetzt. Private können sich gegenüber dem Staat auf die RL-Reglungen berufen. Voraussetzung ist, dass die RL ein klares und direkt umsetzbares Regelungsgebot enthält. Das wird hier zu bejahen sein. Nach der Regelung darf ein Speichern und Abrufen von Informationen nur erfolgen, wenn der Nutzer im voraus zugestimmt hat. Allerdings kann sich der Nutzer nur gegenüber dem Staat auf die RL berufen, nicht gegenüber anderen Privaten. Jedoch besteht ein Ausweg: Ein vom Nutzer angerufenes Gericht muss nämlich das nationale Recht  richtlinienkonform auslegen (EuGHE 1994, I-3325- Rs C-91/92, RAndnr. 26, Facchini Dori [3]; Oppermann, Europarecht, Rdnr. 560). Das kann etwa dann der Fall sein, wenn sich ein Anbieter in seinen AGB das Recht vorbehält, jederzeit beliebige Informationen  auf dem Nutzerrrechner zu speichern oder von diesem abzurufen. Eine solche Klausel wäre als unwirksam zu beurteilen, da sie mit wesentlichen Grundgedanken der Richtlinienregelung nicht zu vereinbaren wäre (§ 307 Abs. 2 Nr. 1 BGB). Bei dieser Prüfung müssen auch europarechtliche Normen zumindest als Indizien berücksichtigt werden (Ulmer/Brandner/Hensen/Fuchs, AGB-Recht, S. 682), damit auch RL nach Ablauf der Umsetzungsfrist.

Ein “Aus” für Cookies bringt die RL also im Ergebnis nicht. Aber es gibt auch keinen Freibrief für gestattende Regelungen in Provider-AGB mehr.

Angemerkt sei, dass die RL in Großbritannien umgesetzt wurde (in: The Privacy and Electronic Communications (EC Direchtive) (Amendment) Regulations 2011 [ 4]. Völlig offen erscheint, welche konkreten Mapnahmen Provider zur Information und Einwilligungserlangung treffen müssen. Teilweise werden Wettbewerbsnachteile befürchtet.[5]

   RA Dr. Frank A. Koch, München, www.anwaltskanzlei-koch.de

[1] www.heise.de/newsticker/meldung/Umsetzung-der-EU-Cookie-Richtlinie-hakt-1204788.html                                                                                                                               [2] www.heise.de/newsticker/meldung/Cookies-Nun-ist die-Branche.gefragt-1206371.html        [3] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:61992J0091:DE:PDF           [4] www.legislation.gov.uk/uksi/2011/1208/pdfs/uksi_20111208_en.pdf und die Erläuterung hierzu www.ico.gov.uk/~/media/documents/library/Privacy_and_electronic/Practical_applications/advice_on_th e_new Cookies_regulations.pdf                                                                                           [5] The Wall Street Journal, http://blogs.wsj.com/tech-europe/2011/05/09/confusion-surrounds-u-k-cookie-guidelines                                                                                         Sehr ausführlich zu Cookies s. http://php.net/manual/de/function.setcookie.php

Schadensersatzhaftung von SONY aus unzureichendem Risikomanagement

Bei zwei Hackerangriffen auf das Playstation-Network von und das Online Entertainment Center wurden Kredit- und Bankkontodaten von 77 Millionen sowie von fast 25 Millionen Nutzern gestohlen. Gegen die Unternehmen können Schadensersatzansprüche aus Mithaftung bestehen. Bundesministerin Aigner hat die “völlig inakzeptable” Informationspolitik der Unternehmen kritisiert, da insbesondere die Playstation-Nutzer erst eine Woche nach Entdecken der Angriffe benachrichtigt wurden (Südd. Zeitung Nr. 102 v. 4.5.2011, S.17 und

www.sueddeutsche.de/digital/2.220/sony-datenklau-vorsicht-datenspur-im-netz-1.1092925.).

Sind Vermögensschäden in dieser Zeit durch unberechtigte Karten- oder Kontennutzung eingetreten und hätten diese Schäden durch unverzügliche Information der Nutzer vermieden werden können (da diese dann etwa früher Kartensperrungen hätten vornehmen können), so können diese Ansprüche zumindest teilweise gegen Sony aus Verletzung von vertraglichen Schutzpflichten geltend gemacht werden (statt gegen die schwer zu findenden Hacker).

Zugleich kann Schadensersatzhaftung aus  Verletzung der gesetzlichen Informationspflicht bei “Datenunfällen” (§ 42 a BDSG) bestehen. Das Gesetz verpflichtet Betreiber als  verantwortliche Stellen, alle Betroffenen unverzüglich zu informieren, wenn personenbezogene Daten zu Bank- oder Kreditkartenkonten Dritten unrechtmäßig zur Kenntnis gelangt sind (§ 42 a Satz 1 BDSG). Werden die Betroffenen nicht oder nur unzureichend informiert, stellt dies eine mit Bußgeld bis zu  € 300.000 bedrohte Ordnungswidrigkeit dar.

Ergänzend kann Haftung aus unzureichendem Risikomanagement bestehen, wenn die Systeme unzureichend gegen Angriffe aus dem Netz abgesichert waren.

Lost in the Cloud

Cloud Computing birgt Risiken nicht nur für den Datenschutz, sondern auch für die Datensicherung. Am 28.4.2011 wurde gemeldet, dass die Amazon-Cloud und damit zugleich mehrere Internet-Dienste mehrere Stunden offline waren.

Social Plugins

Ortungs-/Geodatendienste

Verschiedene Anbieter wie Apple oder Google zeichneten monatelang ohne Einwilligung oder Wissen der Betroffenen Ortungsdaten auf, die eine zumindest eingeschränkte Erstellung von Bewegungsprofilen ermöglichte und die Datei etwa beim Synchronisieren von iPhone und PC unverschlüsselt auf dem PC, also ungeschützt gegen fremde Angriffe aus dem Netz, gespeichert blieben. Auch soll der Hinweis von Apple unzutreffend sein, dass jeder Nutzer den Ortungsdienst abschalten kann, da Ortsdaten auch bei ausgeschaltetem Dienst protokolliert werden (so Schmundt, Der Spiegel Nr. 18/2011, 116, 118)

Manchmal führen ganz einfache Nutzungen im Internet, wie die Markierung eines dem Nutzer gefallenden Contents mit dem “Like-Button” oder mit “Find Friends” Fremde zu Facebook einzuladen (oder andere “Social Plugins”), zu bisher kaum geklärten rechtlichen Problemen. Das Risiko solcher Rechtsunsicherheit trägt zumeist der Nutzer, ohne dass ihm dies aber immer deutlich gemacht wird. Zwei Beispiele:

“Like-Button” (auch “Gefällt mir”-Button genannt):

Der Betreiber einer Website kann auf einer von deren Seiten einen Like-Button setzen, den ein Nutzer anklicken kann, um zu zeigen, dass ihm das Informationsangebot gefällt. Hierdurch erscheint im Profil des Nutzers eine Nachricht mit einem Link zu jener Website. [4] Der Nutzer muss sich bei Facebook registrieren und einloggen, um den Button drücken zu dürfen. Bei jedem Ansurfen einer Webseite werden dann die Nutzerdaten über den Browser an Facebook übermittelt. Hierzu muss der Nutzer den Button nicht gedrückt habe. Es genügt, dass in die annavigierte Seite ein Like-Button integriert ist.[1] Die Facebook-Datenschutzrichtlinien weisen aber (in Nr. 2) auf das Beobachten der Aktivitäten des Nutzers auf Webseiten und das Setzen von Cookies hin. (“Wir verfolgen einige deiner Handlungen ...”). [2]  Auch will Facebook sich in den Bedingungen ermächtigen, Daten über den Standort des Nutzers (bei Mobilgeräten) und über die von ihm besuchten Seiten “u.U.” zu sammeln. Fraglich ist jedoch, ob hier jeweils eine ausreichend bestimmte Einwilligung (“informed consent”) möglich ist, da nicht klar abgegrenzt ist, welche Handlungen beobachtet werden, was als “in manchen Fällen” oder generell als “Aktivität” gilt, und  wann Facebook “beispielsweise” Cookies setzt, außerdem wie oft und wie lange Standortdaten aufgezeichnet  und besuchte Webseiten registriert werden (wodurch Bewegungs- und Nutzungsprofile erzeugt werden). Zur Technik s. [9].

Die erteilte Einwilligung (i.S.v. § 12 I und II TMG, Telemediengesetz) ist damit allein schon wegen Verwendung unscharfer Begriffe datenschutzrechtlich wie AGB-rechtlich (§ 307 I und  II BGB) unwirksam, denn der Nutzer kann keine Vorstellung von Art und Umfang der DV-Vorgänge haben.   [4]                              Nach § 13 I TMG notwendig wäre eine konkrete Information des Nutzers über den Datenübermittlungsvorgang beim Drücken des Like-Button und sogar beim bloßen Besuch einer Website mit Like-Button. [4] Informationspflichtig ist der Betreiber der Website, auf der der Like-Button gesetzt ist. [8] Dass die Betreiber dieser Pflicht nicht ausreichend nachkommen, ergibt sich schon aus dem Umstand, dass mittlerweise eine Abmahnwelle gegen Betreiber läuft.[7] Diese zu erteilende Information sollte Teil der Nutzungsbedingungen des Website-Betreibers sein und auch mitteilen, ob und welche Daten der Betreiber an Facebook übermittelt. Eine Einwilligung im Verhältnis Nutzer-Betreiber liegt regelmäßig nicht vor; die gegenüber Facebook erteilte Einwilligung kann die Einwilligung gegenüber dem Betreiber nicht ersetzen. Seine Datenübermittlung an Facebook ist insoweit rechtswidrig.                      Unklar ist außerdem, ob Facebook auch Daten von Dritten auf Websites sammelt, die nicht bei Facebook registriert sind [6] und diese Daten zudem in die USA überträgt. Eine Einwilligung dieser Dritten kann nicht vorliegen.Auch ist der Like-Button nicht (iSv § 15 I TMG) zur Nutzung des Telemediendienstes erforderlich, da jedes Angebot auch ohne Button nutzbar ist. In der praktizierten Form verletzt die Verwendung des Like-Buttons Datenschutzrecht. [4]

“Find-friends”

Mit dieser Anwendung kann Facebook die bei verschiedenen Anbietern verwalteten E-Mail-Adressen Dritter ausgelesen werden, soweit sie vom Nutzer verwaltet werden, um Freunde des Nutzers in Facebook zu identifizieren. Hier hat Facebook die datenschutzrechtliche Verantwortung weitgehend auf die Nutzer abgeschoben. Nach dem “Statement of Rights and Responsibilities” Nr. 16.1 [3] wird die Einwilligung des Nutzers fingiert, dass seine persönlichen Daten in die USA “weitergeleitet und dort verarbeitet werden.” Unklar bleibt, ob als “persönliche Daten” nur die Daten des Nutzers selbst gelten oder auch die Daten der von ihm benannten “Freunde”, die schließlich vom Nutzer selbst ausgewählt werden. Die Daten solcher Dritter dürfen aber nur mit Einwilligung dieser Dritten übermittelt werden. Diese Einwilligung der Dritten einzuholen ist die Pflicht der Nutzer ! Dies mag überraschen, aber die Datenschutzrichtlinien regeln in Nr. 2 unter “Informationen über Freunde”, dass es der Nutzer ist, der die Adressen der als Freunde gewünschten Dritten wahlfrei hochlädt und sie einlädt. Angestrebt wird mit dieser Regelung, dass der Nutzer als die “verantwortliche Stelle” (§ 3 VII BDSG) gilt und selbst die Einwilligung einholen muss, nicht aber Facebook. Klar gesagt wird dies in den Richtlinien aber nicht. Holen die Nutzer die Einwilligung der gewünschten Freunde nicht vor deren Nennung gegenüber Facebook ein, ist die Erhebung und Verarbeitung der Drittdaten rechtswidrig [4] und kann dies als Ordnungswidrigkeit (§ 43 II Nr. 1 BDSG) mit Bußgeld bis 300.000 € geahndet werden kann. Da der Nutzer verantwortliche Stelle ist, ist auf ihn deutsches Datenschutzrecht in vollem Umfang anwendbar und gilt er als Auftraggeber, der  Facebook als Auftragnehmer nach § 11 II BDSG einen schriftlichen Auftrag mit detaillierten Regelungen erteilen muss. Unterlässt er dies, liegt eine weitere Ordnungswidrigkeit vor (§ 43 I 2 b BDSG).

Der Hamburgische Datenschutzbeauftragte hat nun in Verhandlungen mit Facebook erreicht, dass die benannten Dritten von Facebook elektronisch von der Anfrage informiert werden und eine Opt-out-Möglichkeiten erhalten. [5] Das ändert freilich nicht daran, dass der Nutzer für die Verarbeitung datenschutzrechtlich insgesamt verantwortlich bleiben und Facebook bezüglich dieser Daten der Dritten Auftragsdatenverarbeitung für die Nutzer durchführt. Nutzer haften insoweit für mögliche Versäuminisse von Facebook.

Welches Datenschutzrecht gilt für die Verarbeitung der eigenen Daten des Nutzers durch Facebook und durch Webseiten-Betreiber?

Soweit Facebook Daten nicht der Dritten, sondern der Nutzer selbst verarbeitet, wird diskutiert, ob US-Recht anwendbar ist oder deutsches oder irisches Recht. Wie erwähnt soll sich zwar der Nutzer damit einverstanden erklären, dass seine Daten in den USA verarbeitet werden. Dies bedeutet aber nicht, dass die Facebook Inc. in Palo Alto, USA verantwortlich ist. In den Terms Nr. 18 ist vielmehr geregelt, dass der Vertrag des Nutzers mit Facebook Ireland Limited zustande kommt. Folge: Anwendbar ist irisches Datenschutzrecht, nämlich der Data Protection (Amendment) Act 2003 (DPA), der ähnliche Anforderungen wie das BDSG stellt (die beide auf EU-Richtlinienrecht beruhen).Jedoch müssen Datenschutzrechte der Nutzer in Irland geltend gemacht werden. Facebook Ireland haftet also dafür, die Personendaten nur dann an Facebook USA zu übermitteln, wenn Facebook USA ein angemessenes Schutzniveau gewährleistet (EU-RL95/46/EG, Art. 25, No. 11 DPA). Innerhalb der EU ist eine Datenübertragung von Personendaten vom Auftraggeber an den Auftragnehmer datenschutzrechtlich keine Übermittlung, sondern eine sonstige Datenverwendung, bei Übertragung in die USA aber Übermittlung, für die die Einwilligung oder Erforderlichkeit zu prüfen sind.

Deutsches Datenschutzrecht ist anwendbar, wenn Facebook eine Niederlassung in Deutschland hat. Erforderlich ist nur, dass die Niederlassung in Deutschland besteht. Der Sitz des Unternehmens kann auch in einem anderen EU-Mitgliedsstaat belegen sein. Allerdings reicht es nicht, dass ein Anbieter wie etwa Facebook von Irland aus nur in Deutschland stehende Server nutzt; vielmehr muss eine menschliche Aktivität erfolgen. Dies muss in vom Anbieter ständig und selbst benutzten Räumen in Deutschland erfolgen (Simitis/Dammann, Komm.zum BDSG, § 1 Rn. 202, 206, unter Bezug auf § 42 II GewO, auf den die Begründung zum BDSG verweist). Kurz gesagt müssen Mitarbeiter von Facebook in Deutschland selbst Aktivitäten entfalten; die Beauftragung deutscher Dienstleister genügt nicht. Keine Niederlassung ist anzunehmen, wenn ein deutscher Auftragsdatenverarbeiter in den nur von ihm genutzten Räumen für den irischen Anbieter tätig wird. Dies ist das Gewerbe des Auftragnehmers, nicht des Auftraggebers. Die Nutzung von Rechnerkapazitäten in einer Cloud begründen keine Niederlassung, wenn die Aktivitäten nicht eindeutig Deutschland zuzuordnen sind.

Für Webseiten-Betreiber ist entscheidend, ob diese ihren Sitz in Deutschland haben. Dann gilt für sie deutsches Datenschutzrecht. Das Argument, die Social Plugins würden auf US-Servern verwaltet und deshalb US-Recht anzuwenden sein, kann nicht greifen, wenn diese Server datenschutzrechtlich Facebook Ireland zuzuordnen sind. Außerdem benützt der Betreiber die Plugins gewissermaßen als Werkzeug für eigene Datenverarbeitung nach dem BDSG.

RA Dr. Koch, März 2011

[1] www.internetworld.de/layout/set/print/content/view/print753463.html                             [2] www.facebook.com/policy.php                                                                                   [3] www.facebook.com/terms.php?                                                                                   [4] Ebenso etwa Gennen/Kremer, IT-Rechtsberater (ITRB) 2011, 59                                      [5] www.hamburg.datenschutz.de, Presseerklärung vom 24.1.2011                                   [6] Maisch, ITRB 2011, 13 zum “Nutzertracking im Internet”. [7]  http://business.chip.de/news vom 15.2.2011                                                                                                [7] www.spiegel.de/netzwelt/web/0,1518,744041,00.html                                                   [8] Maisch, www.lto.de/de/html/nachrichten/1603/facebook-Personenbezogene-Daten-gefaellt-mir-button/                                                                                                                       [9] Schmidt, Das Like-Problem.Was Facebooks Gefällt-Mir-Buttons verraten                        www.heise.de/security/artikel/Das-verraet-Facebooks-Like-Button-1230906.html

Rabattfalle Groupon - Risiken für Leistungsanbieter und Kunden, Rechte auf Anpassung oder Lösung der Verträge

Groupon ist in zwei Jahren zu einem Unternehmen mit Milliardenwert geworden. Schnäppchenjäger können Gutscheine für Produkte oder Dienstleistungen kaufweise erwerben, z.B. für Haarschnitte oder Hotelübernachtungen, die die Leistungsanbieter zu einem Preisrabatt verpflichten, der 50% und mehr betragen kann. Voraussetzung ist allerdings, dass jeweils eine Mindestteilnehmerzahl erreicht wird. Außerdem ist zu beachten, dass für Gutscheine eine Gültigkeitsdauer gelten kann, in der der Gutschein eingelöst werden muss.

Risiken der Leistungsanbieter 

Leistungsanbieter müssen beim Vertragsabschluss unbedingt darauf achten, wieviele Gutscheine maximal pro Tag/Woche/Monat/Quartal sie vertraglich akzeptieren müssen. Wenn etwa mehr als 50% der Kunden Gutscheine vorlegen, kann bereits an einem Tag und erst recht in längeren Zeiträumen schnell ein (zudem wachsender) Verlust auftreten.

Die Vertragsberatung ist hier ganz entscheidend. Ihre Ergebnisse einschließlich der Ratschläge und Warnhinweise sollten schon aus Beweisgründen dokumentiert werden. Lässt der Leistungsanbieter (z.B. ein Restaurantinhaber) etwa gegenüber Groupon bestimmte Erwartungen für Zunahmen von Kundenzahlen und Gewinnen erkennen und kann er Beweis führen, dass der Groupon-Mitarbeiter nicht widersprochen hat, ist der Leistungsanbieter berechtigt, Anpassung des Vertrags zu verlangen oder von diesem zurückzutreten, wenn die Abweichung von diesen Erwartungen für ihn unzumutbar ist (etwa die Mehrzahl seiner Kunden nur noch Groupon-Kunden zum nicht kostendeckenden Preis sind).

Risiken der Kunden

Groupon sendet die erworbenen Gutscheine den Kunden nach Zahlungseingang zu. Die Zusendung erfolgt per E-Mail. Die Kunden drucken die Gutscheine selbst aus. Gutscheine sind (nach den Allgemeinen Nutzungsbedingungen  Ziff. 7.2 Satz 2) übertragbar. Sie können weiterveräußert werden. Nicht ausgeschlossen ist, dass dies ebenfalls per E-Mail erfolgt. Durch die elektronische Form ist nicht sichergestellt, dass nur ein Folgeerwerber tatsächlich diesen Gutschein erhält. Ein Kunde könnte auch technisch problemlos den elektronischen Gutschein beliebig oft weitermailen. Die Gutscheine enthalten zwar zwei Codenummern, aber da die Gutscheine übertragbar sind und die Übertragung nicht Groupon mitgeteilt werden muss, kann der Leistungsanbieter Berechtigte nicht abschließend identifizieren.

Der gewerbliche Wiederverkauf ist untersagt (Bed. Ziff. 10), nicht aber der gewerbliche Erwerb. Die Leistungsanbieter können also je nach Vertragsumständen berechtigt sein, ihre Gutscheine zurückzukaufen, um ihre Preise zu stabilisieren.

Unwirksame AGB-Klausel

Unwirksam ist schließlich die AGB-Klausel, nach der Groupon berechtigt sein will, die Nutzungsbedingungen zu frei wählbaren Zeitpunkten zu ändern. Wenn die Kunden mit diesen Änderungen nicht einverstanden sind, “können Sie unseren Dienst leider nicht mehr nutzen”. Die Kunden müssten also ständig checken, ob Änderungen der AGB vorgenommen wurden, mit denen sie nicht einverstanden  sind, da sie ab dann nicht mehr weiternutzen (und etwa Gutscheine nicht mehr einlösen ?) dürfen. Hier wäre zumindest ein Hinweis in Textform auf die Änderung und ein Hinweis auf ein bestehendes Kündigungsrecht des Kunden erforderlich, andernfalls die bisherige Fassung weitergilt, da der Kunde der Vertragsänderung nicht zugestimmt hat.

WikiLeaks-Recht: Schutz der Persönlichkeitsrechte

Obwohl fast alle Medien  über WikiLeaks berichten, sind  rechtlich erforderliche Informationen kaum zu finden.  Eine erste knappe Orientierung:   1. wikileaks.de ist ein Anbieter von Telemediendienst . Diese Diensteanbieter müssen insbesondere Namen der Betreiber, zustellfähige Anschrift, E-Mail-Adresse im Internet leicht erkennbar, unmittelbar erreichbar und ständig verfügbar halten. Ein solches “Impressum” von Wikileaks ist auf keiner der zugehörigen Websites zu finden. Eine Zustellung ist, jedenfalls nach erster Sichtung, mangels postalischer Anschrift nicht möglich (§ 16 II Nr. 2 TMG !).                                                                                                                      2. Besteht gegen WikiLeaks ein Gegendarstellungsanspruch, wenn unrichtige Informationen über eine Person mitgeteilt werden ? Für Anbieter von Telemediendiensten sieht das Recht (Telemediengesetz, TMG) einen solchen Anspruch nicht vor.  Jedoch besteht Haftung, wenn Wikileaks übermittelte Informationen auswählt (§ 8 I TMG). Außerdem können Beseitigungsansprüche bestehen (Löschung und/oder Ergänzung der zutreffenden Information).                                                                                         3. Vor welchem Gericht kann ein Anspruch gegen den Diensteanbieter durchgesetzt werden ? Welches Recht ist anwendbar ? Grundsätzlich kann ein Anspruchsinhaber vor dem Gericht an dem Ort klagen, an dem er seinen gewöhnlichen Aufenthalt hat. Hier ist aber zu prüfen, ob eine Website etwa mit Sitz in Deutschland tatsächlich Diensteanbieter ist. Möglich ist auch ein Vorgehen gegen Webhosting-Anbieter, auf deren Systemen die Informationen zum Abruf bereitgehalten werden. Diese Anbieter haften erst, wenn sie von der Rechtswidrigkeit einer (für sie fremden) Information Kenntnis erlangt haben.Noch schwieriger (aber nicht aussichtslos) ist es, eine Berichtigung der unrichtigen auf den über 1000 weltweit verteilten Mirror Sites zu erreichen oder eine Löschung im webarchive.org

Diese Überlegungen gelten natürlich auch für vergleichbare andere Leak-Websites.

RA Dr. Frank A. Koch, München, 10.02.2011

Aktuelle Urteile

BGH weitet Urheberrechtsschutz aus

In seinem am 10.11.2010 veröffentlichten Urteil (verkündet am 29.4.2010 - I ZR 39/08)[1] hat der BGH den Urheberrechtsschutz der Nutzung von Werken im Netz erweitert. Zwar sei auch weiterhin das Setzen eines Links direkt auf eine Webseite unter der Startseite einer öffentlich zugänglichen Website zulässig (BGHZ 156, 1, 13 - Paperboy) , doch gelte dies nicht, wenn der Betreiber dieser Website technische Schutzmaßnahmen trifft, um etwa den Zugang zur jeweiligen geschützten Webseite nur über die Startseite zu ermöglichen (hier durch Einsatz von “Session-IDs” [2]. Das Setzen eines “Deep Link” durch einen Dritten verletzt dann die Rechte des Betreibers. Nicht erforderlich sei - und dies ist die Erweiterung des Schutzes - , dass es sich um eine wirksame technische Schutzmaßnahme i.S.d § 95 a UrhG handelt. Ausreichend sei, wenn für Dritte erkennbar ist, dass der Betreiber willentlich Schutzmaßnahmen getroffen hat.

[1] http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht_bgh&Art=en&Datum=Aktuell&Sort=12288&Seite=1&nr=53902&pos=40&anz=595

[2] Session-IDs sind Daten, die einen Webnutzer beim Besuch einer Website identifizieren können (http://en.wikipedia.org/wiki/Session_ID) 

Schwarzsurfen ist nicht strafbar. 

Das Landgericht Wuppertal hat eine Entscheidung des AG Wuppertal bestätigt, nach der das Einwählen in ein unverschlüsselt betriebenes fremdes Netzwerk nicht strafbar ist. Das gilt aber nur, wenn der Einwählende

• keine vertraulich ausgetauschten Nachrichten wahrnimmt,
• sich nicht unbefugt personenbezogene Daten verschafft oder abruft und
• keine Personendaten ausspäht oder abfängt.

Das automatische Zuweisen einer IP-Adresse durch den Netzwerk-Server stellt dem Gericht zufolge kein Abhören dar. Auch ein (versuchter) Computerbetrug und ein Erschleichen von Leistungen wurde verneint. Der WLAN-Betreiber habe die Möglichkeit gehabt, durch Aktivieren einer Verschlüsselung zu steuern, welche Computer sich in das Netzwerk einwählen können, also das Netzwerk gegen unberechtigten Zugang zu sichern.

 LG, Beschl.v.19.10.2010 - 25 Qs 10 Js 1977/08-177/10, www.jurpc.de/rechtspr/20100181.htm  

AG Wuppertal, Beschl.v.3.8.2010, 26 Ds-10 Js 1977/08-282/08,                                     www.schwarz-surfen.de/urteile/ag-wuppertal-beschluss-20-ds-10-js-197708-03-08-2010

Eltern haften für rechtswidrigen Download durch ihre Kinder

Das Oberlandesgericht Köln (Urt..v. 23.12.2009 - 6 U 101/09,) hat die Haftung von Eltern für von ihren Kindern durchgeführte rechtswidrige Musik-Downloads bejaht. Ausreichend war bereits, dass die Eltern Inhaber des DSL-Anschlusses sind. Die Urteilsgründe müssen abgewartet werden.  Wenig klare Grundsätze wurden bisher erarbeitet, welche Maßnahmen wie Belehrungen oder Rechnerkontrollen von den Eltern konkret erwartet werden dürfen. Dies führt zu erheblichen Rechtsrisiken - auch hinsichtlich der möglichen Kosten.

Rechtsverletzung durch Online-Videorekorder

Wer sich im Internet von Dritten auf deren Rechnern etwa Spielfilme oder TV-Sendungen aufzeichnen lässt, muss als Auftraggeber hierzu selbst berechtigt sein (etwa für den privaten Gebrauch, der bei gewerblicher Nutzung nicht vorliegt). Unzulässig wäre es, wenn der beauftragte Dritte ohne besondere Vereinbarung auf Vorrat für seine Kunden Werke speichert und zum Abruf anbietet (Bundesgerichtshof, Urt.v.22.4.2009 - I ZR 175/07, CR 2009, 598)  

Haftung für fremde Informationen

Für eigene Informationen müssen Webseiten-Anbieter grundsätzlich voll haften (§ 7 I  Telemediengesetz (TMG)), für fremde Informationen nur, wenn sie Kenntnis von einer rechtsverletzenden Information haben oder nach Kenntniserlangung nicht unverzüglich tätig geworden sind (§ 10 Satz 1 TMG).

Das LG Hamburg stellte nun in seinem Urteil v.11.7.2008 - 324 S 2/08, ZUM-RD 2009, 407 fest, dass der Webseiten-Anbieter für übernommene fremde Informationen wie für seine eigenen  Informationen haftet, wenn er sich diese zu eigen macht. Ob dies aus der Form der Darstellung zu entnehmen ist, müsse im Einzelfall geprüft werden.

Kein derartiges Zueigenmachen liegt dem OLG Hamburg (Urt.v.4.2.2009 - 5 U 167/07, MMR 2007, 479) vor, wenn in einem Meinungsforum fremde Meinungen nur wiedergegeben werden. Jedoch muss der Forenbetreiber nach einem Hinweis eine mögliche Rechtsverletzung und damit Störerhaftung prüfen.