Social Media Marketing was beachten

Obacht bei der Linksetzung –Rechtsprechung verschärft die Haftung für Hyperlinks

Es gibt ein Artikel-Update zur Linkhaftung: https://www.srd-rechtsanwaelte.de/blog/linkhaftung-verlinkende-mitverantwortlich-rechtswidrige-fremde-inhalte/

Nachdem bereits im September 2016 der Europäische Gerichtshof (EuGH) Stellung zu den Voraussetzungen einer Haftung von Linksetzenden für fremde Urheberrechtsverstöße bezogen hat (EuGH, Urt. v. 08.09.2016 – Az. C-160/15 – GS Media), folgte im November 2016 nun die erste Entscheidung des Landgericht Hamburgs zu dieser Thematik (LG Hamburg, Beschl. v. 18.11.2016 – Az. 310 O 402/16). Das Landgericht hielt sich dabei an die Entscheidungsmaßstäbe des EuGH, nimmt auf die von diesem vorgegebenen Kriterien Bezug und versucht, diese – leider zu Lasten von Linksetzenden – zu konkretisieren. Auch nach der Entscheidung bleiben weiterhin viele Fragen offen. Beide Urteile haben aber große Auswirkungen für die unternehmerische Praxis und das gewerbliche Betreiben von Webseiten. Teilweise werden sie in der Presse als großer Eingriff in die Kommunikations- und Informationsfreiheit beurteilt, sog. „chilling effects“ werden befürchtet.

(mehr …)

Online-Streitbeilegung und Verbraucherschlichtung: Neue Pflichten für Webseitenbetreiber ab 2017

Seit 09.01.2016 gilt die EU-Verordnung über die Online-Streitbeilegung von Verbraucherstreitigkeiten (VO 524/2013/EU). Die OS- bzw. ODR-Verordnung gilt in allen EU-Mitgliedsstaaten unmittelbar und verpflichtet Anbieter, die Waren oder Dienstleistungen über ihre Webseite an Verbraucher („B2C“) vertreiben, „in leicht zugänglicher Weise“ durch einen Link auf die OS-Plattform hinzuweisen. Die OS-Plattform wird durch die Europäische Kommission betrieben und ist unter http://ec.europa.eu/odr/ erreichbar.

Wir hatten bereits Anfang Januar hier dazu berichtet und auf das Abmahnrisiko bei Verstößen hingewiesen.

Mittlerweile liegen die ersten Gerichtsentscheidungen zu diesem Thema vor. So hat u.a. das Landgericht Hamburg mit Beschluss vom 07.06.2016 (Az.: 315 O 189/16) entschieden, dass der fehlende Hinweis auf die Möglichkeit der Einschaltung der Schlichtungsstelle und die fehlende Verlinkung gemäß Art. 14 Abs.1 ODR-VO EU „die Verbraucherinteressen spürbar beinträchtigen“, weil sie die Information über die Möglichkeit der Wahrnehmung von Verbraucherrechten betreffen. Dementsprechend bejahte das Gericht den geltend gemachten Unterlassungsanspruch gemäß §§ 3, 3a, 8 UWG in Verbindung mit Art. 14 Abs.1 der Verordnung (EU) Nr. 524/2013 (ODR-VO EU). Zuletzt bejahte auch das OLG München einen Wettbewerbsverstoß, wenn keine klickbare Verlinkung auf die OS-Plattform (Urt. v. 22.9.2016, 29 U 2498/16) vorgenommen wird.

Wo ist die Verlinkung zu platzieren?

Im entschiedenen Fall des LG Hamburg wurde glaubhaft gemacht, dass sich weder im Impressum, noch im Kontakt und den AGB eine Verlinkung auf die OS-Plattform befand. Daraus kann durchaus geschlossen werden dass das Gericht es für ausreichend erachtet hätte, wenn auf einer dieser Unterseiten ein ausreichender Hinweis mit Verlinkung platziert worden wäre. Wir empfehlen die Einbindung in den AGB oder im Impressum.

Neu ab 2017: VSBG beachten

Am 25. Februar 2016 ist zudem das Verbraucherstreitbeilegungsgesetz (VSBG) verkündet worden, das die Einrichtung von Verbraucherschlichtungsstellen und die vor diesen stattfindenden Streitbeilegungsverfahren regelt. Aus §§ 36 ff. VSBG folgen neue Informationspflichten für Unternehmer. Diese greifen ab dem 01.02.2017 u.a. für Unternehmer, welche eine Website betreiben oder Allgemeine Geschäftsbedingungen (AGB) verwenden. Diese müssen den Verbraucher auf Ihrer Website und/oder in den AGB leicht zugänglich, klar und verständlich in Kenntnis davon setzen, inwieweit sie bereit oder ansonsten verpflichtet sind, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen. Eine Verpflichtung kann sich aus gesetzlichen Vorschriften (z. B. § 111b Energiewirtschaftsgesetz, § 57a Luftverkehrsgesetz) oder aus einer Vereinbarung ergeben. Aus Transparenzgründen müssen Unternehmen Verbraucher aber auch dann informieren, wenn sie nicht an Streitbeilegungsverfahren vor einer Streitschlichtungsstelle teilnehmen. Ausgenommen von der Informationspflicht nach § 36 Abs. 1 Nr. 1 VSBG sind lediglich Unternehmen mit bis zu zehn Beschäftigten.

Darüber hinaus besteht eine weitere Informationspflicht für Unternehmen, wenn es zu einem Streit mit einem Kunden aus einem Verbrauchervertrag kommt (§ 37 VSBG). Verbraucher müssen in diesem Fall in Textform (z.B. E-Mail) darüber informiert werden, an welche Verbraucherschlichtungsstelle sie sich wenden können. Die Informationspflicht besteht auch für Unternehmen, die an Streitbeilegungsverfahren nicht teilnehmen möchten bzw. nicht dazu verpflichtet sind.

Nähere Informationen zur Streitschlichtung lassen sich auch auf der Seite des Bundesjustizministeriums unter www.bmjv.de/schlichtung abrufen. Unternehmen sollten auf jeden Fall gewappnet sein, um rechtzeitig vor dem 01.02.2017 die erforderlichen Informationspflichten zu erfüllen. Auch hier drohen ansonsten kostenpflichtige Abmahnungen.

 

legal 500 auszeichnung fuer srd

The Legal 500: SWD Rechtsanwälte gehört zu Deutschlands führenden Kanzleien

Es ist amtlich: Im Praxisbereich Informationstechnologie und Outsourcing mit dem Schwerpunkt Datenschutz gehört Schürmann Wolschendorf Dreyer bei The Legal 500 zu Deutschlands führenden Kanzleien in 2017.

(mehr …)

Unternehmen aufgepasst: Geänderte Standardvertragsklauseln für internationale Datentransfers erwartet

Die Diskussion um einen rechtssicheren Datentransfer in sogenannte unsichere Drittländer ebbt nicht ab: Nach Safe Harbor und den Entwicklungen rund um das Privacy Shield stehen nunmehr die EU-Standardvertragsklauseln und deren Rechtmäßigkeit auf dem Prüfstein. Es wird erwartet, dass noch in diesem Jahr angepasste EU-Standardvertragsklauseln (Controller-Processor) veröffentlicht werden.

Hintergrund

Sollen Daten in unsichere Drittstaaten übermittelt werden, gilt es ein angemessenes Datenschutzniveau beim Empfänger der Daten zu gewährleisten. Die Gewährleistung dieses Datenschutzniveaus ist nach dem Wegfall des Safe Harbor Abkommens insbesondere mit den USA noch immer nicht abschließend sichergestellt. Zwar ist mit dem „EU-US Privacy Shield“ kürzlich ein Folgeabkommen verabschiedet worden, jedoch leidet auch dieses nach Ansicht vieler Datenschützer an den gleichen rechtlichen Schwachstellen wie zuvor das Safe Harbor Abkommen und es ist bereits eine Klage auch gegen dieses Abkommen beim EuGH (europäischer Gerichtshof) anhängig. In praktischer Hinsicht bleiben daneben die EU-Standardvertragsklauseln, Binding Corporate Rules (BCR) und die Einwilligung der Betroffenen als weitere Legitimationsmittel für den Datentransfer.

Derzeit befinden sich die Beschlüsse zu den Standardvertragsklauseln zusammen mit den Beschlüssen zu den Angemessenheitsentscheidungen zum Schutzniveau für personenbezogene Daten in Drittstaaten aktuell in der Überarbeitung durch die Europäische Kommission. Mitte Oktober verkündete der Artikel 31 Ausschuss – der zuletzt für den Erlass des Privacy Shield zuständig war, dass nach seiner Ansicht die Standardvertragsklauseln in ihrer jetzigen Form rechtswidrig seien. Am 15. November wurden Änderungsbeschlüsse für die Standardvertragsklauseln entworfen. Eine Veröffentlichung steht bisher noch aus.


Die aktuelle Entwicklung

Die EU-Standardvertragsklauseln dienen dazu, personenbezogene Daten in Drittländer zu übertragen, bei denen nach EU-Recht kein ausreichender Schutz für personenbezogene Daten besteht. Bisher konnte auf Grundlage eines Beschlusses der EU-Kommission die EU-Standardvertragsklauseln dazu genutzt werden ein ausreichendes Schutzniveau für die Daten bei einer Übermittlung außerhalb Europas herzustellen. Seit dem Safe Harbor Urteil im Oktober 2015 sieht die Sachlage jedoch anders aus: Dem EuGH zufolge ist es für die Vereinbarung der EU-Standardvertragsklauseln notwendig, dass das jeweilige Drittland wenigstens Mindestanforderungen an das Datenschutzniveau der EU erfüllt, beispielsweise Überwachungsmechanismen zur Kontrolle von Datenschutzverstößen.

Nachdem nicht nur der Irische High Court die Zulässigkeit der EU-Standardvertragsklauseln aktuell klären lässt, hat auch die EU-Kommission (Artikel 31 Ausschuss) im Oktober 2016 festgestellt, dass die EU-Standardvertragsklauseln in ihrer jetzigen Ausführung rechtswidrig sind. Am 15.November hat sich der Artikel 31 Ausschuss der EU-Kommission getroffen, um die Änderungsentwürfe zu den Standardvertragsklauseln zu diskutieren. Insbesondere sollen auch die Kontrollrechte der nationalen Datenschutzbehörden im Hinblick auf die Angemessenheitsentscheidung gestärkt werden.


Fazit

Unternehmen, die sich aktuell in Vertragsverhandlungen mit einem Unternehmen in einem unsicheren Drittland befinden ist anzuraten, die finalen Entwürfe der EU-Kommission abzuwarten und direkt die neuen Klauselwerke 1.1 zu verwenden. Jegliche Änderungen und Ergänzungen sind genehmigungspflichtig.

Wettbewerbsrecht Änderungen Digitalisierung

Gesetzesänderungen sollen Wettbewerbsrecht an die Digitalisierung anpassen

Im Zuge der stetigen Digitalisierung von Geschäftsmodellen und des hieran anknüpfenden Erfolgs von StartUps sowie Unternehmen der digitalen Wirtschaft, hat die Bundesregierung die Änderungen des Wettbewerbsrechts beschlossen. Ziel ist es das Wettbewerbsrecht an die digitalen Entwicklungen anzupassen und die Besonderheiten der digitalen Wirtschaft stärker in den gesetzlichen Vorschriften zu berücksichtigen.

(mehr …)

Jugendschutz Telemedien

Achtung Jugendschutz: Neue Regelungen für Telemedien-Anbieter

Es gelten neue Regeln für den Jugendmedienschutz: Am 1.Oktober 2016 ist der neue Jugendmedienschutz-Staatsvertrag (JMStV) in Kraft getreten und übernimmt die nach dem Jugendschutzgesetz vorgesehenen Altersstufen nunmehr auch insbesondere für Telemedien. (§ 5 JMStV). Der JMStV wurde erstmalig seit 2009 wieder geändert und soll sich damit den durch das Internet bedingten progressiven Distributions- und Zugangsmöglichkeiten von Medieninhalten anpassen. Ende 2010 war eine Novellierung des JMStV an der fehlenden Zustimmung Nordrhein-Westfalens gescheitert.


Was müssen Webseitenbetreiber beachten?

Um eine Vereinheitlichung mit sonstigen Medien (Film, Kino etc.) zu erreichen, werden Web-Inhalte zukünftig nach den vorgesehenen Altersstufen des Jugendschutzgesetzes klassifiziert: ab 6, ab 12, ab 14 und ab 18 Jahren.

Stellt ein Anbieter von Web-Inhalten entwicklungsbeeinträchtigende Inhalte bereit – dazu zählen u.a. gewaltverherrlichende PC-Spiele oder pornographische Filme und Bilder – so trägt er die Verantwortung dafür, dass diese Inhalte nicht von Kindern und Jugendlichen gesehen werden können.

Dem kann vorgebeugt werden, indem eine Anpassung der Abrufbarkeit vorgenommen wird oder indem Anbieter entsprechender Inhalte auf spezielle Softwareprogramme, sogenannte Jugendschutzprogramme, zur Eignungsüberprüfung zurückgreifen. Es gilt ein verändertes Verfahren für Jugendschutzprogramme (§11 JMStV): Die Anerkennungskompetenz für Jugendschutzprogramme geht zum 01.10.2016 von der Kommission für Jugendmedienschutz (KJM) auf anerkannte Einrichtungen der Freiwilligen Selbstkontrolle über. Die KJM ist für die Erstellung und Weiterentwicklung von Kriterien für die Jugendschutzprogramme zuständig.

Zudem stehen geschäftsmäßige Anbieter, die entwicklungsbeeinträchtigende oder jugendgefährdende Web-Inhalte enthalten, in der Pflicht einen Jugendschutzbeauftragten zu bestellen (§ 7 JMStV). Das war auch schon bislang so. Neu ist jedoch die nochmals aufgenommene Klarstellung, dass die Kontaktdaten des Jugendschutzbeauftragten auf dem jeweiligen Medium öffentlich zugänglich und leicht auffindbar angegeben werden müssen. Dazu gehört auch die Möglichkeit zur elektronischen Kontaktaufnahme per E-Mail.

 

Auch Positiv-Labeling ist sinnvoll

Web-Anbieter sollten prüfen, ob sie in den angebotenen Web-Inhalten ein Alterslabel einbinden können. In Deutschland funktioniert dies mit dem Label age-de.xml. Es handelt sich dabei um eine Datei im XML-Format, die der Website-Betreiber auf dem Webserver ablegt. Eine Anleitung für die Einbindung kann hier (http://www.age-label.de/installation) abgerufen werden. Sinnvoll ist dies auch bei unbedenklichen Inhalten (sog. Positiv-Labeling), da ansonsten die Gefahr besteht, dass die Seite von Jugendschutzprogrammen nicht aufgerufen werden kann (vgl. hierzu auch § 11 Abs. 7 JMStV).

 

Speicherung dynamischer IP Adressen

Ein schwarzer Tag für den Datenschutz? EuGH entscheidet über das Speichern dynamischer IP-Adressen

Der Entscheidung des EuGH lag ein Rechtsstreit des Piratenpartei-Abgeordneten Patrick Breyer gegen die Bundesrepublik Deutschland zugrunde, in dem er sich gegen die Aufzeichnung und Speicherung seiner IP-Adresse während sowie nach dem Zugriff auf Webseiten von Einrichtungen des Bundes zur Wehr setzte. Der Bundesgerichtshof (BGH) legte hierzu dem EuGH zwei entscheidungserhebliche Fragen zur Klärung vor, die sinngemäß lauteten:

  1. Stellt eine IP-Adresse, die ein Website-Betreiber im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon ein personenbezogenes Datum dar, wenn die Identifizierung erst durch Informationen eines Dritten (hier des Zugangsanbieters) möglich wird?
  2. Verstößt das deutsche Telemediengesetz mit § 15 Abs. 1 TMG gegen die europäische Datenschutz-Richtlinie? (Nach § 15 Abs. 1 TMG dürfen Webseitenbetreiber personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden soweit dies erforderlich ist, um die konkrete Nutzung des Telemediums durch den jeweiligen Nutzer zu ermöglichen oder abzurechnen)

Der EuGH bejahte beide Fragen im Grundsatz und sorgte damit auf Seitens Breyer für Bestürzung, klärt damit jedoch eine in der datenschutzrechtlichen Literatur langewährende Diskussion um einen nachweisbaren Personenbezug dynamischer IP-Adressen.


Sind dynamische IP-Adressen personenbezogene Daten?

Laut EuGH ist dies der Fall, wenn die Identität des Nutzers auch auf legitime Weise durch Hinzuziehung des Sonderwissens des Internetzugangsanbieters bestimmt werden kann. Dies geschieht bspw. im Rahmen eines Auskunftsrechts zur Vorbeugung und Aufklärung möglicher Cyberattacken:

Der Anbieter von Online-Mediendiensten verfügt somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.“ (EuGH, Urt. v. 19.10.2016, Rs. C-582/14, Rn. 48)

Es kommt somit nicht – wie die Gegenmeinung behauptete – darauf an, dass der entsprechende Website-Betreiber nicht selbst über die Informationen verfügt, die für eine Identifizierung ohne unverhältnismäßigen Aufwand erforderlich sind.

Der EuGH begründet seine Entscheidung im Wesentlichen mit dem Wortlaut von Art. 2 Buchst. A der Richtlinie 95/46 (Datenschutz-Richtlinie), wonach nicht nur eine direkt identifizierbare, sondern auch eine indirekt identifizierbare Person als bestimmbar angesehen wird. Ergänzt wird diese Begründung durch den 26. Erwägungsgrund der genannten Richtlinie, der auf die Mittel Bezug nimmt, die vernünftigerweise entweder von dem Verantwortlichen für die Datenverarbeitung selbst oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Dies ist nach dem EuGH ein Indiz dafür, dass es für die Einstufung als personenbezogenes Datum nicht notwendig sei, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befänden.


Darf die IP-Adresse auch über die jeweilige Nutzung der entsprechenden Internetseite hinaus gespeichert werden?

Die Bundesrepublik Deutschland begründete die Speicherung aller Zugriffe auf ihre Internetseiten damit, dass dies notwendig sei, um Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Gespeichert wurden deshalb nach dem Abruf der Webseite der Name der abgerufenen Seite bzw. Datei, die in Suchfelder eingegebenen Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war und letztendlich die IP-Adresse des zugreifenden Computers. Dies sei für die Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit der von ihr allgemein zugänglich gemachten Websites für Online-Mediendienste erforderlich, insbesondere um sogenannte „Denial-of-Services“-Cyberangriffe zu erkennen und zu verhindern. Diese beabsichtigen, durch gezieltes und koordiniertes Fluten einzelner Webserver mit einer Vielzahl von Anfragen, die Funktionsfähigkeit dieser Webseiten lahm zu legen.

Es bestand jedoch ein Problem: Diese langfristige Speicherung der Daten ging eigentlich über die Grenzen des § 15 Abs. 1 TMG hinaus, wonach der Dienstanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden darf, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. In der Literatur wurde nämlich überwiegend die Auffassung vertreten, dass die Erhebung und Verwendung der personenbezogenen Daten eines Nutzers nur erlaubt sei, um eine konkrete Nutzung der Website zu ermöglichen. Eine generelle Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit der Internetseite solle von § 15 Abs. 1 TMG aber nicht erfasst sein.

Diesem Verständnis widersprach der EuGH jetzt und begründete dies damit, dass Art. 7 der Richtlinie 95/46 eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Den Mitgliedsstaaten sei es deshalb nicht gestattet, neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben diesen Artikel einzuführen oder zusätzliche Bedingungen aufzustellen, die die Tragweite eines der sechs in Art. 7 der Richtlinie 95/46 vorgesehenen Grundsätze verändern würden. Konkret berief sich der EuGH auf Art. 7 Buchst. f der Richtlinie, wonach auf die Verwirklichung eines „berechtigten Interesses“, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, abgestellt und eine Interessenabwägung im Einzelfall ermöglicht wird. Dies sei aber durch die Regelung in § 15 Abs. 1 TMG nicht gewährleistet. Der EuGH stellt vielmehr klar, dass die Einrichtungen des Bundes durchaus ein berechtigtes Interesse im Sinne der Richtlinie daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.

 

Fazit

Da ein großer Teil der Website-Betreiber aus ähnlichen Gründen wie Einrichtungen der Bundesrepublik Deutschland die IP-Adressen ihrer Nutzer speichert, kann dem Urteil eine entscheidende Bedeutung beigemessen werden. Es stellt nun eindeutig klar, dass die restriktive Auslegung von § 15 Abs. 1 TMG nicht mit dem EU-Recht vereinbar und eine über den jeweiligen Zugriff der Internetseite hinausgehende Speicherung von IP-Adressen zumindest nicht grundsätzlich verboten ist. Wie so oft wird es auch hier wieder sehr auf den jeweiligen Einzelfall darauf ankommen, ob ein „berechtigtes Interesse“ des Website-Betreibers bejaht werden und ob dies im Rahmen einer Abwägung mit den Interessen des Betroffenen – namentlich seinen Grundrechten und Grundfreiheiten – überwiegen kann.

Auch wenn Patrick Breyer in der für ihn entscheidenden Frage unterlag und die Entscheidung für ihn somit ein schwarzer Tag für den Datenschutz war, bleibt ihm doch ein Wermutstropfen: Er hat mit seinem Verfahren eine Grundsatzentscheidung zu der Frage nach der Personenbeziehbarkeit von dynamischen IP-Adressen erwirkt, die eine jahrelange Diskussion zugunsten des Datenschutzes beendet haben könnte.

 

 

Datenschutz als Wettbewerbsvorteil

Datenschutz als Wettbewerbsvorteil und auf was sich Startups in Sachen DSGVO einstellen müssen

Das Thema Datenschutz erregt nach wie vor viel Aufmerksamkeit. Dabei sind nicht nur Social Media und Daten-Leaks vielfach diskutierte Themen, sondern auch auf EU-Ebene hat sich einiges getan: Die europäische Datenschutzgrundverordnung ist am 14. April 2016 vom Europäischen Parlament beschlossen und am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht worden. Die Verordnung sieht eine Übergangszeit von zwei Jahren vor und gilt damit direkt ab dem 25. Mai 2018 in der gesamten Europäischen Union. Zu begrüßen ist, dass damit endlich ein EU-weit einheitliches Datenschutzrecht geschaffen wird. Allerdings entsteht gegenüber der vorherigen Situation ein erhöhter bürokratischer Aufwand, da Unternehmen darin verpflichtet werden, nunmehr ihre Prozesse systematisch zu erfassen und konsequent auf Risiken für personenbezogene Daten zu prüfen.

ACHTUNG Start-ups!: Wer meint, Datenschutz sei nur ein Thema für etablierte Firmen, der täuscht sich gewaltig. Datenschutz ist nicht nur für große Unternehmen unumgänglich, sondern auch für Gründer und junge Unternehmen. Nicht zuletzt deswegen, weil sie aufgrund ihrer Tätigkeit im „World Wide Web“ oft im Fokus der Datenschutzbehörden aber auch vor allem in dem der Nutzer stehen, die zunehmend Wert auf ein hohes Datenschutzniveau legen.

Richtig eingesetzt ist Datenschutz keine Bremse für junge Unternehmen – wie oftmals befürchtet – sondern kann gerade dort dazu dienen für klare Prozesse und Strukturen zu sorgen. Das wiederum führt zu einem klaren Wettbewerbsvorteil gegenüber anderen Unternehmen.


Der geeignete Zeitpunkt: Bereits in der Startphase an den Datenschutz denken

Besonders für Gründer ist es nicht nur wichtig, sondern auch besonders vorteilhaft, das Thema Datenschutz und IT-Sicherheit von Anfang an ernst zu nehmen. Gerade in der Startphase ist es wesentlich einfacher, Datenschutz und IT-Sicherheit in die Prozesse einzubinden als zu einem späteren Zeitpunkt. Denn in der Startphase ist die Implementierung häufig noch mit einem sehr geringen Aufwand und überschaubarem Budget realisierbar, da noch keine festgefahrenen Prozesse bestehen, die der Änderung bedürfen – was gegebenenfalls viele IT-Ressourcen bindet.

Start-ups sollten sich daher schon in der Startphase mit Fachberatern für Datenschutz und IT-Sicherheit zusammensetzen und beraten, wie sie den Datenschutz und die IT- Sicherheit in ihre Systeme und Prozesse integrieren können. Dabei schaut sich der Berater genau an, wie der IST-Zustand im Start-up aussieht und wie man am besten ein individuelles Datenschutz-System für dieses Start-up integriert. Dies kann damit anfangen, wer auf welche Daten zugreifen kann, welche Kundendaten vom wem abgerufen werden können, wie Profiling-Maßnahmen datenschutzkonform umzusetzen sind, welche CRM oder HR Software vorzugswürdig ist etc. Wichtigste Entscheidung ist es, sich für den Datenschutz zu entscheiden und diesen aktiv umzusetzen. Datenschutz ist dann kein Hindernis, sondern führt zu transparenten Datenflüssen und Prozessen.

Datenschutz ist in vielen Bereichen eines Unternehmens wichtig und Qualitätsmerkmal: Angefangen bei den Kundendaten, der Zusammenarbeit mit Dienstleistern, einer ordentlichen Datenschutzerklärung, beim Einsatz von Cookies über Profiling bis zum gesamten Bereich des Online-Marketing. Oft können sich besonders Start- ups noch nicht vorstellen, welche Imageschäden ein Datenschutzvorfall verursachen kann, wenn dieser an die Öffentlichkeit gelangt. Am Beispiel von Online-Shops lässt sich diese These gut verdeutlichen, denn diese könnten ohne das Vertrauen ihrer Kunden durch einen sicheren Umgang mit ihren Daten nicht erfolgreich auf dem Markt agieren. Zudem werden immer mehr Themen rund um den Datenschutz in den Medien diskutiert, wodurch nicht zuletzt die Sensibilität auf Kundenseite zunimmt. Dies bedeutet: wer sich nicht datenschutzkonform verhält, wird von den Usern abgestraft.


Datenschutz als Wettbewerbsvorteil!!

Der sensible Umgang mit Daten bedeutet daher auch einen oft unterschätzten Wettbewerbsvorteil durch die Schaffung von Kundenvertrauen. Das ist gerade für junge Unternehmen sehr wichtig. Wird bekannt, dass ein Unternehmen mit personenbezogenen Daten nicht gesetzeskonform verfährt, entstehen schnell große Imageschäden und das hart erkämpfte Kundenvertrauen geht verloren. Auch der verantwortungslose Umgang mit Mitarbeiterdaten kann einen großen Imageschaden nach sich ziehen. Imageschäden nach einem Datenschutzvorfall sind für Unternehmen sehr schwer „aufzufangen“.

Darüber hinaus können Geschäftsführer mit einem regelkonformen Datenschutz das eigene Haftungsrisiko einfach minimieren. Denn Geschäftsführer einer GmbH haften beispielsweise für einen Gesetzesverstoß im Bereich Datenschutz mit ihrem Privatvermögen unbegrenzt.


Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf Start-ups

Bisher basieren die teilweise sehr unterschiedlich ausgestalteten Datenschutzgesetze der EU-Mitgliedsstaaten weitgehend auf einer EU-Richtlinie aus dem Jahr 1995. Die neue Datenschutzgrundverordnung hat zum Ziel, den Datenschutz europaweit einheitlich zu regeln und gleichzeitig internationale Standards zu setzen, die einseitige Wettbewerbsvorteile für Unternehmen außerhalb der EU aufheben sollen. Die geplante Grundverordnung würde unmittelbar in der gesamten Europäischen Union gelten, da Verordnungen – anders als Richtlinien – nicht gesondert in nationales Recht umgesetzt werden müssen.

Bisher galt bei deutschen Start-ups oft die Devise: „Warum sollte ich mich um Datenschutz kümmern, das kostet Geld und die internationalen, großen Start-ups wie etwa Facebook machen das doch auch nicht!“ Dabei wird oft übersehen, dass diese Unternehmen ihren Sitz beispielsweise in den USA haben und damit nicht dem deutschen Datenschutzrecht unterliegen. Mit der europäischen Datenschutzgrundverordnung wird sich jedoch einiges ändern. Denn Ziel der Datenschutzgrundverordnung soll es zum Beispiel sein, dass amerikanische Unternehmen ihre Leistungen in Europa nicht mehr ungeachtet der europäischen Datenschutzgesetze anbieten können. Damit bricht für diese Unternehmen eine Zeit des Auf – und Nachrüstens im Bereich Datenschutz an, um weiterhin auf dem für die Weltwirtschaft wichtigen europäischen Markt erfolgreich und wettbewerbsfähig zu sein.


Auf welche Änderungen sollten sich europäische Start-ups einstellen?

Nach der EU-Datenschutzgrundverordnung ist die Nutzung von Cookies und anderen Technologien zur Bildung von Nutzungsprofilen nur noch erschwert möglich. Denn die Verordnung qualifiziert jedes mittelbare Datum als personenbezogenes Datum. Damit hätten alle Daten, die in Cookies gespeichert werden Personenbezug. Das Verwenden von Cookies wäre demnach nur nach expliziter Einwilligung des Nutzers möglich.

Im Bereich Online-Marketing ist danach grundsätzlich eine Einwilligung notwendig. In der Verordnung wird aber auch erfreulicherweise geregelt, dass diese Einwilligung durch tatsächliche Handlungen, etwa durch das Weiternutzen des Onlinedienstes, erklärt werden kann, sowie Ausnahmentatbestände, die eine einwilligungslose Verarbeitung personenbezogener Daten gestatten, z.B. zur Wahrung eines „berechtigten Interesses“, worunter auch Werbezwecke fallen.

Gerade das Online Marketing ist zumindest für Online Start-ups ganz entscheidend, um die Zielgruppe zu erreichen und am Ende mit den Umsätzen wachsen zu können. Gerade deswegen ist es wichtig, das Werbekonzept an der Grundverordnung auszurichten.

Deutsche Unternehmen, insbesondere Start-ups, tun gut daran dieses Thema genau jetzt in ihre Businessmodelle zu integrieren, um in Zukunft gerade gegenüber amerikanischen Unternehmen einen Wettbewerbsvorteil zu haben. Es ist fatal für deutsche Unternehmen die Wichtigkeit dieses Themas zu unterschätzen, da der Datenschutz gerade für alle E- Businessmodelle immer stärkere Relevanz bekommt. Auch im Hinblick auf das notwendige Kundenvertrauen sollte ein großer Schwerpunkt auf darauf gelegt werden, denn auch immer mehr Verbraucher, insbesondere in Europa, achten auf ein adäquates Datenschutzniveau und den auf Umgang der Unternehmen mit ihren Daten.


Bußgelder und Imageschäden beim Datenschutzverstoß – Mögliche Konsequenzen

Die Bußgelder bei Datenschutzverstößen können in Extremfällen Schäden in Millionenhöhe nach sich ziehen. Mit der neuen Datenschutzgrundverordnung will die EU noch schärfer gegen Datenschutzverstöße vorgehen, um die Unternehmen anzuhalten, den Datenschutz ernst zu nehmen. Demnach sollen Unternehmen künftig bis zu vier Prozent ihres Weltumsatzes als Bußgeld zahlen, wenn sie gegen den Datenschutz verstoßen. Die deutlich verschärften Bestimmungen gehen hier noch weit über das strenge deutsche Bundesdatenschutzgesetz, welches ein Bußgeld bis zu 300.000 EURO vorsieht, hinaus.

Der Unternehmenswert setzt sich insbesondere bei Start-ups aus den immateriellen Werten wie etwa Kundendaten, Lieferantendaten, Mitarbeiterdaten und das Know-How zusammen. Wenn Daten in die falschen Hände geraten, sei es durch Hacker, sei es durch einen unachtsamen Umgang, entsteht darüber hinaus ein sehr großer Imageschaden für das Unternehmen. Besonders schwer wiegt dabei der Verlust des Kundenvertrauens. Laut einer Studie kündigen 20 Prozent ihren Account nach einem Datenschutzvorfall, 40 Prozent denken darüber nach. Für die meisten Start-ups bedeutet das die Endstation der Selbstverwirklichung.

 

Datensicherheit: Europa versus Deutschland?

Hintergrund

Das kommerzielle, für Privatnutzer zugängliche Internet gibt es seit über 20 Jahren. Demgegenüber feiert das Bundesdatenschutzgesetz schon im Jahr 2016 seinen 40. Geburtstag. Unter Experten und Laien verstärkten sich daher die Rufe nach einem IT-Sicherheitsgesetz immer lauter. Es bestand der Wunsch nach Regelungen, die über die Anlage zur Datensicherheit des BDSG hinausgehen und zugleich rechtsverbindlicher sind als DIN/ISO (z.B. ISO 27001). Im Jahr 2016 ist es soweit. Jedoch sehen sich Unternehmen nicht nur mit einer, sondern gleich mit zwei Regelungen konfrontiert. Für viele stellt sich daher die Frage, inwiefern diese einander ergänzen oder ob sie sogar miteinander kollidieren?

Im vergangenen Jahr wurden auf nationaler und im Jahr 2016 auf europäischer Ebene die IT- und Cybersicherheit erstmals verbindlich geregelt. Während das deutsche Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) bereits im Juli 2015 in Kraft trat, liefen die Gespräche zur sog. NIS-Richtlinie eher schleppend voran. Am 29.06.2016, also kurz vor Inkrafttreten der deutschen Regelungen, konnten der europäische Rat und das Parlament gerade einmal die letzte Trilog-Verhandlung abschließen. Der deutsche Gesetzgeber war also bereits in Vorleistung getreten – als die europarechtliche Einigung, geschweige denn ein erster Richtlinienentwurf, noch in den Sternen stand. Etwas überraschend veröffentlichte das EU-Parlament aber bereits am 07.12.2015 den Durchbruch der Verhandlungen in Form einer offiziellen Pressemeldung: „MEPs close deal with Council on first ever EU rules on cybersecurity“. Am 19.07.2016 wurde sodann endlich die langerwartete Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-Richtlinie) im Amtsblatt der Europäischen Union veröffentlicht. Am 08.08.2016 trat sie in Kraft, wobei die Umsetzung in nationales Recht bis Mai 2018 erfolgen muss.

Die neue Cybersicherheits-Richtlinie

Die NIS-Richtlinie ist Teil der Cyber-Sicherheitsstrategie der EU, mit der man Cyber-Angriffe und technische Ausfälle deutlich reduzieren möchte, die nach Angaben der ENISA immerhin zu jährlichen Verlusten von 260 bis 340 Milliarden Euro führen. Andererseits soll die dahingehende Zusammenarbeit der Mitgliedstaaten intensiviert und gefördert werden. Die konkrete Zielsetzung der neuen EU-Richtlinie ist in Teilen deckungsgleich mit der des IT-Sicherheitsgesetzes: Ein hohes Sicherheitsniveau informationstechnischer Systeme, das den Stand der Technik abbildet.

Große Änderungen für das IT-Sicherheitsgesetz?

Der deutsche Gesetzgeber hat bekanntlich bereits gehandelt und im Rahmen der Cyber-Sicherheitsstrategie das IT-Sicherheitsgesetz auf den Weg gegeben. Es stellt sich weniger die Frage, was aus dem Sicherheitsgesetz wird, sondern vielmehr, welche Anpassungen von deutscher Seite vorgenommen werden müssen, um die Vorgaben der EU-Richtlinie vollumfänglich bis Mai 2018 zu erfüllen. Bei Richtlinien der Europäischen Union – wie der NIS-Richtlinie – handelt es sich um Rechtsakte, die eine Zielsetzung vorgeben, den Mitgliedsstaaten jedoch die Wahl der Mittel überlassen. Ein wichtiger Ausgangspunkt ist hierbei die sogenannte Mindestharmonisierung (im Gegensatz zur Vollharmonisierung), die sich in Artikel 3 der NIS-Richtlinie manifestiert. Demnach besteht nur dort erneuter Anpassungsbedarf, wo das Mindestschutzniveau der Richtlinie unterschritten wird.

IT-Sicherheitsgesetz = NIS-Richtlinie?

In vielen Punkten gleichen sich die Regelungen, etwa bei der obligatorischen Meldung von Sicherheitsvorfällen und der Einhaltung von Sicherheitsanforderungen (Stichwort: Verhältnismäßigkeit). Wo das IT-Sicherheitsgesetz hier „kritische Infrastrukturen“ verpflichtet, ist in der NIS-Richtlinie von „wesentlichen Diensten“ die Rede. Gemeint sind jeweils besonders gefährdete Bereiche, die einerseits wichtige Dienstleistungen für das Gemeinwohl bereitstellen und zugleich aufgrund einer weitreichenden Vernetzung einer besonderen Bedrohungslage ausgesetzt sind. An anderer Stelle fordert die NIS-Richtlinie die Einrichtung nationaler Behörden, um den neuen europarechtlichen Anforderungen an die IT-Sicherheit Herr zu werden. Auch hier ist man in Deutschland mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und den neuen, durch das IT-Sicherheitsgesetz bereits erweiterten, behördlichen Pflichten gut aufgestellt. Anders als im IT-Sicherheitsgesetz finden sich verbindliche Regelungen zu sogenannten Computer Security Incident Response Teams (CSIRTs) und deren Vernetzung untereinander. Auf nationaler Ebene hat sich der CERT-Bund als zentrale Anlaufstelle für IT-Notfallteams in Unternehmen bewährt. Herausforderungen dürften sich bei der geforderten Zusammenarbeit ergeben. Neuerungen können sich im Zuge der NIS-Richtlinie für Unternehmen ergeben, die als „digitale Dienste“ gelten. Ob Online-Händler, Suchmaschinen oder Cloud-Dienste, bei Überschreitung bestimmter Schwellwerte (Kleinst- und Kleinunternehmen sind ausgeschlossen), sind verpflichtend Sicherheitsvorfälle zu melden und z.B. das Notfallmanagement um Business Continuity Maßnahmen zu erweitern. Das IT-Sicherheitsgesetz kennt die obligatorische Meldung bisher nur bei den Betreibern kritischer Infrastrukturen und wird auch bei den Maßnahmen nicht konkreter. Ziel soll die Schaffung einer Kultur des Risikomanagements sein. Betroffene Unternehmen, die bereits risikobasierte Managementsysteme einsetzen, etwa ein ISMS nach ISO 27001, dürften aber auch hier keine größeren Überraschungen erleben.

Welche Sektoren sind von der NIS-Richtlinie betroffen?

„Betreiber wesentlicher Dienste“:

Energie (Elektrizität, Erdöl, Erdgas)
Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen (einschließlich Krankenhäuser und Privatkliniken)
Trinkwasserlieferung- und Versorgung
Digitale Infrastruktur

Welche Sektoren fallen unter das IT-Sicherheitsgesetz?

Die Sektoren für „Betreiber kritischer Infrastrukturen“ gemäß des IT-Sicherheitsgesetzes einschlägigen Sektoren finden sich unter § 2 Abs. 10 BSI-Gesetz und wurden per Verordnung bereits konkretisiert:

Energie (Elektrizität, Gas, Kraftstoff und Heizöl, Fernwärme)
Informationstechnik und Telekommunikation (Sprach- und Datenübertragung, Datenspeicherung und –verarbeitung)
Transport und Verkehr
Gesundheit
Wasser (Trinkwasserversorgung und Abwasserbeseitigung)
Ernährung (u.a. Lebensmittelversorgung)
Finanz- und Versicherungswesen
Die vorgenannte, bereits erlassene Verordnung zur Bestimmung kritischer Infrastrukturen ergänzt die bestehenden Regelungen und gibt Aufschluss über konkrete Anwendungsbereiche. Trotz zuweilen unterschiedlicher Bezeichnungen kann an dieser Stelle festgehalten werden, dass bei den betroffenen Sektoren kein böses Erwachen für deutsche Betreiber und Unternehmen bevorstehen dürften. Die in der Richtlinie zunächst lediglich skizzierten Sektoren, wurden anhand der deutschen Verordnung also bereits konkretisiert. Eine zukünftige Re-Evaluierung bleibt abzuwarten, ist aber von der Richtlinie vorgesehen.

Ausblick

Das normierte Ziel der neuen EU-Richtlinie ist weitestgehend deckungsgleich mit der Zielsetzung des IT-Sicherheitsgesetzes: Die Verpflichtung auf IT-Sicherheitsvorgaben, darunter Melde- bzw. Berichtspflichten und die Einhaltung von angemessenen Sicherheitsstandards. Im Rahmen der „digitalen Dienste“ werden zukünftig mehr Unternehmen von den neuen Anforderungen und insbesondere den Meldepflichten betroffen sein als zuvor. Bei der Ermittlung der „Betreiber wesentlicher Dienste“ kommt deutschen Unternehmen der Vorteil zu, dass bereits eine Verordnung existiert, die Licht ins „Grau“ der Richtlinie bringt. Der Weg hin zu risikobasierten Ansätzen und der Meldung von Sicherheitsvorfällen im Rahmen eines IT-Notfallmanagements lässt die Empfehlung zertifizierbarer Best Practice Standards zu, allen voran ISO/IEC 27001 und BSI Grundschutz.

EU US Privacy shield

EU-US-Privacy Shield in Kraft – Raus aus der Grauzone!?

Nachdem der Europäische Gerichtshof im Oktober 2015 „Safe Harbor“ für unwirksam erklärt hatte, bestand Handlungsbedarf für die US-Regierung und die EU-Kommission. Ziel war es, sich auf ein neues Abkommen zu einigen, welches eine rechtskonforme Datenübertragung in die USA ermöglichen soll: Anfang des Jahres wurde nach langwierigen und zähen Verhandlungen das „Privacy Shield“ entworfen, welches den transatlantischen Austausch personenbezogener Daten regelt und nunmehr – so das erklärte Ziel – für Rechtssicherheit für europäische Unternehmen sorgen soll. Anfang Juli ist das EU-US Privacy Shield schließlich in Kraft getreten. Doch was bedeutet diese Neuerung für Unternehmen? Können sie endlich aufatmen?


Was war und was ist

Nachdem Safe Harbor mit der Begründung gekippt wurde, dass eine massenhafte Überwachung der Datentransfers durch US-Geheimdienste nicht ausgeschlossen werden kann, räumten die europäischen und deutschen Aufsichtsbehörden Unternehmen zunächst ein Moratorium bis Ende Januar 2016 ein. Datentransfers in die USA sollten in dieser Zeit nicht überprüft werden.

Das europäische Datenschutzrecht schreibt vor, dass eine Übermittlung in Drittstaaten (Staaten außerhalb der Europäischen Union) nur dann erlaubt ist, wenn in dem Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist, was in den USA nicht der Fall ist. Safe Harbor sah vor, dass eine transatlantische Datenübermittlung zu solchen Unternehmen rechtlich zulässig war, welche sich beim dortigen Handelsministerium im Hinblick auf den Datenschutz unter Safe Harbor haben zertifizieren lassen.

Mit dem Wegfall von Safe Harbor waren daher neben der ausdrücklichen Einwilligung der Nutzer Binding Corporate Rules und die sogenannten EU-Standardvertragsklauseln die einzige Möglichkeit, Daten in rechtlich zulässiger Weise in die USA zu übertragen.


Privacy Shield als „Retter in der Not“?

Anfang 2016 wurden die ersten Bußgeldverfahren für Unternehmen publik. Sie hatten ihre Prozesse einen legitimisierten Datentransfer in die USA betreffend noch nicht umgestellt.
Danach herrschte bei vielen Unternehmen große Unsicherheit. Mit dem EU-US-Privacy Shield soll nun endlich eine solide Lösung gefunden werden.
Doch noch immer sind die Lager der Kritiker und Befürworter weit voneinander entfernt. Optimistische Stimmen auf der einen Seite sahen darin nicht weniger als einen großen Wurf des Datenschutzes und sind überzeugt, eine endgültige Lösung gefunden zu haben. Hervorgehoben wird insofern, dass an strittigen Passagen nachgebessert und klare Regelungen getroffen wurden.
So hat etwa der Zweckbindungsgrundsatz, der auch wesentlicher Bestandteil der EU-Datenschutzgrundverordnung sein wird, wonach Daten ausschließlich zu einem von vornherein festgelegten eindeutigen und rechtlich zulässigen Zweck erhoben und verarbeitet werden dürfen, eine klare Regelung im Privacy Shield gefunden. Zudem seien insbesondere die Rechte der EU-Bürger gestärkt worden, diese können sich bei Datenschutzverstößen von US-Unternehmen auf verschiedenen Wegen, etwa bei einer Ombudsperson, beschweren.


Vor dem Privacy Shield ist nach dem Privacy Shield?

Kritiker äußern sich hingegen skeptisch: Nach deren Meinung ist das Privacy Shield weit von dem entfernt, was der Europäische Gerichtshof im Rahmen der Safe Harbor Entscheidung gefordert hat. Nach deren Meinung würde es einer Überprüfung des EuGH ebenso wenig standhalten. Genau wie bei Safe Harbor seien durch das Privacy Shield die Datenschutzschlupflöcher gerade nicht geschlossen worden. Zudem bestehe weiterhin das Prinzip der Selbst-Zertifizierung und eine Überprüfung nationaler Aufsichtsbehörden sei nicht vorgesehen. Eine ausreichende Kontrolle der US-Unternehmen sei somit erneut nicht gewährleistet und ein wiederholtes Scheitern demnach nicht unwahrscheinlich.

Ein auf das Privacy Shield gestützter transatlantischer Datentransfer ist dennoch ab sofort möglich: Unternehmen, die personenbezogene Daten in die USA übermitteln, können sich nun in die Privacy Shield List eintragen. Eine allumfassende Rechtssicherheit ist für Unternehmen diesbezüglich jedoch nicht gegeben: Die Chancen, dass ähnlich wie das Safe Harbor Abkommen auch das EU-US Privacy Shield zumindest gerichtlich überprüft werden wird, sind sehr wahrscheinlich.


Doch was können Unternehmen tun, um eine allumfassende Rechtssicherheit zu erhalten?

Eine Möglichkeit wäre nach wie vor die Verwendung der EU-Standardvertragsklauseln. Die Schwierigkeit dieser Regelungen besteht jedoch darin, dass diese quasi auf demselben „Fundament“ stehen wie Safe Harbor seinerzeit und daher teilweise auch diese als unwirksam erachten werden. So haben Datenschützer darauf aufmerksam gemacht, dass die in den Begründungen zu Safe Harbor genannten Argumente ebenso auf die Standardvertragsklauseln zutreffen und diese demnach einer gerichtlichen Überprüfung nicht standhalten würden.
Für einen rechtssicheren Datentransfer in die USA stehen die Chancen für Unternehmen daher zukünftig ähnlich schlecht wie zu Zeiten von Safe Harbor. Auch das vielerseits „gehypte“ Privacy Shield als „Retter in der Not“ wird daher voraussichtlich nicht für eine allumfassende Rechtssicherheit für Unternehmen sorgen können. Die transatlantische Datenübermittlung bleibt somit weiterhin eher eine rechtliche Grauzone. Unternehmen ist zu empfehlen das Thema Datenschutz in den Fokus zu nehmen und die datenschutzrechtlichen Entwicklungen genau zu verfolgen.

 

WLAN Stoererhaftung

Abschaffung der WLAN-Störerhaftung: Gesetz zur Änderung des Telemediengesetzes ab sofort in Kraft

UPDATE: Lange Zeit war in Deutschland umstritten, ob die sogenannte Störerhaftung weiter Bestand haben wird, wenn innerhalb eines offenen WLANs Urheberrechtsverletzungen begangen werden. Der Bundesgerichtshof hat nun am 27.Juli 2018 erneut über die WLAN-Störerhaftung geurteilt. Erfahren Sie in unserem Update alles zur Entscheidung: Ist die WLAN-Störerhaftung nun endgültig passé?

Artikel vom 3. August 2016:

Im Mai 2016 kursierten Schlagzeilen, die eine Abschaffung der WLAN-Störerhaftung ankündigten. Auch wir berichteten darüber. Eine Abschaffung der Störerhaftung, so der damalige Stand, konnte jedoch nur mit einer Änderung des Telemediengesetzes erreicht werden.
Die frohe Botschaft: Das zweite Gesetz zur Änderung des TMGs ist nunmehr am 27. Juli 2016 in Kraft getreten und soll Betreiber eines öffentliches WLAN-Netzes aus der Verantwortung für Rechtsverstöße ihrer Nutzer nehmen.

Hintergrund

Hintergrund ist ein Verfahren vor dem Europäischen Gerichtshof (EuGH). In diesem Verfahren sorgten vor allem die Schlussanträge des EuGH Generalanwalts Szpunar vom 16.3.2016 für Aufsehen, wonach aus seiner Sicht die damalige Rechtslage in Deutschland zur Frage der WLAN-Störerhaftung gegen Unionsrecht verstoßen hat. In dem Verfahren hatte das Landgericht München I dem EuGH angerufen, um die Frage zu klären, ob die deutsche W-LAN Störerhaftung mit Europarecht vereinbar ist. Laut dem Generalanwalt können Betreiber eines kostenlosen öffentlichen W-LAN-Netzes für Urheberrechtsverletzungen der Nutzer nicht verantwortlich gemacht werden. Eine Haftung sei nicht gegeben, da die Betreiber lediglich als Anbieter sogenannter Dienste der reinen Durchleitung anzusehen seien. Anfang Juni nahm die Bundesregierung die Verhandlungen zur Änderung des zweiten Telemediengesetzes auf und vergangene Woche unterschrieb Bundespräsident Joachim Gauck den Antrag.


Neuerungen im Telemediengesetz

In § 8 TMG wurde nunmehr ein Absatz hinzugefügt, welcher regelt, dass die Abschaffung der Störerhaftung auch für Anbieter eines drahtlosen, lokalen Netzes gilt. Etwaige Betreiber öffentlicher WLANs sind damit grundsätzlich den Access Providern gleichgestellt.


Fazit

Durch die Änderung des Telemediengesetzes und der damit einhergehenden Abschaffung der WLAN-Störerhaftung wird der Weg in Richtung mehr Rechtssicherheit geebnet. Weder Gewerbetreibende noch Privatpersonen sollen künftig eine Haftung wegen Urheberrechtsverletzungen – verursacht durch dritte Nutzer, denen sie das WLAN zur Verfügung stellen – befürchten müssen. Dadurch bedingt erhofft man sich nun auch, dass Anspruch und Wirklichkeit in Sachen kostenlose WLAN-Nutzung an öffentlichen Plätzen endlich zusammentreffen: Bislang lag Deutschland mit durchschnittlich 1,87 W-LAN-Hotspots auf 10.000 Einwohner deutlich hinter vielen Ländern wie Südkorea oder Schweden zurück.

Jedoch wird kritisiert, dass die Änderung des Gesetzes nicht vollständig ausschließen kann, dass WLAN-Betreiber trotz Abschaffung der Störerhaftung in die Pflicht der Unterlassung genommen werden können. Gerade bei der zivilrechtlichen Inanspruchnahme – etwa durch Abmahnungen von Rechteinhabern – besteht noch Regelungsbedarf. Ein Absatz hierzu fand sich in früheren Gesetzesentwürfen, wurde dann jedoch gestrichen. Wie zukünftig mit der Thematik umzugehen ist und ob gar die vielfach diskutierte Freistellung entsprechender Unterlassungsansprüche den Weg in den Gesetzestext findet, ist zum jetzigen Zeitpunkt noch offen.

Nichtsdestotrotz wurde damit ein wichtiger Stein im Hinblick auf die Ausstattung großer deutscher Städte mit offenen WLAN Hotspots gelegt. Die bisherige Zurückhaltung in Deutschland wird hoffentlich zugunsten einer Verbesserung der Infrastruktur weichen, um den Standort Deutschland weiter zu stärken.

 

EU DSGVO Regelungen

EU-DSGVO und das BDSG-Ablösegesetz – Auf welche Regelungen müssen sich deutsche Unternehmen einstellen?

Im Mai 2018 wird die EU-Datenschutzgrundverordnung (EU-DSGVO) wirksam und betroffene Unternehmen müssen sich bis dahin auf weitreichende Änderungen einstellen. Für die nationalen Datenschutzregelungen bedeutet das auch, dass in 21 Monaten das Bundesdatenschutzgesetz größtenteils von der EU-DSGVO abgelöst werden wird. Da diese jedoch nicht alle Regelungen aus dem BDSG betreffen und in der EU-DSGVO weitreichende Öffnungsklauseln enthalten sind, arbeitet die Bundesregierung aktuell unter Hochdruck an einem sogenannten Ablösegesetz, welches unter anderem auf die in der EU-DSGVO nicht thematisierten Inhalte abzielt. Bereits für Oktober 2016 soll ein Entwurf für das BDSG-Ablösegesetz geplant sein.

Hintergrund

Am 9. Juni 2016 hat Peter Schaar, Vorsitzender der EIAD sowie ehemaliger Bundesdatenschutzbeauftragter, zu einer Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz eingeladen, um in einem gemeinsamen Diskurs mit Branchenvertretern die anstehenden Änderungen der nationalen Datenschutzgesetze und ihre Vereinbarung mit den neuen Regelungen der EU-Datenschutzgrundverordnung zu erörtern. Kernziel der Veranstaltung war die bestmögliche Erhaltung der bisherigen Regelungen des Bundesdatenschutzgesetzes, welche schließlich in Form des BDSG-Ablösegesetzes ihre Anwendung finden sollen.


Welche Inhalte betrifft das BDSG-Ablösegesetz?

  1. Allgemeiner Teil
    Anwendungsbereich, Regelungen zum Datenschutzbeauftragten
  1. Rechtsgrundlagen für die Verarbeitung
    Allgemeine und besondere Verarbeitungssituationen, die Verarbeitung besonderer Kategorien personenbezogener Daten, Videoüberwachung im öffentlichen Raum
  1. Betroffenenrechte: bestandserhaltende Einschränkungen der Betroffenenrechte
  1. Aufsichtsbehörden: grundsätzliche Regelungen, Zusammenarbeit und Kohärenz: Umsetzung der Regelungsaufträge des Kapitels 7 der EU-DSGVO
  1. besondere Verarbeitungssituationen
    Medien, Beschäftigtendatenschutz, Berufsgeheimnisträger, Scoring und Verbraucherkredite
  1. Sanktionen und Rechtsbehelfe


Fazit

Im Ergebnis bedeutet dies, dass sich Unternehmen nunmehr nicht mehr nur mit den Neuregelungen der EU-DSGVO auseinandersetzen müssen, sondern zusätzlich auch mit dem BDSG-Ablösegesetz. Es bleibt also weiterhin spannend im Bereich Datenschutz und Unternehmen stehen vor einer großen Herausforderung, die neuen Regelungen innerhalb der nächsten 1,5 Jahre zu implementieren. Es ist daher jedem Unternehmen anzuraten, bereits jetzt mit der Vorbereitung – beispielsweise durch eine gründliche Bestands- und Risikoanalyse – zu beginnen.

 

 

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.