Neues Urteil des EuGH zur internationalen Zuständigkeit bei Urheberrechtsverletzungen im Internet

Mit Urteil vom 22. Januar 2015 (C-441/13) hat der Europäische Gerichtshof (EuGH) über die Auslegung von Art. 5 Abs. 3 der Verordnung 44/2001 (EuGVVO) zur internationalen Zuständigkeit von Gerichten bei Urheberrechtsverletzungen entschieden, dass im Fall der Geltendmachung einer Verletzung von Urheber? und verwandten Schutzrechten durch die Veröffentlichung von geschützten Lichtbildern auf einer Website, das Gericht zuständig ist, in dessen Bezirk diese Website zugänglich ist.

Sachverhalt
Frau Hejduk (die Klägerin des Ausgangsverfahrens), eine professionelle Architektur-Fotografin und Urheberin von Lichtbildwerken, hatte Bauten des österreichischen Architekten Georg W. Reinberg abgelichtet. Herr Reinberg soll im Rahmen einer von EnergieAgentur (ein deutsches Unternehmen; die Beklagte des Ausgangsverfahrens) veranstalteten Tagung diese Fotografien zur Illustration seiner Bauten verwendet haben, wozu er aufgrund einer Vereinbarung mit Frau Hejduk auch berechtigt war. EnergieAgentur soll jedoch anschließend diese Bilder ohne Zustimmung von Frau Hejduk und ohne Anführung einer Urheberbezeichnung auf ihrer Website (einer deutschen Homepage mit einer „.de“ Kennung) zum Abruf und Download bereitgehalten haben. Frau Hejduk verklagte das Unternehmen nun vor den österreichischen Gerichten, welche dem EuGH die Frage vorlegten, ob sie in dieser Situation überhaupt zuständig seien.

Entscheidung
Der EuGH stellt zunächst fest, dass Art. 5 Abs. 3 EuGVVO grundsätzlich eng auszulegen sei. Es handele sich um eine Ausnahme von dem in Art. 2 Abs. 1 EuGVVO aufgestellten Grundsatz, der die Zuständigkeit den Gerichten des Mitgliedstaats zuweist, in dessen Hoheitsgebiet der Beklagte seinen Wohnsitz hat. Danach führt das Gericht aus, dass nach seiner Rechtsprechung mit der Wendung „Ort, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ in Art. 5 Nr. 3 EuGVVO sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens gemeint ist. Im Ergebnis kann der Beklagte nach Wahl des Klägers vor dem Gericht eines dieser beiden Orte verklagt werden kann.

Daneben muss beachtet werden, dass Urheberrechte zwar einheitlich in Europa in allen Mitgliedstaaten zu schützen sind, dass sie jedoch dem sog. Territorialitätsprinzip unterliegen. Dies bedeutet, dass Urheberrechte in jedem der Mitgliedstaaten nach dem dort anwendbaren materiellen Recht verletzt werden.

Ort des für den Schaden ursächlichen Geschehens
Danach macht sich der EuGH an die genauere Auslegung von Art. 5 Abs. 3 EuGVVO. Zunächst befasst sich der Gerichtshof mit dem zweiten möglichen Anknüpfungspunkt einer gerichtlichen Zuständigkeit, dem Ort des für den Schaden ursächlichen Geschehens. Dieses ist in dem vorliegenden Fall jedoch für die Begründung der Zuständigkeit des österreichischen Gerichts nicht maßgeblich. Denn in einem Fall wie dem des Ausgangsverfahrens, in dem die Verletzung von Urheberrechten durch die ohne Zustimmung des Urhebers erfolgte Veröffentlichung von Lichtbildern auf einer bestimmten Website im Raum steht, ist als das entscheidende „ursächliche Geschehen“ das Auslösen des technischen Vorgangs anzusehen, der zum Erscheinen der Lichtbilder auf dieser Website führt. Der EuGH führt aus, dass eine etwaige Verletzung der Urheberrechte durch das Verhalten des Inhabers dieser Website ausgelöst wird. Hieraus folge, dass das ursächliche Geschehen am Sitz des Unternehmens eintritt (hier: Deutschland) und damit keine Zuständigkeit des angerufenen Gerichts begründet werden konnte.

Ort der Verwirklichung des Schadenserfolgs
Danach prüft das Gericht die zweite Alternative für eine internationale Zuständigkeit, ob nämlich das österreichische Gericht über eine Anknüpfung an die Verwirklichung des geltend gemachten Schadenserfolgs zuständig sein kann. Hierfür muss bestimmt werden, wann ein Schaden in einem anderen Mitgliedstaat als dem verwirklicht oder zu verwirklichen droht, in dem das deutsche Unternehmen die Entscheidung, die Fotografien auf seiner Website zu veröffentlichen, getroffen und durchgeführt hat. Die Klägerin machte geltend, dass ihre Urheberrechte durch die Veröffentlichung ihrer Lichtbilder auf der Website von EnergieAgentur verletzt worden seien.

Der EuGH bestätigt zunächst, dass die von Frau Hejduk geltend gemachten Rechte in Österreich geschützt sind. Das beklagte deutsche Unternehmen führte jedoch in Bezug auf die Gefahr, dass der Schadenserfolg in einem anderen Mitgliedstaat als dem seines Sitzes eintritt, aus, dass seine Website, auf der die streitigen Lichtbilder veröffentlicht worden seien und die unter einem nationalen deutschen Top-Level-Domain-Namen, d. h. „.de“, betrieben werde, nicht auf Österreich ausgerichtet sei, so dass der Schadenserfolg nicht in diesem Mitgliedstaat eingetreten sei.

Diesem Argument stellt sich der EuGH jedoch entgegen. Es ergebe sich aus der Rechtsprechung des Gerichtshofs, dass Art. 5 Nr. 3 EuGVVO nicht verlangt, dass die fragliche Website auf den Mitgliedstaat des angerufenen Gerichts „ausgerichtet“ ist.

Unter Umständen wie denen des Ausgangsverfahrens ergibt sich der Schadenserfolg bzw. die Gefahr seiner Verwirklichung somit daraus, dass die Lichtbilder, an denen die von Frau Hejduk geltend gemachten Rechte bestehen, über die Website von EnergieAgentur in dem Mitgliedstaat des vorlegenden Gerichts zugänglich sind.

(Hervorhebung durch mich)

Zuletzt stellt der Gerichtshof klar, dass das angerufene österreichische Gericht in Anknüpfung an den Ort der Verwirklichung des Schadenserfolgs nur für die Entscheidung über den Schaden zuständig ist, der im Hoheitsgebiet des Mitgliedstaats verursacht worden ist, zu dem es gehört.

EuGH: Öffentliche Videoüberwachung durch Private – nicht per se verboten!

Heute hat der Europäische Gerichtshof (EuGH) sein Urteil in der Sache C-212/13 gesprochen, in der es um die öffentliche Videoüberwachung durch private Personen zum Schutz ihres Lebens, Eigentums und ihrer Familie geht. Eine Darstellung des Sachverhaltes und eine Besprechung der Schlussanträge des Generalanwaltes findet sich hier bei mir im Blog.
Entgegen anderslautenden Einschätzungen, die kurz nach dem Richterspruch bereits durch die Medien geisterten, hat der EuGH die Videoüberwachung jedoch nicht für unzulässig erklärt. Er hat sich in seinem Urteil allein darauf beschränkt festzustellen, dass für die stattfindende Datenverarbeitung durch die die Videokamera betreibende Person, die Vorschriften des europäischen Datenschutzrechts (Richtlinie 95/46/EG) Anwendung finden.

Der EuGH stellt fest:

Soweit sich eine Videoüberwachung wie die im Ausgangsverfahren in Rede stehende auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten auf diese Weise verarbeitet, kann sie nicht als eine ausschließlich „persönliche oder familiäre“ Tätigkeit

angesehen werden.

Damit ist aber noch nichts darüber gesagt, ob die Datenverarbeitung rechtmäßig oder rechtswidrig erfolgt. Dieser Prüfungsschritt schließt sich erst nachfolgend an, nämlich wenn nun feststeht, dass das Datenschutzrecht überhaupt anwendbar ist.

Und diesbezüglich ist der EuGH deutlich:

Zugleich ermöglicht die Anwendung der Bestimmungen der Richtlinie 95/46, gegebenenfalls die berechtigten Interessen des für die Verarbeitung Verantwortlichen insbesondere auf der Grundlage von Art. 7 Buchst. f, Art. 11 Abs. 2 und Art. 13 Abs. 1 Buchst. d und g dieser Richtlinie zu berücksichtigen.

Wenn die Videoüberwachung per se rechtswidrig wäre, dann müsste man auch keine berechtigten Interessen berücksichtigen. Das Gericht stellt zudem fest, dass unter diese „berechtigten Interessen“ des Betreibers der Videokamera unter anderem „der Schutz des Eigentums, der Gesundheit und des Lebens des für die Verarbeitung Verantwortlichen und seiner Familie“ fallen. Ob dies im konkreten Fall zur Rechtmäßig- oder Rechtswidrigkeit der Datenverarbeitung führt, hat nun das nationale Gericht zu entscheiden. Der EuGH deutet auf jeden Fall an, dass es durchaus beachtlichen Auslegungsspielraum dafür gibt, dass die Videoaufzeichnung in diesem Fall rechtmäßig sein kann.

Urheber darf personenbezogene Daten für spätere Gerichtsprozesse speichern

Mit Urteil vom 13.01.2014 (Az.: 1 K 220.12, derzeit leider noch nicht online verfügbar) hat das Verwaltungsgericht (VG) Berlin einen Bescheid des Berliner Datenschutzbeauftragten für rechtswidrig erklärt und aufgehoben. Mit dem Bescheid wurde einem Unternehmen (Klägerin), welches Stadtkarten selbst erstellt oder erworben hatte und diese dann entgeltlich im Internet veröffentlichte, aufgegeben, bei ihm gespeicherte personenbezogene Daten von Mitarbeitern zu löschen, die bei einem Dienstleister angestellt waren, der die Karten für die Klägerin überarbeitete.

Sachverhalt
Die Klägerin verpflichtete den Dienstleister dazu, die Bearbeitungsschritte im einzelnen zu dokumentieren, wozu die jeweiligen Bearbeitungsvorgänge, die eingesetzten Personen mit Namen und die Arbeitszeiten gehörten. Diese Daten wurden bei der Klägerin gespeichert. Hierzu mussten die Mitarbeiter auch eine Erklärung bzw. Einwilligung in die Verarbeitung ihrer Daten unterschreiben. Grund für diese Speicherung war das Interesse der Klägerin, diese Daten bei möglichen zukünftigen Gerichtsverfahren zu präsentieren, um ihre urheberrechtlichen Ansprüche durchzusetzen. Hierzu müsste sie auch ihre Aktivlegitimation, also ihre Urhebereigenschaft, beweisen. Die Datenschutzbehörde sah dies anders und ordnete per Bescheid die Löschung der Daten an. Die Speicherung sei nicht erforderlich, denn eine Vorlage der vertraglichen Vereinbarung zur Rechteübertragung auf die Klägerin sei ausreichend.

Entscheidung
Der Auffassung der Behörde ist das VG nicht gefolgt. Rechtsgrundlage der Speicherung sei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach die Speicherung von personenbezogenen Daten oder ihre Nutzung für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Das berechtigte Interesse der Klägerin bestehe hier darin, die gespeicherten Daten vor Gericht verwenden zu können. Sie habe ein berechtigtes Interesse (welches sich aus § 64 UrhG ergebe) daran, ihre Werke urheberrechtlich effektiv zu schützen. Sie verfolge den legitimen Zweck, vor Gericht den Nachweis ihrer Urhebereigenschaft erbringen zu können. Hierzu hat die Klägerin dem VG auch ein Urteil des Landgericht München I vorgelegt, aus dem hervorging, dass sie den Bearbeitungsprozess der Karten lückenlos dokumentieren muss.

Den Einwand des Berliner Datenschutzbeauftragten, dass ein anonymisierter Zuordnungsnachweis ausreichend sei, lehnte das VG ab. Denn die Zivilgerichte gäben sich mit einer solchen Form der Beweisführung nicht zufrieden. Auch den Einwand, dass die Daten dann zumindest bei dem Dienstleister selbst gespeichert werden sollten, verwarf das Gericht. Zum einen existierte dieser Dienstleister nicht mehr, zum anderen stelle diese Art der Speicherung zwar ein milderes, jedoch kein gleich effektives Mittel zur Interessenwahrung der Klägerin dar. Zuletzt seien die schutzwürdigen Interessen der Betroffenen (Mitarbeiter) vorliegend nicht höher zu gewichten, als das Interesse der Klägerin an der Datenspeicherung. Zwar liege hierdurch ein Eingriff in das Recht auf informationelle Selbstbestimmung vor. Dieser Eingriff sei jedoch zumutbar, wenn man ihn im Vergleich zu den möglichen Rechtsbeeinträchtigungen der Klägerin setze. Denn ohne die Speicherung und mögliche spätere Nutzung könne sie ihr durch Art. 14 GG geschütztes Urheberrecht nicht wahrnehmen und vor Gericht verteidigen.

Eine Anmerkung: interessant an dem Urteil ist, dass das VG mit keinem Wort auf die, durch die Mitarbeiter, erteilte Einwilligung eingeht, welche ja eventuell auch als Rechtsgrundlage der Verarbeitung hätte dienen können. Vielleicht wollte sich das Gericht nicht mit einer Wirksamkeitsprüfung aufhalten und hat daher direkt den gesetzlichen Erlaubnistatbestand herangezogen.

High Court of Berlin: Facebook is subject to German data protection law

On 24 January 2014, the High Court of Berlin upheld a ruling of the District Court of Berlin from 6 March 2012, according to which Facebook is subject to German and not Irish data protection law (the PM and the decision in German can be found here). The proceeding was initiated by the Federation of German Consumer Organisations (VZBV) and mainly dealt with the legality of the friend-finder feature in the social network.

I will only summarize the relevant aspects of the ruling having regard to the question of the applicable data protection law. The key provision for the answer, which national data protection law has to be applied to a processing of personal data in the EU, can be found in Art. 4 of Directive 1995/46/EC (“DPD”). Of course, the Court primarily takes into account the relevant national provision of the German Federal Data Protection Act, § 1 (5), but also makes clear that these national provisions have to be interpreted in accordance with the DPD. The High Court at first describes the general principles of these provisions and rightly clarifies that Art. 4 DPD has to be regarded as part of the core elements of the DPD. It furthermore lays down the two possibilities foreseen in Art. 4 (1) DPD, to examine the relevant data protection law. That is

  • According to Art. 4 (1) (a) DPD, the national law of that Member State, where the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; or
  • According to Art. 4 (1) (c) DPD, if the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.

These two possible connecting factors ((1) if the relevant controller is established in the EU OR (2) if the relevant controller is established outside the EU and makes use of equipment within a Member State) are the bases for the first part of the Court’s decision.

According to the ruling, Facebook Inc. in America and not Facebook Ireland has to be regarded as the competent controller for the processing of personal data of German users. So in the Court’s view, the controller is not established in the EU and therefore Art. 4 (1) (c) DPD has to be applied. Facebook Inc. uses Cookies to process personal data of German users. In accordance with the view taken by the Art. 29 Working Party (WP 179, p. 21), the Court considers the placing of Cookies on the PC of a user and the processing of personal data via these Cookies as “making use of equipment”.

In a next step the Court examines, if perhaps nevertheless the relevant establishment for the processing of personal data could in fact be Facebook Ireland. As a consequence, Art. 4 (1) (a) DPD and Irish data protection law would apply to the data processing. This is exactly the view taken by the Higher Administrative Court of Schleswig-Holstein in its ruling from 22 April 2013. The Higher Administrative Court found that only Facebook Ireland can be qualified as the controller for the processing of personal data by German users.

However, the High Court of Berlin does not agree to this finding. According to the Court, Facebook did not sufficiently prove that its establishment in Ireland really determines the means and purposes of the relevant processing operations. In the Court’s view, Facebook Ireland does not effectively and actually exercise the processing operations under consideration. Facebook contended that the establishment in Ireland is the single contractual partner of users outside of North America. But this alone did not convince the Court to qualify Facebook Ireland as the relevant establishment in the sense of Art. 4 (1) (a) DPD. Especially an actual decisive power by Facebook Ireland would be missing. In the Court’s view, the contractual powers of Facebook Ireland towards its parent company in America are displaced by the corporate law competences of Facebook Inc.

The second (and alternative) base of the decision is the recognition of the possibility of a free choice of data protection law. The Court refers to the terms of use of the German Facebook site, where it states that “this statement is subject to German law”. The Court considers this choice of law not only to affect the applicable contract law, but also to encompass data protection law. In the view of the Court, the German Federal Data Protection Act consists of public law as well as private law provisions. With regard to the private law provisions, a choice of law would be possible.
In my opinion, a choice of law is not possible having regard to data protection law. Art. 4 (1) DPD and the relevant national transpositions should be qualified as overriding mandatory rules in the sense of Art. 9 Rom I Regulation or Art. 16 Rom II Regulation. This is also the view, taken by the Higher Administrative Court of Schleswig-Holstein. Unfortunately, the High Court of Berlin does not mention the Rom I or II Regulations. Also the Art. 29 Working Party, in its opinion on apps (WP 202), made clear that “It is important for app developers to know that both directives are imperative laws in [a way; comment by author] that the individual’s rights are non-transferable and not subject to contractual waiver. This means that the applicability or European privacy law cannot be excluded by a unilateral declaration or contractual agreement” (page 8).

After the decision by the High Court of Berlin, we now face two deviating decisions by High Courts in Germany on the question of the applicable data protection law regarding Facebook and the question of a free choice of data protection law. One has to await, if Facebook proceeds against the decision of the High Court of Berlin.

Das Grundrecht auf Datenschutz in Europa

Im Zuge der Enthüllungen in der NSA-Affäre und den andauernden Verhandlungen für eine Reform des europäischen Datenschutzrechts wird häufig darauf verwiesen, dass der Schutz personenbezogener Daten in Europa ein Grundrecht darstellt (so etwa die EU Justizkommissarin Viviane Reding in einem Interview). Nachfolgend möchte ich darauf eingehen, wo dieses Grundrecht auf Datenschutz gesetzlich festgeschrieben und wie es tatsächlich ausgestaltet ist. Dazu beschränke ich mich jedoch auf die Ebene der EU und des Europarates (zu weiteren internationalen Datenschutzabkommen hatte ich bereits einmal etwas geschrieben).

A. Europäische Menschenrechtskonvention

Auf der supranationalen Ebene des Europarats, dem sowohl alle europäischen Mitgliedstaaten, aber auch andere Nationen wie die Türkei oder Russland angehören, garantiert die Europäische Menschenrechtskonvention (EMRK) Personen, welche der Hoheitsgewalt der einzelnen Mitgliedstaaten unterliegen, gewisse Grundrechte und –freiheiten.
Continue reading

Guten Rutsch ins Jahr 2014

Liebe Leserinnen und Leser,

ich wünsche Ihnen einen guten Rutsch ins Jahr 2014. Viel Erfolg, Glück und Gesundheit auch im neuen Jahr.

An bloggenswerten Themen wird es sicherlich auch 2014 nicht mangeln. Wichtige, bereits jetzt absehbare Ereignisse werden etwa der weitere Verlauf der Verhandlungen zur Datenschutz-Grundverordnung, die mögliche Überarbeitung der Safe Harbor Entscheidung oder das Urteil des EuGH im Verfahren zwischen Google und der spanischen Datenschutzbehörde (C-131/12) sein. Zudem wird die neue Bundesregierung zeigen müssen, wie ernst es ihr mit der Netzpolitik ist. Doch dies sind nur einige Highlights, die uns 2014 erwarten. Langweilig wird es sicherlich nicht.

Auch 2014 werde ich zu aktuellen Themen aus dem Bereich Internet, Datenschutz, Web 2.0 und Social Media bloggen und freue mich, wenn Sie vorbeischauen und sich informieren möchten. Vielen Dank für die Resonanz im vergangen Jahr und das Interesse an delegedata.de. Auf ein erfolgreiches Jahr 2014!

Beste Grüße
Carlo Piltz

Facebook: neue Nutzungsbedingungen

Seit gestern sind die neuen Nutzungsbedingungen und Datenverwendungsrichtlinien von Facebook auch in deutscher Sprache verfügbar.

Nach der ersten Veröffentlichung der geplanten Änderungen im August (hierzu mein Beitrag) regte sich sowohl in Deutschland als auch international starke Kritik seitens der Nutzer und Verbraucherschützer.

Diese Kritik hat sich Facebook nach den Worten von Eric Egan, ihres Zeichens Leiterin der Datenschutzabteilung des Unternehmens, in einem Beitrag auf der Facebook Governance Seite zu Herzen genommen und die ersten Vorschläge nun noch einmal überarbeitet.
Continue reading

Datenschutz-Grundverordnung: LIBE-Ausschuss verständigt sich auf Änderungen

Am Montag, den 21. Oktober 2013, wird der federführende Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments zum Entwurf des Berichts von Jan Philipp Albrecht und über die Änderungsanträge zur vorgeschlagenen Datenschutz-Grundverordnung (KOM (2012)11, DS-GVO) der Europäischen Kommission abstimmen. Kommt es hier zu einer Einigung, würde dies die Tür für informelle, interinstitutionelle Verhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union (sog. Trilog) öffnen. Ziel dieser Verhandlungen ist es, eine Einigung zwischen den drei Parteien zu erzielen, um so den Gesetzgebungsprozess zu beschleunigen.

Aufgrund der enormen Anzahl an Änderungsanträgen zum Verordnungsvorschlag der Kommission sah es, nach mehrmaligen Verlegungen bereits geplanter Abstimmungen, nicht unbedingt danach aus, dass der LIBE Ausschuss alsbald zu einer Einigung kommen würde. Nach ersten Medienberichten (EUobserver; Guardian) wurde nun jedoch ein Vorschlag erarbeitet, den alle vertretenen Parteien im Ausschuss unterstützen.
Continue reading

Google ändert Nutzungsbedingungen – was es zu beachten gilt

Heute gab Google bekannt, dass es mit Wirkung zum 11. November 2013 neue Nutzungsbedingungen in all seinen Diensten verwenden wird.

Die Zusammenfassung der Änderungen (für Personen mit, wörtlich, „Abneigung gegen Juristendeutsch“) führt als wohl aus Sicht der Nutzer wichtigsten Punkt die folgende Anpassung auf:

Zunächst erläutern wir, wie und in welchem Rahmen Ihr Profilname und Foto in Google-Produkten erscheinen kann, etwa in Erfahrungsberichten, Bewertungen, Werbung oder in anderen kommerziellen Kontexten.
Continue reading

Facebook will Datenschutzrichtlinie und Nutzungsbedingungen ändern

In einem offiziellen Beitrag vom 29. August 2013 auf Facebook stellt Erin Egan, die Leiterin der Datenschutzrechtsabteilung bei dem sozialen Netzwerk, mehrere geplante Änderungen des Unternehmens sowohl in Bezug auf seine Datenverwendungsrichtlinie, als auch die Nutzungsbedingungen (sog. Erklärung der Rechte und Pflichten) vor.

Änderung der Nutzungsbedingungen
Die wohl wichtigste Änderung im Rahmen der neuen Nutzungsbedingungen dürfte der Umfang der Verwendung von Nutzerinformationen für Werbeanzeigen darstellen.
Continue reading