Neue IT-Sicherheitspflichten für Cloud-Dienste und Online-Marktplätze

Heute verabschiedet der Bundestag den Entwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (BT Drs. 18/11242, pdf).

Mit dem Gesetz wird, wie der Titel bereits erahnen lässt, die sog. NIS-Richtlinie umgesetzt. Diese trat am 8. August 2016 in Kraft und muss bis zum 9. Mai 2018 in nationales Recht umgesetzt werden.

Viele der Pflichten der NIS-Richtlinie wurden bereits 2015 durch das deutsche IT-Sicherheitsgesetz umgesetzt. Nun werden noch einige wenige, jedoch nicht minder relevante, Anpassungen im nationalen Recht vorgenommen, um die letzten offenen Pflichten umzusetzen. Neu eingeführt werden nun insbesondere Regelungen (vgl. § 8c BSIG) für digitalen Dienste. Das sind: Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Neu ist auch, dass die Begriffe „Online-Marktplatz“, „Online-Suchmaschine“ und „Cloud-Computing-Dienst“ nun in Deutschland legal definiert werden (vgl. § 2 Abs. 11 BSIG).

Von den Pflichten für digitale Dienste ausgenommen sind solche Dienste, die von einer natürlichen Person oder von Kleinstunternehmen oder kleinen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission (pdf) angeboten werden. Hierunter fallen Unternehmen, die weniger als 250 Personen beschäftigen und entweder höchstens einen Jahresumsatz von 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

Neue Begriffsbestimmungen

Online-Marktplätze (Abs. 9 Nr. 1): Dienste, die es Verbrauchern oder Unternehmern ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Website dieser Dienste oder auf der Website eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen. Umfasst sind daher auch B2B-Plattformen. Nicht erfasst werden Online-Dienste, die lediglich den Zugang zu dritten Diensten vermitteln, bei denen ein Vertrag geschlossen werden kann. Der Online-Marktplatz muss also der endgültige Bestimmungsort für den Abschluss dieser Verträge sein und darf nicht als Vermittler agieren (so Erwägungsgrund 15 der NIS-Richtlinie). Nach der NIS-Richtlinie zählen zu den Online-Marktplätzen sls Online Stores tätige „Application Stores“, die den digitalen Vertrieb von Anwendungen oder Software-Programmen von Dritten ermöglichen (z. B. also die großen App-Stores).

Online-Suchmaschinen (Abs. 9 Nr. 2): Dienste, die es Nutzern ermöglichen, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können. Nicht hiervon erfasst sind Online-Dienste und Funktionen in IT-Anwendungen, die Suchen jeweils nur auf bestimmte Websites oder Domains ermöglichen. Nach Erwägungsgrund 16 NIS-Richtlinie sind hier von auch nicht Online-Dienste erfasst, die die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern miteinander vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten, damit er das Produkt dort kauft.

Cloud-Computing-Dienste (Abs. 9 Nr. 3): Dienste, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen. „Rechenressourcen“ umfassen verschiedene Arten der Ressourcen, wie Netze, Server oder sonstige Infrastruktur, Speicher und Anwendungen. „Skalierbar“ bedeutet, dass Rechenressourcen unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Computing-Dienstes flexibel zugeteilt werden können, um Nachfrageschwankungen zu bewältigten.

Pflichten

Nach dem neuen § 8c Abs. 1 BSIG haben Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

Die Schutzpflichten der Anbieter beziehen sich also etwa nicht auf Informationen oder in den Systemen gespeicherte Daten, sondern auf die „Sicherheit der Netz- und Informationssysteme“.

Nach § 8c Abs. 2 BSIG müssen diese Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Das erforderliche Sicherheitsniveau ist also nicht als absolut zu verstehen, sondern es hängt von einer Verhältnismäßigkeitsprüfung im konkreten Fall ab. Die notwendigen Maßnahmen sollen noch durch  Durchführungsrechtsakte der Kommission nach Art. 16 Abs. 8 der NIS-Richtlinie näher bestimmt werden.

Nach § 8c Abs. 3 S. 1 BSIG sind die Anbieter digitaler Dienste zudem verpflichtet, jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Bußgelder

Zudem wird auch der bestehende § 14 BSIG angepasst und damit die Bußgeldvorschriften auf die Anbieter digitaler Dienste ausgeweitet. Bußgeldbewehrt (bis zu 50.000 EUR) soll es in Zukunft sein, wenn gegen §§ 8c Abs. 1 S. 1, 8c Abs. 3 S. 1 oder 8c Abs. 4 Nr. 1 oder Nr. 2 BSIG verstoßen wird, also etwa eine Meldung nach § 8c Abs. 3 S. 1 BSIG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vornimmt.

Die Bußgeldvorschriften gelten für alle Anbieter, die digitale Dienste innerhalb Deutschlands anbieten, sofern sie nicht ihre Hauptniederlassung in einem anderen Mitgliedstaat der Europäischen Union haben oder, sofern sie nicht in einem anderen Mitgliedstaat der Europäischen Union niedergelassen sind, dort einen Vertreter benannt haben und in diesem Mitgliedstaat dieselben digitalen Dienste anbieten.

Die vorgenannten Änderungen sollen nach § 15 BSIG ab dem 10. Mai 2018 anwendbar sein.

UN-Wirtschaftskommission für Europa: Datenschutz- und IT-Sicherheitsstandards für vernetzte Fahrzeuge

Eine informelle Arbeitsgruppe der Wirtschaftskommission für Europa der Vereinten Nationen (kurz UNECE), die u.a. Vorschläge und Vorlagen für ECE-Regelungen für Kraftfahrzeuge entwickelt, hat einen Vorschlag für Leitlinien zur IT-/Netz-Sicherheit und zum Datenschutz bei vernetzten Fahrzeugen und Kraftfahrzeugen mit automatisierten Fahrfunktionen veröffentlicht („Proposal for draft guidelines on cyber security and data protection“, PDF).

Die Vorschläge, die im März 2017 bei der Sitzung des UN/ECE-Weltforums für die Harmonisierung der Regelungen für Kraftfahrzeuge angenommen werden sollen, sind von besonderer Relevanz, da hierdurch einheitliche internationale Vorgaben zur IT-Sicherheit und zum Datenschutz bei intelligenten Fahrzeugen eingeführt werden könnten.

In dem Entwurf wird einleitend auf die Notwendigkeit klarer Vorgaben zur IT-Sicherheit und zum Datenschutz in vernetzten Fahrzeugen und solchen mit automatisierten Fahrfunktionen hingewiesen. Es müsse sichergestellt werden, dass Fahrzeuge vor äußeren Störungen und Manipulationen geschützt sind.

Die Leitlinien sollen für Fahrzeughersteller, System- und Teilezulieferer und Anbieter von Diensten, die auf den Fahrzeugsystemen installiert werden, gelten und diesen Vorgaben machen, um ein hohes IT-Sicherheitsniveau zu erreichen. Zudem sollen diese Leitlinien als Grundlage für die Entwicklung von Vorgaben in UN-Richtlinien dienen.

Wichtig ist zudem der Hinweis, dass die Leitlinien keinen Einfluss auf geltendes Datenschutzrecht haben. Die Vorgaben gliedern sich in vier Themenkomplexe, die ein vernetztes Fahrzeug bzw. ein solches mit automatisierten Fahrfunktionen jeweils erfüllen muss:

-          Allgemeine Vorgaben.

-          Datenschutz.

-          Safety (iSv „Betriebssicherheit“).

-          Security (iSv „Angriffssicherheit“).

Generell dürfen personenbezogene Daten in Fahrzeugen nur auf rechtlich zulässige und insbesondere transparente Weise verarbeitet werden. Das Datenschutzrecht ist also zu beachten. Fahrzeughersteller, System- und Teilezulieferer sowie Diensteanbeiter sollen die Prinzipien „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Privacy by Default) beachten. Bereits auf der Ebene der Fertigung von Komponenten für vernetzte Fahrzeuge soll also der Datenschutz Beachtung finden. Diese Prinzipien finden sich etwa auch in der ab Mai 2018 unmittelbar anwendbaren EU Datenschutz-Grundverordnung. Zudem sollen die benannten Akteure sicherstellen, dass Datenverbindungen und –kommunikation nur verschlüsselt erfolgen.

Betroffene Personen sollen umfassend und klar darüber informiert werden, welche Daten von ihnen verarbeitet werden und für welche Zwecke dies geschieht. Dem Grundsatz der Datensparsamkeit folgend, sollen nur soviele Daten erhoben werden, wie für den konkreten Zweck erforderlich sind.

Auf Betriebssicherheitsebene sollen Standards, wie etwa ISO 26262, angewendet werden. Zudem werden gewisse Vorgaben an die Datenverbindung und –kommunikation selbst gemacht. Diese dürfen nicht andere Systeme beeinflussen, die Informationen erzeigen, die für die Kontrolle eines Fahrzeugs erforderlich sind. Zudem sollen die Verbindungen derart beschaffen sein, dass falsche Zugriffe oder auch Manipulationen am System über diese Verbindungen nicht möglich sind.

Zur erforderlichen Angriffssicherheit der Fahrzeuge und Systeme wird die Anforderung aufgestellt, dass Sicherheitsstandards, wie etwa nach ISO 27000 und ISO/IEC 15408, umgesetzt werden sollen. Zudem sollen vernetzte Fahrzeuge etwa mit der Fähigkeit ausgestattet sein, kryptographische Schlüssel verwalten zu können.

Man darf gespannt sein, in welcher Form diese Leitlinien am Ende durch das UN/ECE-Weltforum für die Harmonisierung der Regelungen für Kraftfahrzeuge beschlossen werden und in Zukunft die Mindeststandards für intelligente Fahrzeuge darstellen könnten. Auffällig ist, dass die vorgeschlagenen Maßnahmen oder Prinzipien inhaltlich nicht neu sind und mit Blick auf EU-Gesetze wie die Datenschutz-Grundverordnung oder den Vorschlag für die ePrivacy-Verordnung, viele gesetzliche Vorgaben aufnehmen. Klar ist jedoch: ohne Maßnahmen zur IT-Sicherheit und zum Datenschutz geht es nicht mehr.

EU-Minister sollen über Gewährleistungsrechte beim Kauf vernetzter Geräte entscheiden

Am 9. Dezember 2015 hat die europäische Kommission Entwürfe für zwei verschiedene Richtlinien zum einen über bestimmte vertragliche Aspekte des online waren Handels (COM(2015) 635) und zum anderen über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte (COM(2015) 634)  veröffentlicht. Insbesondere der 2. Richtlinienvorschlag zur Bereitstellung digitaler Inhalte bietet interessante Neuerungen zur aktuellen Rechtslage. Dort sind unter anderem Regelungen zu Situationen vorgesehen, in denen der Zugang bzw. die Bereitstellung personenbezogener Daten oder auch „anderer Daten“ als Gegenleistung für die Bereitstellung digitaler Inhalte anerkannt werden soll (vgl. Art. 3 Abs. 1).

Die beiden Richtlinie Entwürfe werden nun in den verschiedenen europäischen Institutionen beraten. Unter anderem auch im Rat der Europäischen Union.

In einem relativ aktuellen Dokument der Ratspräsidentschaft an den Rat vom 1. Dezember 2016 (14827/16, pdf) wird der aktuelle Diskussionsstand im Rat übersichtlich zusammengefasst und es werden auch Fragen an die einzelnen Mitgliedstaaten zu besonderen Schwerpunkten und noch offenen bzw. streitigen Themen gestellt. Zwei dieser offenen Punkte möchte ich nachfolgend kurz besprechen.

Welche Gewährleistungsregeln sollen bei vernetzten Geräten gelten?

In ihrem ersten Fragekomplex beleuchtet die Ratspräsidentschaft intelligente Haushaltsgeräte (Stichworte sind hier „Internet der Dinge“, „smart cars“ oder auch „smart homes“). Diese intelligenten und vernetzten Geräte bieten bereits derzeit und mit Sicherheit auch in Zukunft bis zu einem gewissen Grad digitale Inhalte an. Als Beispiel wird etwa der intelligente Kühlschrank angeführt, der seinen Inhalt selbst überprüft und eine Einkaufsliste für fehlende Gegenstände erstellt.

Zwischen den Mitgliedstaaten im Rat ist umstritten, welche Gewährleistungsvorschriften aus den beiden zuvor benannten Richtlinienvorschlägen gelten sollen, wenn es bei so einem intelligenten Gerät, man denke hier etwa auch an vernetzte Fahrzeuge, zu einem Fehler kommt bzw. ein Mangel auftritt. Sollen in diesem Fall die Regelungen für die Bereitstellung digitaler Inhalte gelten oder doch die Regelungen für den Verkauf normaler (also physischer) Waren?

Der Richtlinienvorschlag der Kommission zur Bereitstellung digitaler Inhalte sieht vor, dass die Regelungen der Richtlinie nicht für digitale Inhalte gelten sollen, „die derart in einer Ware integriert sind, dass sie fester Bestandteil der Ware sind und ihre Funktionen den Hauptfunktionen der Ware untergeordnet sind“ (Erwägungsgrund 11). Nach Auffassung der Ratspräsidentschaft würde dies bedeuten, dass wohl zumeist die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter gelten würden (Richtlinie 1999/44/EG).

Innerhalb der Arbeitsgruppe des Rates für Zivilrecht wurden vor diesem Hintergrund drei mögliche Optionen für ein zukünftiges Vorgehen und gesetzliche Regelungen beraten:

  • Die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs auf die in den Produkten integrierten, digitalen Inhalte anzuwenden.
  • Eine Trennung in der Form vorzunehmen, dass die Regeln zum Verbrauchsgüterkauf auf die physische Ware selbst und die neuen Regeln der vorgeschlagenen Richtlinie auf die in dem Gerät enthaltenen digitalen Inhalte anwendbar sein.
  • Die neuen Vorgaben zu digitalen Inhalten insgesamt auf das vernetzte Gerät anzuwenden, jedoch mit der Ausnahme, dass der Verkäufer die Möglichkeit hat darzulegen, dass der Mangel sich allein aus dem (physischen) Produkt selbst ergibt und dann die Regeln zum Verbrauchsgüterkauf anwendbar wären.

Nach Aussage der Ratspräsidentschaft fand die zweite Option (Trennung) wohl kaum Zuspruch. Für die beiden anderen Optionen gab es jeweils für sprechende Stimmen der Mitgliedstaaten, ohne dass jedoch bisher eine eindeutige Mehrheit erkennbar wäre.

Vor diesem Hintergrund bittet der Rat auf politischer Ebene (also durch die Minister der Mitgliedstaaten) zu entscheiden, welche Option für weitere Diskussionen in der Arbeitsgruppe die Grundlage sein soll.

Die Entscheidung der Minister und damit die zukünftigen Diskussionen sind für die Wirtschaft in Europa nicht trivial. Gerade wenn man bedenkt, wie viele vernetzte Geräte ist derzeit bereits gibt und wohl in Zukunft auch auf dem Markt vorhanden sein werden. Man sollte sich dabei auf vor Augen halten, dass es hier eben nicht nur um kleine Geräte im eigenen zu Hause geht, sondern grundsätzlich auch etwa um vernetzte Fahrzeuge.

Nach Auffassung der Ratspräsidentschaft würde die erste Option, also auf vernetzte Geräte grundsätzlich die Regelung des Verbrauchsgüterkaufs anzuwenden, aus Sicht der Verbraucher leichter vorhersehbare Rechte bereithalten. Jedoch würden natürlich gleichzeitig auch die spezifischen Vorgaben für digitale Inhalte unter der vorgeschlagenen Richtlinie der europäischen Kommission dann nicht anwendbar sein.

Die dritte vorgeschlagene Option bietet aus Sicht der Ratspräsidentschaft eine flexiblere Möglichkeit diejenigen Regelungen zur Anwendung zu bringen, die in der ehemaligen Situation am besten geeignet sind. Dem Verkäufer verbliebene immer noch die Möglichkeit darzulegen, dass in einem konkreten Fall die normalen Regeln zum Verbrauchsgüterkauf gelten würden, wenn etwa ein Mangel allein das physische Gerät an sich betrifft.

Was genau sind „andere Daten“ und sollen diese als Gegenleistung anerkannt werden?

Im zweiten Themenkomplex des Arbeitsdokumentes befasst sich die Ratspräsidentschaft mit dem Begriff der „anderen Daten“ aus dem Richtlinienvorschlag zur Bereitstellung digitaler Inhalte. Einleitend wird darauf hingewiesen, dass bereits in der Vergangenheit im Rat Diskussion zum Verhältnis zwischen der vorgeschlagenen Richtlinie und der ab Mai 2018 anwendbaren Datenschutz-Grundverordnung (DSGVO) geführt wurden. Das Zusammenspiel der beiden Rechtsinstrumente sei nach Auffassung der Ratspräsidentschaft sehr komplex und habe weitere Probleme zutage gefördert, die noch näher behandelt werden müssten. Dies auch vor dem Hintergrund, da der vorgeschlagene Richtlinienentwurf neben den „anderen Daten“ auch personenbezogene Daten erwähnt und ist daher ein Unterschied zwischen beiden Datenarten zu geben scheint.

Zwar existiert bereits derzeit für gewisse Fragen ein Prüfauftrag an den juristischen Dienstes des Rates. So hat die deutsche Delegation im Rat den juristischen Dienst um eine Stellungnahme dazu gebeten, auf welcher Rechtsgrundlage der DSGVO personenbezogene Daten verarbeitet werden dürfen, wenn diese eine Gegenleistung für die Bereitstellung digitaler Inhalte darstellen, in der DSGVO jedoch in Art. 7 Abs. 4 ein Kopplungsverbot für die Einwilligung vorgesehen ist.

Auch hinsichtlich dieses Themenkomplexes, und ohne Antworten etwa des juristischen Dienstes vorgreifen zu wollen, bittet jedoch die Ratspräsidentschaft die Minister der Mitgliedstaaten um eine Vorgabe dazu, ob die Bereitstellung von „anderen Daten“ tatsächlich als eine Gegenleistung im Rahmen des Entwurfs der Richtlinie angesehen werden soll.

Die Ratspräsidentschaft erwähnt in ihrem Dokument noch einige Beispiele der „anderen Daten“, die von der Europäischen Kommission angeführt werden. So sollen zu den „anderen Daten“ zum Beispiel solche Daten gezählt werden die durch den jeweiligen Anbieter in irgend einer Form verwertet werden können, wie zum Beispiel Landschaftsbilder, Liedtexte oder auch anonymisierte Daten über Gruppen von Personen, die sich nicht auf identifizierbare einzelne Personen beziehen.

Jedoch weist die Ratspräsidentschaft darauf hin, dass sich in Diskussionen, unter anderem auch mit Experten ergeben hat, dass in den meisten Fällen solche Daten, die von dem Verbraucher zur Verfügung gestellt werden, diese auch ein Personenbezug aufweisen werden. Stellt sich da die Frage, ob es im Anwendungsbereich der vorgeschlagenen Richtlinie faktisch überhaupt „andere Daten“ geben kann.

In jedem Fall bringe die vorgeschlagene Unterscheidung im Richtlinienentwurf zwischen personenbezogenen Daten und anderen Daten Schwierigkeiten in der Praxis und damit Rechtsunsicherheit mit sich. Einige Delegationen im Rat seien daher der Auffassung, dass es einer Unterscheidung der beiden Datenkategorien nicht bedürfe. Insgesamt seien die Mitgliedstaaten im Rat aber unentschieden darüber, ob man die Kategorie der „anderen Daten“ im Richtlinienvorschlag beibehalten solle.

Auch dieser zweite Themenkomplex ist für europäische Unternehmen, die vernetzte bzw. intelligente Geräte herstellen und/oder vertreiben, von Relevanz. Denn betrachtet man etwa das Beispiel des intelligenten Autos, gibt es diesbezüglich ja durchaus auch Diskussionen über eine Unterscheidung zwischen direkt personenbezogenen Daten und solchen (rein statistischen) Daten, die keinen Personenbezug aufweisen. Hier könnte man sich also die Frage stellen, ob es sich bei letzteren Informationen um „andere Daten“ handelt und welche Regeln zukünftig für diese Daten gelten sollen.

AG Charlottenburg zu Filesharing: Anschlussinhaber nicht Störer bei Überlassung des Anschlusses an Dritte

In einem von der Kanzlei JBB Rechtsanwälte betreuten Verfahren vor dem Amtsgericht Charlottenburg, konnte die Klage gegen einen privaten Anschlussinhaber in einem sog. „Filesharing“-Verfahren erfolgreich abgewehrt werden. Das Urteil vom 21. Mai 2015 ist hier abrufbar (PDF).

In dem Verfahren ging es um das angebliche Angebot eines Filmes zum Download über den Internetanschluss des Beklagten. Der Anschlussinhaber konnte glaubhaft darlegen, dass er zur von der Klägerseite vorgetragen Tatzeit nicht zu Hause war. Seine mit ihm zusammenlebende Ehefrau, die ebenfalls Zugriff auf das mit einem Passwort gesicherte WLAN hatte, gab an, den Film nicht hochgeladen zu haben.

Das Amtsgericht sieht damit die sekundäre Darlegungslast des Beklagten im Rahmen einer möglichen Haftung als Täter einer Urheberrechtsverletzung als erfüllt an. Das Gericht führt aus:

Für die Entkräftung der Vermutung der Täterschaft ist es auch nicht erforderlich, dass die andere Person die Rechtsverletzung einräumt. Denn wenn die Möglichkeit besteht, dass eine von zwei Personen die Rechtsverletzung begangen hat, es jedoch beide bestreiten, gibt es grundsätzlich keine größere Wahrscheinlichkeit dafür, dass es trotzdem der Anschlussinhaber selbst war und nicht die andere Person. Denn bei der Vermutung der Täterschaft des Anschlussinhabers handelt es sich gerade nicht um einen Anscheinsbeweis.

Auch eine Störerhaftung des Beklagten verneint das Gericht. Für eine Störerhaftung reiche es nicht aus, dass der Beklagte den Anschluss anderen Personen zur Nutzung überlassen habe. Zwar hafte nach der Rechtsprechung des Bundesgerichtshofs der Inhaber eines ungesicherten WLAN-Anschlusses für Rechtsverletzungen als Störer, welche von seinem Anschluss aus begangen werden. Vorliegend war der Anschluss jedoch durch ein Passwort gesichert. Das Amtsgericht in seiner Begründung weiter:

zum anderen gilt dieser Grundsatz dann nicht, wenn es sich bei diesen Personen um die Ehefrau oder dem Anschlussinhaber gut bekannte Gäste handelt, bezüglich derer der Anschlussinhaber keinen Anlass hatte, davon auszugehen, dass diese Rechtsverletzungen begehen würden.

Datenschutzbehörde: Jede Webseite und Online-App benötigt eine Datenschutzerklärung

Jedem Webseitenbetreiber oder App-Anbieter dürfte heutzutage klar sein, dass zu einem rechtskonformen Angebot auch eine Datenschutzerklärung gehört. Also ein Hinweis und Informationen darüber, wie personenbezogene Daten verwendet werden. Für die Nutzung von Analysediensten oder das Angebot von Newslettern dürfte dies sofort einleuchten. Dort wird aus der Sicht des Anbieters aktiv mit personenbezogenen Daten umgegangen. Doch wie sieht es aus, wenn man „nur“ eine Webseite betreibt. Ohne Analysedienst, ohne Newsletter, ohne Bestellmöglichkeit?

Indirekt hat sich zu dieser Frage das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) (die Aufsichtsbehörde für den nicht-öffentlichen Bereich) in ihrem Tätigkeitsbericht für 2013/2014 (PDF) geäußert. Mit nicht zu unterschätzenden Folgen für die Praxis und jeden, der eine Online-App oder Internetseite betreibt.

Die allgemeine Informationspflicht im TMG
Nach § 13 Abs. 1 S. 1 TMG gehört zu der Informationspflicht eines Webseiten- oder App-Betreibers, dass er Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten … in allgemein verständlicher Form“ unterrichtet. Soweit so gut. Werden also personenbezogene Daten verarbeitet, muss hierüber unterrichtet werden.

Die Neverending Story: IP-Adresse
Nun gilt es jedoch zu beachten, dass insbesondere die Aufsichtsbehörden die IP-Adresse als personenbezogenes Datum i. S. d. § 3 Abs. 1 BDSG ansehen (hierauf verweist auch das BayLDA, S. 56). Diese Ansicht ist freilich nicht unumstritten, wird aber von den Behörden (i.Ü. auch einigen Gerichten und Ansichten in der juristischen Literatur) so vertreten. Nun muss man sich jedoch gleichzeitig vergegenwärtigen, dass die Erhebung und eventuell auch Verwendung der IP-Adresse eines Endgerätes als technische Steuerungsinformation zur Übertragung von Informationen im Internet zwischen dem Diensteanbieter und seinem Nutzer schlicht erforderlich ist. Sie dient als Ziel von Datenpaketen. Um im Netz zu kommunizieren, bedarf es also einer IP-Adresse.

Hinweise in der Datenschutzerklärung erforderlich
Man ahnt was nun folgt. Das BayLDA weist nun (konsequent) in seinem Tätigkeitsbericht darauf hin, dass sich

jeder Diensteanbieter … mit der Thematik einer Datenschutzerklärung im Internetauftritt bzw. in der mobilen (Online-)Applikation zu beschäftigen hat, selbst wenn ein Nutzer nicht aktiv Daten eingeben kann und auch keine Cookies o. ä. Verfahren genutzt werden.

Nach dem BayLDA muss daher eine Datenschutzerklärung zumindest zu der Erhebung und möglichen Verwendung der IP-Adresse (etwa einer Speicherung in den Log-Dateien) selbst dann entsprechende Informationen beinhalten, wenn ansonsten keine personenbezogenen Daten erhoben oder genutzt werden. Kurz gesagt: jede Internetseite oder (Online-)App bedarf zumindest einer „Mini-Datenschutzerklärung“ mit Blick auf die IP-Adresse.

Mögliche Folgen bei Nichtbeachtung
Was geschieht, wenn man diese Hinweise der Behörde nicht beachtet? Möglicherweise nichts. Zumindest solange eine Datenschutzbehörde auf das Fehlen der Datenschutzerklärung nicht aufmerksam (gemacht) wird. Nach dem Gesetz handelt es sich bei einem fehlenden oder aber fehlerhaften Hinweis zum Umgang mit personenbezogenen Daten jedoch grundsätzlich um eine Ordnungswidrigkeit. Das BayLDA weißt in seinem Tätigkeitsbericht darauf hin, dass gem. § 16 Abs. 2 Nr. 2 TMG eine Ordnungswidrigkeit begeht, wer entgegen § 13 Abs. 1 S. 1 oder 2 TMG den Nutzer vorsätzlich oder fahrlässig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig informiert.

Zudem besteht das theoretische Risiko, von Wettbewerbern abgemahnt zu werden. Das Oberlandesgericht Hamburg hat bereits 2013 (Az. 3 U 26/12) entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs erteilt (hierzu mein Blogbeitrag).

Fazit
Potential für eine Abmahnwelle? Ich denke nicht. Auch wenn die Auffassung des BayLDA, bei Annahme des Personenbezugs der IP-Adresse von einer Informationspflicht auszugehen, konsequent erscheint, so existieren ebenfalls veritable Gegenauffassungen, die eine IP-Adresse nicht generell als personenbezogen einstufen. Zudem hatte ich erst letzte Woche im Rahmen der Abmahnung wegen Verwendung des Like-Buttons auf Webseiten darauf hingewiesen, dass absolut datenschutzrechtlich konformes Handeln heutzutage im Internet nur schwer erreichbar ist. Dies gilt im Zweifel auch für einen abmahnenden Wettbewerber.

Unabhängig hiervon fragt man sich freilich, was diese Information am Ende dem Webseitenbesucher oder App-Nutzer an Mehrwert und mit Blick auf den Schutz personenbezogener Daten tatsächlich bringt? Die Aussage ist z. B. allein: „Die IP-Adresse wird erhoben und auf unseren Servern gespeichert, weil es aufgrund der technischen Gegebenheiten des Internets einfach nicht anders geht“. Ein Gewinn an informationeller Selbstbestimmung geht damit meines Erachtens nicht einher. Außer die Alternative, Offline zu bleiben. Datenschutz im Jahre 2015.

Abmahnung wegen Like-Button? Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht

Heute vermeldete die Verbraucherzentrale NRW, dass sie insgesamt 6 Unternehmen wegen der Verwendung des Like-Buttons von Facebook und angeblicher datenschutzrechtlicher Verstöße der Webseitenbetreiber gegen das Telemediengesetz (TMG) abgemahnt habe. Gegen Peek & Cloppenburg (Landgericht Düsseldorf) und Payback (Landgericht München) habe man inzwischen Klage eingereicht.

Was wird bemängelt?
Das wird aus den öffentlichen Informationen nicht völlig deutlich. Die Verbraucherzentrale stört sich daran, dass „schon allein durch die Einbindung des Like-Buttons“ Facebook „automatisch bei jedem bloßen Aufruf dieser Seiten“ mitlesen würde. „Darüber werden Besucher jedoch vorher weder ausdrücklich informiert noch können sie der Datenweitergabe widersprechen“.

Nach Ansicht der Verbraucherschützer stellt das Verhalten der Webseitenbetreiber

unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz

dar. Weiter führt die Verbraucherzentrale aus, dass ein „bloßer Hinweis der Anbieter in ihren Datenschutzbestimmungen, dass eine solche Weiterleitung der Daten an Facebook erfolgt“ nicht genüge. Auch den Hinweis in Datenschutzerklärungen, dass der Webseitenbetreiber „keinen Einfluss auf den Umfang der Daten hat“, sei nicht ausreichend. Die Verbraucherschützer fordern: „Notwendig ist eine echte Aufklärung über die Datensammlung und –verwertung“.

Im Kern scheint den Verbraucherschützern also die Übertragung von Daten an Facebook und Datenverarbeitungsvorgänge zu missfallen, die im Verantwortungsbereich des sozialen Netzwerkbetreibers liegen könnten. Da diesbezügliche Gerichtsverfahren in Schleswig-Holstein durch die Datenschutzbehörde jedoch bisher recht erfolglos verliefen (vgl. die Mitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zu den Beschlüssen des OVG Schleswig aus den Jahren 2013), versucht man in NRW nun wohl die Unternehmen anzugehen, die Social Plugins einsetzen.

Ich möchte hier nicht in die tiefere juristische Bewertung einsteigen. Das Thema war bereits vor ca. 4 Jahren aktuell (vgl. etwa den Blogbeitrag von Thomas Stadler, u.a. mit einem Verweis auf meinen Aufsatz in der Zeitschrift Computer und Recht). Es geht vor allem um die Frage der datenschutzrechtlichen Verantwortlichkeit der Webseitenbetreiber und die Pflicht, Informationen über eingebundene Dienste Dritter zu erteilen, obwohl man als Webseitenbetreiber für die Datenverarbeitung über diese Dienste nicht verantwortlich ist. Auch die Frage nach einer „Störerhaftung“ im Datenschutzrecht könnte insofern auftauchen (hierzu mein Aufsatz in der Kommunikation und Recht aus 2014). Diese Thematik ist derzeit unter anderem Gegenstand eines gerichtlichen Verfahrens zum Einsatz von Facebook Fanpages zwischen dem ULD und der Wirtschaftsakademie Schleswig-Holstein GmbH (vgl. die Pressemitteilung des ULD), welches derzeit vor dem Bundesverwaltungsgericht anhängig ist.

Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht
In gewisser Weise ironisch wenn nicht gar humoristische mutet jedoch folgende Tatsache an: Die Verbraucherzentrale NRW verstößt selbst gegen datenschutzrechtliche Vorgaben. Und zwar gegen eben jene Pflichten, deren Umsetzung von den Unternehmen verlangt wird.

Auf ihrer Webseite bewerben die Verbraucherschützer im Zusammenhang mit den Abmahnungen ihr Jugendportal „checked4you“. Die Verbraucherzentrale hierzu: „Einen Favoriten setzen in Sachen Datenschutz sollten sich Internetnutzer derweil bei Webseiten, die es so wie die Verbraucherzentrale NRW machen“.

Und was findet man auf dieser Webseite?

Zum einen das Analysetool Piwik. Wie dieses kostenlose Statistiktool datenschutzrechtlich konform, zumindest aus Sicht des ULD, einzusetzen ist, hat die Datenschutzbehörde 2011 in einem Gutachten dargestellt (PDF). Vor allem geht das ULD davon aus, dass auch bei einer eingeschalteten Anonymisierungsfunktion im Ergebnis nur Pseudonyme für eine statistische Auswertung erstellt werden. Dann gilt § 15 Abs. 3 TMG. Danach dürfen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellet werden, sofern der Nutzer dem nicht widerspricht. Eine Aussage in dem Gutachten hierzu:

Der Einsatz von Reichweitenanalysediensten ohne Widerspruchsmöglichkeit stellt einen Verstoß gegen § 15 Abs. 3 TMG dar. Der Einsatz des Analysedienstes ohne die angebotene Widerpruchsmöglichkeit ist datenschutzrechtlich unzulässig.

Man ahnt, was nun folgt. Die Webseite „checked4you“ der Verbrauchzentrale NRW weist zwar in einem kleinen Abschnitt „Datenschutzhinweise“ auf den Einsatz von Piwik hin. Auf die nach dem TMG einzuräumende Widerspruchsmöglichkeit (sei es nun per Browser-Plugin oder etwa durch einen Opt-out Cookie) wird zwar in Textform hingewiesen: “können Sie die Analyse durch das Statistiktool auf der folgenden Seite blockieren“. Jedoch gibt es keinen Link zu einer „folgenden Seite“, kein Hinweis auf ein Opt-out Cookie oder ähnliches. Also, der derzeitige Einsatz von Piwik auf der Webseite der Verbrauchzentrale wäre (zumindest nach Ansicht der Datenschutzbehörde aus Schleswig-Holstein) datenschutzrechtlich unzulässig. Der von der Verbraucherzentrale NRW erhobene Vorwurf könnte also genauso zurückgespielt werden: „unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz“.

Und ein weiteres Schmankerl. Bei näherem Hinsehen stellt sich heraus, dass „checked4you“ drei Cookies setzt.

cookie NRW

Wozu werden diese Cookies genutzt? Welche Informationen sind in diesen Cookies gespeichert? Etwa IP-Adressen? Oder werden zumindest Cookie-IDs erzeugt, um einen Besucher wiederzuerkennen? Mindestens in diesen beiden Fällen müssten Informationen zum Einsatz der Cookies gegeben werden. Hierzu fehlt in den Datenschutzhinweisen der Verbraucherzentrale aber jegliche Angabe. Interessant ist auch, dass ein Cookie nicht nur für eine Sitzung gesetzt wird, sondern für über 1 Jahr.

blog cookie lang

Wozu? Keine Informationen.

Fazit
Was möchte ich mit diesem Beitrag zeigen? Datenschutzrechtlich absolut konformes Handeln ist in der heutigen Zeit mit schnellen technologischen Entwicklungen, neuen Features für Webseiten und Analysediensten nur schwer möglich. Sowohl für Unternehmen, als auch für Verbraucherschützer. Eine gerichtliche Klärung der Frage des datenschutzkonformen Einsatzes von social Plugins wäre aus praktischer Sicht indes sicherlich zu begrüßen.

Update vom 22. Mai 2015:
Die Verbraucherzentrale NRW hat schnell reagiert und in den Datenschutzhinweisen auf der Webseite “checked4you” nun einen Link eingefügt, der Nutzer auf eine Webseite führt, auf der man seinen Widerspruch zur Analyse durch Piwik erklären kann.

Datenschutzreform: Wer haftet für rechtswidrige Datenverarbeitungen?

Die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) nähern sich einem wichtigen Zwischenstopp- Bei dem nächsten Treffen der Justiz- und Innenminister in Brüssel (15.16. Juni 2015), will der Rat der Europäischen Union seine gemeinsame Position zur DS-GVO verabschieden. Danach würden die Verhandlungen zwischen Kommission, Parlament und dem Rat beginnen.

Dies bedeutet gleichzeitig auch noch einmal Hochbetrieb bei den Delegationen der Mitgliedstaaten im Rat, um letzte Vorschläge für Textänderungen einzubringen.

Auch die deutsche Delegation erhöht noch einmal die Schlagzahl. In einem Dokument vom 21. April 2015 (PDF) schlägt Deutschland Anpassungen bei der Frage vor, wer unter welchen Umständen für Verstöße gegen die Vorgaben der DS-GVO haftet. Deutschland geht es, aufgrund der hohen praktischen Relevanz dieses Themas, vor allem darum, klare und verständliche Vorgaben für Unternehmen, Behörden und auch Betroffene zu schaffen.

Immaterieller Schaden

Die deutsche Delegation schlägt eine Anpassung des Artikels 77 der DS-GVO dergestalt vor, dass zunächst klar geregelt wird, dass Schadenersatzansprüche von Betroffenen sowohl materielle als auch immaterielle Schadenspositionen umfassen. Dieser Vorschlag wird vor allem das Parlament freuen, da auch dessen Position eine solche Klarstellung vorsieht. Gerade bei einem möglichen immateriellen Schaden wird sich das praktische Problem der Beweisbarkeit stellen. Wer muss also den Schaden nachweisen? Nach Ansicht der EU-Kommission obliegt es dem Betroffenen zu beweisen, dass ein materieller oder auch immaterieller Schaden vorliegt (vgl. in diesem Dokument mit einer Gegenüberstellung der Positionen aus Kommission, Parlament und Rat, S. 564, Fn. 426, PDF).

Grundsatz: Haftung des für die Verarbeitung Verantwortlichen
Nach dem Vorschlag der deutschen Delegation soll grundsätzlich der für die Verarbeitung Verantwortliche für Rechtsverstöße gegen die DS-GVO haften. Wie bereits von Kommission und auch Parlament vorgeschlagen, soll der für die Verarbeitung Verantwortliche jedoch die Möglichkeit der Exkulpation besitzen. Er kann also nachweisen, dass der entstandene Schaden nicht aufgrund seines Fehlverhaltens entstanden ist.

Haftung des Auftragsdatenverarbeiters
Ein Auftragsdatenverarbeiter soll nur dann haften, wenn er gegen direkt an ihn gerichtete Pflichten aus der DS-GVO verstoßen hat oder aber wenn er entgegen den Anweisungen des für die Verarbeitung Verantwortlichen gehandelt hat. Auch der Auftragsdatenverarbeiter hat in diesen Fällen die Möglichkeit nachzuweisen, dass der Schaden nicht auf seinem Fehlverhalten beruht. Der deutschen Delegation geht es vor allem darum, dass der für die Verarbeitung Verantwortliche sich nicht einer Haftung entziehen kann, nur weil er einen Dienstleister als Auftragsdatenverarbeiter einsetzt.

Gemeinsame Verantwortlichkeiten
Sollte die Situation eintreten, dass mehrere Verantwortliche eine Datenverarbeitung durchführen oder auch mehrere Auftragsdatenverarbeiter gemeinsam handeln, gegen Pflichten aus der DS-GVO verstoßen, die konkret sie betreffen und sie sich nicht exkulpieren können, dann sind die gemeinsam handelnden für die Verarbeitung Verantwortlichen als auch die gemeinsam handelnden Auftragsdatenverarbeiter sowohl gemeinsam als auch jeder einzeln für den entstandenen Schaden verantwortlich.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld “An…” versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Referentenentwurf des BMWi: Haftung von Host-Providern soll verschärft werden

Heute hat das Bundeswirtschaftsministerium den Referentenentwurf für ein Gesetz Änderung des Telemediengesetzes (TMG) veröffentlicht (PDF). Dabei geht es vor allem um den Versuch, die Störerhaftung beim öffentlichen Betrieb von WLANs zu regeln. Diesbezüglich hat der Entwurf sehr deutliche Kritik erfahren, u.a. im Blog bei dem Kollegen Thomas Stadler (Verschlimmbesserung: Der Gesetzesentwurf zur Störerhaftung von W-LAN-Betreibern) oder auf LTO durch den Kollegen Härting.

Der Referentenentwurf befasst sich jedoch nicht nur allein mit einer Anpassung des § 8 TMG und der Frage, welcher Anbieter wann für Rechtsverletzung haftet, die über den Zugang eines freien WLANs begangen werden, sondern geht darüber hinaus. Auch § 10 TMG (der die Haftungsprivilegierung für die Speicherung von fremden Informationen, also die typischen „Cloud“-Konstellationen, regelt) soll angepasst werden. Nach § 10 TMG sind Diensteanbieter, wie etwa Hosting-Anbieter, für fremde Informationen, die sie für einen Nutzer speichern nicht verantwortlich, sofern sie keine Kenntnis von der rechtswidrigen Handlung oder der Information haben. Im Falle von Schadenersatzansprüchen müssen dem Anbieter Tatsachen oder Umstände bekannt sein, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird. Vorgeschlagen wird nun die Schaffung eines neuen § 10 Abs. 2 TMG-E mit folgendem Wortlaut:

(2) Die Kenntnis von Tatsachen oder Umständen nach Absatz 1, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird, wird vermutet, wenn es sich bei dem angebotenen Dienst um einen besonders gefahrgeneigten Dienst handelt. Ein besonders gefahrgeneigter Dienst liegt in der Regel dann vor, wenn:

a) die Speicherung oder Verwendung der weit überwiegenden Zahl der gespeicherten Informationen rechtswidrig erfolgt oder

b) der Diensteanbieter durch eigene Maßnahmen gezielt die Gefahr einer rechtsverletzenden Nutzung fördert oder

c) in vom Diensteanbieter veranlassten Werbeauftritten mit der Nichtverfolgbarkeit bei Rechtsverstößen geworben wird oder

d) keine Möglichkeit besteht, rechtswidrige Inhalte durch den Berechtigten entfernen zu lassen.

Der Gedanke hinter der Neuregelung nach der Gesetzesbegründung:

Bei bestimmten Diensten kann nach der allgemeinen Lebenserfahrung davon ausgegangen werden, dass dem Diensteanbieter ausreichend viele Tatsachen oder Informationen bekannt sind, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird.

Bestimmte Fallkonstellationen, in denen aus Sicht des Gesetzgebers die Vermutung besteht, dass der Diensteanbieter eine entsprechende Kenntnis besitzt, sollen nun im § 10 Abs. 2 TMG-E festgeschrieben werden. Es geht im Prinzip also um eine gesetzliche Vermutung für eine Haftung des Hosting-Providers. Diese gesetzliche Vermutung (§ 292 ZPO) müsste im Fall des Falles der Anbieter dann entkräften können, indem er etwa beweist, dass er keine Kenntnis hatte. Dem Grundsatz möchte die Bundesregierung aber festlegen, dass Hosting-Anbieter, bei denen eine der oben aufgezählten Voraussetzungen (a) bis b)) vorliegt, für auf ihrer Plattform gespeicherte rechtswidrige Informationen haften. Die derzeit geltende Vermutung (keine Haftung für fremde Inhalte) soll also, zumindest für bestimmte Fälle um 180 Grad gedreht werden.

IT-Sicherheitsgesetz: Bundesrat übt Kritik und sieht Gefahr der Vorratsdatenspeicherung

Im Dezember 2014 hat die Bundesregierung den Entwurf für das sog. IT-Sicherheitsgesetz beschlossen. Der Gesetzesentwurf (PDF) sieht vor allem Änderungen im BSI-Gesetz vor und möchte den Betreibern „kritischer Infrastrukturen“ gewisse Pflichten zum Schutz der informationstechnischen Systeme auferlegen. In diesem Zuge werden jedoch auch Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) geändert. Zu den möglichen Änderungen für Webseitenbetreiber hatte ich bereits einen Beitrag geschrieben.

Nun hat der für das IT-Sicherheitsgesetz im Bundesrat federführend zuständige Ausschuss für Innere Angelegenheiten seine Empfehlungen zu möglichen Anpassungen des Gesetzesentwurfs vorgelegt (PDF).

Präzisierung für mehr Rechtssicherheit
Laut der Beschlussempfehlung begrüßt der Bundesrat die „Initiative der Bundesregierung zur Verbesserung der IT-Sicherheit von Unternehmen und zum verstärkten Schutz der Bürgerinnen und Bürger im Internet“. Jedoch sieht die Empfehlung des Ausschusses auch vor, dass der Bundesrat im weiteren Gesetzgebungsverfahren dafür Sorge tragen soll, dass zur Schaffung von Planungs- und auch Rechtssicherheit eine weitere Konkretisierung von unbestimmten Rechtsbegriffen erfolgt. Laut der Empfehlung gilt dies vor allem für die Begriffe „Kritische Infrastrukturen“, die Definition der Meldeschwelle für Telekommunikationsunternehmen und den Begriff „Stand der Technik“. Gerade eine Einstufung als Betreiber einer kritischen Infrastruktur könne nämlich gravierend wirtschaftliche Folgen nach sich ziehen.

Regelungen zum Schutz der Meldedaten

Zudem sieht die Empfehlung vor, dass der Bundesrat darauf achten möge, „dass eindeutige und transparente Regelungen getroffen werden, die einen angemessenen Schutz und eine sinnvolle Verwendung der umfangreichen Datenmengen sicherstellen“, die das BSI aufgrund der vorgesehenen Meldepflicht erhält. Laut der vorgeschlagenen Begründung des Ausschusses zu seiner Empfehlung beantwortet der Gesetzentwurf nicht die Frage, wie das BSI mit diesen Datenmengen in Zukunft umgehen will.

Gefahr der Vorratsdatenspeicherung
Nach dem im Gesetzentwurf vorgeschlagenen § 100 Abs. 1 TKG-E sollen Telekommunikationsanbieter die gesetzliche Erlaubnis erhalten, Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots genutzten technischen Einrichtungen“ zu erheben und zu verwenden. Der federführende Ausschuss ist hier in seiner Empfehlung klar:

Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben.

(Hervorhebung durch mich)

Der Ausschuss erkennt in dieser Möglichkeit der Speicherung von Nutzungsdaten jedoch keine Verbesserung der Informationssicherheit. Vielmehr geht er davon aus, dass die Speicherung

zu einer weiteren Gefahrenquelle werden

könnte.