Nach weltweiter Prüfung: Auch deutsche Datenschützer stellen rechtliche Mängel bei Apps fest

Im Rahmen des „Privacy Sweep 2014“ haben Datenschutzbehörden auf der ganzen Welt in der Woche vom 12. bis 18. Mai 2014 Apps und deren Anbieter datenschutzrechtlich überprüft.

In Deutschland nahm u. a. der Landesdatenschutzbeauftragte aus Baden-Württemberg an der koordinierten Aktion teil und prüfte Apps die in Baden-Württemberg entwickelt wurden oder deren Anbieter dort ansässig sind.

Laut der offiziellen Pressemitteilung (PDF) des Landesdatenschützers wurde dabei festgestellt, „dass die meisten Apps die notwendige Transparenz im Umgang mit personenbezogenen Daten vermissen ließen“. Kritikpunkt ist vor allem das Fehlen einer Datenschutzerklärung, aus der für die Nutzer hervorgehen muss, welche Daten zur Nutzung des Dienstes erforderlich sind und verarbeitet werden.

App-Anbieter haben in Deutschland vor allem die datenschutzrechtlichen Vorgaben des Telemediengesetzes (TMG) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. Bereits vor einem Jahr hatte das bayerische Landesamt für Datenschutz eine Prüfung von Apps und deren Betreibern durchgeführt und teils erhebliche rechtliche Mängel festgestellt (hierzu mein Beitrag). Die Pflicht eine Datenschutzerklärung vorzuhalten, ergibt sich für App-Betreiber aus § 13 Abs. 1 TMG. Auch der Zusammenschluss der europäischen Datenschutzbehörden (Art. 29 Gruppe) hatte in einer Stellungnahme aus dem Jahre 2013 (WP 202, PDF) auf die rechtliche Pflicht zur Information der App-Nutzer durch den Betreiber hingewiesen, bevor dieser Informationen auf dem Smartphone des Nutzers speichert oder auf dieses über die App zugreift.

Für Betreiber von Apps dürfte zudem interessant sein, dass der baden-württembergische Landesdatenschutzbeauftragte angekündigt hat, in Zukunft derartige Kontrollaktionen gerne wiederholen zu wollen. Angesichts der durchgeführten Prüfaktionen der Behörden in Deutschland (und der Gefahr, bei datenschutzrechtlichen Verstößen gemäß § 16 Abs. 2 TMG eine Ordnungswidrigkeit zu begehen, die nach § 16 Abs. 3 TMG mit einem Bußgeld bis zu 50.000€ geahndet werden kann) sollten App-Betreiber stets die Konformität ihrer Datenschutzerklärung prüfen bzw. eine solche für ihre Dienste erstellen.

Update vom 27.5.2014:

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat an der diesjährigen Prüfaktion von Apps teilgenommen. Laut der Pressemitteilung wurden 15 internationale iOS und Android-Apps sowie 15 bayerische iOS und Android-Apss untersucht. Bei der Prüfung wurden „erhebliche Mängel beim Datenschutz“ festgestellt. Thomas Kranig, Präsident des BayLDA, stellt fest, dass „die schlechte datenschutzrechtliche Bewertung insbesondere der bayerischen iOS-Apps zeigt, dass die datenschutzrechtlichen Anforderungen durch bayerische App-Anbieter nicht ausreichend wahrgenommen werden„. Wie auch sein baden-württembergischer Kollege zieht Kranig für die zukünftige Arbeit seiner Behörde hieraus den Schluss, dass „nach dieser eher allgemeinen Prüfung eine noch intensivere Prüfung von Apps nach den Maßstäben deutscher Datenschutzgesetze und eine Ahndung von Verstößen notwendig ist„.

 

 

Europäische Datenschutzbehörden zur Benachrichtigungspflicht bei Datenschutzverletzungen

Wer ist zu benachrichtigen, wenn unberechtigterweise auf personenbezogene Daten zugegriffen wird? Wann sind nicht nur die jeweils zuständige Datenschutzbehörde, sondern auch die Betroffenen selbst zu informieren?

Die Art. 29 Datenschutzgruppe (der Zusammenschluss der europäischen Datenschutzbehörden) hat sich in ihrer neuesten Stellungnahme (WP 213, PDF) einer Erläuterung der Pflichten von datenverarbeitenden Stellen angenommen, die jeweiligen Datenschutzbehörden und eventuell auch die Betroffenen zu informieren, wenn der Schutz personenbezogener Daten verletzt wird („data breach notification“).

Europarechtliche Grundlage der Benachrichtigungspflicht ist Art. 4 Abs. 3 (RL 2002/58/EG, in ihrer Fassung durch RL 2009/136/EG, Datenschutzrichtlinie für die elektronische Kommunikation). Danach hat der Betreiber von öffentlich zugänglichen elektronischen Kommunikationsdiensten, im Fall einer Verletzung des Schutzes personenbezogener Daten, die zuständige nationale Behörde von der Verletzung unverzüglich zu benachrichtigen. Art. 2 lit. i) RL 2002/58/EG definiert die Verletzung des Schutzes personenbezogener Daten als

eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur
Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden.

Für Unternehmen von besonderer Bedeutung ist zudem, welche Informationen der Behörde mitgeteilt werden müssen. Die Anforderungen hieran finden sich in der Verordnung 2013/611/EG (PDF).

Die Art. 29 Datenschutzgruppe geht in ihrer Stellungnahme auf die verschiedenen Problembereiche rund um eine Benachrichtigungspflicht ein.

Für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste besteht bei einer Verletzung des Schutzes personenbezogener Daten eine Mitteilungspflicht an die Datenschutzbehörde. Eine Ausnahme ist nicht vorgesehen. Sie hat grundsätzlich innerhalb von 24 Stunden zu erfolgen, Art. 2 Abs. 2 Verordnung 2013/611/EG. Diese 24 Stunden Frist verlängert sich auf eine 72 Stunden Frist, wenn der Betreiber innerhalb der 24 Stunden nicht alle für die Meldung erforderlichen Informationen bereitstellen kann. Dann ist innerhalb der ersten 24 Stunden eine „Erstbenachrichtigung“ an die Behörde ausreichend, Art. 2 Abs. 3 Verordnung 611/2013/EG. Nach dieser Erstbenachrichtigung beginnen die weiteren 72 Stunden, in denen der Betreiber die restlichen Informationen sammeln kann.

Etwas anders stellt sich die Situation in Bezug auf die Benachrichtigung der Betroffenen dar. Diese ist nach Art. 4 Abs. 1 RL 2002/58/EG nur vorzunehmen, wenn „durch die Verletzung personenbezogener Daten die personenbezogenen Daten, oder Teilnehmer oder Personen in ihrer Privatsphäre, beeinträchtigt werden“. Die Art. 29 Datenschutzgruppe geht in ihrer Stellungnahme auf einige Beispiele ein, wann der Fall einer solchen „Beeinträchtigung“ vorliegt.

Von dieser Benachrichtigungspflicht der Betroffenen besteht jedoch erneut eine Rückausnahme für die Betreiber, wenn er nämlich nach Art. 4 Abs. 3 RL 2002/58/EG

zur Zufriedenheit der zuständigen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden.

Insbesondere erwähnt die Richtlinie eine Verschlüsselung der Daten. Die Art. 29 Datenschutzgruppe weist darauf hin, dass freilich auch bei einer ausreichenden Verschlüsselung der Daten die Behörde zu benachrichtigen ist. Wenn jedoch die Vertraulichkeit des Schlüssels gewährleistet ist, dann gehen die Datenschützer davon aus, dass eine „Beeinträchtigung“ der Betroffenen nicht vorliegt und diese daher nicht benachrichtigt werden müssen. Selbst jedoch bei tauglicher Verschlüsselung kann eine Benachrichtigungspflicht an die Betroffenen entstehen. Dann nämlich, wenn etwa ein Verlust von Daten negative Auswirkungen haben kann (z. B. wenn der Betreiber keine Sicherheitskopien bereithält).

Die Art. 29 Datenschutzgruppe ist daher der Auffassung, dass es für die Verantwortlichen von entscheidender Bedeutung ist, vorausschauend zu planen und zu handeln. Sie weist zudem auf die Pflicht für Betreiber zur Ergreifung geeigneter technischer und organisatorischer Maßnahmen hin, Art. 4 Abs. 1 RL 2002/58/EG (siehe auch Art. 17 der RL 95/46/EG, PDF). Eine Erfüllung dieser Sicherheitspflichten wird auch dazu führen, dass die Gefahr der Verletzung des Schutzes personenbezogener Daten verringert wird, wie auch eine mögliche negative Folge für die Betroffenen, sollte dieser Fall dennoch eintreten.

Insgesamt dürfte die neue Stellungnahme der europäischen Datenschützer eine willkommene Handreichung für Datenschutzpraktiker darstellen, da sie sowohl abstrakt als auch konkret einzelne (evtl. unklare) Problembereiche in Bezug auf die Benachrichtigungspflichten anspricht und die Sichtweise der Behörden erläutert.

Bundesregierung zu Redtube: Gutes Maß an Rechtssicherheit erreicht.

Die Bundesregierung hat auf eine kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN zum Thema „Klarheit für Verbraucherinnen und Verbraucher im Zusammenhang mit den Redtube-Abmahnungen“ (BT-Drs. 18/751, PDF) geantwortet. In einer ersten Antwort auf eine kleine Anfrage der DIE LINKE hatte die Bundesregierung zu den Redtube-Abmahnungen ausgeführt, dass aus ihrer Sicht die „Vervielfältigung, die bei Betrachten eines Videostreams erfolgt, unter den Voraussetzungen des § 53 Abs. 1 UrhG (so genannte Privatkopie-Schranke) zulässig“ sei (BT-Drs. 18/246).

Da jedoch zum Tatbestand des § 53 Abs. 1 UrhG auch die Voraussetzung erfüllt sein muss, dass „zur Vervielfältigung keine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Vorlage verwendet“ wird, obliegt es den Nutzern zu beurteilen, ob es sich um eine solche Vorlage handelt. Die Fragesteller sehen hierin eine Rechtsunsicherheit für Verbraucher, da es für diese als juristische Laien kaum zu beurteilen sei, ob die Vorlage entweder offensichtlich rechtswidrig hergestellt oder aber offensichtlich rechtswidrig öffentlich zugänglich gemacht worden ist. Daher erbeten die Grünen u. a. eine Antwort darauf, ob die Bundesregierung hier gesetzgeberischen Handlungsbedarf sieht.

In der Öffentlichkeit wurde in Bezug auf die Redtube-Verfahren unter anderem auch darüber diskutiert, inwieweit es den beteiligten Richtern am LG Köln an technischer Expertise gemangelt haben könnte, um ein vorgelegtes Gutachten richtig beurteilen zu können. Die Bundesregierung geht in ihrer Antwort davon aus, dass

der hier angesprochene Sachverhalt […] nicht den Schluss zu[lässt], dass deutsche Gerichte mit den in technischer Hinsicht aufgeworfenen Fragen überfordert seien.

Hinsichtlich der Voraussetzungen des § 53 Abs. 1 UrhG, insbesondere in Bezug auf den oben beschrieben Halbsatz, weißt die Bundesregierung auf die Gesetzgebungsgeschichte der Vorschrift hin und führt aus:

Zugleich sollte aber mit dieser Einschränkung auch der Verbraucher geschützt werden. Er sollte nicht mit unerfüllbaren Prüfpflichten belastet werden. Denn die Einschränkung des letzten Halbsatzes ist so formuliert, dass es im Streitfall dem Rechtsinhaber – und nicht dem Verbraucher – obliegt zu beweisen, dass die Vorlage offensichtlich rechtswidrig hergestellt oder offensichtlich unerlaubt öffentlich zugänglich gemacht worden ist.

Auch geht die Bundesregierung jedoch davon aus, dass man diesbezüglich auf den jeweiligen Verbraucher und seinen individuellen Bildungs- und Kenntnisstand abstellen müsse. Für diesen müsse erkennbar sein, dass die Vorlage eine offensichtliche rechtswidrige Quelle war. Konkreter müssten nach der Bundesregierung hierbei die für den Verbraucher erkennbaren Gesamtumstände des Angebots berücksichtigt werden. Wann ein, aus der Sicht des jeweiligen Verbrauchers, legales Angebot vorliegt, hängt daher vom Einzelfall ab.

Allein das Vorhandensein eines Rechtsverletzungsmanagements zur Durchführung des sog. Notice-and-Take-Down-Verfahrens lässt daher noch nicht auf ein legales Angebot schließen, wenn alle anderen Umstände eine offensichtlich unerlaubt zugänglich gemachte Vorlage erkennen lassen.

Jedoch erklärt die Bundesregierung auch, dass eine Pflicht zu aktiven Nachforschungen durch den Verbraucher nicht besteht. Daher sei die geltende Rechtslageaus Sicht der Bundesregierung bereits verbraucherfreundlich ausgestaltet. Eine rechtssichere Klarstellung könne jedoch nur auf europäischer Ebene erfolgen.
Zuletzt merkt die Bundesregierung an, dass das LG Köln den Beschwerden gegen die zunächst ergangenen Beschlüsse zur Auskunft über die Anschlussinhaber stattgegeben habe. Damit habe das Gericht die Auffassung der Bundesregierung bestätigt.

Damit ist bereits ein gutes Maß an Rechtssicherheit erreicht.

Bundesrat möchte Datenhehlerei unter Strafe stellen

In seiner heutigen Sitzung hat der Deutsche Bundesrat einen Gesetzesentwurf zur Einführung des Straftatbestandes der Datenhehlerei beschlossen (BR-Drs. 70/14). Der Gesetzentwurf wurde bereits einmal im Jahre 2013 über den Bundesrat in den Bundestag eingebracht, fiel dann aber aufgrund der Wahlen dem Grundsatz der Diskontinuität zum Opfer (hier der Gesetzentwurf: BR-Drs. 284/13 (B)).

Eingeführt werden soll ein neuer § 202d StGB „Datenhehlerei“. Ziel des Entwurfes ist es, Strafbarkeitslücken beim Handel mit rechtswidrig erlangten Daten zu schließen. Mit einer Freiheitsstrafe von immerhin bis zu 5 Jahren oder Geldstrafe soll nach § 202d Abs. 1 StGB-E bestraft werden,

Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder
sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen

Der Gesetzentwurf enthält jedoch insoweit eine Einschränkung, als dass von der Regelung nur die Daten, an deren Nichtweiterverwendung ein schutzwürdiges Interesse besteht und die nicht aus allgemein zugänglichen Quellen entnommen werden können, erfasst werden sollen. Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen, sollen nicht vom Tatbestand der Datenhehlerei erfasst werden. Hierdurch soll ausdrücklich klargestellt werden, dass Amtsträger oder deren Beauftragte beim Ankauf von Datenmaterial zur ausschließlichen Verwendung in einem Besteuerungsverfahren (Stichwort: Steuerdaten-CD), einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren nicht mit Strafe bedroht werden dürfen. Ausdrücklich wird in § 202d Abs. 4 StGB-E auch der Versuch der Datenhehlerei unter Strafe gestellt.

Zudem soll durch den Gesetzentwurf die Strafprozessordnung (StPO) in der Art angepasst werden, dass den Strafverfolgungsbehörden im Rahmen der Untersuchung und Verfolgung einer Datenhehlerei als notwendige Ermittlungsmaßnahmen ohne Wissen der Betroffenen die Überwachung und Aufzeichnung der Telekommunikation (§ 100a StPO) und das Abhören und Aufzeichnen des in einer Wohnung nichtöffentlich gesprochenen Wortes mit technischen Mitteln (§ 100c StPO) zur Verfügung stehen.

Der Gesetzentwurf wird nun der Bundesregierung zugeleitet, die diesen in den Bundestag einbringt. Hierbei können sich freilich noch Änderungen an dem vorgeschlagenen Gesetzestext ergeben und es bleibt abzuwarten, wie sich die endgültige Fassung darstellen wird.

LG Saarbrücken: Todesanzeigen im Internet sind erlaubt

Das Landgericht (LG) Saarbrücken hat mit Urteil vom 14.02.2014 (Az.: 13 S 4/14, derzeit noch nicht online abrufbar) entschieden, dass eine Internetseite mit „virtuellen Grabstätten“ nicht gegen das Datenschutzrecht und das postmortale Persönlichkeitsrecht der verstorbenen Person verstößt, wenn die Daten der Todesanzeige aus allgemein zugänglichen Quellen entnommen wurden. Es wies damit die Berufung des Betreibers der entsprechenden Internetseite gegen ein Urteil des Amtsgerichts (AG) Saarlouis (Az. 29 C 1892/12 (16)) teilweise zurück. In Bezug auf Kommentare unter der entsprechenden Todesanzeige, welche die Witwe des Verstorbenen in ihren Rechten verletzten, änderte das LG das erstinstanzliche Urteil jedoch nur ab (und bestätigte damit im Prinzip insoweit die Ansicht des AG).

Dieser, zugegebenermaßen etwas ungewöhnliche Fall, zeigt deutlich, dass nicht notwendigerweise jeder Umgang mit personenbezogenen Daten verboten sein muss. Zudem beleuchtet er, wenn auch nur in einem Nebensatz, die Frage, inwieweit sich eigentlich Verstorbene, bzw. deren Angehörige, auf den Schutz personenbezogener Daten berufen können.

Sachverhalt
Auf einer Internetseite veröffentlichte der Beklagte eine Todesanzeige unter vollständiger Nennung von Vor- und Zunamen, Geburts- und Sterbedatum, Wohnort, Berufsbezeichnung und letzter Ruhestätte des Verstorbenen. Diese Daten waren bereits in Sterbeanzeigen, die u. a. die Witwe selbst aufgegeben hatte, enthalten. Zudem war es Dritten möglich, Kondolenzeinträge (also im Prinzip Kommentare) zu verfassen. Diese Chance nutzte auch eine Dame um mehr oder minder direkt zum Ausdruck zu bringen, dass sie die Geliebte des Verstorbenen gewesen sei. In einem separaten Verfahren wurde sie daraufhin verurteilt, Veröffentlichungen dieser Art zu unterlassen. In erster Instanz erkannte der Beklagte bereits die begehrte Löschung dieser sieben Kondolenzeinträge der Dame an.

Entscheidung
Das LG sah die Verarbeitung der personenbezogenen Daten des Verstorbenen zum Zwecke der Darstellung in der Todesanzeige als rechtmäßig an. Dieser Löschungsanspruch ergebe sich weder aus § 35 Abs. 2 S. 2 Nr. 1 BDSG noch aus dem postmortalen Persönlichkeitsrechts ihres verstorbenen Ehemannes oder ihren eigenen Rechten (§ 1004 Abs. 1 S. 1 BGB analog). Ich möchte mich hier auf einige datenschutzrechtliche Gesichtspunkte der Entscheidung beschränken.

Zum einen tendiert das LG bereits dazu, personenbezogene Daten Verstorbener nicht in den Schutzbereich des BDSG aufzunehmen. Doch selbst wenn diese Schutz genießen würden, so würde die Datenverarbeitung doch rechtmäßig erfolgen.
Ob Daten Verstorbener vom BDSG geschützt werden ist zumindest nicht unumstritten. Gegen eine Einbeziehung könnte jedoch sprechen, dass Rechte der Betroffenen (wie etwa dasjenige auf Löschung oder Auskunft) gerade eine lebende Person voraussetzen. Ein weiteres Argument gegen die Erstreckung des Schutzes auf Verstorbene könnte zudem sein, dass das Bundesverfassungsgericht davon ausgeht, dass das allgemeine Persönlichkeitsrecht mit dem Tod des Betroffenen erlischt. Das Recht auf informationelle Selbstbestimmung, welches als Grundlage des Schutzes personenbezogener Daten dient, ist jedoch nur ein besonderer Teil dieses allgemeinen Persönlichkeitsrechts und erlischt dann folgerichtig ebenso. Schutzlos steht das Ansehen der Verstorbenen (und so mittelbar auch der Umgang mit ihren Daten) damit jedoch nicht. Denn das Bundesverfassungsgericht geht ebenso davon aus, dass der Schutz der Menschenwürde (Art. 1 Abs. 1 GG) nicht mit dem Tode endet (vgl. etwa Az.: 1 BvR 435/68).

Nach dem LG sei jedoch die Speicherung und Veröffentlichung der Todesanzeige rechtmäßig, da sich der Betreiber auf den Erlaubnistatbestand des § 29 Abs. 1 Nr. 2 BDSG berufen könne. Danach ist das geschäftsmäßige Erheben, Speichern und Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
Vorliegend waren die Daten allgemein zugänglich, da die Witwe bereits selbst Todesanzeigen veröffentlicht hatte. Die Verarbeitung wäre nur dann unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle „offensichtlich überwiegt“. Eine umfangreiche Einzelfallprüfung der widerstreitenden Interessen durch den Beklagten war daher nicht erforderlich. Die erleichterten Voraussetzungen der Datenverarbeitung werden vor allem als ein Ausfluss des Grundrechts der Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG angesehen. Das LG führt weiter aus, dass vorliegend eine Abwägung nur mit dem postmortalen Persönlichkeitsrechts des Verstorbenen in Betracht käme, da (entsprechend der oben erwähnten Ansicht des Bundesverfassungsgerichts) das Recht auf informationelle Selbstbestimmung mit dessen Tode erloschen sei. Die hier zu beurteilende Todesanzeige verletze den Verstorbenen jedoch nicht in seinem geschützten Achtungsanspruch. Denn es handele sich um wertneutrale Daten, ohne wertenden Bezug zur Persönlichkeit. Auch „dass die Daten durch eine Veröffentlichung im Internet einer breiteren Öffentlichkeit zugänglich gemacht und möglicherweise auch dauerhaft verfügbar gehalten werden, ändert an dieser Bewertung im Grundsatz nichts“.

LG Wiesbaden: Domaininhaber ist nicht zwingend Diensteanbieter

Mit Urteil vom 18.10.2013 (Az. 1 O 159/13) hat das Landgericht Wiesbaden u. a. entschieden, dass der Inhaber einer Domain und auch der Admin-C nicht zwingend mit dem Diensteanbieter i. S. d. § 2 Abs. 1 Nr. 1 TMG gleichzusetzen sind.

Der Sachverhalt

Die Kläger machten sowohl vertragliche als auch deliktische Ansprüche wegen der Nichterfüllung eines Reisevertrags geltend. Sie buchten über eine Internetseite eine Reise, wobei der vollständige Reisepreis erst zu spät bezhalt wurde und die Reise dann nicht angetreten werden konnte. Die Kläger verlangten nun zum einen den Reisepreis und Schadenersatz für vertane Urlaubszeit, da sich ihrer Ansicht nach aus der fehlenden Zahlung ohne vorherige Mahnung kein Kündigungsrecht ableiten ließe und infolgedessen ihnen die Reise zu Unrecht verweigert worden sei. Daher verklagten sie zunächst das im Impressum auf der Webseite angegeben Unternehmen. An der dortigen Adresse konnte die Klage jedoch nicht zugestellt werden. Die Kläger berichtigten sodann die Beklagtenpartei in ihrer Klage, nachdem sie über eine Anfrage bei der DENIC eG den Namen und die Anschrift der dort als Domaininhaberin und administrative Ansprechpartnerin eingetragenen Dame herausgefunden hatten. Diese verteidigte sich damit, dass sie lediglich Webmasterin im Dienstleistungsauftrag sei und die nur Webseite aufgebaut und gewartet habe.

Die Entscheidung

Ich möchte hier nur die Ausführungen des Gerichts im Zusammenhang mit § 5 TMG wiedergeben. Das LG lehnte daneben aber sowohl einen Vertragsschluss mit der Webmasterin als auch einen Schadenersatzanspruch wegen einer Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 17 HGB ab.

Die Kläger stützten ihren Schadenersatzanspruch auch auf eine Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 5 TMG, also wegen Verstößen gegen die Impressumspflicht. Das LG erkannte auch in der Tat solche Verstöße. Jedoch war die Webmasterin hier nicht der von § 5 Abs. 1 TMG in Bezug genommene „Diensteanbieter“, den die Impressums- und Informationspflichten treffen. Der „Diensteanbieter“ ist in § 2 Abs. 1 Nr. 1 TMG legaldefiniert. Danach muss die betreffende Person die „Nutzung“ von Telemedien ermöglichen und nach Außen als Erbringer von Diensten auftreten. Wie jedoch lediglich die „Bereitstellung“ ermöglicht wird, ist unbeachtlich. Das LG führt aus, dass als Diensteanbieter regelmäßig der Homepage-Inhaber anzusehen sein wird. Auf die alleinige Inhaberschaft einer Domain lässt sich die telemedienrechtliche Verantwortlichkeit aber nicht stützen. Die Inhaberschaft der Webseite, also des abrufbaren Inhalts an sich, ist nämlich von der Inhaberschaft der Domain und auch von der Stellung als Admin-C zu unterscheiden. Ein zwingender Schluss, dass die unter einer Domain nutzbaren Telemedien tatsächlich vom Domaininhaber und Admin-C angeboten werden, dürfe nicht gezogen werden. Insbesondere fehle es am erforderlichen Auftritt nach außen i.S.d. Definition des Diensteanbieters.

Dieses Ergebnis rechtfertige sich auch vor dem Hintergrund, dass der Abruf der Webseite grundsätzlich auch ohne die Kenntnis und Eingabe des Domainnamens möglich sei, auch wenn dies in der Praxis kaum vorkommen werde. Denn der Abruf erfolgt nicht über den Domeinnamen, sondern durch die diesem Namen zugeordnete IP-Adresse. Das LG weist auch darauf hin, dass dieses Ergebnis mit Sinn und Zweck des § 5 TMG in Einklang steht, da sich die Impressumspflicht parallel zu den presserechtlichen Impressumspflichten verhält, die sich an den Betreiber des Presseorgans richten.

Eine solche Stellung wird weder durch die Domaininhaberschaft, d.h. durch das Recht an der Domain, noch durch die Eigenschaft als Admin-C, d.h. als technischer Ansprechpartner der DENIC eG, vermittelt.

Zuletzt befasste sich das Gericht noch mit dem Schutzgesetzcharakter des § 5 TMG, auch wenn es darauf nicht mehr entscheidungsehrblich ankam. Selbst wenn man § 5 TMG als Schutzgesetz ansehen würde, so bestünden nach Auffassung der Kammer jedenfalls Zweifel, ob der vorliegend geltend gemachte Schaden in den sachlichen Schutzbereich der Norm fällt. Zwar sollen die Informationen, welche über die Impressumspflicht öffentlich gemacht werden müssen, gerade dazu dienen, Betroffenen die effektive Geltendmachung ihrer Rechte zu ermöglichen. Nach Ansicht des LG erschiene es aber zu weitgehend, eine auf § 5 TMG beruhende, deliktische Haftung für die Verletzung von Pflichten aus vertraglichen Schuldverhältnisse, welche mittels des betreffenden Telemediums eingegangen wurden, zu statuieren. Ein solcher deliktischer Schadensersatzanspruch hätte nach Ansicht des Gerichts wohl nur in der Situation eigenständige Bedeutung, wenn der nicht impressumspflichtige Vertragspartne auf der einen Seite und der impressumspflichtige Diensteanbieter auf der anderen Seite personenverschieden sind. Das Gericht möchte die Haftung des Diesteanbieters jedoch nicht derart weit ausdehnen:

Dass der Diensteanbieter in einer solchen Konstellation aufgrund eines Impressumsfehlers für die pflichtgemäße Erfüllung sämtlicher, mittels des Telemediums begründeter Verträge einstehen soll, scheint angesichts des vom Diensteanbieters unter Umständen kaum zu steuernden Haftungsrisikos weder vom Gesetzgeber erstrebt, noch sinnvoll und tragbar.

Google ändert Nutzungsbedingungen – was es zu beachten gilt

Heute gab Google bekannt, dass es mit Wirkung zum 11. November 2013 neue Nutzungsbedingungen in all seinen Diensten verwenden wird.

Die Zusammenfassung der Änderungen (für Personen mit, wörtlich, „Abneigung gegen Juristendeutsch“) führt als wohl aus Sicht der Nutzer wichtigsten Punkt die folgende Anpassung auf:

Zunächst erläutern wir, wie und in welchem Rahmen Ihr Profilname und Foto in Google-Produkten erscheinen kann, etwa in Erfahrungsberichten, Bewertungen, Werbung oder in anderen kommerziellen Kontexten.
Continue reading

OLG Hamburg: Abmahnung bei fehlenden Datenschutzhinweisen

Das OLG Hamburg hat mit Urteil vom 27.06.2013 (Az. 3 U 26/12) unter anderem entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs (so die gesetzliche Pflicht aus § 13 Abs. 1 S. 1 TMG) erteilt. Fehlen diese notwendigen Informationen im Rahmen der Vorhaltung einer Eingabemöglichkeit von Nutzerdaten (hier um Informationen zu erhalten bzw. ein Blutzuckermessgerät testen zu können), so verstößt dieses Verhalten nicht nur gegen das Datenschutzrecht, sondern berechtigt Wettbewerber auch dazu, den Webseitenbetreiber abzumahnen.

Diese Entscheidung ist deshalb interessant, weil es in der Rechtsprechung und der Literatur allgemein umstritten ist, inwiefern und wenn ja welche datenschutzrechtlichen Vorschriften einen Wettbewerbsbezug aufweisen und bei einer Verletzung solcher Vorschriften der Diensteanbieter eventuell durch Wettbewerber abgemahnt werden kann.
Continue reading

EU-US Freihandelsabkommen: Eckpunkte der Zusammenarbeit im ICT Sektor

Die Bürgerrechtsorganisation „La Quadrature du net“ veröffentlichte gestern auf ihrer Homepage ein, nach ihren Angaben aus den gestern in Washington gestarteten Verhandlungen über das Freihandelsabkommen zwischen den USA und der EU (TTIP) stammendes, Dokument (PDF) (auch die Electronic Frontier Foundation berichtet hierüber). Darin geht es um mögliche Verhandlungspunkte der Parteien in Bezug auf den Informations- und Telekommunikationssektor (ICT). Man sollte derartige „Leaks“ sicher immer mit einem gesunden Misstrauen betrachten, da sie nicht unbedingt etwas über den tatsächlichen Verhandlungsstand aussagen. Dennoch lohnt sich ein Blick, um eine ungefähre Vorstellung von den Inhalten der (geheimen) Verhandlungen zu erhalten.
Continue reading