Medienrecht Archive - Seite 6 von 8

Automatisierte Antworten auf Impressums-E-Mails sind irreführend

17. März 202517. März 2025Wolfgang Riegger

Das Landgericht München I hat in einem aktuellen Urteil entschieden, dass eine automatisierte Antwort-E-Mail, die auf alternative Kontaktwege verweist, eine Irreführung durch Unterlassen gemäß § 5a UWG darstellt (Urteil vom 25.02.2025, Az. 33 O 3721/24, nicht rechtskräftig). Die Wettbewerbszentrale hatte gegen einen bekannten Anbieter von Internetdiensten für Performance und Cybersicherheit geklagt, da dieser zwar eine E-Mail-Adresse im Impressum angab, jedoch auf Anfragen an diese Adresse lediglich eine automatisierte Antwort versendete.

Fehlende echte Erreichbarkeit per E-Mail

Laut den Feststellungen des Gerichts ist eine im Impressum angegebene E-Mail-Adresse nur dann gesetzeskonform, wenn sie eine unmittelbare Kommunikation ermöglicht. Diese Anforderung ergibt sich aus § 5 Digitale-Dienste-Gesetz (DDG), welcher die Vorgaben der E-Commerce-Richtlinie 2000/31/EG umsetzt. Eine echte Erreichbarkeit sei nicht gegeben, wenn Anfragen nur mit einer automatisierten Antwort quittiert werden, die auf alternative Kommunikationswege wie ein Kontaktformular verweist.

Das Gericht betonte, dass der Gesetzgeber bewusst die E-Mail als Kommunikationsmittel vorgeschrieben habe, da sie eine unmittelbare Kontaktaufnahme ohne Einschränkungen durch Zeichenbegrenzungen oder vordefinierte Kategorien ermögliche. Ein Verweis auf andere Kontaktmöglichkeiten genüge daher nicht den gesetzlichen Anforderungen.

Auswirkungen auf Unternehmen

Das Urteil hat weitreichende Folgen für Unternehmen, die im Impressum eine E-Mail-Adresse angeben, aber in der Praxis nur automatisierte Antworten verschicken. Wer eine E-Mail-Adresse nennt, muss sicherstellen, dass diese auch tatsächlich zur Kommunikation genutzt werden kann. Andernfalls drohen Abmahnungen und wettbewerbsrechtliche Konsequenzen.

Unternehmen sollten daher prüfen, ob ihre E-Mail-Adresse im Impressum tatsächlich für den unmittelbaren Kontakt nutzbar ist. Eine rein automatisierte Antwort, die lediglich alternative Kontaktwege aufzeigt, ist nicht ausreichend und kann als wettbewerbswidrig gewertet werden.

GEMA klagt gegen Suno: Was bedeutet das für KI-generierte Musik und das Urheberrecht?

10. März 202510. März 2025Wolfgang Riegger

Die GEMA (Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte) hat Klage gegen das US-amerikanische KI-Unternehmen Suno Inc. eingereicht. Suno bietet ein KI-Tool an, das mithilfe von einfachen Anweisungen (sogenannten Prompts) Audioinhalte erzeugen kann. Die GEMA wirft Suno vor, geschützte Aufnahmen aus ihrem Repertoire ohne Lizenz verwendet zu haben, was eine Urheberrechtsverletzung darstelle. Konkret geht es darum, dass die KI Audioinhalte generiere, die bekannten Songs wie „Forever Young“, „Atemlos“ oder „Daddy Cool“ zum Verwechseln ähnlich sein sollen.

Was sind die Vorwürfe der GEMA?

Urheberrechtsverletzung: Die GEMA argumentiert, dass Suno durch die Nutzung der Werke ihrer Mitglieder das Urheberrecht verletze. Dies betreffe sowohl die Erstellung der Aufnahmen in den Systemen von Suno als auch die Nutzung der Originalwerke zum Trainieren der KI.
Fehlende Vergütung: Die GEMA kritisiert, dass Suno das Repertoire der GEMA systematisch für das Training ihres Musiktools genutzt und dieses nun kommerziell verwertet habe, ohne die Urheber finanziell zu beteiligen.
Forderung nach einem fairen Miteinander: Die GEMA betont, dass eine partnerschaftliche Lösung mit KI-Unternehmen nur mit der Einhaltung von Grundregeln eines fairen Miteinanders möglich sei, einschließlich des Erwerbs von Lizenzen.

Was fordert die GEMA?

Die GEMA fordert eine faire Vergütung für die Nutzung der Werke ihrer Mitglieder. Sie schlägt ein „Zwei-Säulen“-Lizenzmodell vor:

Vergütung für das KI-Training: Die GEMA verlangt, dass 30 Prozent der Netto-Einnahmen von Suno an die Urheber fließen, inklusive einer Mindestvergütung.
Beteiligung an generierten Werken: Die GEMA ist der Ansicht, dass die generierten Werke so stark auf den Originalwerken basieren, dass die Urheber auch an deren Nutzung beteiligt werden müssen.

Rechtliche Herausforderungen

Das Verfahren wirft wichtige Fragen in Bezug auf das Urheberrecht auf:

Rechtmäßigkeit des KI-Trainings: War das Training der Suno-KI mit urheberrechtlich geschützten Werken rechtmäßig? Das Urheberrechtsgesetz erlaubt in bestimmten Fällen das „Text- und Data Mining“ (§§ 44b, 60d UrhG), also die automatisierte Analyse digitaler Werke zur Mustererkennung. Allerdings gibt es hier Einschränkungen, insbesondere wenn die Urheber der Nutzung ihrer Werke für das KI-Training widersprochen haben.
Nutzungsvorbehalt: Entscheidend ist, ob die GEMA einen wirksamen Nutzungsvorbehalt erklärt hat. Seit 2021 erlaubt § 44b UrhG Text- und Data Mining, es sei denn, die Urheber haben dem „maschinenlesbar“ widersprochen. Ob ein solcher Widerspruch in maschinenlesbarer Form vorliegt, ist jedoch umstritten.
Verletzung des Rechts der öffentlichen Wiedergabe: Die GEMA argumentiert, dass bereits die Generierung der KI-Songs eine Verletzung des Rechts der öffentlichen Wiedergabe darstellt. KI-Systeme arbeiten jedoch nicht mit exakten Kopien, sondern mit statistischen Mustern.
Pflichten der KI-Anbieter: Nach dem AI Act müssen Anbieter von Mehrzweck-KI-Systemen wie Suno eine Strategie zur Einhaltung des EU-Urheberrechts vorlegen.

LG Hamburg: Nutzung von Bildern für KI-Training

Das Landgericht Hamburg hat sich in einem Urteil vom 27.09.2024 (Az. 310 O 227/23) mit der Frage auseinandergesetzt, ob die Nutzung von urheberrechtlich geschützten Werken für das Training von KI-Systemen zulässig ist. Das Gericht hat entschieden, dass die Schrankenregelung des § 44a UrhG (vorübergehende Vervielfältigungshandlungen) für Trainingszwecke von KI nicht anwendbar ist.

Keine Flüchtigkeit: Das Gericht argumentierte, dass die Speicherung der Werke auf den Servern des KI-Herstellers nicht „flüchtig“ im Sinne des Gesetzes sei.
Keine Begleitfunktion: Das Herunterladen der Bilddateien zur Analyse sei kein bloß begleitender Prozess, sondern ein bewusster Beschaffungsprozess.

Allerdings tendierte das LG Hamburg in seiner Entscheidung dazu, dass ein Nutzungsvorbehalt in natürlicher Sprache (z.B. in AGB) genügen müsse, um die Nutzung eines Werkes für KI-Training zu untersagen. Dies könnte auch für die Klage der GEMA relevant sein, da es fraglich ist, ob die GEMA bzw. ihre Mitglieder einen solchen maschinenlesbaren Nutzungsvorbehalt rechtzeitig erklärt haben.

Was bedeutet das für die Zukunft?

Die Klage der GEMA gegen Suno ist ein Präzedenzfall. Es ist noch unklar, wie die Gerichte die Nutzungsvorbehalte der Urheber bewerten werden. Das Urteil könnte richtungsweisende Antworten auf die Frage geben, wie mit KI-generierter Musik und dem Urheberrecht umzugehen ist.

Parallele in den USA

Auch in den USA gibt es ähnliche Rechtsstreitigkeiten im Zusammenhang mit KI-Training und Urheberrecht.

Ein US-Gericht, der District Court of Delaware, hat im Fall Thomson Reuters ./. Ross Intelligence entschieden, dass die Nutzung urheberrechtlich geschützter Inhalte zum Training einer KI nicht unter die „Fair Use“-Doktrin fällt, wenn das KI-Training kommerziellen Zwecken dient und sich negativ auf den Wert des geschützten Werks auswirkt.
Dieses Urteil könnte Auswirkungen auf KI-Anbieter haben, die in den USA tätig sind. Bemerkenswert ist, dass das Gericht die meisten Gerichtsentscheidungen, auf die sich KI-Unternehmen bislang berufen haben, als „irrelevant“ abgelehnt hat.
Die Entscheidung des US-Gerichts betraf einen Fall, in dem eine KI-Suchmaschine mit urheberrechtlich geschützten Headnotes trainiert wurde. Das Gericht argumentierte, dass die Nutzung nicht „transformierend“ sei, da die KI lediglich ein Konkurrenzprodukt erstellen sollte. Dies könnte ein wichtiger Unterschied zur generativen KI sein, die neue und transformative Werke schaffen kann. Das Gericht betonte, dass Ross mit seiner KI direkt mit Westlaw konkurrieren wollte, was ausreiche, um eine Marktbeeinträchtigung festzustellen. Es sei unerheblich, ob Reuters bereits KI-Trainingsdaten vermarkte – die Möglichkeit, dies zu tun, sei rechtlich schutzwürdig.

Auswirkungen für Deutschland

Es bleibt abzuwarten, wie sich die Rechtslage im Bereich der KI-generierten Musik, aber auch bei Texten, Grafiken etc., entwickeln wird.

Die mit der Nutzung von urheberrechtlichen Inhalten zu Trainingszwecken verbundenen urheberrechtlichen Fragen werden vermutlich erst in einigen Jahren höchstrichterlich geklärt werden. Es könnte sein, dass sich bis dahin entweder der Gesetzgeber entschließt, das Thema neu zu regeln (und dann, so ist meine Vermutung, eine „KI-Abgabe“ einführt, die an Verwertungsgesellschaften wie die GEMA zu zahlen ist) oder es zu Vereinbarungen zwischen Anbietern von KI und Verwertungsgesellschaften kommen wird.

Kein Schmerzensgeld für unerwünschte Werbe-E-Mail

5. März 20255. März 2025Wolfgang Riegger

Der Bundesgerichtshof (BGH) hat mit Urteil vom 28. Januar 2025 (Az. VI ZR 109/23) entschieden, dass eine einzelne unerwünschte Werbe-E-Mail nicht ausreicht, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Damit wurde die Klage eines Verbrauchers auf Schmerzensgeld in Höhe von 500 Euro zurückgewiesen.

Sachverhalt

Der Kläger hatte im Januar 2019 beim Beklagten Aufkleber für seinen Briefkasten mit der Aufschrift „Betteln und Hausieren verboten“ erworben. Am 20. März 2020 erhielt er vom Beklagten eine Werbe-E-Mail, in der ihm weiterhin Dienstleistungen angeboten wurden. Daraufhin widersprach der Kläger der Nutzung seiner personenbezogenen Daten für Werbezwecke und forderte eine strafbewehrte Unterlassungserklärung sowie ein „Schmerzensgeld“ in Höhe von 500 Euro nach Art. 82 DSGVO.

Der Beklagte erkannte den Unterlassungsanspruch an, verweigerte jedoch die Zahlung des immateriellen Schadensersatzes. Das Amtsgericht Tuttlingen und das Landgericht Rottweil wiesen die Klage insoweit zurück. Der Kläger legte daraufhin Revision beim BGH ein.

Entscheidung des BGH

Der BGH wies die Revision des Klägers zurück und entschied, dass ein bloßer DSGVO-Verstoß allein nicht automatisch einen Anspruch auf immateriellen Schadensersatz auslöst. Ein Schaden muss konkret dargelegt werden.

Kein genereller Anspruch bei Bagatellverstößen: Der EuGH hatte bereits klargestellt, dass es keine Erheblichkeitsschwelle gibt, ein immaterieller Schaden aber nachweisbar sein muss.
Fehlende substantielle Darlegung eines Schadens: Der Kläger habe lediglich subjektive Unannehmlichkeiten beschrieben, aber keine nachweisbaren negativen Folgen erläutert.
Kein Kontrollverlust über personenbezogene Daten: Da die E-Mail-Adresse des Klägers nicht an Dritte weitergegeben wurde, fehle es an einem relevanten Kontrollverlust.
Hypothetische Befürchtungen reichen nicht aus: Eine bloße Sorge um einen möglichen Missbrauch personenbezogener Daten genügt nicht für die Annahme eines immateriellen Schadens.

Fazit

Das Urteil des BGH bestätigt, dass nicht jede ungewollte Nutzung personenbezogener Daten automatisch einen Entschädigungsanspruch nach der DSGVO auslöst. Wer Schadensersatz beansprucht, muss nachweisen, dass ihm ein spürbarer Nachteil entstanden ist. Dies dürfte insbesondere für Unternehmen von Bedeutung sein, die mit DSGVO-basierten Schadensersatzforderungen konfrontiert werden.

Das Urteil stellt eine Klarstellung für den Umgang mit unerwünschter Werbung per E-Mail dar und zeigt, dass nicht jede Datenschutzverletzung automatisch eine finanzielle Entschädigung nach sich zieht.

Uploadfilter & Co.

24. Februar 202124. Februar 2021Wolfgang Riegger

Wer wissen möchte, was nach Inkrafttreten im Juni des neuen „Urheberrechts-Diensteanbieter-Gesetzes“ kommen kann, dem empfehle ich einen Artikel auf laut.de über eine Liveperformance der Band „Metallica“ auf der US-Spielemesse „BlizzCon“. Speziell das Ansehen und vor allem Anhören des Videos des Auftritts lohnt sich…

Die Spielemesse fand online statt. Im Rahmen der Eröffnung der Messe spielte die Band „Metallica“ einen ihrer bekanntesten Songs live. U.a. über die Platttform „Twitch“ wurde die Performance live gestreamt.

Kurz nach Beginn des Auftritts war bei „Twitch“ allerdings nicht die Liveperformance der Band zu hören, sondern anstatt der Musik belangloser Computersound. In das Video wurde ein Hinweis von „Twitch“ eingeblendet, dass die Darbietung dem Urheberrechtsschutz des Rechteinhabers unterliege.

In den USA sieht sich die Plattform „Twitch“ diversen Klagen der Musikindustrie ausgesetzt und verwendet deshalb entsprechende Filter, um urheberrechtlich geschützte Musik zu erkennen und auszublenden. Beim Auftritt der Band „Metallica“ hatte der Filter natürlich nicht erkannt, dass die originären Rechteinhaber selbst spielten und demzufolge auch eine Zustimmung zum Streaming vorlag. Die „künstliche Intelligenz“ ist eben doch (noch?) nicht so weit wie die menschliche….

Ein „Vorgeschmack“ auf die ab Juni geltende Rechtslage in Deutschland kann es deshalb sein, weil im neuen „Urheberrechts-Diensteanbieter-Gesetz“ nach §§ 7, 8 ein Rechteinhaber die Möglichkeit hat, die „erforderlichen Informationen“ für eine Plattform zu hinterlegen, dass bei einem Upload dieses Rechterepertoires von vornherein kein solcher Upload für den Anwender möglich ist. Würde z.B. Metallica oder das Label von Metallica ab Juni bei einer Plattform die „erforderlichen Informationen“ hinterlegen, die für das Erkennen von Songs der Band notwendig sind, so könnte es auch nach Inkrafttreten des neuen Gesetzes dazu kommen, dass eine Plattform eine solche Liveperformance des Rechteinhabers von vornherein nicht zulässt und entsprechend sperrt.

LG Würzburg: Verstoß gegen DSGVO stellt auch Wettbewerbsverstoß dar

26. September 201826. September 2018Wolfgang Riegger

Das LG Würzburg hat am 13.09.2018 eine einstweilige Verfügung erlassen und geurteilt, dass der Betrieb einer ungesicherten Webseite ohne Datenschutzerklärung wettbewerbswidrig ist (AZ: 11 O 1741/18).

Ohne dass dies detailliert begründet wird, meint das LG Würzburg, dass ein Vertsoß gegen Vorschriften der DSGVO gleichzeitig gem. § 3a UWG unlauter sei.

Soweit ersichtlich, ist das LG Würzburg das bislang erste Gericht, dass explizit einen Verstoß gegen die DSGVO als Wettbewerbsverstoß nach § 3a UWG einstuft. Leider begründet das Gericht seine Rechtsauffassung nicht, sondern verweist lediglich auf Urteile, die noch auf altem Datenschutzrecht beruhen. Dabei gibt es einige Stimmen in der juristischen Fachliteratur, die eine andere Auffassung vertreten und der Meinung sind, dass aufgrund der Vorschrift von Art. 80 DSGVO eine gleichzeitige Verfolgung durch Mitbewerber, gestützt auf Vorschriften des UWG, nicht möglich ist.

EuGH-Urteil zu Fotos im Internet

8. August 2018Wolfgang Riegger

Die einfachsten Sachverhalte beinhalten oft die schwierigsten Rechtsfragen.

Der Sachverhalt, der dem aktuellen Urteil des EuGH vom 07.08.2018, Az.: C-161/17, zugrunde liegt, ist ein solcher:

Für ein Referat verwendete ein Schüler ein Foto der spanischen Stadt Cordoba. Dieses Foto stammte ursprünglich von der Webseite eines Reiseportals. Die Schule veröffentlichte das Referat des Schülers auf ihrer Internetseite. Zwar war eine Art Quellenhinweis vorhanden – in dem Referat wurde auf das Reiseportal hingewiesen. Jedoch holte weder der Schüler noch die Schule Nutzungsrechte beim Fotografen ein. So kam es wie es kommen musste: Der Fotograf entdeckte die Nutzung seines Fotos und mahnte ab. Die Begründung: Er habe nur dem Reiseportal ein Nutzungsrecht eingeräumt, nicht jedoch der Schule. Daher verlangte er Unterlassung und Zahlung von Schadenersatz in Höhe von EUR 400,00.

Das Landgericht gab der Klage statt. Schließlich landete der Fall beim Bundesgerichtshof (BGH), der darin auch eine Urheberrechtsverletzung sah. Allerdings sah sich der BGH veranlasst, aufgrund der Rechtsprechung des EuGH diesem im Rahmen eines Vorabentscheidungsverfahrens diverse Fragen zur Beantwortung vorzulegen. Rechtlich geht es um die Frage, ob durch die Nutzung des Fotos im Referat und des Einstellens des Referats auf der Internetseite der Schule ein öffentliches Zugänglichmachen im Sinne des § 19 a UrhG vorliegt oder nicht.

Wenn man sich den oben dargestellten Sachverhalt vor Augen führt, fragt man sich zunächst, weshalb überhaupt ein Streit über die Frage entbrannt ist, ob hier eine Urheberrechtsverletzung vorliegt oder nicht. Der „gesunde Menschenverstand“ sagt einem, dass man sich nicht einfach irgendwelcher Fotos, die im Internet veröffentlicht worden sind, zur Bebilderung eigener Werke bedienen kann. Würde man dies für zulässig erachten, wäre dies ein herber Schlag nicht nur für Fotografen, sondern auch für alle Kreativen. Denn dies hätte zur Konsequenz, dass urheberrechtlich geschützte Werke, die mit Zustimmung des Urhebers einmal im Internet veröffentlicht worden sind, von jedermann frei genutzt werden könnten.

Der BGH sah sich gleichwohl zu der Vorlage an den EuGH gezwungen, weil der EuGH zu der Auslegung der „öffentlichen Zugänglichmachung“ bei Framing und Verlinkung Definitionen verwendet hatte, aus denen man schließen könnte, dass so etwas zulässig ist. Für das Verlinken oder Framen andernorts abrufbarer urheberrechtlich geschützter Inhalte hat der EuGH nämlich entschieden, dass das Verlinken und Framen (prinzipiell) zulässig ist und hierfür ein Prüfungsschema entwickelt, das er bewusst nach allen Seiten offenhält, indem er diverse Kriterien in Wechselwirkung zueinander anwendet und diese Kriterien (eventuell auch bewusst) aber sehr unbestimmt gehalten sind. Kurz gefasst kann man die Position des EuGH so zusammenfassen, dass eine öffentliche Wiedergabe (und damit auch eine öffentliche Zugänglichmachung) vorliegt, wenn entweder ein geschütztes Werk unter Verwendung eines neuen technischen Verfahrens wiedergegeben wird oder aber wenn ein „neues Publikum“ erreicht wird. Also ein solches, an das der Urheber nicht dachte, als er die ursprüngliche öffentliche Wiedergabe erlaubte.

In Anbetracht dieser Definition entschied der EuGH, dass sowohl Framing als auch Linking (im Prinzip) immer möglich ist und bei einer Verlinkung auf ein urheberrechtlich geschütztes Werk bzw. beim Framing eines urheberrechtlich geschützten Werkes keine Urheberrechtsverletzung vorliegt. In Anbetracht dieser offenen Definition verwundert es dann nicht, dass sich die beklagte Schule auf den Standpunkt stellte, dass keine öffentliche Wiedergabe vorliege, weil durch die Nutzung des Fotos im Rahmen des Referats kein neues technisches Verfahren verwendet worden sei bzw. auch kein „neues Publikum“ erreicht worden sei. Denn das „Publikum“ sei immer dasselbe, nämlich die Nutzer des Internets.

Entsetzen bei den Kreativen brach spätestens dann aus, als der Generalanwalt sich in seinem Schlussantrag der Argumentation der Schule anschloss und ebenfalls die Auffassung vertrat, dass durch die Nutzung des Fotos im Referat kein „neues Publikum“ erreicht werde, weshalb keine öffentliche Zugänglichmachung vorliege. Das Entsetzen war durchaus berechtigt, weil in ca. 70 bis 80 % aller Fälle der EuGH sich der Rechtsauffassung des Generalanwalts anschließt.

Zum Glück für alle Kreativen und Urheber entschied der EuGH aber in diesem Fall anders.

Der EuGH urteilte, dass seine Rechtsprechung zum Framing und Verlinken beim Hochladen eines Werkes nicht greife. Entscheidend dafür sei die fehlende Kontrolle des Rechteinhabers über die weitere Verwendung. Bei einer Veröffentlichung eines Fotos auf einer anderen Webseite werde es dem Urheber unmöglich gemacht, jedenfalls aber sehr erschwert, die neue Wiedergabe des Fotos zu beenden. Bei einer bloßen Verlinkung bzw. beim Framing sei dies anders: Werde das Werk nach Setzen des Links bzw. nach dem Framen von der ursprünglichen Internetseite entfernt, führt auch der Link bzw. das Framing ins Leere.

Bei einem eigenständigen Upload habe aber der Urheber keine Kontrolle mehr über die Nutzung seines Werkes und durch diese unabhängige Nutzung des Werkes werde ein „neues Publikum“ erreicht, nämlich die Nutzer der Webseite (in diesem Fall der Schule).

Auch wenn die Argumentation „etwas gekünstelt“ klingt, im Kern ist sie natürlich richtig. Daher können alle Kreativen (und nicht nur die Fotografen) aufatmen: Nach wie vor können solche Rechtsverletzungen verfolgt werden.

Mithaftung bei Datenschutzverstößen von Facebook

6. Juni 20187. Juni 2018Wolfgang Riegger

Der Europäische Gerichtshof hat am 05.06.2018 entschieden, dass Betreiber von Facebook-Seiten für mögliche Datenschutzverstöße von Facebook mithaften (EuGH, Urteil vom 05.06.2018, Az.: C-210/16).

Der EuGH musste über eine Vorlagefrage in einem derzeit beim Bundesverwaltungsgericht anhängigen Rechtsstreit entscheiden. In dieser Vorlagefrage ging es um die grundsätzliche (Mit-)Verantwortlichkeit des Betreibers einer Facebook-Seite (im Urteil des EuGH wird eine Facebook-Seite als „Fanpage“ bezeichnet) für mögliche Datenschutzverstöße, die von Facebook selbst begangen werden.

Das Verfahren, mit dem sich das Bundesverwaltungsgericht beschäftigt hatte, ist schon seit etlichen Jahren anhängig und betrifft (eigentlich) Rechtsvorschriften, die nicht mehr in Kraft sind und durch die seit kurzem geltende DSGVO ersetzt worden sind.

Um es kurz zu machen:

Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite oder „Fanpage“ auf Facebook für Datenschutzverstöße mithaftet, die von Facebook begangen werden.

Der EuGH hat seine Entscheidung ausführlich begründet. Und unter juristischen – in diesem Fall vor allem theoretischen – datenschutzrechtlichen Aspekten lässt sich eine solche Mithaftung sicherlich begründen.

Unter praktischen Aspekten ist diese Entscheidung natürlich – man muss es so sagen – katastrophal. Das aus meiner Sicht Schlimme daran ist, dass die deutschen Datenschutzbehörden, die das Verfahren vor dem Bundesverwaltungsgericht in Gang gesetzt haben, mit ihrem Vorgehen eigentlich Facebook dazu zwingen wollten, sich an die deutschen bzw. jetzt europäischen Datenschutzvorschriften zu halten und ihr Geschäftsmodell entsprechend anzupassen. Weil es seinerzeit, als das Verfahren in Gang gesetzt wurde, keine oder nur wenige Möglichkeiten gab, gegen Facebook direkt vorzugehen, hat sich die Datenschutzbehörde des Bundeslandes Schleswig-Holstein, die das Verfahren in Gang gesetzt hatte, entschieden, ein Unternehmen wegen des Betriebs seiner Facebook-Seite anzugehen und hatte eine entsprechende Verfügung erlassen, gegen die das betroffene Unternehmen dann vor einem Verwaltungsgericht geklagt hatte. Der Instanzenzug hat beide Seiten vor das Bundesverwaltungsgericht geführt, welches die grundlegende Frage der Mithaftung des Betreibers einer Facebook-Seite dem Europäischen Gerichtshof zur Entscheidung vorgelegt hatte.

Der schon seit Jahren bestehende Streit zwischen den deutschen und europäischen Datenschutzbehörden sowie Facebook wurde und wird also damit nun auf dem Rücken von Unternehmen, Vereinen und sonstigen Personen, die Facebook-Seiten nicht nur ausschließlich zu privaten Zwecken betreiben, ausgetragen.

Egal, ob man nun die Schuld dafür bei den Datenschutzbehörden oder bei Facebook oder bei beiden sucht: Es stellt sich die Frage, welche Auswirkungen diese Entscheidung hat.

Auch wenn derzeit die konkreten Folgen noch nicht vollkommen absehbar sind, können diese Auswirkungen immens sein.

Zunächst stellt sich natürlich die Frage, ob sich die Rechtslage zur Frage der Mithaftung durch das Inkrafttreten der neuen DSGVO geändert hat. Diese Frage ist aus meiner Sicht mit einem klaren „Nein“ zu beantworten. Wie das „alte“ Bundesdatenschutzgesetz sieht auch die DSGVO jedenfalls die generelle Möglichkeit einer solchen Mithaftung vor. Insoweit hat sich die Rechtslage nicht geändert.

Des Weiteren stellt sich jetzt die Frage, ob diese Entscheidung ausschließlich ein „Facebook-Problem“ ist oder ob man die Entscheidungsgründe auch auf andere soziale Netzwerke ausdehnen kann. Diese Frage wird man auch meiner Meinung nach mit einem „wahrscheinlich“ beantworten müssen. Man kann es letztendlich so zusammenfassen: Derjenige, der in einem sozialen Netzwerk eine Seite betreibt – egal ob auf Facebook, Instagram, YouTube, XING, Linkedin etc. -, haftet für mögliche Datenschutzverstöße, die vom Plattformbetreiber selbst begangen werden, jedenfalls mit.

Das einzig Gute an der Entscheidung des EuGH ist, dass es sich hier nur um eine Vorabentscheidung handelt, die noch keine allgemein bindende Wirkung dergestalt hat, dass damit die Betreiber einer Facebook-Seite quasi automatisch sofort haften. Denn das Verfahren geht nun zurück ans Bundesverwaltungsgericht und das Bundesverwaltungsgericht muss noch über zwei Fragen entscheiden: Zum einen, ob Facebook überhaupt Datenschutzverstöße begeht (dafür spricht aber Einiges). Zum anderen, ob jedenfalls eine Datenschutzbehörde aufgrund eines von einer Behörde auszuübenden Ermessens gehalten ist, sich nicht sofort an den Betreiber einer Facebook-Seite zu wenden, sondern quasi gezwungen ist, diese Verstöße direkt bei Facebook geltend zu machen. Die Antwort auf diese Frage dürfte offen sein.

Trotz der gerade eben beschriebenen noch offenen Punkte treffen bereits jetzt jeden Betreiber einer Facebook-Seite Unsicherheiten.

Aus meiner Sicht ist dabei noch nicht einmal die größte Gefahr, dass jetzt die Datenschutzbehörden der Bundesländer quasi alle Unternehmen, die Facebook-Seiten betreiben, anschreiben oder sogar mit Bußgeldbescheiden überziehen. Sofern es den Datenschutzbehörden, wie von mir oben vermutet, vor allem darum geht, dass sie Facebook zwingen wollen, sich an die europäischen Datenschutznormen zu halten, setzen die Datenschutzbehörden vermutlich eher darauf, dass Unternehmen nun ihre Facebook-Seiten freiwillig deaktivieren. Und dass Facebook deswegen handeln muss, damit Facebook nicht die Nutzer verliert.

Der aus meiner Sich größere Unsicherheitsfaktor ist der, ob nicht durch das EuGH-Urteil nun wieder versucht wird, über Abmahnungen Geld zu verdienen.

Die größte Gefahr wäre dann gegeben, wenn ein möglicher Mitbewerber oder ein Wettbewerbsverband einen entsprechenden Datenschutzverstoß, der von Facebook begangen wird, abmahnt, und zwar beim Betreiber der Facebook-Seite selbst, der z.B. Mitbewerber des Abmahners ist. Auch wenn noch nicht entschieden ist, ob bei einem Verstoß gegen Vorschriften aus der DSGVO auch zugleich ein wettbewerbsrechtlich relevanter sog. Rechtsbruch vorliegt, so ist dies ein durchaus realistisches Szenario: Denn auch bereits vor Inkrafttreten der DSGVO gab es Gerichte, die bei Verstößen gegen Datenschutzrecht zugleich Wettbewerbsverstöße angenommen haben. Da die DSGVO vor allem auch den Verbraucherschutz im Auge hat, dürfte es aus meiner Sicht wahrscheinlicher sein, dass Gerichte künftig bei Verstößen gegen die DSGVO auch gleichzeitig einen Wettbewerbsverstoß annehmen. Zudem stellt sich bei einem Vorgehen eines Wettbewerbers oder eines Verbandes auch nicht die noch offene Frage, ob eine Behörde gezwungen ist, direkt gegen Facebook vorzugehen; denn ein Wettbewerber oder ein Verband muss ein solches Ermessen nicht ausüben oder gar eine Ermessensentscheidung begründen. Das Szenario einer neuen „Abmahnwelle“ ist also nicht unrealistisch.

Zudem gibt es natürlich ebenfalls die zumindest theoretische Möglichkeit, dass ein einzelner Verbraucher auf ein Unternehmen „losgeht“, welches eine Facebook-Seite betreibt, etwa mit der Argumentation, dass der Verbraucher die Facebook-Seite des Unternehmens besucht hat und dadurch von einem Datenschutzverstoß von Facebook betroffen ist, weswegen nun der Verbraucher Unterlassungs- und Schadenersatzansprüche direkt beim Unternehmen geltend macht. Auch dies erscheint nicht ausgeschlossen, wenngleich das Risiko in einem solchen Fall aus meiner Sicht deutlich geringer ist, als bei Abmahnungen von Wettbewerbern oder von Wettbewerbsverbänden.

Es stellt sich natürlich nun die Frage, was ein Unternehmen tun kann.

Wer auf „Nummer Sicher“ gehen will, der deaktiviert seine Unternehmens-Facebook-Seite und beschränkt sich bei der Nutzung von Facebook auf eine rein private Nutzung. Oder er nutzt Facebook künftig gar nicht mehr.

Die zweite Alternative ist, dass ein Unternehmen die Ruhe bewahrt und abwartet, wie sich die Sache künftig weiterentwickelt und letztlich auch darauf hofft, dass weder Behörden, noch Wettbewerber, noch Verbände oder gar irgendwelche Verbraucher gerade gegen ihn Ansprüche geltend machen.

Betreibt man weiter seine Facebook-Seite ist das Einzige, was man in einem solchen Fall vielleicht tun könnte, Folgendes:

Zum einen könnte man in der Datenschutzerklärung seiner eigenen Webseite unter dem Punkt „Onlinepräsenz auf sozialen Netzwerken“ (oder ähnlichen Überschriften) darauf hinweisen, dass man eine Seite bei Facebook betreibt und dass man selbst nicht so genau weiß, was Facebook mit den personenbezogenen Daten von Nutzern macht, die die Facebook-Seite besuchen, quasi nach dem Motto „Betreten auf eigene Gefahr“. Ob das in einem möglichen Rechtsstreit wirklich hilft, ist allerdings stark zu bezweifeln. Aber möglicherweise gilt hier das Motto „Besser als nichts“.

Zum anderen könnte man in Fällen, in denen man von der eigenen Webseite zur eigenen Facebook-Seite mithilfe einer Verlinkung arbeitet, bei Anklicken des „Facebook-Symbols“ auf der eigenen Webseite eine Art „Disclaimer“ öffnen lassen, in dem der Nutzer (wie oben beschrieben) darauf hingewiesen wird, dass das Unternehmen eine Facebook-Seite betreibt, allerdings dem Nutzer nicht mitteilen kann, welche konkreten personenbezogenen Daten Facebook erhebt, verarbeitet und in welcher Weise Facebook diese personenbezogenen Daten eventuell selbst zu eigenen Werbezwecken oder zu Werbezwecken Dritter nutzt. Zugleich könnte man den Nutzer im Disclaimer darauf hinweisen, dass er in Fällen, in denen er das nicht möchte, nicht die Facebook-Seite des Unternehmens besuchen soll, sondern alle Informationen von der eigenen Webseite des Unternehmens holen sollte.

Es stellt sich natürlich die Frage, ob ein solcher Disclaimer tatsächlich rechtliche Relevanz haben wird. Auch dies ist nicht klar und es bestehen gewisse Zweifel, insbesondere dann, wenn man nicht nachweisen kann, dass der Nutzer über die Verlinkung auf der eigenen Webseite zur Facebook-Seite des Unternehmens gelangt und damit den Disclaimer zur Kenntnis nehmen konnte.

Fazit:

Leider eine Entscheidung des EuGH mit möglicherweise sehr weitreichenden Folgen für Unternehmen mit Facebook-Seiten.

Es muss nun jedes Unternehmen die Entscheidung treffen, ob es die eigene Facebook-Seite Wert ist, das oben beschriebene mögliche Risiko einzugehen oder ob man auf „Nummer Sicher“ gehen möchte und die Facebook-Seite deaktiviert.

Update am 07.06.2018:

Es liegt nun eine Stellungnahme der der Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder vor:

https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/20180605_EntschliessungFanpagesEuGHUrteil.html;jsessionid=A7CEEE7FAF4CB3DA90C78D6EE16DD6B1.1_cid319?nn=5217016

Zum Abschluss heißt es:

„Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.“

Was folgt daraus?

Leider nichts, was einem wriklich weiterhilft. Außer das es die Datenschützer tatsächlich auf Facebook abgesehen haben. Aber auch kein eindeutiger Hinweis darauf, dass die Behörden die Facebookseitenbetreiber nicht angehen werden.

DSGVO

9. Mai 201822. Mai 2018Wolfgang Riegger

Ab dem 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) sowie ergänzend das neue Bundesdatenschutzgesetz (BDSG) in Kraft.

Zahlreiche Anfragen habe ich deswegen bereits erhalten. Einige dieser Anfragen resultieren daraus, dass irgendjemand irgendetwas über die neue DSGVO gehört oder gelesen hat. Und in der Tat wurde in den letzten Wochen und Monaten vieles über die neue DSGVO geschrieben, insbesondere im Internet. Einiges, was geschrieben wurde, ist – man muss es auch in dieser Deutlichkeit sagen – der blanke Unsinn. Manches soll gewisse Ängste bei Unternehmen schüren – insbesondere in Veröffentlichungen, in denen immer wieder plakativ auf drohende horrende Bußgelder, die ab dem 25. Mai 2018 verhängt werden können, hingewiesen wird.

Falls Sie sich bereits umfassend mit den Voraussetzungen der kommenden DSGVO auseinander gesetzt und Ihr Unternehmen bereits entsprechend vorbereitet haben, müssen Sie nicht mehr weiterlesen.

Sollten Sie sich noch nicht oder noch nicht ausreichend mit der Thematik befasst haben, so gibt es tatsächlich etwas zu tun.

Durch die neue DSGVO entsteht ein gewisser Verwaltungsaufwand, der betrieben werden sollte. Denn der – in diesem Fall europäische – Gesetzgeber setzt beim Datenschutz auf Information und Transparenz. Dies bedeutet wiederum, dass im Vergleich zur noch geltenden Gesetzeslage ein Unternehmen umfangreichere Informations- und Aufklärungspflichten ab dem 25. Mai 2018 treffen werden.

Als erste „Sofortmaßnahme“ sind aus meiner Sicht zwei Punkte bis zum 25. Mai 2018 zu erledigen:

Zum einen sollte derjenige, der eine Webseite betreibt, die nicht nur rein privaten Zwecken dient, die auf einer Webseite online abrufbare „Datenschutzerklärung“ unbedingt überarbeiten. Denn die DSGVO stellt umfassendere Informationspflichten gerade auch für Webseitenbetreiber auf, so dass eine Datenschutzerklärung auf einer Internetseite, die den jetzigen Maßstäben genügt, ab dem 25. Mai 2018 nicht mehr ausreichend sein kann.

Zum anderen sollte ein Unternehmen einer Person, mit der es erstmals geschäftlich in Kontakt tritt, ab dem 25. Mai 2018 darüber informieren, was mit den personenbezogenen Daten des Anfragenden (z.B. mit seiner E-Mail-Adresse) im Unternehmen passiert. Dafür könnte man z.B. ein einfach gehaltenes Infoblatt erstellen, das man dem ersten Antwortschreiben an den Anfragenden übermittelt, z.B. als pdf-Datei.

Sofern Sie diese „Sofortmaßnahmen“ ab dem 25. Mai 2018 beachten und umsetzen, zeigen Sie „nach außen“, dass Sie die neue DSGVO „auf dem Schirm“ haben.

Die dritte Maßnahme, die getroffen werden sollte, ist die Erstellung eines „Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO“. Das ist eigentlich nichts Neues. Denn auch das BDSG in der jetzigen Fassung verlangte bereits die Erstellung eines sog. Verfahrensverzeichnisses. Jeder, der sich an die bisherigen gesetzlichen Regelungen gehalten und bereits ein Verfahrensverzeichnis erstellt hat, kann daher beruhigt sein, da nur bestimmte Anpassungen an die neue Gesetzeslage notwendig sind. Da bislang das Fehlen eines solchen Verfahrensverzeichnisses quasi sanktionslos war, habe ich die Erfahrung gemacht, dass viele Unternehmen nicht über ein solches Verzeichnis verfügen. Auf diese Unternehmen kommt in der Tat ein gewisser Verwaltungsaufwand zu: Denn in diesem Verzeichnis muss ein Unternehmen dokumentieren, welche Daten von welchen Personen in welcher Weise erfasst und verarbeitet werden, auf welcher Rechtsgrundlage die Verarbeitung beruht, welche Hard- und Software zur Datenverarbeitung eingesetzt wird sowie schließlich welche Maßnahmen zur Datensicherheit getroffen werden. Dabei sollte beachtet werden, dass der Begriff der personenbezogenen Daten nicht nur die digitalen Daten erfasst, sondern auch die „analogen Daten“. Also auch der Akten-Ordner mit Angeboten oder Rechnungen enthält personenbezogene Daten, so dass auch in einem Verfahrensverzeichnis dokumentiert werden muss, wo z.B. diese Akten-Ordner aufbewahrt und wie diese gesichert werden.

Auch dieses Verzeichnis sollte bis zum 25. Mai 2018 eigentlich vorhanden sein. In Anbetracht der Tatsache, dass – mit Ausnahme der zuständigen Datenschutzbehörden – kein Dritter ein Recht hat, dieses Verzeichnis ausgehändigt zu bekommen, kann man die Erstellung eines solchen Verzeichnisses hinter die oben beschriebenen „Sofortmaßnahmen“ anstellen, falls man nicht mehr rechtzeitig vor dem 25. Mai 2018 damit fertig wird.

Gerade die bei mir eingegangenen Anfragen von Mandanten zeigen, dass größere Unternehmen, die über eine eigene Rechtsabteilung oder einen (internen oder externen) Datenschutzbeauftragten verfügen, sich mit der Umsetzung der Vorgaben der DSGVO leichter tun als kleinere Unternehmen oder Freiberufler. Gerade Unternehmen, in denen sich „der Chef“ oder „die Chefin“ um alles kümmert, trifft die zusätzliche Arbeit besonders hart, weil man diesen Aufwand neben dem normalen Arbeitsalltag bewältigen muss.

Sollte Ihnen der Aufwand zu viel sein, kann ich Ihnen helfen. Gerne dürfen Sie mich deswegen kontaktieren.

„Jetzt geht´s los“ – aber nicht für die NPD

10. Oktober 201710. Oktober 2017Wolfgang Riegger

Der BGH hat mit jetzt veröffentlichtem Beschluss vom 11. Mai 2017 (AZ: I ZR 147/16) ein Urteil des OLG Jena bestätigt, wonach das Abspielen der Lieder „Wenn nicht jetzt, wann dann“ und „Jetzt geht’s los“ von der Kölner Band „Die Höhner“ bei NPD-Wahlkampfveranstaltungen das Urheberpersönlichkeitsrecht der Bandmitglieder verletzt.

Während des Landtagswahlkampfs 2014 in Thüringen hatte die NPD unter anderem die genannten Musikstücke abgespielt nachdem der Landesvorsitzende seine Wahlkampfrede gehalten hatte und in die Gespräche mit den Bürgern überleitete.

Der BGH führt dazu aus:

„Die Verwendung von Musikwerken im Wahlkampf einer politischen Partei, und sei es nur durch einen Transfer der von den Werken ausgehenden Stimmung, ist besonders geeignet, die Interessen der Urheber zu beeinträchtigen. Dabei muss der Urheber von Unterhaltungsmusik mit der Vereinnahmung durch verfassungsfeindliche Parteien nicht rechnen.“

Das Gericht hat bei der Abwägung auch die Verfassungsfeindlichkeit der NPD als Argument herangezogen. Ob ein Urheber sich auch dagegen wehren kann, wenn seine Musik für Wahlkampfveranstaltungen verfassungskonformer Parteien verwendet wird, der Urheber sich aber mit der Politik dieser Partei nicht identifiziert, bleibt offen.

Grünes Licht für offene WLANs

28. September 2017Wolfgang Riegger

Wie in meiner Meldung vom 03. Juli 2017 schon berichtet, hatte die Bundesregierung im Rahmen einer Gesetzesänderung sich dafür entschieden, die Betreiber von öffentlichen WLANs nicht mit der Gefahr von Abmahnung wegen Rechtsverletzungen, die über das WLAN durch Nutzer begangen worden sind, zu konfrontieren.

Der Bundesrat hat dieser Gesetzesänderung nun zugestimmt.

Betreiber von Internetzugängen können ihre Dienste künftig Dritten über drahtlose lokale Netzwerke (WLAN) anbieten, ohne dabei befürchten zu müssen, für Rechtsverstöße von Nutzern abgemahnt oder haftbar gemacht zu werden.

Das Gesetz stellt ferner klar, dass WLAN-Betreiber nicht verpflichten werden dürfen, Nutzer zu registrieren oder ein Passwort für die Nutzung zu verlangen. Auf freiwilliger Basis ist dies aber möglich.

Eine Registrierung, bei der die persönlichen Daten von Nutzern zu anderen als Abrechnungszwecken gespeichert werden, darf datenschutzrechtlich allerdings nur mit Einwilligung des Nutzers erfolgen. Schließlich regelt das Gesetz, unter welchen Bedingungen Nutzungssperren im Einzelfall möglich sind.