Schlagwort-Archiv: Entscheidung

Aus, aus, aus! Safe Harbor ist aus! – Zur Entscheidung des EuGH C-362/14 – Schrems

Alea iacta est. Der Gerichtshof der europäischen Union (EuGH) hat die Entscheidung der Kommission, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten (“Safe Harbor” ), für ungültig erklärt.

Es rummst gerade und zwar gewaltig.

Die wenigsten haben bis jetzt die Urteilsgründe der Entscheidung EuGH C-362/14 gelesen (ich auch noch nicht habe es bislang auch nur überflogen). Und so bleibt zunächst einmal abzuwarten, was eine Analyse desselben ergibt bzw. welche Konsequenzen das Urteil im Einzelnen letztlich tatsächlich haben wird. Fest steht jedoch schon jetzt: Es werden nicht keine sein.

Nach der Pressemitteilung des EuGH genügt das Safe Harbour insoweit nicht europäischen Datenschutzstandards, als dieses Abkommen (ungerechtfertigte) Eingriffe in die Grundrechte von Personen seitens von Behörden (insb. NSA & Co) ermöglicht und vor allem, weil dem Betroffenen keine Rechtsbehelfe gegen derartige Eingriffe zur Verfügung stehen. Folglich sei die Entscheidung der Kommission, dass “dass die USA ein angemessenes Schutzniveau gewährleistet” ungültig. Und damit steht Safe Harbor vor dem aus.

Das ist die sehr verkürzte Darstellung der ebenfalls bereits die Urteilsgründe stark vereinfachenden Pressemitteilung des EuGH, aber so im Wesentlichen die Begründung.

Diese Entscheidung hat nicht nur für amerikanische, sondern vor allem auch für europäische und damit deutsche Unternehmen Brisanz. Hier trifft es wiederum ganz besonders solche, die auf Dienstleistungen von US-Unternehmen angewiesen sind (Gretchenfrage: Wer ist das nicht?!) und/oder die selbst etwa übergreifende (personenbezogene) Big Data Analysen, CRMs (Customer-Relationship-Management-Tools) oder Webmonitoring nutzen oder anbieten.

Das Ende der (Daten-)Welt?

Und jetzt? Das Ende der Welt? Facebook und Twitter down? Apple vor dem aus?  Wohl kaum. Die EU und USA müssen sich jetzt unmittelbar an ein neues Abkommen setzen, das wissen beide Seiten. Doch bis hier etwas steht, werden noch ein paar Tage *hust ins Land gehen. Und es gibt – neben Safe Harbor – durchaus Möglichkeiten datenschutzkonform Datentransfer zwischen den USA und Europa zu betreiben.

Schließlich war es schon immer so gewesen, dass nach § 4c Abs. 1 Nr. 3 BDSG die Übermittlung an andere Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht (!) gewährleistet ist, zulässig ist, sofern

  1. der Betroffene seine Einwilligung gegeben hat oder
  2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist oder
  3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll [...].

Das heißt, wenn der betroffene seine konkrete, bewusste und ausdrückliche Einwilligung gemäß der Anforderungen von § 4a BDSG gegeben hat, ist (fast) alles möglich. (Es ist aber durchaus nicht ganz einfach hier den Anforderungen zu genügen).

Ferner dürfen zur Vertragserfüllung weiterhin Daten ausgetauscht werden. Da dieses “Problem” nun auch wahrlich kein Einzelfall ist, hält die EU Standard-Vertragsklauseln vor, nach bzw. mit denen der Transfer von personenbezogenen Daten zwischen den Parteien rechtskonform geregelt werden kann.

Last but not least, es gibt weiter die Möglichkeit für international aufgestellte Konzerne sich “betriebseigene” verbindliche Regelungen zum Umgang mit personenbezogenen Daten – auf Basis von EU-Vorgaben – zu schaffen, diese Regelungen werden zumeist unter dem Schlagwort “Binding Corperate Rules” abgehandelt (klingt ja auch gleich viel besser!). Auch hier steht der Konzern nicht alleine dar, die EU, bzw. konkret die Artikel 29 Datenschutzgruppe gibt hier mit dem Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen freundlicher Weise eine Handreichung (Obacht! Aus 2008. Im Zweifel mal genauer hingucken!).

Fazit (vorerst)

Safe Harbor ist aus. Das Spiel aber natürlich nicht. Es gab und gibt Wege legal mitzuspielen. Nur sind die jetzt etwas umständlicher geworden. Den Datenschutz schlicht zu ignorieren (ja, das tun immer noch relativ viele Unternehmen relativ ungeniert) wird immer ungemütlicher. Zumal die nationalen Aufsichtsbehörden die Entscheidung mit Sicherheit dergestalt lesen werden, als ihnen die Entscheidung nun erweiterte (wiedererhaltene, durch die Kommissions-Entscheidung vorher beschnittene) Befugnisse gewährt.

Update (06.10.2015, 15:28): Ja, die Aufsichtsbehörden fühlen sich gestärkt. Der Hamburgische Beauftragte für Datenschutz: “Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen.” (PM vom 06.10.2015).

Also, es bleibt spannend.

So auch die Frage: Was ist mit all den hübschen Social-PlugIns? Bedarf es nun Overlayer allerorten, mit denen die audrückliche Einwilligung der Nutzer eingeholt wird? Und genügt eine Einwilligung, die wie ein – lästiger – Cookie-Hinweis schlicht achtlos weggeklickt wird? Fragen über Fragen. Die Antworten kommen sicher. Beizeiten.

In diesem Sinne,

so schnell geht die Welt nicht unter, auch wenn sie sich gerade mächtig am ändern ist.

 

Update: Abmahnung wegen Vorschaubildern auf Facebook – BGH-Entscheidung “Thumbnail” wegen OpenGraph-Funktion doch grundsätzlich vergleichbar

Gestern berichtete ich über die erste bekannt gewordene urheberrechtliche Abmahnung auf Facebook. Vorgegangen wurde gegen ein Vorschaubild einer Website, welches beim Posten eines Links auf FB gezeigt wurde.

Nun gibt es die Thumbnail-Entscheidung des BGH. Ganz verkürzt dargestellt gibt danach der Urheber quasi die Einwilligung zur Anzeige der Thumbnail-Bilder, wenn er das Abgreifen der Bilder nicht via robot.txt unterbindet.

BGH-Entscheidung “Thumbnail” vergleichbar?

Klarstellung vom 08.01.2013: Die folgenden Ausführungen beziehen sich nur auf den Fall, in dem ein Link von einem Nutzer bei Facebook gepostet (geteilt) wird und Facebook sich dieses Bild grundsätzlich automatisch “zieht”. Nicht gemeint ist jegliches Teilen (Sharing) von Inhalten wie Bildern oder Videos, die von den Nutzern explizit geteilt bzw. zum Teilen gar hochgeladen werden.

Da ich bislang dachte, dass ein vergleichbares Unterbinden der Vorschaubilder bei Facebook durch einen Webseitenbetreiber nicht möglich ist, ging ich davon aus, dass also auch die BGH-Entscheidung grundsätzlich nicht vergleichbar sei.

Aber Dank meines Lesers Renato wurde ich diesbezüglich eines Besseren belehrt. Das geht nämlich quasi doch über die OpenGraph-Funktion bei Facebook (und auch bei Google+). Da ich nicht allwissend im Bereich der OpenGraph-Technologie bin, habe ich kurzerhand den wahren Meister Martin Thielecke von versionzwei dazu befragt.

Martin erklärte mir, dass man durch einen Befehl (<meta property=”og:image” content=”http://example.com/images/blank.gif” />) dafür sorge tragen kann, dass eben nur ein bestimmtes Bild von Facebook & Co in die Vorschaubilder einbezogen wird. Also könnte der Webseitenbetreiber ein Bild – wie etwa das eigenen Logo – auswählen, bei dem die Vorschaufunktion eben “genehmigt” wäre. Oder wenn auch das nicht gewollt ist, könnte eine vollkommen falsche URL eingegeben werden, denn in diesem Fall findet Facebook nichts und es wird gar kein Bild angezeigt.

Wenn ich die Ausführung von Martin richtig verstanden und wiedergeben habe (korrigier mich sonst bitte), wäre die Entscheidung des BGH zu den Google-Thumbnails doch grundsätzlich übertragbar. Darin heißt es:

…hat sich die Klägerin mit dem Einstellen der Abbildungen ihrer Werke in das Internet, ohne diese gegen das Auffinden durch Suchmaschinen zu sichern, mit der Wiedergabe ihrer Werke in Vorschaubildern der Suchmaschine der Beklagten einverstanden erklärt.”

Übertragen auf Facebook/Google+ und die OpenGraph-Technologie würde das bedeuten, dass derjenige Berechtigte, der Bilder auf eine Webseite stellt und nicht Sorge dafür trägt, dass diese Bilder nicht als Vorschaubilder zu erkennen sind, eben das Einverständnis zur Vorschau auch bei Facebook und Google+ erklärt. Und das bedeutet weiter, dass der Berechtigte (Urheber oder Inhaber umfänglicher Nutzungsrechte) eben im Falle der “Einverständniserklärung” keine Möglichkeit hätte, erfolgreich einen Unterlassungs- oder gar Schadensersatzanspruch gegen den “Linkverteiler” bei Facebook oder G+ wegen des Vorschaubildes erfolgreich durchzusetzen.

Gegen diese Übertragung der Thumbnails-Rechtsprechung des BGH auf auf Facebook-Vorschaubilder mag nun mancher Folgendes einwenden:

Ein  Unterschied zwischen dem Robots Exclusion Standard und der “OpenGraph”-Technologie ist, dass es sich beim “Robots Exclusion Standard”  um einen „quasi-offiziellen“, faktisch allgemeingültigen Webstandard handelt, der seit etwa 1994 existiert (auch wenn es kein RFC dazu gibt) und eben nicht nicht um eine Technologie von Google.

Der BGH stellt in Thumbnail darauf ab, dass man als Rechteinhaber wissen muss: Was ich online Stelle, das werden Suchmaschinen (gleich welche!) erfassen und indizieren – wenn ich sie nicht per “robots.txt” ausschließe. Würde man nun man nun vom Rechteinhaber fordern, jede denkbare Technik (verschiedener Unternehmen) zum Schutz seines Contents anzuwenden, könnte argumentiert werden, dass dies auf eine “Opt Out”-Regelung bezüglich der Nutzung hinausliefe (was konträr zum jetzigen Urheberrecht liefe).

Aber dennoch: Die  Situationen “Google / robots.txt” und “Facebook / Open Graph” sind aus meiner Sicht so gut vergleichbar, dass der Rechtsgedanke des BGH hier Anwendung finden kann. Denn mittlerweile sind soziale Netzwerke wie Facebook und Google+ derart verbreitet und grundlegend für die Kommunikation im Web, dass man “Open Graph” einen ähnlichen Stellenwert wie der robots.txt beimessen kann, jedenfalls bald wohl beimessen muss.

Grundsätzlich übertragbar?!

Grundsätzlich wäre die Entscheidung also aus meiner Sicht übertragbar. Aber der Jurist schreibt immer grundsätzlich, wenn es doch noch eine weitere Möglichkeit/Problematik gibt. Denn man stelle sich das Folgende vor:

Ein Urheber oder Berechtigter sichert seine Bilder mittels vorgenannter Technik gegen die Vorschaufunktion. Doch oh weh. Ein anderer Seitenbetreiber hat das Bild geklaut. Und nun  verlinkt ein Facebook-Nutzer die Seite mit dem geklauten Bild auf Facebook. Und, oops, natürlich erscheint eben dieses Bild auf Facebook in der Vorschau. Da, wo es eigentlich nicht hinsollte. Und schon haben wir wieder ein Problem, dass durch die OpenGraph-Funktion nicht gelöst ist.

Den eigentlichen Bilder-Dieb außen vor lassend, fragen wir uns, was passiert dann mit dem Facebook-Nutzer? Tja. An dieser Stelle greift die sogenannte Störerhaftung:

Als Störer haftet derjenige auf Unterlassung, der – ohne Täter oder Teilnehmer zu sein – in irgendeiner Weise willentlich und adäquat kausal zur Verletzung eines geschützten Gutes beiträgt.” (BGH I ZR 35/04 mwN)

Ergo, auch wenn der Facebook-Nutzer nur den Link setzt und sich gar keine Gedanken über das Bild macht, besteht eine Haftung jedenfalls auf Unterlassung und ggf. auf Erstattung der Rechtsanwaltskosten für eine Abmahnung. Denn der Facebook-Nutzer handelt als Störer im Sinne des BGH.

Ob der Faceboook-Nutzer in diesem Fall jedoch auch auf Schadensersatz haftet, ist so eine Sache. Denn nach  dem Wortlaut von § 97 UrhG genügt ein fahrlässiges Handeln, um auf Schadensersatz in Anspruch genommen zu werden. Und einfach ein Bild in die Welt zu schicken, bei dem ich nicht weiß, ob das erlaubt ist, ist fahrlässiges Handeln. Es ist schließlich vorhersehbar, dass eine Einwilligung des Berechtigten nicht vorliegen könnte. Und insoweit könnte auch der Schadensersatzanspruch bejaht werden.

Allerdings wäre es nach der Thumbnail-Rechtsprechung des BGH nur konsequent, dass in solch einem Fall der Facebook-Nutzer davon ausgehen können muss, dass ein Bild, welches in der Vorschau “freigegeben” wurde, auch berechtigterweise frei gegeben wurde. Anders ausgedrückt: Der Nutzer, der ein Link mit einem Vorschau-Bild postet, kann kaum überprüfen, ob der Berechtigte oder ein Unberechtigter die “Freigabe” zur Vorschau-Funktion erteilt hat.

Die Hardliner würden dem wiederum entgegensetzen, dass es darauf nicht ankomme und dass nicht das Problem des Urhebers oder Berechtigten sein könne und sein dürfe (ein Standpunkt der ebenfalls nachvollziehbar ist). Und dass in Folge dessen in dem Fall, in dem ich nicht weiß, ob das Bild “okay” ist, eben ein Link ohne Vorschaubild auf Facebook gepostet werden muss.

Mhm. Denkt mane ich mir sich an dieser Stelle. Rein juristisch mag das richtig sein. Aber praktisch? Im Zweifel keine Vorschaubilder auf Facebook? Doof. Und damit zur

guten Nachricht.

Es gibt keine Gerichtsentscheidung zu der Frage. Wenn ich es richtig sehe, haben bislang noch nicht einmal die Kollegen die OpenGraph-Funktion in Ihren Überlegungen berücksichtigt (ich tat es ja bisher auch nicht). Und die BGH-Richter zeigen sich in “Internetsachen” oft erstaunlich pragmatisch. So ist zwar alldieweil eine Rechtsunsicherheit auszuhalten und eine gerichtliche Entscheidung bleibt abzuwarten, aber selbst wenn eine “Abmahnwelle” bei Vorschaubildern rollen sollte, ist dem mit der hier aufgezeigten Argumentation ruhig entgegen zu sehen.

Andere Auffassung

Nicht verhehlen möchte ich an dieser Stelle, dass mein Partner, der Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht Stephan Dirks, mit dem ich über diesen Blogartikel und meine Rechtsmeinung sprach, anderer Auffassung ist. Er würde auch gerne mit den Richtern des BGH über die Thumbnail-Entscheidung streiten. Aber ich fürchte, das ändert an dieser auch nichts mehr… ;-).

In diesem Sinne,

weiterhin viel Spaß mit Facebook & Google+ und den Vorschaubildern.

PS: Expliziten Dank an Renato und Martin.
PPS: Hoffentlich habe ich Martin richtig verstanden. ;-)