28.08.2019
Vor dem Europäischen Gerichtshof (EuGH) hat das Verfahren in der Rechtssache „Schrems II“ begonnen. Maximilian Schrems – Jurist und Datenschützer – hatte schon vor Jahren ein Verfahren in die Wege geleitet, um zu überprüfen, ob der Datentransfer in Nicht-EU-Staaten (insbesondere die USA) rechtmäßig ist. Der Rechtsstreit schaffte es zum EuGH und mündete letztendlich in der aufsehenerregenden Aufhebung des Safe-Harbor-Abkommens. Nun verhandelt das Gericht erneut, diesmal zur Wirksamkeit der Standardvertragsklauseln (Standard Contract Clauses, SCC). Sollten diese aufgehoben werden, steht die Rechtmäßigkeit von Datenübertragungen nicht nur in die USA, sondern in alle Nicht-EU-Staaten in Frage..
Nach der seit Mai 2018 geltenden Datenschutzgrundverordnung dürfen personenbezogene Daten nur dann in Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums (sog. Drittländer) übermittelt werden, wenn in diesen Ländern ein der EU vergleichbares Schutzniveau für den Umgang mit diesen Daten gewährleistet ist. Der Verantwortliche muss hierfür geeignete Garantien vorsehen, welche unter anderem in den Standardvertragsklauseln bestehen können. Facebook Irland hatte personenbezogene Daten auf der Grundlage von Standardvertragsklauseln in die USA übermittelt. In den USA können Sicherheitsbehörden aus Gründen der nationalen Sicherheit jedoch auf diese Daten zugreifen, ohne dass Nicht- US-Bürger hiergegen gerichtlich vorgehen könnten. Diese Tatsache stellt nach Auffassung des irischen High Court die Gültigkeit der Standardvertragsklauseln generell in Frage, da sie nicht mit dem Schutz der Privatsphäre und dem Schutz personenbezogener Daten nach der DSGVO vereinbar seien. Aufgrund dessen hat der High Court diverse Fragen zur datenschutzrechtlichen Zulässigkeit von Datentransfers in Drittländer an den EuGH gestellt. Kritisiert wird hier insbesondere, dass es an wirksamen Rechtsbehelfen und der Rechtsdurchsetzung durch die (hier irischen) Aufsichtsbehörden mangelt. Dabei handelt es sich um Aspekte, die bereits in der Entscheidung zum Safe-Harbor-Abkommen eine entscheidende Rolle spielten und den EuGH letztendlich zur Abschaffung des Abkommens veranlassten.
Sollte der EuGH sich gegen die Wirksamkeit der Standarddatenschutzklauseln aussprechen, hätte dies Auswirkungen auf jeglichen Datenaustausch mit Nicht-EU-Ländern, nicht nur in Bezug auf die USA. Für das konkrete Verfahren käme es dann in einem zweiten Schritt darauf an, ob die Übermittlung der personenbezogenen Daten gegebenenfalls nach dem EU-US Privacy Shield erfolgen durfte. Dieses steht jedoch ebenfalls massiv – sogar durch das Europäische Parlament selbst - in der Kritik. Im worst case könnte der EuGH auch diesen Nachfolger von Safe Harbor kippen. Mit Spannung dürften die Schlussanträge des Generalanwalts zu erwarten sein, an denen sich der EuGH häufig orientiert. Eine Entscheidung des Gerichts dürfte jedoch frühestens gegen Ende des Jahres zu erwarten sein.
Kürzlich ist auf europäischer Ebene die Verordnung über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (kurz: Cybersecurity Act) in Kraft getreten. Die Verordnung trägt der herausragenden Bedeutung der Digitalisierung in der modernen Gesellschaft Rechnung und hat zum Ziel, die Sicherheit von Informationsund Kommunikationstechnologien (IKT) zu fördern. Als Teil der Reform der Cybersicherheit in Europa soll die Verordnung dazu beitragen, die Cybersicherheit zu stärken.
Das Reformpaket zur Cybersicherheit wurde im September 2017 von der Europäischen Kommission vorgelegt, um Bedrohungen durch Cyberangriffe zu trotzen und Chancen neuer Technologien zu nutzen. Zu diesem Paket gehört (neben dem Cybersecurity Act) auch die rasche Umsetzung der Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie), welche die Mitgliedsstaaten unter anderem zur Festlegung einer Strategie zur Bewältigung von Bedrohungen durch Cyberkriminalität verpflichtet. Die Reform wird angesichts der steigenden Anzahl von Cyberangriffen und Sicherheitsvorfällen als erforderlich angesehen und durch eine Meinungsumfrage der Europäischen Kommission im Juni 2017 gestützt. Danach gehen 86% der Europäer davon aus, dass das Risiko, Opfer von Cyberkriminalität zu werden, steigt. Gerade unter Beachtung der wachsenden Bedeutung der digitalen Vernetzung wurde hier dringender Handlungsbedarf im Bereich Cybersecurity gesehen.
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) wurde 2004 gegründet. Bisher verfügte sie nur über ein vorübergehendes Mandat und begrenzte Ressourcen. Sie unterstützte die Europäische Kommission und die Mitgliedsstaaten mit Leitlinien zu technischen Aspekten der Netz- und Informationssicherheit. Nach der neuen Verordnung dient sie jetzt als Bezugspunkt für Beratung und Sachkenntnis im Bereich Cybersicherheit. Als Kompetenzzentrum wird sie hauptsächlich beratend und unterstützend tätig, soll aber auch die Umsetzung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit fördern. Dies geschieht durch Abgabe von Stellungnahmen, Herausgabe von Leitlinien, Anbieten von Beratung und bewährten Verfahren zu Themen wie Risikomanagement, Meldung von Sicherheitsvorfällen und Informationsaustausch. Die Verordnung regelt Ziele, Aufgaben und organisatorische Aspekte der ENISA, erteilt ihr ein dauerhaftes Mandat und erweitert die Kompetenzen und Ressourcen.
Der zweite Regelungskomplex des Cybersecurity Acts bildet einen Rahmen für EU-weite Zertifizierungen für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikationstechnologien. Nach Ansicht der Europäischen Kommission spielen Zertifizierungen eine entscheidende Rolle bei der Stärkung des Vertrauens und der Sicherheit in Produkte und Dienstleistungen, welche für den digitalen Binnenmarkt von zentraler Bedeutung sind. Bisher waren Zertifizierungen für IKT-Produkte und -Dienste nicht gängig, es bestand jedoch die Möglichkeit, sich in einzelnen Mitgliedsstaaten oder im Rahmen brancheneigener Programme zertifizieren zu lassen. Diese aufwändigen und kostenintensiven Verfahren sollen nun abgelöst werden durch eine EU-weit einheitliche Cybersicherheitszertifizierung, so dass Unternehmen Ihre Produkte und Dienstleistungen ohne Hindernisse am Europäischen Markt anbieten können. Aufbau und Pflege des Rahmens für die Cybersicherheitszertifizierung erfolgt durch die ENISA.
Das neue Zertifizierungsschema wird unionsweit einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit aufstellen. Es besteht aus einem umfassenden Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren. Das Cybersicherheitszertifikat wird bescheinigen, dass die geprüften Produkte, Dienstleistungen und Prozesse bestimmte Anforderungen an die Cybersicherheit erfüllen und eine Kategorisierung der Vertrauenswürdigkeit anhand der Stufen „niedrig“, „mittel“ oder „hoch“ vornehmen. Die Einordnung anhand der Sicherheitsstufen ist das Ergebnis einer Risikoabwägung im Hinblick auf Wahrscheinlichkeit und Auswirkungen eines Sicherheitsvorfalls, unter Berücksichtigung der beabsichtigen Verwendung des Produkts, Dienstes oder Prozesses. Auf der Stufe „niedrig“ wird gewährleistet, dass die bekannten grundlegenden Risiken für Sicherheitsvorfälle und Cyberangriffe möglichst gering gehalten werden. Auf dieser Stufe ist auch eine Selbstbewertung der Konformität unter alleiniger Verantwortung des Herstellers oder Anbieters möglich. Mit der Stufe „mittel“ zertifizierte Produkte, Dienstleistungen und Prozesse halten bekannten Cybersicherheitsrisiken und dem Risiko von Cybersicherheitsvorfällen und Cyberangriffen seitens Akteuren mit begrenzten Fähigkeiten und Ressourcen stand. Auf der Stufe „hoch“ wird zertifiziert, dass Cyberangriffe auf dem neuesten Stand der Technik durch Akteure mit umfangreichen Fähigkeiten und Ressourcen abgewehrt werden können. Die Erwägungsgründe des Cybersecurity Acts stellen jedoch klar, dass auch ein Produkt, Dienst oder Prozess mit einem Zertifikat auf hohem Niveau nicht völlig sicher ist.
Die Einführung einer unionsweiten Zertifizierung wird den grenzüberschreitenden Waren- und Dienstleistungsverkehr in der EU fördern und den Binnenmarkt weiter stärken. Die Festlegung gemeinsamer Standards ist zudem geeignet, die Cybersicherheit zu erhöhen. In nächster Zeit bleibt abzuwarten, wie die ENISA die Zertifizierungsschemata ausarbeiten wird. Mit besonderer Spannung dürften hier die Festlegung der konkreten Anforderungen an die Zertifizierung und die Zertifizierungsstellen zu erwarten sein. Zudem ist noch fraglich, wie der Übergang mit bereits bestehenden Zertifizierungen gehandhabt werden soll. Einzelne Artikel der Verordnung werden erst zum 28. Juni 2021 in Kraft treten. Dies betrifft Regelungen unter anderem zu nationalen Behörden für die Cybersicherheitszertifizierung, Konformitätsbewertungsstellen, das Beschwerderecht und Sanktionen.
Nach der umfangreichen Reform des deutschen Datenschutzrechts zum Inkrafttreten der Datenschutzgrundverordnung wurde nun das zweite Datenschutzanpassungsgesetz im Bundestag verabschiedet. Es nimmt Änderungen in 154 Fachgesetzen vor. Diese sind überwiegend redaktioneller und begrifflicher Natur, inhaltliche Änderungen sind nur in wenigen Fällen vorgesehen. Diese könnten jedoch umso bedeutsamer sein und sind daher umstritten: Unter anderem soll die maßgebliche Personenanzahl, ab der ein betrieblicher Datenschutzbeauftragter bestellt werden muss, von zehn auf zwanzig Personen erhöht werden. Der Bundesrat muss dem Gesetz noch zustimmen.
Nach der aktuellen Gesetzeslage ist ein Datenschutzbeauftragter zu bestellen, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die gesetzlichen Hauptaufgaben des Datenschutzbeauftragten liegen in der Beratung des Verantwortlichen in Bezug auf seine datenschutzrechtlichen Pflichten und der Überwachung der Einhaltung dieser Pflichten. Außerdem arbeitet er mit den Aufsichtsbehörden zusammen. Er muss über besondere Fachkunde auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie dem Datenschutzmanagement verfügen. Daneben sollte der Datenschutzbeauftragte außerdem Wissen im Bereich der Informations- und Kommunikationstechnik sowie eine betriebswirtschaftliche Grundkompetenz und Branchenkenntnisse aufweisen. Der Verantwortliche kann einen externen Datenschutzbeauftragten benennen oder einen seiner Mitarbeiter für diesen Posten wählen. In letzterem Fall sollte jedoch die besondere Stellung des Datenschutzbeauftragten bedacht werden, da diese Auswirkungen auf die unternehmerische Gestaltungsfreiheit haben kann. Der Datenschutzbeauftragte ist unabhängig und weisungsfrei in Bezug auf die Erfüllung seiner Aufgaben. Er kann von dem Verantwortlichen die Ausstattung mit den erforderlichen Ressourcen verlangen, was neben personellen und finanziellen Mitteln auch genügend Zeit für die Erfüllung der Aufgaben und die fachliche Bildung sowie Weiterbildung beinhaltet. Er kann außerdem nicht ordentlich gekündigt werden.
Die Vorteile der beabsichtigten Neuregelung werden im Bürokratieabbau und der Entlastung von kleinen und mittelständischen Unternehmen gesehen. Besonders bedeutsam ist die Regelung, wenn man beachtet, dass 90% der Unternehmen in Deutschland weniger als 20 Mitarbeiter haben. Dagegen wird jedoch eingewendet, dass es sich hierbei um eine „Milchmädchenrechnung“ handele. Mit der Einschränkung zur Bestellpflicht gehe nämlich ein Kompetenzverlust in den Unternehmen einher. Der Datenschutzbeauftragte sei nicht nur als Belastung zu betrachten, sondern biete auch eine Hilfestellung bei der Erfüllung der datenschutzrechtlichen Pflichten. Gerade Startups, bei denen die Verarbeitung personenbezogener Daten häufig den Kernpunkt der Tätigkeit bilde, liefen hier Gefahr, den datenschutzrechtlichen Pflichten nicht vollumfänglich gerecht zu werden.
Wie wichtig die Beratung durch den betrieblichen Datenschutzbeauftragten ist, zeige sich auch an der steigenden Zahl der Anfragen an die Aufsichtsbehörden. Diese bestätige, dass in den Unternehmen starke Unsicherheit in Bezug auf die Pflichten nach der DSGVO herrsche, die sich mit einem Abbau der Datenschutzbeauftragten noch weiter verstärken würde. Denn dadurch fiele eine beratende Anlaufstelle ersatzlos weg. Die Datenschutzbehörden seien bisher schon überlastet und können eine intensivere Einzelberatung aufgrund der personellen Engpässe nicht leisten. Folglich führe die Abmilderung der Pflicht zur Bestellung eines Datenschutzbeauftragten zu einer Verschärfung der Haftungsrisiken in den Unternehmen.
Neben der Anhebung des Schwellenwertes zur Bestellung des Datenschutzbeauftragten enthält das Gesetz außerdem materielle Regelungen zu den Betroffenenrechten und Rechtsgrundlagen für die Datenverarbeitung. Demnach werden Auskunftsrechte unter anderem gegenüber der ordentlichen Gerichtsbarkeit und Staatsanwaltschaften und in Bezug auf Vereinsregister eingeschränkt. Für die Verarbeitung besonderer Datenkategorien wird eine neue Rechtsgrundlage geschaffen: im Rahmen von Deradikalisierungsprogrammen dürfen besonders sensible Daten durch zivilgesellschaftliche Träger künftig verarbeitet und an die Sicherheitsbehörden weitergegeben werden. Diese Regelungen werden besonders kritisiert, weil sie im Rahmen dieses Gesetzes ergehen sollen. Solche grundlegenden inhaltlichen Änderungen seien jedoch aufgrund des Umfangs von über 500 Seiten und seiner überwiegend redaktionellen Anpassungen kaum zu überblicken.
Der Abbau von bürokratischen Hürden und finanziellen Belastungen, die mit der Bestellung eines betrieblichen Datenschutzbeauftragten insbesondere für kleine und mittelständische Unternehmen einhergehen, ist generell zu begrüßen. Es besteht jedoch auch die Gefahr, die datenschutzrechtlichen Pflichten zu unterschätzen und diesen nicht ausreichend nachzukommen. Diese gelten nämlich abgesehen von der Pflicht zur Bestellung des Datenschutzbeauftragten weiterhin in vollem Umfang. Die für die Datenverarbeitung Verantwortlichen sollten hier gründlich abwägen, ob sie auch ohne einen Datenschutzbeauftragten über die notwendige Fachkunde verfügen, auf Anfragen von betroffenen Personen oder den Aufsichtsbehörden angemessen zu reagieren und die Anforderungen der DSGVO ausreichend umzusetzen. Es bleibt jedoch auch stets die Möglichkeit, freiwillig einen Datenschutzbeauftragten zu bestellen.
Der Betreiber einer Online-Plattform ist nicht verpflichtet, dem Verbraucher ein bestimmtes Kommunikationsmittel (z.B. Telefonnummer) zur Kontaktaufnahme zur Verfügung zu stellen. Es muss jedoch ein Kommunikationsmittel bereitstehen, über das schnell und effizient mit dem Betreiber kommuniziert werden kann.
Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände, Verbraucherzentrale Bundesverband e.V. (Bundesverband) gegen den Plattformbetreiber Amazon EU S.à.r.l. (Amazon), welcher unterschiedliche Waren auf www.amazon.de anbietet. Amazon hat für die Kommunikation mit Verbrauchern unter anderem einen Rückrufservice eingerichtet. Hiergegen richtete sich der Bundesverband. Dieser wollte festgestellt wissen, dass Amazon gegen seine gesetzliche Verpflichtung verstoße, dem Verbraucher ein verständliches und zugängliches Mittel zur Kontaktaufnahme bereitzustellen. Der Verbraucher müsse für den Rückrufservice von Amazon erst eine Vielzahl von Schritten durchlaufen (u. a. Klicks auf Unterwebseiten), um einen Ansprechpartner zu erreichen.
Amazon verstoße damit gegen deutsches Recht. Denn nach Art. 246a § 1 Abs. 1 Nr. 2 EGBGB in Verbindung mit § 312d Abs. 1 BGB ist ein Unternehmer im Fernabsatzverkehr verpflichtet, dem Verbraucher seine Identität, beispielsweise seinen Handelsnamen sowie die Anschrift seiner Niederlassung, seine Telefonnummer und gegebenenfalls seine Telefaxnummer und E-Mail-Adresse […] anzugeben. Nach europäischen Recht gemäß Art. 6 Abs. 1 Buchst. c der Richtlinie 2011/83/EU ist der Unternehmer hingegen verpflichtet, die Anschrift des Ortes, an dem der Unternehmer niedergelassen ist, und gegebenenfalls seine Telefonnummer, Faxnummer und EMail-Adresse […] anzugeben hat. Im Unterschied zur Richtlinie wäre der Unternehmer nach deutschem Recht verpflichtet, vor Abschluss eines Vertrags mit einem Verbraucher im Fernabsatz oder außerhalb von Geschäftsräumen stets eine Telefonnummer anzugeben.
Vor diesem Hintergrund wollte der BGH von dem EuGH wissen, ob die Richtlinie über die Rechte der Verbraucher einer solchen nationalen Regelung entgegensteht und ob der Unternehmer verpflichtet ist, einen Telefon- oder Telefaxanschluss bzw. ein E-Mail-Konto neu einzurichten, damit die Verbraucher mit ihm in Kontakt treten können. Zugleich wollte der BGH wissen, ob ein Unternehmer auch auf andere Kommunikationsmittel zurückgreifen könne.
Kernpunkt der Entscheidung des EuGH ist die Auslegung des Begriffs „gegebenenfalls“ in Art. 6 Abs. 1 Buchst. c der Richtlinie 2011/83. Der EuGH geht zunächst von zwei Interpretationsmöglichkeiten aus. Einerseits könnte diese Bestimmung so verstanden werden, dass sie den Unternehmer verpflichtet, den Verbraucher über seine Telefonnummer und seine Telefaxnummer zu informieren, wenn der Unternehmer über solche Nummern verfügt. Andererseits könnte der Unternehmer hierzu nur verpflichtet sein, wenn er Telefon und Telefax auch ausdrücklich im Kontakt mit den Verbrauchern benutzt.
Welche Interpretation einschlägig ist, beurteilt der EuGH auf Grundlage des Sinn und Zwecks der Richtlinie. Danach ist ein ausgewogenes Gleichgewicht zwischen einem hohen Verbraucherschutzniveau und der Wettbewerbsfähigkeit der Unternehmen sicherzustellen. Es gelte auch die unternehmerische Freiheit des Unternehmers, wie sie in der Charta der Grundrechte der Europäischen Union gewährleistet wird, zu wahren.
Daher kommt der EuGH zu dem Schluss, dass die Richtlinie der deutschen Regelung entgegensteht und der Unternehmer nach der Richtlinie nicht verpflichtet ist, einen Telefonanschluss oder Telefaxanschluss bzw. ein E-Mail-Konto neu einzurichten. Die Richtlinie verpflichtet nur zur Übermittlung von Telefonnummern und E-Mail-Adressen, wenn der Unternehmer über diese Kommunikationsmittel mit den Verbrauchern bereits verfügt.
Darüber hinaus verpflichtet die Richtlinie einen Unternehmer aber auch dazu, den Verbrauchern ein Kommunikationsmittel zur Verfügung zu stellen, das eine direkte und effiziente Kommunikation gewährleistet, wobei der Unternehmer bezüglicher der Wahl des Mittels grundsätzlich frei ist. Die Einhaltung dieser Kriterien des Kommunikationsmittels, obliegt insoweit der Überprüfung durch die nationalen Gerichte. Der Gerichtshof hat lediglich angedeutet, dass der Umstand, dass eine Telefonnummer erst nach einer Reihe von Klicks erreichbar ist, nicht gegen eine klare und verständliche Weise im vorliegenden Fall spricht.
Der EuGH stellt mit seiner Entscheidung einen angemessenen Ausgleich von Verbraucher- und Unternehmerbelangen her. Dabei eröffnet er den Unternehmen die Möglichkeit auch solche Kommunikationsmittel in ihre Unternehmensstruktur zu implementieren, welche nicht ausdrücklich in der Richtlinie verankert sind. Insbesondere dürften Chat- und Rückrufsysteme als mögliche Konzepte nunmehr als anerkannt gelten, sofern sie klar und leicht zugänglich sind. Ob dies auch für Chat-Bots gilt ist jedoch fraglich, da bei diesen Systemen wohl keine hinreichende Kommunikation mit dem Unternehmen(- smitarbeiter) gewährleistet ist.
Folglich sind Unternehmen gerade auf Grund des Urteils angehalten, weiterhin ein klares Konzept für die Kommunikation mit Verbrauchern zu entwickeln und bereitzustellen. Das Urteil entbindet nicht davon, bereits bestehende Kundenkommunikationsmittel, so auch per Telefon, weiterhin in klarer und verständlicher Weise auszuweisen. Insbesondere ist das Urteil keine „Einladung“ dazu, bereits bestehende Telefonanschlüsse aufzukündigen, da das Urteil nur auf neu einzurichtende Kommunikationsmittel Bezug nimmt.
Ein neues Urteil des Europäischen Gerichtshofs bringt mehr Klarheit im Umgang mit Social Media Buttons. Der EuGH äußerte sich auf Vorlage des Oberlandesgerichts Düsseldorf zu Fragen des Datenschutzes bei der Einbindung des Like-Buttons von Facebook auf Webseiten.
Wenn der Like-Button auf einer Webseite eingebunden wird, übermittelt der Browser bei Aufruf der Seite personenbezogene Daten des Nutzers an Facebook. Dies geschieht automatisch mit Aufrufen der Seite ohne Zutun des Nutzers und ohne dass der Webseitenbetreiber dies beeinflussen könnte. Insbesondere ist die Datenübermittlung unabhängig vom Anklicken des Buttons oder der Mitgliedschaft bei Facebook. Ebenso verhält es sich mit Social Plugins anderer Dienste wie etwa Twitter oder LinkedIn. Durch das Einbinden der Plugins verfolgen Webseitenbetreiber wirtschaftliche Interessen, indem sie die Reichweite ihres Auftritts erweitern und eine virale Verbreitung ermöglichen (wollen). Im Gegenzug erhalten Facebook und Co. personenbezogene Daten der Webseitenbesucher, die sie für personalisierte Werbung nutzen können.
Der EuGH hat nun entschieden, dass Webseitenbetreiber, die den Like-Button auf ihrer Seite einbinden, gemeinsam mit Facebook für die Einhaltung des Datenschutzes verantwortlich sind. Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO folgt aus der Tatsache, dass auch die Webseitenbetreiber - ebenso wie Facebook - eigene wirtschaftliche Interessen verfolgen und bewusst Social Plugins einsetzen. Hiermit entscheiden sie gemeinsam über Zweck und Mittel der Datenverarbeitung, was Voraussetzung für die Verantwortlichkeit ist. Damit unterliegen Webseitenbetreiber und die Anbieter der Plug-Ins wie Facebook gemeinsam den datenschutzrechtlichen Pflichten. Insbesondere folgt daraus, dass beide Verantwortliche im Sinne der DSGVO sind und jeweils eine eigene Rechtsgrundlage für die Verarbeitung brauchen. Zudem muss nach Art. 26 DSGVO zwischen den gemeinsam Verantwortlichen in transparenter Form festgelegt werden, wer die Erfüllung welcher datenschutzrechtlichen Pflichten – z. B. die Wahrnehmung der Betroffenenrechte – übernimmt. Darüber hinaus muss der Webseitenbesucher über die Datenverarbeitung informieren werden.
Die gemeinsame Verantwortlichkeit besteht so weit, wie eine gemeinsame Entscheidung über Zweck und Mittel der Verarbeitung erfolgt; sie erfasst also nur die Datenerhebung und -übermittlung durch das Plug-In. Was danach mit den Daten beim sozialen Netzwerk passiert, liegt außerhalb der Verantwortlichkeit des Webseitenbetreibers; hier muss das soziale Netzwerk für die Einhaltung des Datenschutzes sorgen.
Auf welche Rechtsgrundlage sich die Datenverarbeitung im konkreten Fall stützen kann, führt der Gerichtshof nicht weiter aus und überlässt die weitere Prüfung dem OLG Düsseldorf, das die Fragen an das EuGH vorgelegt hatte. Der EuGH betont aber, dass eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO – sofern erforderlich – von dem Webseitenbetreiber und nicht von Facebook eingeholt werden muss. Die Datenverarbeitung erfolgt allein durch den Aufruf der Webseite, so dass auf dieser auch die Einwilligung eingeholt werden muss. Sollte die Verarbeitung auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO in Betracht kommen, müsse sowohl beim Webseitenbetreiber als auch beim sozialen Netzwerk ein solches berechtigtes Interesse vorliegen, um die Datenverarbeitung jeweils zu rechtfertigen.
rste Reaktionen ließen nicht lange auf sich warten: Der Landesbeauftragte für den Datenschutz in Hamburg spricht von einer großen Tragweite der Entscheidung, der Thüringer Landesbeauftragte für den Datenschutz äußerte sich positiv. In NRW ist man noch zögerlich und kündigt an, die Auswirkungen des Urteils zunächst eingehender zu prüfen. Der Branchenverband der deutschen Informations- und Telekommunikationsbranche Bitkom äußerte sich kritisch zu den Auswirkungen des Urteils. Demnach steige der bürokratische Aufwand für Webseitenbetreiber, ohne dass sich das Datenschutzniveau wesentlich ändere. Damit ist die Einbindung datenschutzfreundlicherer Methoden zum Teilen von Inhalten in sozialen Netzwerken gemeint, wie z. B. die „Zwei-Klick-Lösung“, „Shariff“ oder „Embetty“, die mittlerweile weite Verbreitung finden. Dabei erfolgt die Datenverarbeitung nicht direkt beim Seitenaufruf, sondern erst nach Aktivierung des Social Plugins durch den User.
Nachdem der EuGH in einer früheren Entscheidung schon die gemeinsame Verantwortlichkeit von Fanpage-Betreibern und Facebook festgestellt hatte, stärkt er nun wieder den Schutz personenbezogener Daten im Internet und in Bezug auf soziale Medien. Dem unbemerkten Datensammeln mittels Social Plugins dürfte damit ein Ende gesetzt sein. Mit Spannung dürfte auch das Urteil des OLG Düsseldorf zu erwarten sein, das nun u. a. darüber zu entscheiden hat, ob der Einsatz von Plug-Ins auf berechtigte Interessen (insbesondere Werbung o. Ä.) gestützt werden kann oder aber eine Einwilligung erforderlich ist.
Für Webseitenbetreiber bedeutet das Urteil des EuGH vor allem, dass sie den Einsatz von Social Plugins prüfen und überdenken müssen. Jedenfalls müssen sie die Besucher ihrer Seite über die Datenverarbeitung ausreichend und in geeigneter Weise informieren, um sich nicht einem Haftungsrisiko auszusetzen. Hierfür kommen z. B. die Datenschutzerklärung oder entsprechende Cookie- Banner in Frage, deren Gestaltung und Platzierung jedoch ebenfalls diversen Vorgaben unterworfen sind. Schlussendlich sollte auch geprüft werden, ob Vereinbarungen nach Art. 26 DSGVO mit dem Anbieter der Plug-Ins vorhanden bzw. rechtswirksam sind. Hier bestanden bisher insbesondere bei den von Facebook versendeten Vereinbarungen und Informationsblättern erhebliche Zweifel.
Seit über 20 Jahren streitet die Band Kraftwerk mit dem Musikproduzenten Moses Pelham über das Sampling einer zweisekündigen Tonsequenz aus dem Kraftwerk Titel „Metall auf Metall“. Nun entschied der EuGH, dass die Verwendung fremder Tonsequenzen auch ohne Zustimmung des Künstlers unter bestimmten Voraussetzungen zulässig ist. Nebenbei erklärte der EuGH § 24 Abs. 1 UrhG für unionsrechtswidrig.
Im Jahr 1997 verwendete der Frankfurter Musikproduzent Moses Pelham ein Sample einer Rhythmussequenz des Kraftwerk Titels „Metall auf Metall“ für die Produktion des Songs „Nur mir“, der in der Folge auf dem Album „Die neue S-Klasse“ von Sabrina Setlur erschien. Die gesampelten zwei Sekunden, die mit einer um 5% verringerten Geschwindigkeit zur Unterlegung des Titels als sogenannter „Loop“ genutzt wurden, zogen einen Rechtsstreit nach sich, der bis heute währt. Zunächst entschied der BGH im Jahr 2012 nach mehreren Instanzen, dass die Verwendung des Audiofragments ohne vorherige Einholung der Erlaubnis der Rechteinhaber eine Urheberrechtsverletzung darstellt. Dieses Urteil wurde 2016 vom Bundesverfassungsgericht aufgehoben und zur erneuten Entscheidung an den BGH zurückverwiesen. In seiner Entscheidung wies das Bundesverfassungsgericht unter anderem darauf hin, dass die Kunstfreiheit aus Art. 5 Grundgesetz durch den BGH nicht ausreichend berücksichtigt worden sei. Im Jahr 2017 setzte der BGH das Verfahren sodann aus und legte dem EuGH im Rahmen eines Vorabentscheidungsverfahrens mehrere Fragen vor. Diese wurden nun beantwortet.
Der EuGH hatte zu klären, ob das Recht des Tonträgerherstellers auf Vervielfältigung und Verbreitung, dass diesem nach der Richtlinie 2001/29/EG (Urheberrechtsrichtlinie) zusteht, durch das Sampling sehr kurzer Audiofragmente beeinträchtigt wird. Der Gerichtshof entschied, dass dies der Fall sei, und zwar auch bereits dann, wenn nur wenige Sekunden eines fremden Titels übernommen würden. Auch sehr kurze Audiofragmente stellten „teilweise Vervielfältigungen“ dar. Der EuGH führte allerdings fort:
„Entnimmt jedoch ein Nutzer in Ausübung der Kunstfreiheit einem Tonträger ein Audiofragment, um es in geänderter und beim Hören nicht wiedererkennbarer Form in einem neuen Werk zu nutzen, stellt eine solche Nutzung keine „Vervielfältigung“ im Sinne von Art. 2 Buchst. c der Richtlinie 2001/29 dar.“
Konsequent kam man also zu dem Schluss: Ein nicht mehr wiedererkennbares Sample kann keine Vervielfältigung sein. Dieses Ergebnis steht für den EuGH auch im Einklang mit dem angestrebten Ausgleich zwischen dem Recht des Inhabers am geistigen Eigentum einerseits und der Freiheit der Kunst andererseits. Das Urteilt macht zudem deutlich, dass der EuGH die „Technik des Elektronischen Kopierens von Audiofragmenten (Sampling)“ als „künstlerische Ausdrucksform“ anerkennt.
Die Beantwortung einer anderen Frage ist für das deutsche Urheberecht möglicherweise noch bedeutsamer. Der BGH wollte nämlich zudem wissen, ob sich ein Sampler auf eine nationale Regelung wie die Bestimmung des § 24 Abs. 1 Urheberrechtsgesetz (UrhG) berufen kann, um die freie Benutzung eines fremden Werks zu legitimieren. § 24 Abs. 1 UrhG ermöglicht die Benutzung eines geschützten Werks, wenn die ihm „entnommenen individuellen Züge gegenüber der Eigenart des neugeschaffenen Werks verblassen“ (BGH GRUR 2003, 956/9589 – Gies-Adler). Demnach könnte die Vorschrift auch im vorliegenden Fall die Verwendung des Audiofragments rechtfertigen, sofern man dem Loop im Song „Nur mir“ eine hinreichende Individualität attestiert, die sich ausreichend weit von der Sequenz aus „Metall auf Metall“ absetzt.
Der EuGH stellt jedoch fest, dass eine derartige Ausnahme oder Beschränkung der Rechte des Tonträgerinhabers in nationalen Regelungen nicht zulässig ist. Die in Artikel 5 der Urheberrechtsrichtlinie genannten Ausnahmen und Beschränkungen seien erschöpfend. Würde es den Mitgliedsstaaten durch eigene nationale Regelungen ermöglicht, entsprechend abweichende und weitergehende Ausnahmen in diesem Bereich vorzusehen, so brächte dies eine Gefährdung der Ziele der Richtlinie – die unionsweite Harmonisierung des Urheberrechts und Schaffung von Rechtssicherheit auf diesem Gebiet - mit sich.
Mit seinem Urteil vom 29. Juli 2019 (Az. C476/17) nimmt der EuGH zu wichtigen Fragen des europäischen Urheberrechts Stellung. Nebenbei erklärt er Ausnahmeregelungen wie das Recht der freien Benutzung aus § 24 Abs. 1 UrhG für unvereinbar mit dem Unionsrecht. Dies könnte für das deutsche Urheberrecht durchaus weitreichende Folgen haben. Im Fall Kraftwerk gegen Pelham bleibt abzuwarten, wie sich der BGH bei seiner vierten Befassung mit der Angelegenheit positioniert. Insbesondere wird er nun prüfen müssen, wie viel von „Metall auf Metall“ für den Hörer des Songs „Nur mir“ erkennbar ist.