Matthias Bergt

IT und Internet - mit Recht gestalten


13. Herbstakademie 2012 der Deutschen Stiftung für Recht und Informatik

 

„Facebook ist und bleibt kostenlos.“, heißt es auf der Facebook-Startseite. Dass aber Unternehmen äußerst gut daran tun, zumindest ein wenig an Facebook zu zahlen, war eine der vielen aufschlussreichen Informationen, die die Teilnehmer der 13. Herbstakademie der Deutschen Stiftung für Recht und Informatik (DSRI) mit nach Hause nehmen konnten. Vom 12. bis 15.9.2012 bot die Historische Stadthalle Wuppertal den 50 Vorträgen – von ganz praktischen aktuellen Rechtsproblemen bis zu politisch-gesellschaftlichen Rahmenbedingungen des Rechts – ein angemessenes Ambiente. Nachstehend seien einige Beispiele aus dem Programm vorgestellt – verbunden mit dem ausdrücklichen Hinweis, dass es noch weit mehr hochinteressante Vorträge gab, die für die wenigen verbesserungsfähigen Beiträge mehr als entschädigten, hier aber keinen Platz finden.

 

Dass die AGB von Facebook und Co. nicht wirksam sein können, ist naheliegend. RA Christian Solmecke, Wilde Beuger Solmecke, begründete dies überzeugend – nicht ohne zuvor darauf hinzuweisen, dass er, wie viele Nutzer, überhaupt keine AGB wirksam mit Facebook vereinbart habe. Für alle, die viel Geld in ihre Social-Media-Strategie investieren, dürfte allerdings anderes Praktisches viel bedeutender sein: „Es kann jederzeit Schluss sein“, fasste Solmecke seine Erfahrungen mit Facebook zusammen. Denn Facebook behält sich vor, Accounts jederzeit und ohne Begründung abzuschalten – was auch immer wieder passiert, so etwa bei einem von Solmeckes Mandanten (40.000 Fans) oder der Stadt München (400.000 Fans). Für diejenigen, die trotzdem lieber jeden Monat Tausende Euro in Werbung für Facebook statt für die eigene Homepage investieren, hatte Solmecke immerhin einen praktischen Tipp parat: Wer auch nur für wenige Euro Werbung bei Facebook bucht, bekommt eine Kundennummer. Mit Kundennummer kann man zumindest versuchen, mit Facebook Kontakt aufzunehmen, wenn man morgens statt der eigenen Facebook-Seite nur noch „Die von dir angeforderte Seite konnte nicht gefunden werden.“ sieht – ohne ist man sofort raus. – Speziell die (Un-)Wirksamkeit der Rechteeinräumung an Nutzerinhalten bei Social Media hatte zuvor bereits RA Thomas Schwenke dargelegt – und mit der für AGB gestaltende Juristen sicher nicht schmeichelhaften Feststellung unterlegt, dass ein Verzicht auf jede ausdrückliche Regelung durchaus keine dumme Idee sein dürfte.

 

Bei der Verfolgung von Filesharing-Fällen stellt sich regelmäßig das Problem, dass die Internet-Service-Provider die Zuordnung der dynamisch vergebenen IP-Adressen zu den Daten ihrer Kunden sofort oder jedenfalls wenige Tage nach Ende der jeweiligen Verbindung löschen müssen. Auskunftsverfahren nach § 101 Abs. 2 Satz 1 Nr. 3, Abs. 9 UrhG erfordern daher – jedenfalls soweit die Provider ihren Löschpflichten nachkommen – ein schnelles Vorgehen der Ermittlungsfirmen, der Anwälte der Rechteinhaber und der Gerichte. Um sich mehr Zeit zu verschaffen, haben daher einige Gerichte die Sicherungsanordnung erfunden: Dem Provider wird bis zum Abschluss des Auskunftsverfahrens verboten, die Daten zu löschen. RA Thomas Kahl, Taylor Wessing, wies allerdings nach, dass es dafür überhaupt keine Rechtsgrundlage gibt, sodass die Beschlüsse das TK-Geheimnis verletzen. Der Gesetzgeber sei daher gefordert, die „nicht ganz gelungen(e)“ Norm des § 101 Abs. 2 UrhG zu überarbeiten. Die derzeit von einigen Gerichten geübte richterliche Rechtsfortbildung jedenfalls sei mit der Verfassung nicht vereinbar.

 

„Safe Harbor“ ist gescheitert – nicht nur, wie RA Sascha Kremer und RA Stefan Sander, LLR LegerlotzLaschet, darlegen, weil die EU-Kommission damit im 1. Staatsexamen mangels Rechtsgrundlage „mit einem glatten Ungenügend“ abgeschnitten hätte. Zusätzlich erfüllten auch nur 54 von 1597 für Safe Harbor registrierten Unternehmen – möglicherweise – die dafür geltenden Bestimmungen. Doch auch i.Ü., meinen Kremer und Sander, sei in den USA kein „angemessenes“ Datenschutzniveau gegeben, wie es erforderlich ist, um auf Standardvertragsklauseln und Binding Corporate Rules verzichten zu können. Die deutschen Datenschutz-Aufsichtsbehörden dagegen beschränken sich darauf, zu verlangen, dass sich Unternehmen vor der Übermittlung in die USA vom Empfänger ihre Safe-Harbor-Zertifizierung und die tatsächliche Einhaltung der Safe-Harbor-Bedingungen aktuell nachweisen lassen.

 

Unterstützung erhielten Kremer und Sander von RA Dr. Mathias Schneider, Hoffmann Liebs Fritsch & Partner, der über Cloud Computing und US-amerikanische Ermittlungsbefugnisse nach dem Patriot Act sprach. Die Befugnisse der US-Behörden stellen demnach ein erhebliches Problem für Unternehmen dar, die Cloud-Dienste nicht rein europäischer Anbieter nutzen wollen: Denn das europäische Recht kennt keine Erlaubnisnorm, nach der personenbezogene Daten außerhalb der üblichen Rechtshilfe-Verfahren an US-Behörden übermittelt werden dürften. Da der Cloud-Nutzer davon ausgehen müsse, dass ein US- oder US-verflochtener Cloud-Anbieter allen Auskunftsverlangen der US-Behörden nachkommen und dies dem Cloud-Nutzer geheim halten werde, könne er eine „sorgfältige“ Auswahl des Auftragsdatenverarbeiters – wie sie § 11 BDSG verlangt – nicht treffen.

 

Komplizierter noch ist die Cloud-Nutzung für Berufsgeheimnisträger, wie Magda Wicker und Steffen Kroschwald, Universität Kassel, erläuterten. Denn sie unterliegen hinsichtlich ihrer Berufsgeheimnisse zwar nicht dem BDSG, dafür aber § 203 StGB sowie berufsrechtlichen Vertraulichkeitsverpflichtungen. Anwälte, Ärzte usw. könnten i.E. Cloud-Dienste nach dem derzeitigen Stand der Technik ausschließlich für Datenspeicherungen nutzen, weil – und wenn – sie die Daten vor dem Upload nach dem jeweiligen Stand der Technik sicher verschlüsseln. Software as a Service dagegen erfordert für die Verarbeitung der Daten einen Zugriff des Cloud-Anbieters auf die Berufsgeheimnisse, was zur Strafbarkeit nach § 203 StGB führe. Grundsätzlich denkbare Einwilligungslösungen würden an der praktischen Undurchführbarkeit scheitern. Hinzu komme die Pflicht des Berufsgeheimnisträgers, hinsichtlich der Daten von Dritten – wie Angehörigen oder Gegnern – Obhut walten zu lassen, was zu den gleichen Anforderungen wie im Hinblick auf Mandanten- oder Patientendaten führe.

 

Ein Plädoyer hielt RA Joerg Heidrich, Justiziar des Heise Zeitschriften Verlags: Nach zehn Jahren der Verschärfung des Urheberrechts auch einmal eine andere Richtung auszuprobieren. Das Wort „Urheberrecht“ sei zu einer Art Schimpfwort geworden. Er präsentierte daher zehn Thesen zum Urheberrecht, von einer nötigen Differenzierung zwischen privatem und gewerblichem Handeln über eine Forderung nach Verkürzung der urheberrechtlichen Schutzfristen bis zur Abschaffung des fliegenden Gerichtsstands in Internetsachen.

 

Auf eine These beschränkte sich RAin Malaika Nolde, VBB Rechtsanwälte: dass die Privatwirtschaft mittlerweile ein „Bundesbotnetz“ der Strafverfolgungsvorsorge sei. Zum Beleg subsumierte Nolde die verschiedenen Verpflichtungen, die z.B. Banken, Hoteliers, Rechtsanwälte und Notare, Händler oder TK-Dienstleister treffen, unter die Merkmale eines Botnetzes.

  

Matthias Bergt ist Rechtsanwalt in Berlin.