Dauerbrenner IT-Sicherheit - Nun macht Brüssel Druck

MMR 2016, 429   Zugegeben: Wirklich neu ist das Thema IT-Sicherheit nicht. Bereits im Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) in Kraft, das primär den Betreibern Kritischer Infrastrukturen wie z.B. Energieversorgern, sog. Kritis-Betreibern, verschiedene IT-Sicherheits- und Meldepflichten auferlegte. Im Mai 2016 sorgte das Bundesministerium des Innern (BMI) sodann mit der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) für mehr Klarheit hinsichtlich einer Vielzahl vom IT-SiG betroffener Adressaten.

 

 

Diese nationalen Anfangsbemühungen, das IT-Sicherheitsniveau in Deutschland zu heben, werden jedoch bereits auf Grund eines Richtlinienentwurfs aus Brüssel teilweise in Frage gestellt. Denn seit Dezember 2015 liegt auch der Entwurf für eine EU-Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL-Entwurf) vor. Der gemeinsame Entwurf von Vertretern des Europäischen Parlaments, des Rates und der Kommission, den sog. Trilog-Parteien, wird aller Voraussicht nach im August 2016 in seiner jetzigen Form beschlossen werden. Die Mitgliedstaaten sind dann verpflichtet, die (stark vergleichbare Verpflichtungen wie das IT-SiG vorsehende) Richtlinie binnen 21 Monaten auf nationaler Ebene umzusetzen.

 

 

Für den deutschen Rechtsanwender ist dies eine eher ungewohnte Situation. So geschieht es zwar regelmäßig, dass der deutsche Gesetzgeber eine Richtlinie verspätet umsetzt. Dass er bewusst in Vorleistung geht, kommt zwar gelegentlich vor, ist jedoch eher selten. Wie kam es also dazu? Die Erklärung liegt in der aktuellen Gefährdungslage für IT-Sicherheitssysteme, insbesondere denen von Kritis-Betreibern. Schon 2014 stufte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Lage der IT-Sicherheit in Deutschland als kritisch ein. Besonders im Bereich der Kritischen Infrastrukturen wurden bereits damals stärkere Schutzmaßnahmen gefordert. In dem Bericht für das Jahr 2015 bestätigte das BSI diese Forderung abermals. Deutsche Unternehmen gelten auf Grund eines hohen Vernetzungs- und Automatisierungsgrads als attraktives Angriffsziel, und die im europäischen Vergleich wachstumsstarke Wirtschaft weckt Begehrlichkeiten gewerbsmäßig agierender Hacker. Insbesondere mittelständische Unternehmen werden Opfer von Erpressungsversuchen. Mittlerweile vergeht kaum ein Tag ohne Angriffe auf die IT-Systeme deutscher Unternehmen, darunter auch Betreiber Kritischer Infrastrukturen mit besonders hoher Bedeutung für Gesellschaft und Wirtschaft.

 

 

In Anbetracht dieser Bedrohungslage wollte der deutsche Gesetzgeber den zeitlich nur schwer kalkulierbaren europäischen Gesetzgebungsprozess nicht abwarten. Bundesinnenminister Thomas de Maizière ließ sich gar zu der Zielsetzung hinreißen, „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit“ zu machen. Kenner der IT-Branche wissen jedoch, dass es bis dahin noch ein weiter Weg ist. In Sachen IT-Sicherheit hinken deutsche Unternehmen ihrer Konkurrenz eher hinterher. Umfragen unter IT-Sicherheitsfachleuten zufolge kommt es in deutschen Unternehmen zu deutlich mehr IT-Sicherheitsverletzungen als in Unternehmen in Großbritannien oder den USA. Nicht zufällig geht hiermit eine deutliche Vormachtstellung amerikanischer Unternehmen auf dem Markt für IT-Sicherheitsprodukte einher.

 

 

Ähnliches gilt für viele weitere EU-Mitgliedstaaten. Während sich Europa in Sachen Datenschutz an der Weltspitze wähnt, ist es in puncto IT-Sicherheit (abgesehen von einigen Ausnahmen) schon seit Längerem im Rückstand. Dabei bedingt der -- vor allem gegenüber den USA häufig überheblich formulierte -- Anspruch auf ein hohes Datenschutzniveau eigentlich zwangsläufig ebenfalls den auf ein hohes IT-Sicherheitsniveau. Das strengste Datenschutzregime vermag die Bürger nicht hinreichend zu schützen, wenn IT-Systeme mit personenbezogenen Daten leicht zu hacken sind. Es mag also verständlich sein, dass der deutsche Gesetzgeber nicht auf Brüssel warten wollte. Tatsächlich kam die Einigung im Trilog-Verfahren im Dezember 2015 auch unerwartet schnell zu Stande. Der Parallellauf der beiden Gesetzgebungsverfahren führte bei deutschen Wirtschaftsverbänden jedoch zu Befürchtungen, es würde durch kollidierende Anforderungen aus dem IT-SiG und der NIS-Richtlinie zu Doppelbelastungen bei Unternehmen kommen. Das federführende BMI hatte daher zugesichert, eine möglichst weitgehende Übereinstimmung von IT-SiG und NIS-Richtlinie anzustreben. Ist dies nun gelungen?

 

 

Das IT-SiG orientiert sich zwar erkennbar an dem ursprünglichen Entwurf der Europäischen Kommission für die NIS-Richtlinie aus dem Jahr 2013. Das Problem einer vorgreifenden Richtlinienumsetzung ist jedoch, dass ein Kommissionsentwurf das Europäische Parlament und den Rat praktisch nie ohne Veränderungen passiert. In vier Trilog-Runden folgten somit einige nicht unerhebliche Änderungen. Das Ergebnis: In weiten Teilen decken sich IT-SiG und der NIS-RL-Entwurf noch, es gibt jedoch auch einige wesentliche Abweichungen. In Anbetracht der zeitlichen Perspektive für die Richtlinienumsetzung wird der deutsche Gesetzgeber das IT-SiG daher in Teilen anpassen müssen, bevor die (dem Inkrafttreten des IT-SiG teilweise nachgelagerten) nationalen IT-Sicherheitspflichten für die Kritis-Betreiber überhaupt wirksam werden.

 

 

Im Wesentlichen, gerade in Bezug auf den Adressatenkreis, sieht der deutsche Gesetzgeber jedoch lediglich -- europarechtskonform -- über die Mindestvorgaben des NIS-RL-Entwurfs hinausgehende Verpflichtungen vor. So werden mehr Sektoren Kritischer Infrastrukturen genannt und sich deckende Sektoren teilweise weiter definiert, als dies im NIS-RL-Entwurf der Fall ist. Dies führt zwar zu einer Zusatzbelastung deutscher Unternehmen; rechtlich ist dies jedoch weitestgehend unbedenklich, da der NIS-RL-Entwurf grundsätzlich eine Mindest- und keine Vollharmonisierung zum Ziel hat. Insoweit bleibt das IT-SiG als vorgreifende, wenn auch überschießende Umsetzung der NIS-Richtlinie anwendbar, sofern damit ein über die Richtlinie hinausgehendes Sicherheitsniveau erreicht wird. Dieser Grundsatz der Mindestharmonisierung erfährt jedoch auch eine Ausnahme im Hinblick auf Anbieter digitaler Dienste. So werden vom NIS-RL-Entwurf diesbezüglich lediglich Online-Marktplätze, Suchmaschinenbetreiber und Cloud-Anbieter erfasst. Darüber hinausgehende Anforderungen an Anbieter digitaler Dienste sollen nur in Ausnahmefällen zulässig sein. Der durch das IT-SiG eingeführte § 13 Abs. 7 TMG geht hingegen weiter und erfasst alle geschäftsmäßig angebotenen Telemedien; er wird im Zuge der Richtlinienumsetzung anzupassen sein.

 

 

Der wichtigste Unterschied zwischen dem NIS-RL-Entwurf und dem IT-SiG zeigt sich jedoch bei den Kriterien zur Bestimmung der "Betreiber wesentlicher Dienste" -- so die Terminologie des NIS-RL-Entwurfs für Kritis-Betreiber. Die das IT-SiG ausformende BSI-KritisV verfolgt, bereits durch die Verordnungsermächtigung in § 10 Abs. 1 BSIG vorgegeben, bei der Auswahl der relevanten Betreiber einen rein quantitativen Ansatz mit entsprechenden Schwellenwerten; ein Betreiber soll grundsätzlich nur dann den Anforderungen des BSIG unterworfen sein, wenn er eine bestimmte Mindestanzahl an Personen versorgt. Der NIS-RL-Entwurf gibt für die Auswahl relevanter Betreiber neben quantitativen aber auch qualitative sektorenübergreifende Kriterien vor, wie z.B. die Auswirkungen eines Sicherheitsvorfalls auf andere Sektoren, die öffentliche Sicherheit und die Versorgungssicherheit. Für die Richtlinienumsetzung folgt hieraus, dass § 10 Abs. 1 BSIG geändert werden muss, da zwischen den Betreiberdefinitionen keine Deckungsgleichheit herrscht und das deutsche Verständnis relevanter Betreiber hinter dem europäischen Verständnis zurückbleiben könnte. Auch die BSI-KritisV wird daher aus europarechtlichen Gründen an die Vorgaben der finalen NIS-Richtlinie anzupassen sein.

 

 

Überdies mag der quantitative Ansatz des BSIG in der Praxis zwar einfacher zu handhaben sein, dem Schutzzweck des IT-SiG aber auch bei rein nationaler Betrachtung oft nicht gerecht werden. Denn bei entsprechender Vernetzung und sektorenübergreifender Bedeutung eines Infrastrukturbetreibers kann dieser, auch wenn er selbst unter dem entsprechenden Schwellenwert bleibt, mittelbar kritisch für die Versorgung einer wesentlich größeren Zahl an Menschen sein (z.B. wenn er andere relevante Betreiber versorgt und sich die Anzahl versorgter Bürger somit indirekt erhöht). Es drohen dann Dominoeffekte. Auch in Sektoren mit besonders dezentraler Versorgungsstruktur kann man mangels Ausweichmöglichkeiten durchaus bezweifeln, ob eine relevante Bedrohungslage durch einen potenziellen Ausfall erst mit Erreichen des Schwellenwerts gegeben ist.

 

 

Als Ausblick darf also davon ausgegangen werden, dass das IT-SiG die Umsetzung der NIS-Richtlinie trotz gelegentlichen Anpassungsbedarfs im Wesentlichen gut und im Kern unverändert überstehen wird. Der Gesetzgebungsprozess dürfte dementsprechend unproblematisch ablaufen. Das teilweise befürchtete Szenario einer Richtlinie, die die mühsame und aufwändige Implementierung von IT-Sicherheitsmaßnahmen nach dem IT-SiG innerhalb kürzester Zeit wieder zunichtemacht, sollte also nicht eintreten.

 

Berlin, im Juli 2016

 

 

Paul Voigt, Lic. en Derecho

 

ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht in der Kanzlei Taylor Wessing in Berlin.

 

 

 


Zwei US-Behörden für mehr Datenschutz und Datensicherheit

MMR 2016, 357    Die Federal Trade Commission (FTC) und die Federal Communications Commission (FCC) haben am 10.5.2016 zwei getrennte Untersuchungsverfahren gegen bestimmte TK-Anbieter und Hersteller von Smartphones etc. eingeleitet. Die US-Behörden wollen wissen, wie diese Unternehmen Updates zur Datensicherheit vornehmen, wie die Kunden die Updates umsetzen und wie die Unternehmen eventuelle Schwachstellen in den Geräten in Angriff nehmen. Das wirft die allgemeine Frage auf, welche Kompetenzen beide Behörden in den Bereichen Datenschutz und Datensicherheit haben und wie sie zusammenarbeiten.

 

Federal Communications Commission – FCC

Die FCC stützt sich auf drei Vorschriften, um personenbezogene Daten im TK-Bereich zu regeln: Section 201(b), 222(a) und Section 222(c) Communications Act. Section 201(b) legt folgende allgemeine Regel fest, die auch den Bereich „Privacy" umfasst: „Alle Gebühren, Praktiken, Klassifikationen und Vorschriften für und in Verbindung mit (zwischenstaatlichen oder ausländischen) Kommunikationsdiensten (leitungsgebunden oder drahtlos) müssen gerecht und vernünftig sein; eine Gebührenerhebung, Praxis, Klassifizierung oder Verordnung, die ungerecht oder unvernünftig ist, muss für rechtswidrig erklärt werden.“ Section 222(a) Communications Act regelt allgemein die Pflicht der TK-Anbieter, die Vertraulichkeit der Informationen ihrer Kunden zu schützen. Section 222(c)(1) erlaubt es den TK-Anbietern, nur solche personenbezogene Daten (Customer Proprietary Network Information -- CPNI) zu verarbeiten, die für die Erbringung der TK-Dienste erforderlich sind, es sei denn, das Gesetz oder die Einwilligung des Kunden erlaube etwas anderes.

 

Die FCC hat diese weite Befugnis u.a. in dem Verfahren gegen Terracom und YourTel im Oktober 2014 angewandt, indem sie beiden Unternehmen getrennt behördliche Strafbefehle (Notice of Apparent Liability) i.H.v. US$ 10 Mio. zugestellt hat (vgl. Spies, ZD-Aktuell 2014, 04387). Beide Unternehmen hatten laut FCC TK-Daten entgegen den o.g. Vorschriften verarbeitet, die sie von Kunden i.R.v. sog. Lifeline-Diensten (TK-Grunddienste für finanziell Bedürftige) erhalten hatten. Hinzu kam ein Bruch der Datensicherheit. Die Unternehmen einigten sich mit der FCC im Juli 2015 auf eine erhebliche, rechtskräftige Geldbuße i.H.v. US$ 3,5 Mio.

 

Die in vieler Hinsicht wegweisende Open Internet Order der FCC v. 26.2.2015 (vgl. Spies, MMR-Aktuell 2015, 367980) enthält einen weiteren Schritt für mehr Datenschutz im TK-Bereich und weitergehender Aufsicht der FCC, indem sie die o.g. Vorschriften von Section 201(b) und Section 222 Communications Act auf die Vermittler von Internet-Zugangsdiensten (Broadband Internet Access Services -- BIAS) ausdehnt. Die Open Internet Order ist allerdings vor Gericht angefochten worden, auch im Hinblick auf deren Privacy-Regelungen. Mit einer Entscheidung des Berufungsgerichts ist in einigen Wochen zu rechnen.

 

Das derzeit noch laufende Konsultationsverfahren der FCC „Broadband and Data Security NPRM“ v. 1.4.2016 (vgl. Spies, ZD-Aktuell 2016, 377151) ist ein weiterer wichtiger Meilenstein für den Ausbau des Datenschutzes im TK-Bereich. Die FCC will dieses Konsultationsverfahren bis zum 27.6.2016 abschließen.

Damit nähert sich die FCC in einigen wichtigen Bereichen, z.B. bei der Definition der PII, dem EU-Datenschutzstandard für den von ihr überwachten TK-Sektor an.

 

Große Bedeutung behält in den USA weiterhin all das, was der Anbieter selbst in seinen Datenschutz-Richtlinien (Privacy Policies) seinen Kunden gegenüber verspricht. Die Behörden halten den Anbieter daran fest. Nach der Vorstellung der FCC sollen die Privacy Policies der Anbieter zumindest folgende Informationen enthalten: Die erfassten Datenkategorien, die der Anbieter verwendet, eine vollständige Liste der Stellen, die TK-Daten vom Anbieter erhalten und zu welchem Zweck, die Opt-out- und/oder Opt-in-Rechte der Kunden (ohne zusätzliche Kosten) in Bezug auf die Bereitstellung von Breitband-Dienstleistungen, detaillierte Bestimmungen über die Einwilligungen der Kunden in einem einfachen und transparenten Verfahren sowie zu deren Rücknahme.

 

Bei den neuen Regeln zum Bruch der Datensicherheit in der NPRM bemüht sich die FCC um Vereinheitlichung der nach dem Recht von 46 Einzelstaaten bestehenden Vorgaben für den TK-Sektor (State Data Breach Notification Laws), da ein Bundesgesetz bislang fehlt.

 

Egal was die nahe Zukunft bringen mag, kann man feststellen, dass die FCC auch schon mit dem bestehenden regulatorischen Werkzeug in der Lage ist, für ihren Geschäftsbereich Datenschutzvorschriften zu erlassen und notfalls mithilfe des personell gut ausgestatteten und geschulten Enforcement Bureau gegenüber den TK-Anbietern durchzusetzen. Sollte die Open Internet Order in dieser Hinsicht vor dem Berufungsgericht Bestand haben (vgl. Spies, MMR Aktuell 2015, 374380), müssen sich auch zahlreiche Anbieter von Breitband-Internetzugang an die neuen Regeln halten und diese durch ihre Privacy Policies umsetzen.

 

Federal Trade Commission – FTC

Die FTC ist von ihrer Konzeption her eine Verbraucherschutzbehörde und keine unabhängige Datenschutzbehörde i.S.d. europäischen DS-RL. Dreh- und Angelpunkt der FTC-Kompetenz im Bereich „Privacy“ ist Section 5 FTC Act. Die nur schwer zu übersetzende Vorschrift verbietet als Generalklausel „unfaire oder täuschende Handlungen oder Praktiken im Handel oder mit Auswirkungen auf den Handel“ („unfair or deceptive acts or practices in or affecting commerce“). Die Vorschrift gibt der FTC weitaus mehr Spielraum als die enger gefassten Regeln der FCC.

 

Ein gutes neueres Beispiel für die Nutzung der Kompetenz ist der Wyndham-Fall. Ohne hier auf die Einzelheiten des Sachverhalts eingehen zu wollen, ging es ebenfalls um einen Bruch der Datensicherheit. Die FTC war zur der Erkenntnis gelangt, dass das Hotel-Unternehmen Wyndham seinen Kunden gegenüber unrichtige oder irreführende Angaben und Zusicherungen zur Datensicherheit gemacht hatte, und dass das Unternehmen keine sinnvollen und geeigneten Maßnahmen ergriffen habe, um personenbezogene Daten der Kunden vor einem unberechtigten Zugriff zu schützen. Auf Grund dessen sei es zu betrügerischen Abbuchungen i.H.v. rd. US$ 10 Mio. durch Hacker gekommen, die einen erheblichen, vermeidbaren Schaden für die Verbraucher herbeigeführt hätten. Die Daten von mehreren 100.000 Kunden seien ungeschützt zugänglich gewesen. Dieser Schaden werde durch geldwerte Vorteile für die Verbraucher (Schadensersatz gegen Dritte etc.) nicht aufgewogen.

 

Wyndham und die FTC schlossen am 9.12.2015 eine Vereinbarung zur Erledigung des Verfahrens. Darin verpflichtet sich Wyndham u.a. dazu, ein detailliertes Programm zur Informationssicherheit für Karteninhaberdaten umzusetzen, einschließlich jährlicher Audits. Die vereinbarten Schutzmaßnahmen für einen Zeitraum von 20 Jahren umfassen auch den Schutz der Server der Franchisenehmer von Wyndham. Durch diesen Vergleich entging Wyndham empfindlichen Bußgeldern. Gleichwohl ist Wyndham weiterhin auf dem Radarschirm der FTC. Sollte Wyndham die Vereinbarung verletzen, könnte die FTC ein Exempel mit noch empfindlicheren Sanktionen statuieren.

 

Die FTC ist derzeit eng in die Verhandlungen der US-Regierung mit der EU zur Einrichtung des neuen EU-US-Privacy Shield involviert (vgl. hierzu Spies, ZD-Aktuell 2016, 04992 und ZD-Aktuell 2016, 05005). Die FCC bleibt in diesem Fall außen vor, da der Privacy Shield derzeit nicht auf TK-Daten anwendbar ist.

 

Sollte die EU-Kommission den neuen Regeln zustimmen, dürften die Unternehmen (Datenimporteure) mit einer intensiven Kontrolle der FTC zu rechnen haben. Die Datenimporteure müssen sich unter dem Privacy Shield selbst zertifizieren, dass sie die Daten aus der EU/EWR im Einklang mit den im Privacy Shield-Framework festgeschriebenen Regeln verarbeiten. Wenn sie die Regeln verletzen, drohen ihnen u.a. Sanktionen der FTC. Die FTC hat bereits Workshops zum neuen Privacy Shield für die US-Industrie angekündigt. Ein weiterer Schwerpunkt der Arbeit der FTC liegt auf der Durchsetzung der Datenschutzregeln, deren Einhaltung die Unternehmen in ihren jeweiligen Privacy Policies ihren Kunden gegenüber versprechen, den Auswirkungen des Internet of Things (IoT) und, ähnlich wie in Europa, dem Thema „Privacy by Design“.

 

Zusammenarbeit der beiden Behörden

Die Tatsache, dass die FCC und die FTC teilweise überlappende Kompetenzen im Bereich „Privacy“ haben, könnte zu rivalisierenden Maßnahmen der beiden Behörden oder, positiv ausgedrückt, zu einem Wettlauf um den besseren Datenschutz führen. Von offizieller Seite wird eine Rivalität vehement verneint. Durch ihre Fachkompetenz im bestimmten Bereichen (TK gegenüber Verbraucherschutz) ergänzen sich die Behörden jedenfalls in ihrer Arbeit. Der Informationsfluss zwischen den Mitarbeitern beider Behörden ist gut.

 

Die FCC und die FTC haben im November 2015 ein Memorandum of Understanding (MoU) unterzeichnet, um ihre Zusammenarbeit bei Verbraucherschutzthemen zu fördern. Das MoU, das über den Bereich Privacy hinausgeht, soll die bestehende Zusammenarbeit zwischen den Behörden formalisieren und beschreibt Methoden zur Koordination und zum Informationsaustausch. So soll nach dem MoU die FTC nicht gegen TK-Unternehmen vorgehen, ohne vorher die FCC zu konsultieren. Dies ist besonders relevant für Ermittlungen und andere Maßnahmen der FTC nach dem Fair Credit Reporting Act und nach dem Telephone Disclosure and Dispute Resolution Act von 1992, für die die FTC (und nicht die FCC) originäre Zuständigkeit hat. Umgekehrt ist eine Konsultationspflicht vorgesehen, wenn die FCC in Verbraucherschutzfragen aktiv wird. Die Behörden informieren sich gegenseitig über eingehende Verbraucherbeschwerden. Zentrale Kontaktstellen (Designated Liaison Officers) beider Behörden sollen mögliche Kompetenzkonflikte schon in einem frühen Stadium ausräumen.

Washington, im Juni 2016 

Dr. Axel Spies

 

ist Rechtsanwalt in der Kanzlei Morgan, Lewis & Bockius LLP in Washington DC und Mitherausgeber der MMR.

 

 

 


Ein neues digitales Urheberrecht für Europa

 

MMR 2016, 289     EU-Kommissar Günther Oettinger verfolgt eine ambitionierte Agenda: Er will die digitalen Verwerfungen, die aus dem Handel mit digitalen Gütern und der allgegenwärtigen Internetnutzung resultieren, durch eine Strategie für einen digitalen Binnenmarkt glätten. Die Strategie lässt sich momentan an einer Reihe von Mitteilungen, Arbeitspapieren und auch bereits an konkreten Entwürfen für Unionsrechtsakte ablesen. Nachdem die mit Spannung erwartete erste Kommissionsmitteilung v. 6.5.2015 (COM(2015) 192 final) zwar den Reformüberlegungen den Titel gab ("A Digital Single Market Strategy for Europe"), aber ansonsten noch recht vage gehalten war, wird die Kommission in ihrer Mitteilung v. 9.12.2015 (COM(2015) 626 final) schon konkreter -- dies vor allem dadurch, dass sie die Mitteilung durch zwei am selben Tag veröffentlichte gesetzgeberische Vorschläge flankiert: zum einen den Vorschlag zur Gewährleistung der grenzüberschreitenden Portabilität von Online-Inhaltediensten im Binnenmarkt (COM(2015) 627 final) und zum anderen den Vorschlag für eine Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte (COM(2015) 634 final). Der zeitlich zwischen die beiden Kommissionsmitteilungen fallende sog. "Reda-Bericht", den das EU-Parlament am 9.7.2015 beschloss und der seinerzeit -- ab Bekanntwerden in Form des ursprünglichen Initiativentwurfs v. 15.1.2015 (2014/2256(INI)) -- die Wogen hochschlagen ließ, ist angesichts dieser beiden Entwürfe beinahe in Vergessenheit geraten.

 

Zur Entwicklung seiner Strategie versuchte Oettinger, am Puls der Urheberrechtspraxis zu fühlen, und leitete eine Vielzahl von mittlerweile abgeschlossenen Konsultationen ein. Den Auftakt machte die Anfang Februar 2014 beendete Konsultation zur Überarbeitung des europäischen Urheberrechts durch die EU-Kommission, die im "Report on the responses to the Public Consultation on the Review of the EU Copyright Rules" der Kommission vom Juli 2014 (abrufbar unter: http://ec.europa.eu/internal_market/consultations/2013/copyright-rules/docs/contributions/consultation-report_en.pdf) ausgewertet wurde. Es folgten Konsultationen zu vertragsrechtlichen Vorschriften für den Online-Erwerb von digitalen Inhalten und Sachgütern (bis 3.9.2015), zur Überprüfung der EU-Satelliten- und Kabelrichtlinie (bis 16.11.2015), zum Geoblocking (bis 28.12.2015), zu Plattformen, Online-Mittlern, Daten, Cloud-Computing und partizipativer Wirtschaft (bis 6.1.2016) sowie zur Bewertung und Modernisierung des Rechtsrahmens für die Durchsetzung der Rechte an geistigem Eigentum (bis 15.4.2016) und die Konsultation über die Rolle der Verleger in der urheberrechtlichen Wertschöpfungskette und die "Panoramaausnahme" (bis 23.3.2016). Schon diese Konsultationsgegenstände geben einen Vorgeschmack dessen, was uns in den nächsten Jahren erwarten dürfte, und sie weisen zugleich auf die Schwerpunkte der Reformüberlegungen für das europäische Urheberrecht hin. Diese sind: erstens die Gewährleistung eines breiteren EU-weiten Zugangs zu digitalen Inhalten, also das Thema der Portabilität bzw. des Geoblocking, zweitens die Reformierung der urheberrechtlichen Schranken, drittens die Schaffung eines funktionsfähigen Marktes für urheberrechtlich geschützte Werke und viertens die Nachjustierung hinsichtlich einer wirksamen und ausgewogenen Rechtsdurchsetzung. Diese vier Eckpunkte werden in der Kommissionsmitteilung vom Dezember 2015 näher beschrieben. Dennoch bleiben einige Strategiepunkte, vor allem die nur ganz allgemein -- geradezu gemeinplatzartig -- angesprochene Frage der angemessenen Vergütung (COM(2015) 626 final, S. 11) noch weitgehend nebulös.

 

Nur einige Bemerkungen zum Vorschlag einer Portabilitätsverordnung, die Ende 2017 in Kraft treten soll und auf deren einzelne Bestimmungen hier naturgemäß nicht näher eingegangen werden kann (s. zum Verordnungsentwurf aber z.B. Spindler, CR 2016, 73 ff., sowie allgemein zur Frage der Portabilität Stieper, GRUR 2015, 1145 ff.). Nach dem Entwurf soll der Anbieter von Online-Inhalten seinen Abonnenten ermöglichen, auf den abonnierten Online-Inhalt auch dann zuzugreifen, wenn er sich vorübergehend in einem anderen Mitgliedstaat aufhält. Es liegt auf der Hand, dass die Bestimmung des "vorübergehenden" Aufenthalts, die dem Dienstleister überlassen bleiben soll, den "Knackpunkt" in der Praxis ausmachen wird. Denn wie ist es in unserer hypermobilen Welt zu bewerten, wenn ein Abonnent seinen Aufenthaltsort in der EU generell und regelmäßig nach Sommer- und Winterhalbjahr wechselt? Praktische Fragen betreffen daher ein effektives Registrierungssystem, mit dem der Wohnsitzmitgliedstaat verifiziert werden kann, und die Kontrolle des vorübergehenden Aufenthalts (Rauer/Ettig, K&R 2016, 79, 83). Dogmatisch geht es bei der Frage der Portabilität weniger um das Territorialitätsprinzip (wie die Kommission meint), als vielmehr um die Frage, inwieweit die vom Urheber an den Betreiber eines Online-Dienstes zur öffentlichen Zugänglichmachung seiner Werke eingeräumten Nutzungsrechte innerhalb der EU wirksam territorial beschränkt werden können (so zu Recht Stieper, GRUR 2015, 1145, 1146).

 

Die geplante Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte will zu einem "rascheren Wachstum des digitalen Binnenmarkts zum Nutzen sowohl der Verbraucher als auch der Unternehmen bei[...]tragen" (COM(2015) 634 final, S. 2). Der Richtlinienentwurf regelt zu diesem insbesondere verbraucherschützenden Zweck u.a. die Pflicht zur Bereitstellung digitaler Inhalte, die Vertragsmäßigkeit digitaler Inhalte sowie Gewährleistungsrechte. Nach Art. 8 des Richtlinienvorschlags soll es zur vertragsgemäßen Beschaffenheit eines bereitgestellten digitalen Inhalts auch gehören, dass dieser frei von Rechten Dritter ist. Der Richtlinienvorschlag umfasst ausweislich seiner Legaldefinition digitaler Inhalte in Art. 2 Abs. 1 lit. a die gesamte Bandbreite der "Daten, die in digitaler Form her- und bereitgestellt werden, darunter Video- und Audioinhalte, Anwendungen, digitale Spiele, sonstige Software [...]" sowie E-Books und Streaming und darüber hinaus gem. Art. 2 Abs. 1 lit. c auch Dienstleistungen "[...], die die gemeinsame Nutzung der von anderen Nutzern dieser Dienstleistung in digitaler Form bereitgestellten Daten und sonstige Interaktionen mit diesen Daten ermöglichen [...]", wie z.B. Suchmaschinendienste, Internetauktionsplattformen, soziale Netzwerke und Blog-Portale (s. insgesamt näher Haberstumpf, NJOZ 2015, 793 ff.; Spindler, MMR 2016, 147 ff.).

 

Das Thema der urheberrechtlichen Schranken ist ein seit jeher heiß diskutiertes Thema. Mit dem aktuellen Reformvorstoß beabsichtigt die Kommission, dem seit langem ertönenden Ruf nach einer stärkeren Harmonisierung der Schranken und der Schaffung von zusätzlichen obligatorischen Schranken nachzukommen (COM(2015) 626 final, S. 8). In diesem Zusammenhang wird auch die Umsetzung des Vertrags von Marrakesch zur Erleichterung des Zugangs von veröffentlichten Werken für blinde, sehbehinderte oder sonst lesebehinderte Personen angekündigt. Führt man sich vor Augen, welche aktuell diskutierten Schranken in der InfoSoc-RL bisher nicht berücksichtigt werden, so kann diese Reformbestrebung der Kommission nur begrüßt werden. Konkret will sich die Kommission z.B. dem Text- und Data-Mining durch Forschungseinrichtungen annehmen. Hier stellt sich die Frage, welche urheberrechtlichen Probleme durch das Text- und Data-Mining überhaupt aufgeworfen werden. Mit dem Begriff werden analytische Verfahren bezeichnet, die zusätzliche Information und Wissen aus einer großen Zahl an Daten erzeugen, und bei denen durch den Einsatz von Software oder andere automatisierte Prozesse eine Analyse der relevanten Texte und Daten durchgeführt wird, wobei Texte und Daten (vorübergehend) kopiert werden (s.a. Spindler, CR 2016, 73, 77). Für die Verwendung dieser Verfahren besteht momentan wenig Rechtssicherheit. Weitere Schrankenprobleme, die im Focus der Kommission stehen, sind die Veranschaulichung im Unterricht und eine allgemeine Bildungsschranke, die Erhaltung des Kulturerbes insbesondere mit Blick auf digital entstandene oder digitalisierte Werke, Fernabfragen von Forschungseinrichtungen und wissenschaftlichen Bibliotheken und schließlich die Panoramafreiheit, die bereits im Sommer 2015 bei Verabschiedung des Reda-Berichts durch das EU-Parlament die Gemüter erhitzte.

 

Bezeichnenderweise gab die Kommission ihrer Mitteilung v. 9.12.2015 den Titel "Schritte zu einem moderneren, europäischeren Urheberrecht". Modern soll unser Urheberrecht werden, sicher: Dass die Modernisierung nottut, wird heute niemand bezweifeln. Aber was bedeutet eigentlich ein "europäischeres" Urheberrecht? Ist dies ein versteckter Hinweis darauf, dass der Kommission lang- oder mittelfristig doch ein einheitlicher Unionsrechtsakt in Gestalt einer Urheberrechtsverordnung vorschwebt? Diese Gedankenspiele schienen in der letzten Zeit in den Hintergrund gewichen zu sein -- verdrängt von tatkräftigem Richtlinienreformierungseifer. Oder ist das gesteigerte Adjektiv "europäisch" schlicht eine Mahnung an den Kern dessen, was europäische Regelungen erreichen wollen, nämlich Hindernisse zu beseitigen, die im grenzüberschreitenden Handelsverkehr durch unterschiedliche mitgliedstaatliche Regelungen entstehen. Geht es also darum, einen bislang durch die verschiedenen nationalen Urheberrechte behinderten Binnenmarkt nunmehr auf digitalem Feld zu schaffen? Dies bestätigt zumindest der von der Kommission ersonnene Name der Strategie für einen digitalen Binnenmarkt. Ob dieses Binnenmarktkonzept im Widerspruch zur Urheberrechtsidee steht und wo ein Gleichklang erzielt werden kann, bleibt in der andauernden Reformdebatte genau zu prüfen.

 

Berlin, im Mai 2016

 

Prof. Dr. Eva Inés Obergfell

 

ist Universitätsprofessorin an der Humboldt-Universität zu Berlin.