Daten – Online.Spiele.Recht

Kurz gemeldet: Erstes „richtiges“ DSGVO-Bußgeld in Portugal

Felix Hilgert — Tue, 23 Oct 2018 14:32:25 +0000

Das erste „richtige“ DSGVO-Bußgeld (nach dem eher vorsichtigen Aufschlag aus Österreich) kommt nun aus Portugal. Die dortige Aufsichtsbehörde hat ein Bußgeld von 400.000 EUR gegen ein Krankenhaus verhängt, in dessen Datenbanken jeder Nutzer (und nicht nur Ärzte) auf sensible Patientendaten zugreifen konnte. Außerdem habe es im System fast 1.000 Ärzte-Accounts gegeben, obwohl das Krankenhaus weniger als 300 Ärzte beschäftigt.

Zwar mögen hier auch allerlei Überlegungen einen Rolle gespielt haben, die spezifisch für den Gesundheitssektor sind. Eine Lektion gibt es aber dennoch für alle Digitalunternehmen: Privacy by Design ist keine bloße Beschwörungsformel mehr. Systeme müssen so konfiguriert sein, dass nur derjenige auf personenbezogene Daten zugreifen kann, der diese auch wirklich benötigt.

Neues von der EU: Die geplante Digitale-Inhalte-Richtlinie

Felix Hilgert — Tue, 05 Sep 2017 07:52:04 +0000

Im Rahmen der Initiative für einen digitalen Binnenmarkt ist der europäische Gesetzgeber dabei, eine neue Richtlinie zu erarbeiten, die das vertragsrechtliche Regime für den Verkauf digitaler Inhalte an Verbraucher in absehbarer Zeit grundlegend verändern wird. Das neue Regelungswerk sieht insbesondere ein Konzept zur „Bezahlung mit Daten“, ein Recht auf Übertragbarkeit der Inhalte von Benutzerkonten nach Vertragsbeendigung und weitreichende gesetzliche Gewährleistungsrechte vor. Die geplante Richtlinie hat einen weiten Anwendungsbereich und wird insbesondere auch Anbieter von Online- und Handyspielen erfassen.

Eine neue Herangehensweise mit weitem Anwendungsbereich

Der Richtlinien-Entwurf zielt auf eine Vollharmonisierung ab, was bedeutet, dass den Mitgliedstaaten bei der Umsetzung kein bzw. nur wenig Spielraum bleibt, um die Anforderungen der Richtlinie zu modifizieren. Die Vorgaben selbst sind angelehnt an frühere Gesetzgebungsbestrebungen zur Einführung eines vollharmonisierten Gemeinsamen Europäischen Kaufrechts.

Der Anwendungsbereich der Richtlinie ist weit gefasst und insbesondere nicht auf Fälle der Bereitstellung digitaler Inhalte an Verbraucher beschränkt; sie erfasst daneben auch digital erbrachte Dienstleistungen, die es dem Nutzer ermöglichen, eigene Inhalte hochzuladen oder zu erstellen.

Im Folgenden werden einige Kernbestimmungen des Richtlinien-Entwurfs vorgestellt:

Bezahlung mit Daten: Der Anwendungsbereich der Richtlinie ist auf „entgeltlich“ bereitgestellte digitale Inhalte beschränkt, wobei Entgeltlichkeit nicht mehr nur bedeutet, dass eine Gegenleistung in Geld zu erbringen ist. Vielmehr sind hiervon ausdrücklich auch Verträge erfasst, in deren Rahmen der Verbraucher aktiv personenbezogene oder sonstige Daten – gewissermaßen als Bezahlung – zur Verfügung stellt. Anbieter digitaler Inhalte (oder digital erbrachter Dienstleistungen) unterfallen nur dann nicht der Richtlinie, wenn die Erhebung und Verarbeitung jeglicher (auch nicht personenbezogener) Daten strikt auf das gesetzlich geforderte oder für die Vertragserfüllung notwendige Maß beschränkt bleibt.
Recht auf Übertragbarkeit nach Vertragsbeendigung: Die Richtlinie begründet kein generelles oder unbeschränktes Recht der Nutzer, ihre Daten von ihrem bisherigen Anbieter an einen Anbieter gleichartiger Dienste zu übertragen. Jedoch ist jeder Anbieter verpflichtet, dem Nutzer eine – kostenlose – Möglichkeit zum Download aller Inhalte, die der Nutzer im Rahmen der Inanspruchnahme der Leistungen dieses Anbieters hochgeladen oder erstellt hat, zur Verfügung zu stellen. Ebenso ist es dem Anbieter grundsätzlich untersagt, solche Inhalte nach Vertragsbeendigung weiter zu nutzen. Dies wird sich sehr wahrscheinlich auf die künftige Verwaltung von Foren und sonstigen Nutzerbeiträgen im Rahmen des öffentlichen Bereichs eines Online-Dienstes auswirken.
Gewährleistung und Haftung: Einige der Kernregelungen des Richtlinien-Entwurfs betreffen die Haftung des Anbieters für digitale Inhalte (sowie wahrscheinlich auch für digital erbrachte Dienstleistungen). Das Gewährleistungsrecht ähnelt den Vorgaben des deutschen Rechts für Kaufverträge, geht aber stellenweise zugunsten des Verbrauchers noch darüber hinaus. Weicht die Beschaffenheit der Inhalte im Zeitpunkt ihrer Bereitstellung von den vertraglichen Vereinbarungen ab und/oder eignen sie sich nicht zur Nutzung entsprechend dem vereinbarten Zweck, so kann der Verbraucher von dem Anbieter die Behebung dieses Mangels verlangen. Die Beweislast für die Mangelfreiheit liegt während der gesamten Gewährleistungsfrist von mindestens zwei Jahren bei dem Anbieter! Kann der Mangel nicht mit angemessenem Aufwand behoben werden, so kann der Nutzer von dem Vertrag zurücktreten/den Vertrag kündigen und eine vollständige Erstattung des gezahlten Preises verlangen. Zudem können Verbraucher Schadensersatzansprüche geltend machen.
Änderungsklauseln: Positiv ist dagegen, dass der Richtlinien-Entwurf es Anbietern ausdrücklich gestattet, Klauseln in ihre Allgemeinen Geschäftsbedingungen aufzunehmen, die ihnen eine Änderung der digitalen Inhalte ermöglichen. Dies gilt selbst dann, wenn die Änderung dazu führt, dass die digitalen Inhalte nicht mehr vollumfänglich der ursprünglichen vertraglichen Beschreibung entsprechen oder sie anderweitig den Zugang zu oder die Verwendbarkeit der Inhalte beeinträchtigt.

Auswertung und Ausblick

Der Wortlaut des derzeitigen Entwurfs ist noch immer unklar, verwirrend und an einigen Stellen sogar widersprüchlich. Beispielsweise umfasst der Begriff „digitale Inhalte“ nach der Vorstellung des europäischen Gesetzgebers auch (Dienst-)Leistungen, in deren Rahmen der Anbieter keinerlei Inhalte bereitstellt, sondern nur dem Nutzer das Hochladen und Teilen eigener Inhalte ermöglicht.

Eine weitere offene Frage betrifft die Vereinbarkeit des Konzepts der „Bezahlung mit Daten“ mit den Bestimmungen der EU-Datenschutzgrundverordnung (DS-GVO). Denn diese beschränkt das Recht des Verkäufers, die Bereitstellung von Leistungen von einer Einwilligung des Nutzers in die Datenerhebung und -verarbeitung abhängig zu machen.

Es handelt sich noch nicht um einen endgültigen Entwurf. Der Rat hat erst kürzlich eine Reihe von Kommentaren und Änderungsvorschlägen veröffentlicht und eine Stellungnahme des Europäischen Parlaments steht noch gänzlich aus. Diese wird im Herbst erwartet – und könnte eine Reihe weiterer Änderungen und – hoffentlich – Klarstellungen mit sich bringen.

Anbieter digitaler Inhalte, einschließlich der Betreiber von Online- und Handyspielen, sollten gleichwohl beginnen, sich mit den vorgeschlagenen Neuregelungen zu befassen und diese in ihrer mittel- und langfristigen Planung berücksichtigen.

LG Düsseldorf: Einbindung von Social Media Plugins ohne vorherige Aufklärung und Zustimmung des Nutzers unzulässig

Tim Maiorino — Thu, 10 Mar 2016 15:58:34 +0000

Am 9. März 2016 hat das Landgericht Düsseldorf ein wichtiges Urteil zum Thema Social Media Plugins verkündet.

Die Verbraucherzentrale NRW klagte gegen den Betreiber eines großen Webshops, der Kleidung verschiedener Hersteller anbietet. Die Verbraucherzentrale hatte den Betreiber im April 2015 abgemahnt und zur Abgabe einer strafbewährten Unterlassungserklärung aufgefordert. Da die Beklagte die geforderte Unterlassungserklärung nicht abgab, erhob die Verbraucherzentrale NRW Klage. Das Gericht gab ihr nun in weiten Teilen Recht.

Hintergrund der Abmahnung war die Integration der „gefällt mir“-Funktion von Facebook auf der Webseite der Beklagten. Die Nutzer des Webshops der Beklagten konnten von dieser Funktion durch einmaliges Klicken auf den Button „gefällt mir“ Gebrauch machen. Dies halt das LG Düsseldorf für rechtswidrig.

Das Problem: Datenübertragung bereits durch bloßes Aufrufen der Webseite

Wie bereits berichtet, wurden Social Media Plugins rechtlich schon immer kritisch gesehen.

„gefällt mir“-Plugin als Wettbewerbsverstoß?

Nach Ansicht der Verbraucherzentrale NRW stellt die Integration der „gefällt mir“ Funktion im Zusammenhang mit der verwendeten Datenschutzerklärung eine unerlaubte geschäftliche Handlung dar und sei nach § 4 Nr. 11 UWG i.V.m. §§ 12, 13 TMG sowie § 5 Abs. 1 UWG wettbewerbswidrig.

Unterlassungsanspruch bejaht

Das Gericht (Urteil vom 9. März 2016, Az. 12 O 151/15, Volltext) untersagte der Beklagten die Integration des „gefällt mir“ Plugins von Facebook, ohne die Nutzer ihrer Webseite ausdrücklich und unübersehbar über Zweck der Erhebung und der Verwendung der übermittelten Daten aufzuklären und ihr Einverständnis hierzu einzuholen.

Die Nutzung des Plugins ohne vorherige Aufklärung über die Übertragung der IP-Adresse und des Browserstrings sei unlauter im Sinne des § 3a UWG i.V.m. § 13 TMG.

Einbindung des Plugins führt zu datenschutzrechtlicher Verantwortlichkeit

Dem stünde auch nicht entgegen, dass die Beklagte selbst die Daten nicht verarbeite. Sie beschaffe hingegen die Daten, was nach § 3 Abs. 3 BDSG eine Erhebung darstelle. Durch das Einbinden des Plugins ermögliche sie die Datenerhebung und die spätere Verwendung der Daten durch Facebook. Die Beklagte habe die Möglichkeit, durch eine vorgeschaltete Nutzerabfrage, ob die Funktionalität aktiviert werden solle, den Zugriff auf die Daten zu steuern.

Durch die Einbindung von Drittinhalten in das eigene Angebot löse die Beklage einen Datenverarbeitungsprozess aus und sei deshalb auch datenschutzrechtlich verantwortlich.

Keine fingierte Einwilligung der Webseitenbesucher

Die Beklagte habe die Rechte Dritter zu beachten, die die Weitergabe ihrer Daten weder wünschen noch erwarten. Die Beklagte könne aber nicht von einer generellen Einwilligung zur Datennutzung der Besucher der Webseite ausgehen. Personenbezogene Daten dürften nur erhoben und verwendet werden, sofern das Gesetz es gestatte oder der Nutzer ausdrücklich eingewilligt habe. Eine bloße Belehrung in den Datenschutzbestimmungen der Beklagten genüge hierzu nicht.

Verstoß auch gegen Wettbewerbsrecht

Da das Plugin auf der Webseite der Beklagten der Werbung und dem Absatz diente, komme dem Verstoß auch wettbewerbsrechtliche Relevanz zu. Die Nutzer seien nicht nur in ihrem Schutz vor unerwünschter Werbung betroffen, das Plugin beeinflusse auch das Konsumverhalten der Nutzer. Denn die Angabe der Anzahl von Facebook Mitgliedern, denen die Webseite der Beklagten und somit mittelbar deren Produktangebot „gefällt“, beeinflusse das kommerzielle Verhalten der Nutzer des Onlineshops.

Welche Auswirkungen hat das Urteil?

Das Urteil hat grundsätzliche Bedeutung für die datenschutzrechtliche Beurteilung von Social Media Plugins. Es unterstreicht zudem die Verantwortlichkeit der Webseitenbetreiber für die Einbindung dieser Dienste. Der Betreiber muss sicherstellen, dass eine Datenübertragung zum Anbieter des Plugins nur dann stattfindet, wenn der Besucher der Webseite zuvor seine ausdrückliche Einwilligung erteilt hat. Hierbei kommt es nicht darauf an, dass der Webseitenbetreiber selbst gar keine Daten verarbeitet. Die bloße Vorbereitungshandlung hierzu genügt, wenn der HTML-Code derart gestaltet ist, dass er den Browser des Besuchers veranlasst, Anfragen beim Server des Plugin-Anbieters zu stellen.

Rettung durch „Zwei-Klick“-Lösung oder Shariff?

Ausdrücklich offengelassen hat das Gericht die Frage, ob die „Zwei-Klick“ Lösung den rechtlichen Anforderungen genügt. Hierbei ist der Datenübertragung an Facebook eine Einverständnisabfrage vorgeschaltet. Der Nutzer muss die Funktionalität des Plugins zunächst durch einen ersten Klick freischalten, um dann durch einen zweiten Klick die eigentliche „gefällt mir“ Funktion nutzen zu können.

Es muss schlicht gewährleistet sein, dass sich in dem Quellcode der Webseite keine Bestandteile befinden, die den Browser veranlassen, automatisch mit Besuch der Webseite Serveranfragen bei dem Betreiber des Plugins zu stellen.

Alternativ können Webseitenbetreiber auf das Tool „Shariff“ des Heise Verlags zurückgreifen. Hierbei werden zwar wie bisher die Buttons der Social Media Netzwerke auf der Webseite dargestellt. Shariff tritt aber als Zwischeninstanz auf: Nicht der Browser des Besuchers stellt Anfragen bei den Servern der Social Media Netzwerke, sondern der Server des Webseiten-Betreibers. Der Besucher bleibt somit anonym. Die Netzwerke erhalten erst dann Zugriff auf die Daten des Besuchers, wenn dieser auf die entsprechenden Buttons klickt. Shariff ist als Open Source Software kostenlos verfügbar. Es kommt auch in unserem Blog zum Einsatz.

Wir danken unserem Referendar Fabian Schröder für die Mitarbeit an diesem Beitrag.

Das polizeiliche Auskunftsersuchen – wenn die Polizei Hilfe braucht

Thao Wagner — Wed, 05 Nov 2014 08:13:38 +0000

Viele Spiele-Betreiber kennen das Problem: Die meisten Spiele haben mittlerweile eine Nutzergemeinde, die sich in Foren oder auch ingame miteinander austauschen kann. Und wenn Menschen mehr oder weniger anonym miteinander kommunizieren, kommt es auch hin und wieder zu Straftraten. Meistens handelt es sich dabei um Beleidigungen, Verleumdungen oder gar Bedrohungen. Bei Spielen mit einem virtuellen Währungs- bzw. Wirtschaftssystem gehören auch Vermögensdelikte zum Alltag: selbst wenn es gegen die Nutzungsbedingungen vieler Anbieter verstößt, bieten Nutzer virtuelle Güter oder Währungen gegen Echt-Geld an und werden dabei nicht selten Opfer von Betrugsfällen.

Da Täter und Opfer oft bei dem Spiele-Betreiber registriert sind, geht kurz darauf bei dem Spiele-Betreiber ein Fax mit der Überschrift „Polizeiliches Auskunftsersuchen“ ein. Dort bittet die Polizei – manchmal freundlich, oft auch fordernd – um die Auskunft zu personenbezogenen Daten eines registrierten Nutzers. Als Rechtsgrundlage werden in der Regel die Normen §§ 160 ff StPO, §§ 14, 15 TMG oder gar § 113 TKG genannt. Bei dem Spiele-Betreiber stellen sich dann stets die Fragen: sind wir zur Auskunft verpflichtet? Was sind die Konsequenzen, wenn das polizeiliche Auskunftsersuchen ignoriert wird?

Rechtliche Grundlage: Datenherausgabe ist zunächst freiwillig

Sobald die Strafverfolgungsbehörden Kenntnis von dem Verdacht einer Straftat haben, sind sie gemäß §§ 160 ff StPO zur Sachverhaltserforschung verpflichtet und für diesen Zweck befugt, von „Behörden Auskunft zu verlangen sowie Ermittlungen jedweder Art selbst vorzunehmen“. Ein Auskunftsersuchen an ein privates Unternehmen ist ohne Zweifel eine solche Ermittlungsmaßnahme. Allerdings werden private Unternehmen – anders als Behörden, von denen eine Datenauskunft verlangt werden kann – von §§ 160 ff StPO nicht erwähnt. Mit anderen Worten: §§ 160 ff StPO sind zwar Befugnisnormen der Strafverfolgungsbehörden, begründen aber keine Mitwirkungspflicht für private Unternehmen.

Spiele-Betreiber werden auch nicht durch § 113 TKG verpflichtet. Nach § 113 TKG müssen Erbringer von Telekommunikationsdiensten und daran Mitwirkende Auskünfte über bestimmte Daten an zuständige Stellen zu erteilen. Spiele-Betreiber gehören jedoch in der Regel nicht zum genannten Adressatenkreis, da sie weder Telekommunikationsdienste erbringen noch daran mitwirken. Bei Telekommunikationsdiensten liegt die Hauptleistung in der Übertragung von Signalen und Daten über Telekommunikationsnetze und ist somit auf den reinen Transport von Inhalten beschränkt, während der eigentliche Inhalt der übertragenen Daten für den Erbringer von Telekommunikationsdiensten irrelevant ist. Bei Spiele-Betreibern besteht jedoch die Hauptleistung in der Aufbereitung und Erbringung von Inhalten, nämlich des Spiels. Telekommunikationsdienste sind für den Spiele-Betreiber daher nur Mittel zum Zweck. Die Hauptleistung des Spiele-Betreibers liegt in der Erbringung eines Telemediums, so dass die Normen des TMG (und nicht die des TKG) für den Spiele-Betreiber einschlägig sind.

Folglich kommt nur noch eine Verpflichtung des Spiele-Betreibers zu einer Datenauskunft gemäß §§ 14 Abs.2, 15 Abs. 5 TMG in Betracht. Danach darf der Diensteanbieter eines Telemediums auf Anordnung einer zuständigen Stelle Auskunft über Daten erteilen, soweit dies für die Zwecke der Strafverfolgung und Gefahrenabwehr erforderlich ist. Allerdings zeigt bereits das Wörtchen „darf“, dass auch hierdurch keine Verpflichtung für den Spiele-Betreiber begründet wird. Der Spiele-Betreiber wird hiernach nur zur Datenauskunft berechtigt, aber nicht verpflichtet. Eine solche gesetzliche Berechtigung ist auch erforderlich, da gemäß § 4 Abs.1 BDSG jede Verarbeitung von personenbezogenen Daten – und somit auch die Auskunft über solche – einer gesetzlichen Rechtfertigung bedarf, solange die Verarbeitung ohne Einwilligung des Betroffenen erfolgt. Da der Betroffene in diesem Fall ein Tatverdächtigter ist, kann eine Rechtfertigung durch eine Einwilligung ausgeschlossen werden.

Die Datenauskunft durch den Spiele-Betreiber aufgrund eines Auskunftsersuchens der Strafverfolgungsbehörden erfolgt also freiwillig. Gleichzeitig kann der Spiele-Betreiber diese Entscheidung natürlich nicht willkürlich treffen. Denn eine Datenauskunft ist nur zulässig, soweit dies zur Strafverfolgung oder zur Gefahrenabwehr erforderlich ist. Vor der Auskunft ist der Spiele-Betreiber daher zur Erforderlichkeitsprüfung und Interessenabwägung verpflichtet. Was dabei zu berücksichtigen ist, wird im Fazit bzw. der Empfehlung aufgeführt.

Exkurs: Dynamische IP-Adressen

Auch wenn das TKG für Spiele-Betreiber nicht direkt einschlägig ist, fragen sich viele Betreiber, ob nicht für die Auskunftserteilung über dynamische IP-Adressen ein richterlicher Beschluss erforderlich ist. Denn eine dynamische IP-Adresse kann sowohl ein Verkehrsdatum i.S.d. TKG als auch ein Nutzungsdatum i.S.d TMG sein. Bei der Auskunft eines Verkehrsdatums ist gemäß §§ 100g, 100b StPO ein richterlicher Beschluss erforderlich, da die IP-Adresse als „näherer Umstand der Telekommunikation“ durch das Fernmeldegeheimnis (Art. 10 GG) geschützt wird. Fraglich ist daher, ob eine dynamische IP-Adresse, die während der Nutzung eines Telemediums erhoben und gespeichert wird, anders zu behandeln ist.

Mit Beschluss vom 13.11.2010 (Az. 2 BvR 1124/10) hat das BVerfG eine Verfassungsbeschwerde eines Betreibers von „Online-Banking“ für Banken als unzulässig zurückgewiesen, da dieser nicht substantiiert darlegen konnte, zu welchem Zeitpunkt die IP-Adresse erhoben wurde. Gemäß dem BVerfG schütze Art. 10 GG nur den Telekommunikationsübertragungsvorgang, da dort die Gefahr eines fremden Zugriff bestehe. Sobald die übertragenen Daten bei dem Empfänger angekommen sind, sei der besondere Schutz durch Art. 10 GG nicht mehr erforderlich. Nicht so entscheidend sei die Zuordnung der Leistungen des Diensteanbieters unter das TMG oder dem TKG, sondern vielmehr die Frage, wann die IP-Adresse erhoben wurde. Das BVerfG konnte nicht ausschließen, dass der Online-Banker Telekommunikationsdienste Dritter nutzte und die IP-Adresse somit nach dem Übertragungsvorgang erhob und speicherte, und lehnte die Annahme der Verfassungsbeschwerde daher ab. Bei einem Spiele-Betreiber ist davon auszugehen, dass die IP-Adresse nach dem Übertragungsvorgang erhoben wird. Denn der Spiele-Betreiber erhält die IP-Adresse erst, nachdem die Internetverbindung aufgebaut und der Übertragungsvorgang somit im Hinblick auf die IP-Adresse abgeschlossen ist. Daher kann die Auskunftserteilung durch §§ 14, 15 TMG gerechtfertigt sein und somit ohne richterlichen Beschluss erfolgen.

Mögliche Konsequenzen einer Verweigerung

Erwägt der Spiele-Betreiber nun, die Datenauskunft zu verweigern, sollte er folgende mögliche Konsequenzen berücksichtigen:

Gemäß § 161a StPO kann die Staatsanwaltschaft den Geschäftsführer oder einen einzelnen Mitarbeiter als Zeugen vernehmen, die zur Auskunftserteilung nach besten Gewissen und Wissen verpflichtet sind, es sei denn, es bestehen Zeugnisverweigerungsrechte zu ihren Gunsten. Bei einer Ladung durch die Polizei ist eine Aussage freiwillig. Jedoch erfolgt die Datenverarbeitung innerhalb eines Unternehmens in den meisten Fällen nicht durch einen einzelnen Mitarbeiter, sondern durch ein ganzes Team. Ein einzelner Mitarbeiter oder gar der Geschäftsführer wird daher kaum in der Lage sein, eine eindeutige Auskunft über den Nutzer XY zu erteilen. Das bedeutet wiederum, dass die Zeugenvernehmung eines einzelnen Mitarbeiters oder gar des Geschäftsführers nicht zu der gewünschten Datenauskunft führen wird.

Darüber hinaus kann es zu einer Beschlagnahme der Daten gemäß §§ 94, 95 StPO kommen – wegen des damit verbundenen Aufwandes das Worst-Case-Szenario für einen Spiele-Betreiber. In der Praxis werden allerdings nicht die Server, sondern lediglich die Daten beschlagnahmt. Dabei „spiegeln“ die Strafverfolgungsbehörden die Daten auf eigene Datenträger und belassen die Server selbst beim Spiele-Betreiber. Aufgrund des Verhältnismäßigkeitsgrundsatzes ist die „Spiegelung“ gegenüber der Beschlagnahme der Server vorzuziehen, da der Spiele-Betreiber nur so in der Lage bleibt, das Spiel aufrecht zu erhalten, und damit weniger in seinem Geschäftsbetrieb beeinträchtigt wird. Bereits 2005 hat das Bundesverfassungsgericht (Az.: 2 BvR 1027/02 vom 12.4.2005) entschieden, dass auch die Daten selbst – und nicht zwingend die Server bzw. die Datenträger, auf denen die Daten gespeichert sind – Gegenstand einer Beschlagnahme sein können. Aus prozessualer Sicht ist weiterhin zu beachten, dass eine Beschlagnahme mit richterlicher Anordnung und nur bei Gefahr im Verzug auf Anordnung der Staatsanwaltschaft möglich ist.

Jedoch besteht ein weiteres praktisches Problem für die Strafverfolgungsbehörden: Die wenigsten Spiele-Betreiber hosten ihre Daten ausschließlich in Deutschland. Vielmehr befinden sich die Daten entweder in einer Cloud oder werden auf sonstige Weise auf internationale Server verteilt. Die Hoheitsbefugnisse der Strafverfolgungsbehörden enden jedoch an den Grenzen der Bundesrepublik Deutschland. Beabsichtigen sie die Beschlagnahme von Daten, die außerhalb von Deutschland gespeichert werden, so müssen sie den aufwändigen Weg der internationalen Rechtshilfe einschreiten.

Fazit/Empfehlung

Ein Spiele-Betreiber ist also nicht verpflichtet, auf ein Auskunftsersuchen zu reagieren. Sollte der Spiele-Betreiber sich jedoch zur Erteilung einer Auskunft entscheiden, um die vorgenannten Konsequenzen zu vermeiden, sollte die Auskunft auf das erforderliche Minimum begrenzt werden. Dabei sollten folgende Punkte berücksichtigen werden:

Die Auskunft sollte nur aufgrund eines bereits eingeleiteten Ermittlungsverfahrens mit entsprechendem Aktenzeichen erteilt werden.
Daten sollten nicht pauschal herausgegeben werden, sondern nur, wenn sie verfahrensrelevant sind und sich konkret auf einen Beschuldigten und Sachverhalt beziehen. Kann der Spiele-Betreiber anhand des Auskunftsersuchens nicht eindeutig einen Nutzer als Beschuldigten feststellen, sollte die Datenauskunft verweigert werden.
Die Datenauskunft zu präventiven Zwecken sollte nur in Ausnahmefällen erfolgen. Zwar ist die Datenauskunft gemäß §§ 14, 15 TMG auch zur Gefahrenabwehr erlaubt, jedoch sollte diese nur auf die dort genannten besonderen Ausnahmesituationen (z.B. „zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder“, „zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum“) beschränkt werden. Auch bei „Gefahr im Verzug“ sollte eine Datenauskunft nur geschehen, wenn eine Straftat von erheblicher Bedeutung verwirklicht werden könnte. Die Gefahr der Verwirklichung von Bagatelldelikten kann für eine Datenauskunft zu präventiven Zwecken nicht ausreichend sein.

Ein Gastbeitrag von RAin Thao Wagner, Legal Counsel bei Electronic Arts GmbH.

Keine Beschlagnahme von Daten zum Zweck der Vernichtung (Teil 2 von 2)

Dr. Marc Störing — Mon, 30 Sep 2013 07:48:03 +0000

Das Landgerichts (LG) Hamburg entschied in seinem Beschluss vom 02. September 2013 (Az. 629 Qs 34/13; Volltext), dass Daten nicht tauglicher Gegenstand einer wirksamen Beschlagnahme und Löschung im Rahmen eines Ermittlungsverfahrens sein können – wenn es eben nicht um den Beweis einer Tatsache, sondern um die Vernichtung von Daten als Tatwerkzeug geht.

Auslöser war der bundesweit viel beachtete Fall des in der Psychiatrie festgehaltenen Gustl Mollath. Dessen Hamburger Rechtsanwalt Gerhard Strate hat zahlreiche Dokumente veröffentlicht, die mit dem Vorgang rund um Mollaths Prozess und psychiatrische Unterbringung zusammenhängen. Um den gesamten Vorgang zu dokumentieren, machte er Sachverständigengutachten, Anträge, gerichtliche Beschlüsse und ähnliche Dokumente auf der Website seiner Kanzlei verfügbar.

Die Strafverfolger haben im Mai beim Amtsgericht (AG) Hamburg beantragt, das Gericht möge die Löschung der vermeintlich rechtswidrig gehosteten Daten anordnen. Dabei bezog sich die Staatsanwaltschaft auf Vorschriften zur Beschlagnahme – diese erlauben es, „Gegenstände“ einzuziehen, die vereinfacht gesagt als Tatwerkzeug gedient haben. In diesem Fall verlangte die Behörde die Löschung der Daten auf dem Webserver. Das Amtsgericht lehnte es jedoch ab, einen solchen Antrag zu erlassen. Die Ermittlungsbehörde wehrte sich mit einer Beschwerde gegen diese Entscheidung, daher hatte nun das Landgericht (LG) der Hansestadt über die Löschung zu befinden.

Die Richter des LG Hamburg erteilten den Strafverfolgern eine ausführlich begründete Abfuhr. Die Hamburger Richter ließen das Löschverlangen der Strafverfolger unter anderem am Begriff des „Gegenstands“ scheitern. Das Gericht unterschied verschiedene Formen der Beschlagnahme. Hierbei war sowohl eine Beschlagnahme des Servers denkbar, auf dem die Daten sich befinden, als auch eine Beschlagnahme der Daten selbst.

Möchten die Ermittlungsbehörden einen Server beschlagnehmen, so müsse dieser ein Gegenstand sein, der dem Beschuldigten gehört. Ein Server sei ein Gegenstand, gehöre – worauf es hier zusätzlich nun ankommt – jedoch nicht dem Beschuldigten. Unabhängig davon seien die darauf gespeicherten Dateien keine Gegenstände im Sinne der Vorschriften. Denn „der Server (muss) seiner Art und den Umständen nach die Allgemeinheit gefährden oder die Gefahr bestehen, dass er der Begehung rechtswidriger Taten dienen wird“. Nach Ansicht des LG kennt die StPO keine Vorschrift, die die Beschlagnahme von Daten zum Zweck der Löschung regelt. Die Forderung der Löschung der Daten läuft somit ins Leere.

Eine wesentliche Unterscheidung zu der Entscheidung des BVerfG sieht das Gericht darin, dass der Beschuldigte seine Handlungen nicht abstreitet, sondern nur rechtlich anders bewertet als die Hamburger Strafverfolger. Eine Beschlagnahme der Daten würde somit nicht der Beweissicherung dienen, da der zugrundeliegende Sachverhalt nicht umstritten ist, sondern feststeht. Die Entscheidung des LG Hamburgs steht somit nicht im direkten Widerspruch zu der Entscheidung des BVerfG. In der Entscheidung des LG Hamburgs ging es gerade nicht um die Sicherstellung von Beweismitteln. Das Gericht hatte über das Verlangen nach der Löschung der Daten zu entscheiden.

Was bedeutet dies für die Praxis?

Die Entscheidung des LG Hamburgs entlastet einerseits Hosting-Anbieter: In schwebenden Strafverfahren sollten die eigentlich ohnehin unbeteiligten Provider nun soweit unbehelligt bleiben, wie es um die Beseitigung umstrittener Daten geht. Andererseits erschwert die aktuelle Entscheidung jedoch gleichzeitig das Leben der Provider, da nun die richtige Reaktion auf eine Beschlagnahme noch schwieriger zu beurteilen ist.

Ohnehin bedeutet auch die aktuelle Entscheidung nicht, dass nun beispielsweise urheberrechtswidrige, verfassungsfeindliche oder gar kinderpornografische Inhalte möglicherweise für die mehrjährige Dauer eines Verfahrens über mehrere Instanzen hinweg online bleiben dürften. Eindeutig rechtswidrige Inhalte unterliegen auch nach Ansicht der Hamburger Richter einer möglichen Löschanordnung.

Außerhalb solch rechtlich eindeutiger Situationen – in denen ohnehin Provider wohl schon aus Eigeninteresse handeln werden – müssen Provider nun die rechtliche Situation sorgfältiger den je prüfen.

Wir danken unserem wissenschaftlichen Mitarbeiter Martin Bucerius für die Mitarbeit an diesem Beitrag.

Beschlagnahme von gehosteten Daten zu Beweiszwecken (Teil 1 von 2)

Dr. Marc Störing — Wed, 25 Sep 2013 13:47:29 +0000

Die Beschlagnahme eines Servers oder zumindest von Teilen des darauf gehosteten Datenbestandes ist wohl für nahezu jeden Anbieter so etwas wie ein „worst case scenario“. Die Beschlagnahme stellt einen Eingriff in die eigene Serverstruktur dar, der einerseits geduldet werden muss, andererseits aber vielleicht weitere, eigentlich nicht betroffene Kunden schwer beeinträchtigt und obendrein Ressourcen beim Anbieter binden. Diesen zusätzlichen Aufwand möchte der Anbieter gerne nach Möglichkeit vermeiden.

Zu der Frage, ob und wie gehostete Daten beschlagnahmt werden können, hatte sich erstmalig das Bundesverfassungsgericht (BVerfG) im Jahre 2005 geäußert. Für Aufsehen sorgt nun jedoch eine Entscheidung des Landgerichts (LG) Hamburgs von September 2013. Beide Gerichte behandeln die Frage, ob Daten beschlagnahmt werden können, differenzieren jedoch nach dem Grund für die Beschlagnahme.

Lassen sich Daten beschlagnahmen?

Die beiden Gerichte kommen jedoch zu unterschiedlichen Ergebnissen, die auch unterschiedlich begründet werden. Grund hierfür ist, dass die Gerichte unterschiedliche Konstellationen der Beschlagnahme zu bewerten hatten. Das BVerfG bejahte die Beschlagnahme für den Fall, dass diese der Beweissicherung diene. Das LG Hamburg hingegen verneinte die Möglichkeit der Beschlagnahme für den Fall, dass Daten letztlich lediglich offline genommen und vernichtet werden sollen.

Daten als Beweismittel

Das BVerfG hatte 2005 entschieden, dass Daten im Zusammenhang mit einer Beschlagnahme als „Gegenstände“ gelten. Zuvor gab es eine länger anhaltende Diskussion, ob Daten überhaupt nach § 94 Abs. 1, 1. Alt StPO in Verwahrung genommen werden könne – spricht doch die Norm von „Gegenständen“. Der für die Sicherstellung maßgebliche § 94 StPO spricht tatsächlich noch von “Gegenständen, die als Beweismittel … von Bedeutung sein können”. Der Gesetzgeber ging mit dieser Vorschrift vom Leitbild des blutverschmierten und fingerabdruckbesetzen Tatmessers aus, das beim Täter gefunden wird. Lange galt es eher als abwegig, dass sich die in der Vorschrift genannten „Gegenstände“ auch auf Daten beziehen könnten.

Das BVerfG hatte entschieden, dass Daten in dem Zusammenhang einer staatlichen Sicherstellung als „Gegenstände“ gelten können. Letztlich ist diese Interpretation durchaus im Interesse aller Betroffenen – denn wenn andererseits nur der ganze Server oder zumindest die Festplatten als Gegenstände gelten würden, wären die Auswirkungen unverhältnismäßig größer.

Dieser Entscheidung lag die eine Beschlagnahme der Daten zu Beweissicherungszwecken zugrunde. Es ging also darum, dass ein vermuteter Geschehensablauf bewiesen werden sollte: „Hatte der Verdächtige die ihm zu Last gelegte Tat wirklich … indem er …“ Gerade für diese Ermittlung werden die Daten aus der Beschlagnahme benötigt.

Einstufung von Daten unter den Rahmen des Telekommunikationsgesetzes (TKG)

Besonderheiten bei der Beschlagnahme von Daten auf einem Server ergeben sich aufgrund der Vorschriften des TKG. § 88 TKG schützt das Fernmeldegeheimnis. Das Fernmeldegeheimnis schützt den

Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

Dabei sind nicht nur die Inhalte, sondern auch die näheren Umstände einer jeden Telekommunikation geschützt. Informationen darüber, wer wann wem etwas übermittelt, sind zwar weniger sensibel, unterfallen dem Schutz des Fernmeldegeheimnisses damit aber auch. Hierunter würden z. B. Verbindungsdaten fallen. Im Jahr 2009 klärte das Bundesverfassungsgericht, dass das Fernmeldegeheimnis selbst gelesene, private Nachrichten auf dem Server des Betreibers schützt. Dennoch ist auch hier der staatliche Zugriff unter den eher geringen Anforderungen der klassischen Postbeschlagnahme nach § 99 StPO zulässig. Die entsprechende Überwachung und Aufzeichnung der Kommunikation kann auch ohne Wissen des Betroffenen stattfinden (§ 100a StPO).

Was der Aufsehen erregende Fall Gustl Mollath mit diesen Fragen zu tun hat, was das Landgericht Hamburg im Einzelnen zur Beschlagnahme von Daten ausgeführt hat, und welche Auswirkungen diese Entscheidungen für die Praxis (fast) aller Unternehmen haben, die Daten speichern, lesen Sie hier im Blog im Teil 2 dieser Miniserie.

Wir danken unserem wissenschaftlichen Mitarbeiter Martin Bucerius für die Mitarbeit an diesem Beitrag.