Playstation – Online.Spiele.Recht

Angelesen… Veröffentlichungen im Spielerecht (4)

Felix Hilgert — Wed, 22 Feb 2017 09:18:21 +0000

In unserer Rubrik „Angelesen“ weisen wir in unregelmäßigen Abständen auf aktuelle Veröffentlichungen im Spielerecht hin. Die Auswahl ist komplett subjektiv und erhebt keinen Anspruch auf Vollständigkeit. Wir stellen zusammen, was wir interessant finden – auch mit Blick über den juristischen Tellerrand hinaus.

Diesmal: Werbekennzeichnung, Virtual Reality, eSport, Hacker-Angriffe, Jugendschutz und Musik

Kennzeichnung von Werbung und Product Placement in Social Media

Bereits in der Vergangenheit hatten wir über die Regularien zur Kennzeichnung von Werbung und Product Placement gebloggt. Die Medienanstalten haben ihre FAQ zu Werbefragen in sozialen Medien nun aktualisiert, die neue Fassung gibt auch Hinweise zu Plattformen wie Facebook, Twitter, Instagram und Snapchat. Im deutschen Blog hat Electronic Arts (EA) zudem ein eigenes Kennzeichnungssystem für Kampagnen und Content-Kreation in sozialen Medien vorgestellt. Je nach Inhalt sollen betroffene Influencer Beiträge als #supportedbyEA bzw. #advertisement kennzeichnen.

Werbung in Social Media – Medienanstalten publizieren neue FAQs zur Werbekennzeichnung auf YouTube & Co.
DLM, Pressemitteilung v. 18.10.2016

Mehr Transparenz bei Influencer-Kampagnen
Electronic Arts

EA puts influencers in check with disclosure rules for sponsored content
Julia Alexander, Polygon v. 16.11.2016 (engl.)

Rechtsfragen zu Virtual Reality

Im Vorfeld zu einem Symposium an der TH Köln haben Christian Henner-Hentsch und Rolf Schwartmann sich in der proMedia mit den Rechtsfragen beschäftigt, die Virtual Reality aufwirft. Für Developer und Publisher von Games seien dies vor allem Fragen zur Lizenzierung, datenschutzrechtlichen Einwilligungen, Gewährleistungs- und Haftungsfragen sowie Jugendschutzaspekte.

Virtual Reality! Legal Reality?
Christian Henner-Hentsch / Rolf Schwartmann, proMedia 11/2016, 27-28

Bedeutend für eSport: USK als Selbstkontrolle im Rundfunk anerkannt

Mit einem erweiterten Zuständigkeitsbereich stellt sich die Unterhaltungssoftware Selbstkontrolle (USK) auch als Partner für Streaming-Anbieter auf. Die Kommission für Jugendmedienschutz (KJM) hat sie offiziell als Selbstkontrolle für den Bereich des Rundfunks anerkannt. Anerkannt war sie bereits für Altersprüfungen von Trägermedien nach dem Jugendschutzgesetz („USK-Kennzeichen“) und Telemedien. Die Erweiterung ist insbesondere für die boomende eSport-Branche von Bedeutung, hier können Anbieter von der Gaming-Erfahrung der Berliner Jugendschützer profitieren.

KJM erkennt USK auch im Bereich Rundfunk an
GamesMarkt.de v. 03.11.2016

Neuer Elternratgeber rund um Computerspiele

Geht es um Computerspiele, haben Eltern häufig viele Fragen. Hier soll eine Broschüre der Unterhaltungssoftware Selbstkontrolle (USK) und der Stiftung Digitale Spielekultur Orientierung geben. Die Neuauflage des Elternratgebers greift zentrale Fragestellungen aus dem Erziehungsalltag auf, die im Zusammenhang mit digitalen Spielen auftreten können. Eine gedruckte Fassung liegt in allen Saturn-Filialen aus und kann bei der USK bestellt werden, zudem steht der Ratgeber zum Download bereit.

USK und Stiftung Digitale Spielekultur veröffentlichen neuen Elternratgeber rund um Computerspiele
Unterhaltungssoftware Selbstkontrolle, Pressemitteilung v. 29.09.2016

Jugendschutz bei eSport-Veranstaltungen

Veranstalter von eSport-Events müssen sich an die Vorgaben des Jugendschutzes halten, wenn sie auch Minderjährigen eine Teilnahme gestatten wollen. Zu den möglicherweise einschlägigen Normen hat Michael Scheyhing eine weite Darstellung vorgenommen.

Jugendliche bei eSport-LAN-Events – Jugendschutz im eSport
Michael Scheyhing, MMR-Aktuell 2016, 382190 (für Abonnenten)

Anerkennung von eSports als Sport

Die FDP in der Hamburgischen Bürgerschaft fordert, dass eSport als vollwertiger Sport anerkannt wird. Profitieren könnte die Szene somit von der Anerkennung der Gemeinnützigkeit mit entsprechenden Steuervorteilen, der Förderung ehrenamtlicher Tätigkeit und auch Mitteln aus der Sportförderung. Über den entsprechenden Antrag berichten Die Welt und die Hamburger Morgenpost.

Warum Computerspiele schon bald Sport sein könnten
Jana Werner, Die Welt v. 27.11.2016

Plan der Hamburger FDP: Ist „Zocken“ bald eine anerkannte Sportart?
Larissa Hamann, Hamburger Morgenpost v. 25.11.2016

USA: Anklage wegen Angriff auf die PSN/Xbox Live-Netzwerke

Mit einem koordinierten Angriff über die Weihnachtsfeiertage hatten Hacker 2014 das Playstation Network und Xbox Live lahm gelegt. Zu der DDos-Attacke hatte sich eine Gruppe namens Lizard Squad bekannt. Gegen zwei 19-Jährige wurde in den USA nun Anklage erhoben. Im vergangenen Jahr hatte zudem die britische Polizei weitere Verdächtige ermitteln können.

Infamous Lizard Squad attacks on Sony, Microsoft lead to federal charges
Charlie Hall, Polygon v. 7.10.2016 (engl.)

Computerspiele und ihre „deutsche“ Versionen

Spiele mit grünem Blut, Robotern statt Menschen und möglichst ohne Splatter-Effekte: Die 90er Jahre lassen grüßen. Auch wenn vieles davon längst Vergangenheit ist, bleibt der deutsche Markt aus Jugendschutzsicht ein heikles Terrain. Insbesondere historische Spiele müssen häufig noch verändert werden für ihr deutsches Release, nationalsozialistische Symbolik bleibt ein rotes Tuch. Gewaltdarstellungen können aber ebenso noch problematisch sein. Tristan Cooper hat mal verglichen, wie sich deutsche Versionen von ihren internationalen Pendants unterscheiden. Die Erläuterungen sind rechtlich zwar nicht immer zutreffend, die Gegenüberstellung ist dennoch sehr erhellend und unterhaltsam.

5 Weird Ways Germany Has Censored Video Games
Tristan Cooper, Dorkly v. 12.10.2016

„Der Gegner, gegen den Deutschlands Rapper immer wieder verlieren“

Wie arbeitet eigentlich die Bundesprüfstelle für jugendgefährdende Medien (BPjM)? Das Portal rap.de hat die stellvertretende Vorsitzende Petra Meier in einem lesenswerten Interview zu Indizierungen im Deutschrap befragt. In dem Gespräch geht es u.a. um die Rolle der Kunstfreiheit bei Indizierungsverfahren, Änderungen in der Bewertungspraxis und die Außenwirkung der Bonner Behörde. Auch wenn insbesondere die Rolle der Kunstfreiheit bei Computerspielen noch anders gewichtet wird, bietet der Text auch für Gaming-Interessierte einen guten Einblick in die Tätigkeit der Jugendschützer.

Wer sich mehr über Jugendschutz und Musik lesen will: Vom ARD-Jugendsender Fritz hat sich Julius Wußmann erklären lassen, wie Radiosender mit „expliziten“ Songtexten umgehen.

Interview mit der BPjM über Indizierungen und Kunstfreiheit
Max Kessel, rap.de v. 15.09.2016

„Wörter wie ‚Fotze’ und ‚Hurensohn’ sind immer noch unspielbar“ – Über harte Texte im Radio [OC21]
Julius Wußmann, noisey v. 7.10.2016

Komponieren für Computerspiele: Interview mit Jessica Curry

Um Musik geht es auch in unserem nächsten Lesetipp: Jessica Curry ist Komponistin und Indie-Spielentwicklerin, für ihren Soundtrack zu „Everybody’s Gone to the Rapture“ erhielt sie 2015 einen BAFTA Games Award. Im Interview mit dem M magazine erzählt sie über die Arbeit, Musik für Computerspiele zu schreiben und ihre Situation als Frau in der Gamesbranche.

Interview: Jessica Curry
m Magazine v. 20.09.2016 (engl.)

* * *

Sie vermissen einen lesenswerten Text? Wir freuen uns immer über Anregungen, schreiben Sie uns einfach eine kurze Nachricht. Sie wollen regelmäßig über Updates informiert werden? Abonnieren Sie doch unseren Newsletter und erhalten Sie alle Beiträge direkt in Ihr Postfach:

[mc4wp_form]

Der Fall Geohot: Pyrrhussieg oder wichtiger Schlag gegen die Hackerszene? (Teil 2 von 2)

Tobias Lutzi — Mon, 25 Jul 2011 07:42:08 +0000

Wie kommt es, dass ein gerade 21-jähriger Hacker mit einem nach nur drei Monaten von den Parteien beigelegten Rechtsstreit mit Sony weltweit Schlagzeilen macht? Wer den ersten Teil dieses Beitrags gelesen hat, wird festgestellt haben, dass es kaum an der Komplexität der Rechtsverstöße gelegen haben kann, die dem Hacker George Hotz von Sony vorgeworfen wurden. Tatsächlich war eine Verurteilung in Anbetracht der massiven und wiederholten Eingriffe in den Kopierschutz der Playstation 3 und deren Veröffentlichung mehr als wahrscheinlich.

Furore machte der Prozess – abgesehen von seiner Vorgeschichte – wegen eines scheinbaren Details und dessen gerichtlicher Klärung: der Zuständigkeit des angerufenen Gerichts.

Streit um das zuständige Gericht

Zwar konnte Sony dank einer temporary restraining order (Volltext), einer Art einstweilige Verfügung, nach der Hotz keine Informationen zu seinen bisherigen Hacking-Aktivitäten mehr veröffentlichen durfte, diese einstellen und Teile seiner Hardware herausgeben musste, schon Ende Januar inhaltlich einen Teilerfolg erzielen (der am 28. Februar durch eine preliminary injunction (Volltext) bestätigt wurde). Hotz‘ Verteidigung konzentrierte sich jedoch darauf, die Zuständigkeit des Gerichts in Frage zu stellen.

Die wichtigsten Argumente, die das Unternehmen für einen ausreichenden Bezug zum Bundesstaat Kalifornien ins Feld führte, waren zunächst die Tatsache, dass Sony Computer Entertainment America (SCEA), eine amerikanische Tochter der japanischen Sony Corporation, die vor allem Playstation-Spiele entwickelt und vermarktet, dort ihren Sitz habe und Hotz‘ Aktivitäten sich direkt gegen dieses Unternehmen gerichtet hätten; ferner, dass Hotz Kalifornien als Gerichtsort in den Nutzungsbedingungen des Playstation Network (PSN) zugestimmt habe, das Unternehmen PayPal, dessen Dienstleistungen sich Hotz für seine Aktivitäten bedient habe, ebenfalls in Kalifornien sitze und Hotz die Ergebnisse seiner Arbeit gerade auch Playstation-Besitzern aus Kalifornien zugänglich gemacht habe.

Hotz‘ Verteidigung widersprach all diesen Argumenten und bezeichnete Sonys Vorgehen mehrfach als absurd. Weder sei einzusehen, dass sämtliche Tochterunternehmen der im Bundesstaat Delaware ansässigen Sony Corporation (die bei Kauf und Verwendung der Playstation 3 als alleinige Rechteinhaberin auftrete) am Ort ihres Unternehmenssitzes gegen etwaige Schädigungen durch Hotz vorgehen könnten, noch reiche die Zustimmung zu den Nutzungsbedingungen des PSN aus, um sämtliche Handlungen Hotz‘ in Verbindung mit der Playstation 3 einem kalifornischen Gericht zu unterwerfen. Hotz habe seine Aktivitäten zudem nie bewusst auf Kalifornien ausgerichtet, insbesondere sei seine eigene Website, auf deren kalifornische Benutzer Sony mehrfach verwies, „passiv“ und diene „wie ein Internet-Tagebuch“ lediglich dazu, Hotz‘ „Gedanken, Ideen und Erkenntnisse“ unentgeltlich mit der Öffentlichkeit zu teilen; eine Ausrichtung seiner Aktivitäten (auch) auf Kalifornien könne eine solche Website nicht belegen.

Auch wenn das Gericht die Frage nach seiner Zuständigkeit, die eine Antwort auf diese und weitere komplizierte Rechtsfragen erfordert hätte, am Ende nicht entscheiden musste, macht die Argumentation der beiden Parteien deutlich, warum Sony von Anfang an großes Interesse an einem möglichst weitgehenden Zugang zu den Daten derjenigen Internetnutzer hatte, die auf Hotz‘ Exploits zugegriffen hatten. Dass das Gericht diesem Interesse mit einer äußerst weitreichenden Verfügung nachkam, erklärt einen Teil des großen Medieninteresses an dem Rechtsstreit.

Die Verfügung

Am 3. März gab Magistrate Judge Joseph C. Spero einem von Sony eingereichten Antrag statt (Volltext), der es dem Unternehmen ermöglichen sollte, weitere Beweise für die Zuständigkeit des kalifornischen Gerichts zu erlangen. Zwar hatte Sony dessen Reichweite bereits eingeschränkt und der Geheimhaltung eines Teils der Daten zugestimmt, dennoch war der Umfang der Daten, die Twitter, Google, dessen Tochterunternehmen YouTube und Hotz‘ Webhoster Bluehost an Sony herausgeben mussten erheblich.

Während Bluehost verpflichtet wurde, Sony mitzuteilen, wer die von Hotz bereitgestellte Software heruntergeladen hatte, sollte Google offenlegen, welche Nutzer über den Blog geohotps3.blogspot.com Kontakt zu Hotz hatten, ein bestimmtes YouTube-Video kommentiert oder (nachdem Hotz es in seinen „privaten“ Bereich verschoben hatte) noch Zugriff darauf hatten. Twitter musste Sony alle Tweets zur Verfügung stellen, die Hotz von seinem Account aus verfasst hatte.

Die von der Electronic Frontier Foundation, einer amerikanischen Bürgerrechtsorganisation, als sogenannter amicus curiae vorgebrachten Bedenken hinsichtlich des Datenschutzes, der durch die Verfügung in unverhältnismäßig hohem Maße verletzt werde, blieben in Anbetracht der Einschränkungen, die Sony gegenüber seinem ursprünglichen Verlangen vorgenommen hatte, ohne Gehör.

Die Einigung

Am 31. März traf sich Hotz mit Vertretern von SCEA. Beide Seiten einigten sich darauf, den Rechtsstreit beizulegen und auf alle Rechtsmittel zu verzichten – freilich, nachdem Hotz einer weitreichenden Unterlassungserklärung zugestimmt hatte. Nach dieser darf er in Zukunft keinerlei Handlungen begehen, die dazu dienen, den Kopierschutz eines Sony-Produkts zu umgehen und keine Informationen mehr veröffentlichen, die anderen dies ermöglichen; jeder Verstoß verpflichtet ihn unmittelbar zur Zahlung von Schadensersatz in Höhe von $ 10.000, bei wiederholten Verstößen bis zu einer Gesamtsumme von $ 250.000. Hotz gab im Anschluss bekannt, nie wieder mit Produkten von Sony zu experimentieren und rief zu einem Boykott aller Sony-Produkte auf. Die knapp 10.000 Dollar, die von den Spenden für seine Verteidigung nach Abzug der Prozesskosten übrig geblieben waren, spendete er der Electronic Frontier Fondation, die ihn im Laufe des Rechtsstreits unterstützt hatte.

Während Sony damit sein ursprüngliches Ziel, öffentlichkeitswirksam und mit harter Hand gegen die Umgehung des Playstation-3-Kopierschutzes vorzugehen und erfolgreiche Exploits in der Zukunft zu verhindern, erreicht hat, heißt der moralische Sieger des Rechtsstreits jedenfalls für viele Internetnutzer und -medien George Hotz. Zwar ist der durch dessen Boykott-Aufruf angerichtete Schaden noch nicht feststellbar und möglicherweise marginal, die massiven Angriffe auf Sony-Server, zu denen die Gruppe Anonymous aufgerufen hatte, dürften dem Unternehmen dagegen erheblich geschadet haben.

Hinzu kommt die Kluft zur Hacker-Community, die aus unterschiedlichsten Motiven – darunter nicht zuletzt die Entwicklung von homebrew-Anwendungen – mit der Playstation-Software experimentiert. Viele dürften der Analyse zustimmen, die Hotz anlässlich der von Sony im Februar veranlassten Hausdurchsuchung beim deutschen Hacker Graf_Chokolo in seinem während des Gerichtsverfahrens eingerichteten Blog geohotgotsued veröffentlichte :

„They’ll never understand people like us. They are scared, as they rightfully should be. We built your PS3. We built this world. We are not mindless consumers. It is us with the brains and curiosity, not you with the guns, jails, suits, titles, and dollars. And the truth is, if all of you disappeared tomorrow, the world would continue on fine. Good luck surviving without people like graf_chokolo.“

Konkurrent Microsoft denkt inzwischen offenbar ähnlich und versucht sich die Feinde, die er nicht besiegen kann, kurzerhand zum Freund zu machen. An Hotz hatte Brandon Watson, Hauptverantwortlicher für das Betriebssystem Windows Phone 7, schon im Januar via Twitter geschrieben:

„#geohot if you want to build cool stuff on #wp7, send me email and the team will give you a phone – let dev creativity flourish #wp7dev“

Der Fall Geohot: Pyrrhussieg oder wichtiger Schlag gegen die Hackerszene? (Teil 1 von 2)

Tobias Lutzi — Mon, 18 Jul 2011 07:39:47 +0000

Viel Feind‘, viel Ehr. Nach dieser gut hundert Jahre alten Maxime sind für Sony spätestens seit dem Fall Geohot glorreiche Zeiten angebrochen. Denn auch wenn der Rechtsstreit mit dem unter den Pseudonymen mil und geohot bekannten Hacker George Hotz nur etwa drei Monate andauerte und dank einer Ende März zwischen den Parteien erzielten Einigung als juristisch abgeschlossen gelten darf, hat er die Beziehung zwischen dem japanischen Entertainment-Riesen und der Hacker- und Homebrew-Szene auf ein neues Niveau gebracht. Dass Sony hinter dem Diebstahl von über 100 Millionen Nutzerdaten der Mitte April zur wochenlangen Abschaltung des Playstation Network (PSN) führte, einen (weiteren) Racheakt der Gruppe Anonymous vermutet, die im Anschluss an den Rechtsstreit (offenbar erfolgreich) zu DoS-Attacken auf Sony-Server aufgerufen hatte, zeigt das Misstrauen zwischen Sony und der Hackergemeinde.

Schon als Sony vor etwa 10 Jahren juristisch gegen einen Hacker zu Felde gezogen war, der dem Roboterhund Aibo das Tanzen beigebracht hatte, hatte das Unternehmen sich dort – trotz späteren Einlenkens – zahlreiche Feinde gemacht. Deren Zahl hatte weiter zugenommen, als Sony massiv gegen den in Hackerkreisen beliebten asiatischen Spieleexporteur Lik Sang vorging, der daraufhin seine Angebot einstellen musste. Zur gleichen Zeit war darüber hinaus bekannt geworden, dass ein auf zahlreichen Audio-CDs von Sony BMG eingesetzter Kopierschutz Schadcode (ähnlich einem Rootkit) auf den Computern der Käufer versteckte – der Chaos Computer Club sprach von „digitalem Hausfriedensbruch“, in Amerika erhob die Electronic Frontier Fondation Klage gegen Sony.

Der Fall Geohot, das jüngste Kapitel der Fehde, erregte die Gemüter nicht nur wegen der ausgesprochenen Bekanntheit des Beklagten, der seit 2009 immer wieder mit Hacks für Apples iPhone und Sonys Playstation 3 Schlagzeilen machte und äußerst öffentlichkeitswirksam auf die Klage reagierte, sondern auch, weil Sony im Laufe des Verfahrens eine gerichtliche Verfügung erwirkte, die die Internetdienstleister Google, YouTube und Twitter sowie Hotz‘ Webhoster dazu zwang, zahlreiche Nutzerdaten an Sony herauszugeben.

In einem zweiteiligen Beitrag vollziehen wir die juristischen Etappen des Rechtsstreits nach.

Die Klage

Sony hatte am 11. Januar 2011 Klage (Volltext) erhoben, nachdem Hotz wiederholt Exploits entwickelt und anschließend veröffentlicht hatte, mit deren Hilfe sich die strengen Kopierschutzmaßnahmen der Playstation 3 umgehen ließen – etwa, um auf der bis dahin als weitgehend uneinnehmbar geltenden Konsole Linux auszuführen oder selbst gebastelte Spiele (homebrew) zu spielen. Das Unternehmen stützte sich auf insgesamt acht verschiedene rechtliche Grundlagen, darunter Verstöße gegen den Digital Millenium Copyright Act (DMCA), den Copyright Act und den Computer Fraud and Abuse Act, begangen durch Hotz und mehrere Mitglieder der Gruppe fail0verflow, gegen die Sony – soweit identifizierbar – gleichzeitig vorging.

Neben Schadensersatz und der Herausgabe möglicher mit den Exploits erzielter Gewinne verlangte Sony die zukünftige Unterlassung weiterer Rechtsverstöße sowie die Herausgabe der benutzten Hard- und Software. Auch wenn Hotz stets bestritt, sich illegal verhalten zu haben (worauf er in der gemeinsam mit Sony veröffentlichten Presseerklärung zur schließlich erzielten Einigung erneut hinwies), war von Beginn an ersichtlich, dass die Klage in den meisten Punkten juristisch begründet war und erfolgreich sein würde. So verbietet der DMCA ausdrücklich das Umgehen eines Kopierschutzes sowie die Verbreitung dazu geeigneter Technologien, der Computer Fraud and Abuse Act das unberechtigte Eindringen in einen Computer. Auch eine Verletzung der Nutzungsbedingungen des Playstation Network, dem Hotz und die übrigen Beklagten beim Herunterladen von Software-Updates laut Sony zugestimmt hatten, war in Anbetracht der bewussten und massiven Umgehung von Sonys Kopierschutz evident (wobei die Beklagten ihre Zustimmung zu diesen Bedingungen bestritten).

Wie die zahlreichen juristischen Erfolge, die Sonys Konkurrent Nintendo in den letzten Jahren weltweit erzielen konnte, zeigen, ist die Rechtslage außerhalb der Vereinigten Staaten insoweit ähnlich: In Deutschland etwa ist das Umgehen von Kopierschutz – ungeachtet des verfolgten und möglicherweise legalen Zwecks – nach § 95a UrhG unzulässig; dank Art. 6 der EU-Urheberrechtsrichtlinie (Richtlinie 2001/29/EG) existieren ähnliche Regelungen inzwischen in allen EU-Staaten. Auch der Verstoß gegen die Nutzungsbedingungen des PSN dürfte von den meisten Gerichten dieser Welt sanktioniert werden. Exorbitante Schadensersatzansprüche wie in Vereinigten Staaten sind vielerorts allerdings nicht zu erwarten.

Gegen den in den USA lebenden Hotz ging Sony denn auch vor einem amerikanischen Gericht vor; allerdings nicht in dessen Heimatstaat New Jersey, sondern vor dem District Court for the Northern District of California in San Francisco, in dessen Zuständigkeitsbereich die Kleinstadt Foster City liegt, Sitz von Sony Computer Entertainment America (SCEA). Weil Hotz‘ Verteidigung der Klage daraufhin die Unzuständigkeit des angerufenen Gerichts entgegenhielt, drehte sich das Verfahren bis zu seinem Ende allein um die Ermittlung des zuständigen Gerichts.

Im zweiten Teil dieses Beitrags stellen wir die erstaunlich offensiven Wege vor, die Sony dazu beschritt, und erklären, wie die Parteien das Verfahren zu einem ebenso erstaunlich schnellen Ende brachten.

Mitteilungspflicht bei Datenlecks

Dr. Marc Störing — Mon, 06 Jun 2011 06:20:13 +0000

Einbruch in das Playstation-Netzwerk bei Sony und Verlust von Millionen Spielekundendaten, Hack des auf IT-Sicherheit spezialisierten Unternehmens RSA, daraufhin Cyber-Attacken auf RSA-Kunde Lockheed-Martin, chinesischer E-Mail Diebstahl bei Morgan Stanley, angeblich Passwort-System von Googles Handy-Betriebssystem geknackt … Die Serie der Datenpannen bei international agierenden Großunternehmen scheint nicht abzureißen; die Aufmerksamkeit der Medien war nie größer. Aber was sind die rechtlichen Folgen?

Der Verlust von Kundendaten bedeutet in aller Regel einen beträchtlichen Imageschaden für das Unternehmen. Es ist dann die Rede von einem PR-Desaster, und die Seriosität des Unternehmens wird angezweifelt. Sogar ein Umsatzrückgang kann die Folge sein. So kostete der Hackerangriff auf das Playstation-Netzwerk Sony laut eigenen Angaben 1,3 Milliarden Euro, teilweise schätzen Analysten den Schaden sogar noch höher.

Angesicht solch verheerender Nachwirkungen dürfte die Versuchung bei Unternehmen groß sein, eventuelle Datenlecks zu verheimlichen.

Doch aufgepasst: Seit 1. September 2009 besteht gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) eine ausdrückliche Verpflichtung zur Information der Betroffenen (Kunden, Mitarbeiter …) und Datenschutzbehörden im Falle von Datenverlusten!

Unternehmen müssen also sich selbst als Datensünder an den Pranger stellen. Bei einem Verstoß drohen Bußgelder bis zu 300.000 Euro.

Wann besteht eine Mitteilungspflicht?

Trotzdem besteht die Mitteilungspflicht nicht in jedem Fall eines Datenlecks. Vielmehr besteht eine solche Pflicht nur bei Verlust bestimmter Datentypen. Im Einzelnen sind dies:

Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, eine eventuelle Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben
Informationen, die einem Berufsgeheimnis unterliegen (Anwaltsdaten, ärztliche Daten etc.)
Strafrechtlich relevante Daten
Daten zu Bank- und Kreditkartenkonten

Wichtig ist, dass die Pflicht auch nur gilt, wenn die Daten personenbezogen sind, d.h. mit einer konkreten Person in Verbindung gebracht werden können. Handelt es sich um vollständig anonymisierte Daten, besteht kein Risiko für die Betroffenen. Folglich existiert keine Mitteilungspflicht. Bei verschlüsselten Daten kommt es darauf an, ob eine Entschlüsselung für Dritte realistisch möglich ist.

Außerdem besteht die Mitteilungspflicht nicht schon beim bloßen Verlust von Daten. Vielmehr muss das Unternehmen dann auch feststellen, dass tatsächlich Dritte Kenntnis von den Daten erlangt haben. Auch das ist in der Praxis eine wichtige Einschränkung.

Zwar ist laut Gesetz weiterhin eine „schwerwiegende Beeinträchtigung der Rechte oder schutzwürdigen Interessen der Betroffenen“ notwendig. Die sperrige Wendung macht es schon deutlich: Hier ist eine Abwägung im Einzelfall erforderlich.

Wem muss was mitgeteilt werden?

Worst Case. Rien ne va plus. Jemand hat sich tatsächlich Zugriff auf die genannten Daten verschafft. Was tun?

Gesetzliche Pflicht ist eine sofortige persönliche Benachrichtigung der Betroffenen und der zuständigen Datenschutzbehörde, d.h. des jeweiligen Landesdatenschutzbeauftragten. Sollten, wie im Falle Sony, eine Vielzahl von Personen betroffen oder deren Kontaktdaten nicht bekannt und die persönliche Benachrichtigung daher mit unverhältnismäßigem Aufwand verbunden sein, kann sie durch eine Information der Öffentlichkeit in Form einer halbseitigen Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine zur Information der Betroffenen ebenso geeignete Maßnahme ersetzt werden. Die Pflicht zur gesonderten Informierung der Datenschutzbehörden bleibt bestehen.

Die Betroffenen müssen bei der Benachrichtigung darüber informiert werden, auf welche Weise die Daten in fremde Hände gelangt sind und wie etwaige „nachteilige Folgen“ gemildert werden können. In der Benachrichtigung der Behörde müssen auch noch die möglichen nachteiligen Folgen und die daraufhin vom Unternehmen getroffenen Maßnahmen konkret benannt werden.

Sicherheit und Aufklärung gehen vor

Aber: Das Unternehmen darf vielleicht mit der Benachrichtigung warten. Nämlich dann, wenn eine sofortige Benachrichtigung die Aufklärung des Sachverhalts oder den schnellstmöglichen Schließen der Sicherheitslücke behindern würden. So soll insbesondere verhindert werden, dass das bereits bestehende Datenleck weiteren Dritten eine einfache Angriffsfläche bietet. Weil die Behörden aber einer gesetzlichen Verschwiegenheitspflicht unterliegen, sind sie immer sofort nach Feststellung einer Drittkenntnisnahme zu informieren. Mit diesen Sicherheits- und Aufklärungserwägungen kann sich also ein Unternehmen niemals herausreden, wenn es völlig passiv geblieben ist.

Was bedeutet das für mein Unternehmen?

Ein Datenverlust ist neben dem Imageschaden auch ein rechtliches Problem. Pflichten können entstehen und bei deren Nichtbeachtung können Bußgelder zu 300.000 Euro anfallen. In der Aufarbeitung reicht also keine ausgefeilte Unternehmenskommunikation. Vielmehr ist eine datenschutzrechtlich korrekte Handhabung der Situation erforderlich. Ob eine Mitteilungspflicht besteht, kann nur nach sorgfältiger rechtlicher Prüfung festgestellt werden. Verschiedene Anknüpfungspunkte existieren dabei, um jedenfalls die unangenehme Mitteilungspflicht an Betroffene oder die Öffentlichkeit zu umgehen oder hinauszuzögern.