Handwerk 4.0: BMWI und Handwerk setzen auf Datensicherheit und Datensouveränität

Das Handwerk stellt für die deutsche Wirtschaft einen wesentlichen Baustein dar. Auch in diesem Wirtschaftszweig spielt das Thema „Digitalisierung“ eine immer wichtigere Rolle. Das Bundeswirtschaftsministerium (BMWi) und Vertreter der Wirtschaft sowie von Gewerkschaften haben in diesem Zusammenhang eine gemeinsame Erklärung zur Zukunft der Handwerkspolitik (PDF) unterzeichnet. Natürlich fällt auch das Schlagwort „Handwerk 4.0“.

Teil dieser Absichtserklärung ist unter anderem, das Ziel, in die öffentliche Infrastruktur zu investieren. Unabdingbare Voraussetzung, so die Erklärung, um die Möglichkeiten der Digitalisierung zu nutzen, ist gerade für kleine und mittlere Betriebe in ländlichen Regionen ein schneller Internetzugang.

Auch im Hinblick auf den Datenschutz und die Datensicherheit möchten die Unterzeichner die fortschreitende Digitalisierung des Handwerks unterstützen und gestalten.

Ein sicherer Datentransfer ist für die Wirtschaft unverzichtbar.

Geschäftsinformationen oder auch Datenbanken mit Kundendaten sind für viele Betriebe ein essentieller Teil ihrer Wertschöpfungskette. Diese Informationen gilt es daher zu schützen. Doch ist die Sensibilität für Fragen des sicheren Datentransfers und der Datenspeicherung insbesondere bei kleineren Handwerksbetrieben noch nicht ausreichend adressiert. Daher möchten sich die Unterzeichner der Erklärung dafür einsetzen, dass insbesondere kleine Unternehmen die möglichen Risiken beim Datentransfer erkennen können.

Ein weiteres Schlagwort der Erklärung ist die „digitale Souveränität“. Was genau damit gemeint ist, bleibt jedoch unklar: die alleinige Zugriffsbefugnis auf Daten? Ein gesetzliches Verbot, Daten aus deutschen Betrieben auf Servern im Ausland zu speichern?

Das BMWi möchte sich in jedem Fall in Zukunft für europaweit möglichst einheitliche Regelungen zu „Datensouveränität“ (evtl. ist damit auch das Thema „Eigentum an Daten“ angesprochen) und Datenschutz engagieren. Mit Blick auf den Datenschutz lässt sich freilich konstatieren, dass der Raum für den beabsichtigten Einsatz nur noch gering ist. Die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) sind im vollen Gange. Geplant ist eine Verständigung auf die europaweit einheitlichen Regelungen zum Umgang mit personenbezogenen Daten bis Ende 2015. Von gesetzlichen Änderungen unter der DS-GVO wäre natürlich auch das deutsche Handwerk betroffen. Zumindest aber die in der Erklärung beabsichtige Vereinheitlichung im Bereich des Datenschutzrecht wird mit der DS-GVO (als EU-Verordnung) zumindest Großteils eintreten.

Datenschutzbehörde: Jede Webseite und Online-App benötigt eine Datenschutzerklärung

Jedem Webseitenbetreiber oder App-Anbieter dürfte heutzutage klar sein, dass zu einem rechtskonformen Angebot auch eine Datenschutzerklärung gehört. Also ein Hinweis und Informationen darüber, wie personenbezogene Daten verwendet werden. Für die Nutzung von Analysediensten oder das Angebot von Newslettern dürfte dies sofort einleuchten. Dort wird aus der Sicht des Anbieters aktiv mit personenbezogenen Daten umgegangen. Doch wie sieht es aus, wenn man „nur“ eine Webseite betreibt. Ohne Analysedienst, ohne Newsletter, ohne Bestellmöglichkeit?

Indirekt hat sich zu dieser Frage das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) (die Aufsichtsbehörde für den nicht-öffentlichen Bereich) in ihrem Tätigkeitsbericht für 2013/2014 (PDF) geäußert. Mit nicht zu unterschätzenden Folgen für die Praxis und jeden, der eine Online-App oder Internetseite betreibt.

Die allgemeine Informationspflicht im TMG
Nach § 13 Abs. 1 S. 1 TMG gehört zu der Informationspflicht eines Webseiten- oder App-Betreibers, dass er Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten … in allgemein verständlicher Form“ unterrichtet. Soweit so gut. Werden also personenbezogene Daten verarbeitet, muss hierüber unterrichtet werden.

Die Neverending Story: IP-Adresse
Nun gilt es jedoch zu beachten, dass insbesondere die Aufsichtsbehörden die IP-Adresse als personenbezogenes Datum i. S. d. § 3 Abs. 1 BDSG ansehen (hierauf verweist auch das BayLDA, S. 56). Diese Ansicht ist freilich nicht unumstritten, wird aber von den Behörden (i.Ü. auch einigen Gerichten und Ansichten in der juristischen Literatur) so vertreten. Nun muss man sich jedoch gleichzeitig vergegenwärtigen, dass die Erhebung und eventuell auch Verwendung der IP-Adresse eines Endgerätes als technische Steuerungsinformation zur Übertragung von Informationen im Internet zwischen dem Diensteanbieter und seinem Nutzer schlicht erforderlich ist. Sie dient als Ziel von Datenpaketen. Um im Netz zu kommunizieren, bedarf es also einer IP-Adresse.

Hinweise in der Datenschutzerklärung erforderlich
Man ahnt was nun folgt. Das BayLDA weist nun (konsequent) in seinem Tätigkeitsbericht darauf hin, dass sich

jeder Diensteanbieter … mit der Thematik einer Datenschutzerklärung im Internetauftritt bzw. in der mobilen (Online-)Applikation zu beschäftigen hat, selbst wenn ein Nutzer nicht aktiv Daten eingeben kann und auch keine Cookies o. ä. Verfahren genutzt werden.

Nach dem BayLDA muss daher eine Datenschutzerklärung zumindest zu der Erhebung und möglichen Verwendung der IP-Adresse (etwa einer Speicherung in den Log-Dateien) selbst dann entsprechende Informationen beinhalten, wenn ansonsten keine personenbezogenen Daten erhoben oder genutzt werden. Kurz gesagt: jede Internetseite oder (Online-)App bedarf zumindest einer „Mini-Datenschutzerklärung“ mit Blick auf die IP-Adresse.

Mögliche Folgen bei Nichtbeachtung
Was geschieht, wenn man diese Hinweise der Behörde nicht beachtet? Möglicherweise nichts. Zumindest solange eine Datenschutzbehörde auf das Fehlen der Datenschutzerklärung nicht aufmerksam (gemacht) wird. Nach dem Gesetz handelt es sich bei einem fehlenden oder aber fehlerhaften Hinweis zum Umgang mit personenbezogenen Daten jedoch grundsätzlich um eine Ordnungswidrigkeit. Das BayLDA weißt in seinem Tätigkeitsbericht darauf hin, dass gem. § 16 Abs. 2 Nr. 2 TMG eine Ordnungswidrigkeit begeht, wer entgegen § 13 Abs. 1 S. 1 oder 2 TMG den Nutzer vorsätzlich oder fahrlässig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig informiert.

Zudem besteht das theoretische Risiko, von Wettbewerbern abgemahnt zu werden. Das Oberlandesgericht Hamburg hat bereits 2013 (Az. 3 U 26/12) entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs erteilt (hierzu mein Blogbeitrag).

Fazit
Potential für eine Abmahnwelle? Ich denke nicht. Auch wenn die Auffassung des BayLDA, bei Annahme des Personenbezugs der IP-Adresse von einer Informationspflicht auszugehen, konsequent erscheint, so existieren ebenfalls veritable Gegenauffassungen, die eine IP-Adresse nicht generell als personenbezogen einstufen. Zudem hatte ich erst letzte Woche im Rahmen der Abmahnung wegen Verwendung des Like-Buttons auf Webseiten darauf hingewiesen, dass absolut datenschutzrechtlich konformes Handeln heutzutage im Internet nur schwer erreichbar ist. Dies gilt im Zweifel auch für einen abmahnenden Wettbewerber.

Unabhängig hiervon fragt man sich freilich, was diese Information am Ende dem Webseitenbesucher oder App-Nutzer an Mehrwert und mit Blick auf den Schutz personenbezogener Daten tatsächlich bringt? Die Aussage ist z. B. allein: „Die IP-Adresse wird erhoben und auf unseren Servern gespeichert, weil es aufgrund der technischen Gegebenheiten des Internets einfach nicht anders geht“. Ein Gewinn an informationeller Selbstbestimmung geht damit meines Erachtens nicht einher. Außer die Alternative, Offline zu bleiben. Datenschutz im Jahre 2015.

Abmahnung wegen Like-Button? Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht

Heute vermeldete die Verbraucherzentrale NRW, dass sie insgesamt 6 Unternehmen wegen der Verwendung des Like-Buttons von Facebook und angeblicher datenschutzrechtlicher Verstöße der Webseitenbetreiber gegen das Telemediengesetz (TMG) abgemahnt habe. Gegen Peek & Cloppenburg (Landgericht Düsseldorf) und Payback (Landgericht München) habe man inzwischen Klage eingereicht.

Was wird bemängelt?
Das wird aus den öffentlichen Informationen nicht völlig deutlich. Die Verbraucherzentrale stört sich daran, dass „schon allein durch die Einbindung des Like-Buttons“ Facebook „automatisch bei jedem bloßen Aufruf dieser Seiten“ mitlesen würde. „Darüber werden Besucher jedoch vorher weder ausdrücklich informiert noch können sie der Datenweitergabe widersprechen“.

Nach Ansicht der Verbraucherschützer stellt das Verhalten der Webseitenbetreiber

unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz

dar. Weiter führt die Verbraucherzentrale aus, dass ein „bloßer Hinweis der Anbieter in ihren Datenschutzbestimmungen, dass eine solche Weiterleitung der Daten an Facebook erfolgt“ nicht genüge. Auch den Hinweis in Datenschutzerklärungen, dass der Webseitenbetreiber „keinen Einfluss auf den Umfang der Daten hat“, sei nicht ausreichend. Die Verbraucherschützer fordern: „Notwendig ist eine echte Aufklärung über die Datensammlung und –verwertung“.

Im Kern scheint den Verbraucherschützern also die Übertragung von Daten an Facebook und Datenverarbeitungsvorgänge zu missfallen, die im Verantwortungsbereich des sozialen Netzwerkbetreibers liegen könnten. Da diesbezügliche Gerichtsverfahren in Schleswig-Holstein durch die Datenschutzbehörde jedoch bisher recht erfolglos verliefen (vgl. die Mitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zu den Beschlüssen des OVG Schleswig aus den Jahren 2013), versucht man in NRW nun wohl die Unternehmen anzugehen, die Social Plugins einsetzen.

Ich möchte hier nicht in die tiefere juristische Bewertung einsteigen. Das Thema war bereits vor ca. 4 Jahren aktuell (vgl. etwa den Blogbeitrag von Thomas Stadler, u.a. mit einem Verweis auf meinen Aufsatz in der Zeitschrift Computer und Recht). Es geht vor allem um die Frage der datenschutzrechtlichen Verantwortlichkeit der Webseitenbetreiber und die Pflicht, Informationen über eingebundene Dienste Dritter zu erteilen, obwohl man als Webseitenbetreiber für die Datenverarbeitung über diese Dienste nicht verantwortlich ist. Auch die Frage nach einer „Störerhaftung“ im Datenschutzrecht könnte insofern auftauchen (hierzu mein Aufsatz in der Kommunikation und Recht aus 2014). Diese Thematik ist derzeit unter anderem Gegenstand eines gerichtlichen Verfahrens zum Einsatz von Facebook Fanpages zwischen dem ULD und der Wirtschaftsakademie Schleswig-Holstein GmbH (vgl. die Pressemitteilung des ULD), welches derzeit vor dem Bundesverwaltungsgericht anhängig ist.

Verbraucherschützer verstoßen selbst gegen das Datenschutzrecht
In gewisser Weise ironisch wenn nicht gar humoristische mutet jedoch folgende Tatsache an: Die Verbraucherzentrale NRW verstößt selbst gegen datenschutzrechtliche Vorgaben. Und zwar gegen eben jene Pflichten, deren Umsetzung von den Unternehmen verlangt wird.

Auf ihrer Webseite bewerben die Verbraucherschützer im Zusammenhang mit den Abmahnungen ihr Jugendportal „checked4you“. Die Verbraucherzentrale hierzu: „Einen Favoriten setzen in Sachen Datenschutz sollten sich Internetnutzer derweil bei Webseiten, die es so wie die Verbraucherzentrale NRW machen“.

Und was findet man auf dieser Webseite?

Zum einen das Analysetool Piwik. Wie dieses kostenlose Statistiktool datenschutzrechtlich konform, zumindest aus Sicht des ULD, einzusetzen ist, hat die Datenschutzbehörde 2011 in einem Gutachten dargestellt (PDF). Vor allem geht das ULD davon aus, dass auch bei einer eingeschalteten Anonymisierungsfunktion im Ergebnis nur Pseudonyme für eine statistische Auswertung erstellt werden. Dann gilt § 15 Abs. 3 TMG. Danach dürfen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellet werden, sofern der Nutzer dem nicht widerspricht. Eine Aussage in dem Gutachten hierzu:

Der Einsatz von Reichweitenanalysediensten ohne Widerspruchsmöglichkeit stellt einen Verstoß gegen § 15 Abs. 3 TMG dar. Der Einsatz des Analysedienstes ohne die angebotene Widerpruchsmöglichkeit ist datenschutzrechtlich unzulässig.

Man ahnt, was nun folgt. Die Webseite „checked4you“ der Verbrauchzentrale NRW weist zwar in einem kleinen Abschnitt „Datenschutzhinweise“ auf den Einsatz von Piwik hin. Auf die nach dem TMG einzuräumende Widerspruchsmöglichkeit (sei es nun per Browser-Plugin oder etwa durch einen Opt-out Cookie) wird zwar in Textform hingewiesen: “können Sie die Analyse durch das Statistiktool auf der folgenden Seite blockieren“. Jedoch gibt es keinen Link zu einer „folgenden Seite“, kein Hinweis auf ein Opt-out Cookie oder ähnliches. Also, der derzeitige Einsatz von Piwik auf der Webseite der Verbrauchzentrale wäre (zumindest nach Ansicht der Datenschutzbehörde aus Schleswig-Holstein) datenschutzrechtlich unzulässig. Der von der Verbraucherzentrale NRW erhobene Vorwurf könnte also genauso zurückgespielt werden: „unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz“.

Und ein weiteres Schmankerl. Bei näherem Hinsehen stellt sich heraus, dass „checked4you“ drei Cookies setzt.

cookie NRW

Wozu werden diese Cookies genutzt? Welche Informationen sind in diesen Cookies gespeichert? Etwa IP-Adressen? Oder werden zumindest Cookie-IDs erzeugt, um einen Besucher wiederzuerkennen? Mindestens in diesen beiden Fällen müssten Informationen zum Einsatz der Cookies gegeben werden. Hierzu fehlt in den Datenschutzhinweisen der Verbraucherzentrale aber jegliche Angabe. Interessant ist auch, dass ein Cookie nicht nur für eine Sitzung gesetzt wird, sondern für über 1 Jahr.

blog cookie lang

Wozu? Keine Informationen.

Fazit
Was möchte ich mit diesem Beitrag zeigen? Datenschutzrechtlich absolut konformes Handeln ist in der heutigen Zeit mit schnellen technologischen Entwicklungen, neuen Features für Webseiten und Analysediensten nur schwer möglich. Sowohl für Unternehmen, als auch für Verbraucherschützer. Eine gerichtliche Klärung der Frage des datenschutzkonformen Einsatzes von social Plugins wäre aus praktischer Sicht indes sicherlich zu begrüßen.

Update vom 22. Mai 2015:
Die Verbraucherzentrale NRW hat schnell reagiert und in den Datenschutzhinweisen auf der Webseite „checked4you“ nun einen Link eingefügt, der Nutzer auf eine Webseite führt, auf der man seinen Widerspruch zur Analyse durch Piwik erklären kann.

Pay As You Drive: Vorgaben zum datenschutzkonformen Angebot von Telematik-Tarifen

Versicherungsunternehmen entdecken das Potential von Informationen aus dem vernetzten KfZ für ihr Leistungsangebot. Eine Prämienbemessung anhand einer Analyse des Fahrverhaltens von Versicherten liegt da nahe – ebenso wie die Fragen nach den datenschutzrechtlichen Implikationen eines solchen Angebots.

Einige durchaus praxisrelevante Vorgaben in Bezug auf den Umgang mit personenbezogenen Daten im Rahmen eines „Telematik-Tarifes“ durch ein Versicherungsunternehmen hat nun die Datenschutzaufsichtsbehörde in Nordrhein-Westfalen veröffentlicht. Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LfDI) hat heute seinen Tätigkeitsbericht (PDF) für die Jahre 2013/2014 veröffentlicht.

In einem eigenen Abschnitt (Ziffer 5.1) berichtet der Landesdatenschutzbeauftragte über seine Prüfung bzw. beratende Einschätzung eines Telematik-Tarifes und der zugrunde liegenden Datenverarbeitungsprozesse. Zunächst stellt der LfDI fest, dass seiner Ansicht nach „grundsätzliche Bedenken“ bestünden, da die über eine in dem KfZ fest installierte Box gesammelten Datenmengen für ein Bewegungsprofil missbraucht werden könnten.

Auch konkrete Anforderungen formuliert der LfDI:

So dürften bei der Verarbeitung eingeschaltete Telekommunikationsunternehmen und Telematik-Unternehmen Daten über das Fahrverhalten keiner Person zuordnen können. Der LfDI verlangt eine Trennung in zwei Datenkreise (komplette Fahrdaten einerseits, Daten für die Zuordnung zur Person andererseits).

Daten müssen sowohl in der Telematik-Box (also lokal) als auch bei Übertragung und Speicherung nach dem jeweils aktuellen technischen Standard verschlüsselt werden. Zudem müsse die Box so gestaltet werden, dass Zugriffe und Manipulationen an der Hardware von außen ausgeschlossen sind.

Es stellt sich freilich die wohl berechtigte Frage, ob ein solcher (eventuell auch mit krimineller Energie ausgeführter Zugriff) tatsächlich vollständig ausgeschlossen werden können.

Zudem verlangt die Behörde, dass bei mehreren Fahrerinnen und Fahrern sich diese individuell vor Fahrtantritt entscheiden können müssen, ob sie eine Aufzeichnung ihres Fahrverhaltens dulden. Hier muss man meines Erachtens aber ebenso anmerken, dass es den Betroffenen wohl (als selbstbestimmten Individuen) auch möglich sein muss, generell, etwa bei Vertragsabschluss festzulegen, dass ihr Fahrverhalten aufgezeichnet wird und sie dem möglicherweise im Einzelfall widersprechen können.

Recht interessant erscheint auch noch die Anforderung des LfDI, dass der Versicherer einen Aufkleber zur Verfügung stellen müsse, der (z.B. auf dem Lenkrad angebracht) darauf hinweist, dass eine individuelle Fahrtaufzeichnung stattfinde. Hierbei handelt es sich sozusagen um die „Telematik-spezifische Datenschutzerklärung bzw. –hinweis“. Nichtsdestotrotz verlangt der LfDI auch, dass die Versicherungsnehmer im Vorfeld umfassend und verständlich über die Datenverarbeitung zu unterrichten sind.

Gesetzentwurf: Grüne wollen Schufa und Co. strenger regulieren

Die Fraktion BÜNDNIS 90/DIE GRÜNEN hat im Bundestag ein Gesetz zur „Verbesserung der Transparenz und der Bedingungen beim Scoring (Scoringänderungsgesetz, PDF)“ eingebracht. Mit diesem Gesetz zur Änderung verschiedener Vorgaben des Bundesdatenschutzgesetzes (BDSG) möchte die Fraktion laut der Gesetzesbegründung

„insbesondere die Transparenz des statistischen Analyseverfahrens beim Scoring“

grundlegend verbessern werden.

Die Ausgangslage
Der Gesetzesentwurf referenziert unter anderem auf eine Studie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der GP Forschungsgruppe aus dem Jahre 2014. Beeinflusst ist der Gesetzesentwurf freilich auch durch ein Urteil des Bundesgerichtshofs (BGH) aus dem Jahre 2014 (VI ZR 156/13), in dem es um den Auskunftsanspruch von Prsonen gegenüber der SCHUFA ging und das Gericht entschied, dass

die sogenannte Scoreformel, also die abstrakte Methode der Scorewert berechnung

der Auskunft suchenden Person nicht mitzuteilen ist. Ebenso wenig erstrecke sich der Auskunftsanspruch auf solche Inhalte der Scoreformel, die als Geschäftsgeheimnisse schützenswert sind.

Der Gesetzesentwurf
Nachfolgend möchte ich knapp auf einige Änderungsvorschlage des Gesetzesentwurfs eingehen.

Es soll eine generelle Pflicht der Vorabkontrolle beim Angebot von Scoringverfahren eingefügt werden (§ 4d Abs. 5 S. 2 BDSG-E). Diese Pflicht soll, anders als die bestehende Vorabkontrollverpflichtung, unabhängig davon bestehen, ob eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Zuständig für die Vorabkontrollen ist innerhalb von Unternehmen, wie auch jetzt, der Datenschutzbeauftragte.

Die Informationspflichten im Rahmen der Meldepflicht (und damit des Verfahrensverzeichnisses) sollen um einen neuen Punkt erweitert werden (§ 4e Abs. 1 Nr. 10 BDSG-E). Nach der Nr. 10 sollen im Fall des Scoring „eine Beschreibung des wissenschaftlich anerkannten mathematischstatistischen Verfahrens sowie Angaben zu § 28b Nummer 4“ erfolgen. Nach dem Gesetzesentwurf liegt der Zweck der Meldung darin, die eine Prüfung der Zulässigkeit der beabsichtigten Verfahren zu ermöglichen. Nicht erwähnt wird in dem Entwurf jedoch eine Anpassung von § 4g Abs. 2 S. 2 BDSG, wonach der Datenschutzbeauftragte nur die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar machen muss. Informationen zum anerkannten mathematischstatistischen Verfahren sollen also nicht im öffentlichen Verfahrensverzeichnis erwähnt werden.

Natürlich soll auch der § 28b BDSG geändert werden, der derzeit die Zulässigkeit von Scoring-Verfahren regelt. § 28 BDSG gibt vor, was zur Berechnung des Wahrscheinlichkeitswertes genutzt und nicht genutzt werden darf. Nach dem neuen § 28b Abs. 1 Nr. 4 BDSG-E darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn

für die Berechnung des Wahrscheinlichkeitswerts zum Zwecke der Bonität keine Anschriftendaten, Daten aus sozialen Netzwerken, Daten aus Internetforen, Angaben zur Staatsangehörigkeit, zum Geschlecht, zu einer Behinderung oder Daten nach § 3 Absatz 9 genutzt werden.

Explizit soll also eine Verwendung von besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) ebenso ausgeschlossen werden, wie ein Rückgriff auf Informationen aus „sozialen Netzwerken“ und „Internetforen“. Der Praktiker wird sich fragen: Was ist damit gemeint? Die Begründung definiert „Soziale Netzwerke“ und “Internetforen“ als

Plattformen, auf denen z.B. Kontakte, Meinungen, Interessen und das Einkaufsverhalten der betroffenen Personen mitgeteilt werden.

Plattformen auf denen Meinungen und Interessen mitgeteilt werden. Man möchte sich gar nicht ausmalen, was man (bei einer weiten Auslegung) alles hierunter fassen könnte.

Zudem soll eine neue § 28b Abs. 1 Nr. 5 BDSG-E eingefügt werden. Die Verwendung des Wahrscheinlichkeitswertes wird davon abhängig gemacht, dass

der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung seiner Daten schriftlich unterrichtet worden ist. Die Unterrichtung ist zu dokumentieren. Soll die Unterrichtung zusammen mit anderen Erklärungen erfolgen, ist sie besonders hervorzuheben.

Dies bedeutet: bevor überhaupt irgendeine Datenverarbeitung hinsichtlich des Wahrscheinlichkeitswertes beginnen kann, muss der Betroffene schriftlich(!) informiert werden. Dies soll auch innerhalb von AGB möglich sein, jedoch dann deutlich hervorgehoben. Hier grüßt meines Erachtens der Medienbruch. Denn in dem bisher geltenden § 28b Nr. 4 BDSG ist auch allein von „Unterrichtung“ die Rede. Schriftlich muss diese nicht erfolgen.

Zudem soll ein neuer § 28b Abs. 2 BDSG-E vorgeben, dass das wissenschaftlich anerkannte mathematisch-statistische Verfahren muss dem Stand der Wissenschaft und Forschung entsprechen muss. Wie genau dieser Stand aussieht, dies überlässt der Gesetzesentwurf der Bundesregierung, die hierzu durch eine Rechtsverordnung mit Zustimmung des Bundesrats Vorgaben machen kann.

Auch die Weite des Auskunftsanspruchs soll vergrößert werden. Nach dem neuen § 34 Abs. 2 S. 1 Nr. 2 BDSG-E ist Auskunft zu erteilen, über

die verwendeten Einzeldaten, die Gewichtung der verwendeten Daten, die verwendeten Vergleichsgruppen und die Zuordnung der betroffenen Personen zu den Vergleichsgruppen, die in die Berechnung des Wahrscheinlichkeitswerts einfließen.

Ein solcher Umfang des Auskunftsanspruches ist derzeit nicht vorgesehen.
U
nd noch eine weitere wichtige Änderung soll im Rahmen des Auskunftsanspruchs geregelt werden. § 34 Abs. 2 S. 2 BDSG-E sieht vor, dass der Zugang zu diesen Informationen nicht

unter Berufung auf das Betriebs- und Geschäftsgeheimnis abgelehnt werden“

kann. Diese Änderung referenziert direkt auf das oben erwähnte Urteil des BGH, mit dem die Verfasser des Gesetzentwurfs nicht einverstanden sind und folglich eine gesetzgeberische Anpassung vorschlagen. Interessant ist folgende Klarstellung in der Gesetzesbegründung:

Verlangt werden kann nicht die Offenlegung … des zugrunde liegenden Algorithmus.

Ein berechtigtes Geheimhaltungsinteresse der Unternehmen erkennt der Gesetzesentwurf nicht an. Auch ein unzulässiger Eingriff in das Grundrecht auf Berufsfreiheit in Art. 12 Abs. 1 GG der Scoring-Verwender lehnt die Gesetzesbegründung ab.

Der Gesetzesentwurf sieht noch weitere Änderungen vor. Unter anderem soll eine jährliche Auskunftspflicht (!) der Auskunfteien eingeführt werden.

Zudem soll eine Pflicht für die zuständigen Landesdatenschutzbehörden eingeführt werden, Unternehmen, die Scoring-Verfahren verwenden, mindestens einmal jährlich zu kontrollieren (§ 38 Abs. 1 S. 2 BDSG-E). Hierbei handelt es sich um eine „Sollpflichtprüfung“. Dies bedeutet, dass die Aufsichtsbehörden grundsätzlich prüfen müssen, es sei denn es liegen besondere Umstände vor. Bei der derzeitigen Ausstattung (finanziell als auch personell) der Behörden, darf man sich doch die Frage stellen, inwieweit eine solche Pflicht eventuell weite Teile einer Behörde binden und damit lähmen könnte. Denn eine Prüfung sollte wenn sie denn schon durchgeführt wird doch umfassend erfolgen und nicht etwa als eine Art „Feigenblatt“ dienen. Dies erfordert dann aber auch einigen Einsatz an Personal und Zeit.

Fazit
Es bleibt abzuwarten, inwieweit der vorliegende Gesetzesentwurf im Gesetzgebungsverfahren noch Änderungen erfahren wird und ob sich die Opposition hier gegenüber der Koalition durchsetzen kann. Zudem muss freilich auf die sich bereits abzeichnende Einigung bei der Datenschutz-Grundverordnung hingewiesen werden, die dann Gesetzesnormen schafft, die den hier entstehenden Regelungen grundsätzlich vorgehen.

Bundesregierung: Datensammlungen stellen einen Wettbewerbsvorteil dar

Die deutsche Bundesregierung hat sich in einer Stellungnahme vom 22. April 2015 zum XX. Hauptgutachten der Monopolkommission 2012/2013 und dabei insbesondere auch zu dem Themenkreis Datenschutz, Wettbewerb und Markmacht geäußert.

Das referenzierte Hauptgutachten der Monopolkommission hatte ich bereits einmal hier im Blog besprochen. Die Monopolkommission widmet sich darin unter anderem auch der Internetökonomie und den Problemkreisen Datenschutz, Wettbewerb und Verbraucherschutz. Inbesondere geht es dabei auch um die Auswirkungen der Sammlung von großen Mengen personenbezogener Daten und wie sich das Datenschutz- und Kartellrecht hier ergänzen können oder sollten.

In ihrer Stellungnahme geht die Bundesregierung zunächst auf die geplante Datenschutz-Grundverordnung (DS-GVO) auf europäischer Ebene ein. Ihrer Ansicht nach wird die DS-GVO eine wettbewerbsfördernde Dimension besitzen, welche insbesondere durch die Harmonisierung des derzeitigen EU-Datenschutzrechts und eine damit angestrebte Angleichung der Anwendungspraxis zum Ausdruck kommen soll. (S. 3) Nicht erwähnt wird freilich, dass die DS-GVO möglicherweise weitreichende Ausnahmeklauseln enthalten könnte, die es den Mitgliedstaaten erlauben würden, jeweils eigene nationale Regelungen zum Umgang etwa mit bestimmten Arten von personenbezogenen Daten zu schaffen. Wo dann der Harmonisierungseffekt einer Verordnung bleibt, wird sich zeigen.

Weiter trifft die Bundesregierung dann eine klare Aussage:

Eine (oft langfristig aufgebaute) Sammlung von personenbezogenen Daten über das Verhalten von Nutzern stellt jedenfalls gegenüber Wettbewerbern, die nicht über eine solche Sammlung verfügen, einen erheblichen Wettbewerbsvorteil dar und kann so die Marktzutrittsschranken erhöhen.

Nach Ansicht der Bundesregierung soll das Allheilmittel gegen solche Tendenzen das in der DS-GVO neu zu schaffende „Recht auf Datenportabilität“ sein, welches eine leichte Übertragung von Datensätzen ermöglichen soll und den

Wechsel von einem Internetdiensteanbieter zum anderen erleichtert.

Dass freilich in der DS-GVO nichts davon steht, dass das Recht auf Datenportabilität allein auf Internetdiensteanbieter anwendbar ist und damit faktisch jede (!) verantwortliche Stelle trifft (den Handwerksbetrieb ebenso wie den Stromanbieter), wird auch hier nicht näher beleuchtet. Nicht nur die Internetdiensteanbieter wären also derzeit von der Pflicht zur Datenportabilität erfasst. Die Regierung geht davon aus, dass es wettbewerbsbehindernde Lock-in-Effekte verringern kann.

Auch äußert sich die Bundesregierung zu der generellen Bedeutung und den Auswirkungen des Datenschutzrechts auf den Märkten im Internet. Die Bundesregierung teilt hier nämlich die Auffassung der Monopolkommission,

dass dem Datenschutzrecht auf Internetmärkten eine wichtige wettbewerbspolitische Bedeutung zukommt.

Fast im unmittelbaren Zusammenhang gesteht die Bundesregierung jedoch auch ein, dass das Zusammenspiel von Wettbewerbs- und Datenschutzaspekten weitgehend ungeklärt und insbesondere zu diesen Fragen eine vertiefte Sachverhaltsaufklärung erforderlich ist (S. 4).

Weitergehend stellt die Bundesregierung klar, dass der Schutz vor Marktmachtmissbrauch sowie eine effektive Zusammenschlusskontrolle gesichert sein müssen. Dass die geltenden rechtlichen Vorschriften insoweit möglicherweise defizitär sind, erkennt die Regierung. Sie wird daher den bestehenden Ordnungsrahmen umfassend auf eventuellen Anpassungsbedarf prüfen und

dabei auf eine sorgfältig austarierte Balance zwischen technologieoffenen, innovationsfreundlichen Rahmenbedingungen auf der einen und einer Marktmachtbegrenzung auf der anderen Seite achten.

Konkret nennt die Bundesregierung auch ein Beispiel. Ihrer Ansicht nach wirft der Erwerb von WhatsApp durch Facebook die Frage auf, inwieweit bei der Prüfung, ob ein Zusammenschluss der Fusionskontrolle unterfällt, nicht nur die aktuellen Umsätze der Unternehmen berücksichtigt werden sollten, sondern auch der Wert einer Transaktion. Nach Auffassung der Regierung wird dieser Wert maßgeblich durch die Zahl der Nutzer und den Wert der Daten bestimmt.

Und wie sieht es mit einer möglichen Monopolstellung von Google aus? Die Monopolkommission war zu dem Ergebnis gelangt, dass Internetsuchmaschinen keine wesentlichen Einrichtungen darstellen und auch nicht unerlässlich seien, um das Internet zu nutzen. Die Bundesregierung scheint diese Auffassung zumindest nicht vollumfänglich zu teilen. Sie sieht hier weiteren Klärungsbedarf und eventuell einen Ansatz für weitergehende Regelungen. Insbesondere sollte ihrer Ansicht nach auf europäischer Ebene geprüft werden,

inwieweit für marktmächtige Plattformbetreiber über das Wettbewerbsrecht hinausgehende Regeln erforderlich sind.

Digitaler Binnenmarkt: EU-Kommission plant umfassende Reformen

In dieser Woche wurden zwei Entwurfsdokumente der Europäischen Kommission geleaked, die ambitionierte Ideen für Reformen auf dem digitalen Binnenmarkt in Europa erkennen lassen.

Hier die Links zu den beiden Dokumenten:
Digital Single Market: The Evidence
A Digital Single Market Strategy for Europe

Betroffen von den vorgeschlagenen Reformen wären sowohl der Verbraucherschutz, der E-Commerce, das Urheberrecht oder auch das Datenschutzrecht. Ich möchte mich auf einige Aspekte beschränken.

Illegale Inhalte im Internet
Die Kommission verweist bei der Frage der rechtlichen Grundlage zum Vorgehen gegen illegale Inhalte im Internet auf die derzeitigen Vorgaben der e-Commerce-Richtlinie. Nach dieser sind Intermediäre für fremde Inhalte grundsätzlich nicht selbst verantwortlich, müssen jedoch tätig werden, wenn sie von rechtswidrigen Inhalten erfahren. Die Kommission sieht hier Probleme bei der Rechtedurchsetzung, insbesondere könne der Prozess zum Löschen rechtswidriger Inhalte lange dauern und intransparent sein. Zudem sei oft nicht klar, wann Internet-Intermediäre von einer passiven Rolle (etwa des Hosters) in eine aktive Rolle schlüpfen und damit selbst für Inhalte verantwortlich sind. Die Kommission plant daher, weitere Initiativen zum Vorgehen gegen rechtswidrige Informationen im Netz vorzustellen und genauere Vorgaben für Sorgfaltspflichten von Intermediären aufzustellen.

Umgang mit personenbezogenen Daten
Datensicherheit spielt für die Kommission eine wichtige Rolle, wenn es um das Vertrauen der Bevölkerung in das Internet und den Umgang mit Daten geht. Es bestünden derzeit noch große Lücken bei dem Angebot an passenden Technologien und Lösungen, um Sicherheit in Netzwerken herstellen zu können. Zudem möchte die Kommission in Zukunft die Auswirkungen der Nutzung personenbezogener Daten für unterschiedliche Zwecke durch Internetdiensteanbieter untersuchen. Dieser Aspekt gehört zu einer großen geplanten Untersuchung des Marktes der Diensteanbieter im Internet.
Der Mitteilungsentwurf verweist auch auf die geplante Datenschutz-Grundverordnung. Die gesetzlichen Regelungen, welche durch diese aufgestellt werden, betreffen jedoch nicht spezialgesetzliche Vorgaben zum Umgang mit personenbezogenen Daten, etwa im Bereich der elektronischen Kommunikationsdienste (e-privacy-Richtlinie). Diese speziellen Gesetze sollen nach Verabschiedung der Datenschutz-Grundverordnung überprüft und eventuell reformiert werden.

Aufbau einer „Data Economy“
Die Kommission sieht (gesetzgeberischen) Handlungsbedarf in den „datengetriebenen“ Wirtschaftszweigen, insbesondere wo es um Big Data, Cloud-Dienste, Open Data und Fragen des Eigentums an Daten geht. Um die neu entstehenden, auf Daten beruhenden Technologien zu nutzen, möchte die Kommission die derzeit bestehenden Hindernisse beseitigen, welche einen freien Fluss von Daten innerhalb der EU verhindern. Nach Ansicht der Kommission müssen die Anbieter von „Datendiensten“ derzeit mit verschiedenen Schwierigkeiten kämpfen, unter anderem Anforderungen an eine Speicherung von Daten allein in einem bestimmten Land oder auch Anforderungen der Verschlüsselung. Die Kommission möchte daher eine „Freier Fluss von Daten“-Initiative anstoßen, welche sich der Beseitigung nationaler Vorgaben zur lokalen Speicherung von Daten und zur verpflichtenden Errichtung von Serverfarmen in einem bestimmten Land widmet. Dies gerade auch mit Blick auf den Bereich des Cloud-Computing.

Am Ende des Dokuments „A Digital Single Market Strategy for Europe“ findet sich noch eine Roadmap, auf der die jeweiligen Themen aufgelistet sind und ihnen Jahre zugeordnet werden, wann hier von Seiten der Kommission mit einer Initiative gerechnet wird.

Verbandsklagebefugnis im Datenschutzrecht: Bundesregierung lehnt Vorschläge des Bundesrates ab

Bekanntlich wird derzeit ein Gesetzesentwurf der Bundesregierung zur Änderung des Unterlassungsklagengesetzes (UKlaG) im ordentlichen Gesetzgebungsverfahren diskutiert. Vor allem Verbraucherschutzverbände sollen in Zukunft die Möglichkeit erhalten, bestimmte datenschutzrechtswidrige Verarbeitungsvorgänge durch Unternehmen gerichtlich untersagen lassen zu können (hierzu soll ein neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG eingefügt werden).

Zu dem Regierungsentwurf (mein Beitrag dazu hier), als auch zu der Stellungnahme des Bundesrates hatte ich bereits ausführlich hier geschrieben. Der Gesetzesentwurf liegt nun im Bundestag und muss dort unter anderem im federführenden Ausschuss für Recht und Verbraucherschutz beraten werden.

Veröffentlicht wurde nun auch die Antwort der Bundesregierung auf die Stellungnahme des Bundesrates (in diesem PDF ab S. 42), in der der Bundesrat unter anderem eine Erweiterung des Tatbestandes des § 2 Abs. 2 S. 1 Nr. 11 UKlaG (angreifbar wären demnach nicht nur, wie von der Bundesregierung vorgeschlagen, bestimmte Datenverarbeitungen zu „kommerziellen“ Zwecken, sondern jegliche Datenverarbeitungen) sowie die Einführung eines allgemeinen Kopplungsverbotes von Einwilligung und Abschluss eines Vertrages in § 28 Abs. 3b BDSG vorsah.

Um es kurz zu machen: die Bundesregierung lehnt die Vorschläge des Bundesrates ab.

Zu der vorgeschlagenen Erweiterung des § 2 Abs. 2 S. 1 Nr. 11 UKlaG stellt die Bundesregierung fest, dass die Beschränkung auf Vorschriften, die die Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung zu bestimmten kommerziellen Zwecken betreffen,

vor allem auch im Interesse von kleinen und mittleren Unternehmen die Abmahn- und Klagemöglichkeiten soweit wie möglich konkretisieren

soll.

In Bezug auf den Vorschlag der Einführung eines allgemeinen Kopplungsverbotes im BDSG führt die Bundesregierung aus, dass § 28 BDSG voraussichtlich

ohnehin bald durch Regelungen der EU-Datenschutzgrundverordnung abgelöst werden wird

und die Bundesregierung eine Änderung der Vorschrift schon deshalb nicht für zweckmäßig hält. Mit dieser Argumentation könnte man freilich den gesamten eigenen Gesetzesentwurf torpedieren, da die geplante Datenschutzgrundverordnung auch eine Regelung zur Klagebefugnis von Verbraucherschutzverbänden vorsehen soll und als EU-Verordnung nationalen Vorschriften vorgehen wird.

Diesbezüglich ist jedoch noch zwischen Kommission, Parlament und Rat nicht geklärt, wie die konkrete Ausgestaltung erfolgen soll. Gerade im Rat wurde die Befugnis für Verbände, auf eigene Faust datenschutzrechtliche Verarbeitungstätigkeiten vor Gericht zu bringen, teilweise eingeschränkt. Im Endeffekt könnte es sich bei dem vorliegenden deutschen Gesetz also allein um einen Lückenfüller und eine Gesetzesänderung mit auf der Stirn stehendem Ablaufdatum handeln.

Die weiteren Verhandlungen im Bundestag werden vor dem Hintergrund der widerstreitenden Positionen sicherlich interessant werden.

Zuletzt sei noch darauf hingewiesen, dass die Bundesregierung nach eigenen Angaben in ihrer Antwort derzeit den allgemeinen gesetzgeberischen Handlungsbedarf im Telemediendatenschutz prüft und dazu gegebenenfalls noch ein gesondertes Gesetzgebungsverfahren in dieser Legislaturperiode einleiten wird. Auch Änderungen der datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) sind daher möglich, wobei sich auch hier dann die Frage nach einer zukünftigen Kollision mit der Datenschutzgrundverordnung stellen wird.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld „An…“ versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Referentenentwurf des BMWi: Haftung von Host-Providern soll verschärft werden

Heute hat das Bundeswirtschaftsministerium den Referentenentwurf für ein Gesetz Änderung des Telemediengesetzes (TMG) veröffentlicht (PDF). Dabei geht es vor allem um den Versuch, die Störerhaftung beim öffentlichen Betrieb von WLANs zu regeln. Diesbezüglich hat der Entwurf sehr deutliche Kritik erfahren, u.a. im Blog bei dem Kollegen Thomas Stadler (Verschlimmbesserung: Der Gesetzesentwurf zur Störerhaftung von W-LAN-Betreibern) oder auf LTO durch den Kollegen Härting.

Der Referentenentwurf befasst sich jedoch nicht nur allein mit einer Anpassung des § 8 TMG und der Frage, welcher Anbieter wann für Rechtsverletzung haftet, die über den Zugang eines freien WLANs begangen werden, sondern geht darüber hinaus. Auch § 10 TMG (der die Haftungsprivilegierung für die Speicherung von fremden Informationen, also die typischen „Cloud“-Konstellationen, regelt) soll angepasst werden. Nach § 10 TMG sind Diensteanbieter, wie etwa Hosting-Anbieter, für fremde Informationen, die sie für einen Nutzer speichern nicht verantwortlich, sofern sie keine Kenntnis von der rechtswidrigen Handlung oder der Information haben. Im Falle von Schadenersatzansprüchen müssen dem Anbieter Tatsachen oder Umstände bekannt sein, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird. Vorgeschlagen wird nun die Schaffung eines neuen § 10 Abs. 2 TMG-E mit folgendem Wortlaut:

(2) Die Kenntnis von Tatsachen oder Umständen nach Absatz 1, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird, wird vermutet, wenn es sich bei dem angebotenen Dienst um einen besonders gefahrgeneigten Dienst handelt. Ein besonders gefahrgeneigter Dienst liegt in der Regel dann vor, wenn:

a) die Speicherung oder Verwendung der weit überwiegenden Zahl der gespeicherten Informationen rechtswidrig erfolgt oder

b) der Diensteanbieter durch eigene Maßnahmen gezielt die Gefahr einer rechtsverletzenden Nutzung fördert oder

c) in vom Diensteanbieter veranlassten Werbeauftritten mit der Nichtverfolgbarkeit bei Rechtsverstößen geworben wird oder

d) keine Möglichkeit besteht, rechtswidrige Inhalte durch den Berechtigten entfernen zu lassen.

Der Gedanke hinter der Neuregelung nach der Gesetzesbegründung:

Bei bestimmten Diensten kann nach der allgemeinen Lebenserfahrung davon ausgegangen werden, dass dem Diensteanbieter ausreichend viele Tatsachen oder Informationen bekannt sind, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird.

Bestimmte Fallkonstellationen, in denen aus Sicht des Gesetzgebers die Vermutung besteht, dass der Diensteanbieter eine entsprechende Kenntnis besitzt, sollen nun im § 10 Abs. 2 TMG-E festgeschrieben werden. Es geht im Prinzip also um eine gesetzliche Vermutung für eine Haftung des Hosting-Providers. Diese gesetzliche Vermutung (§ 292 ZPO) müsste im Fall des Falles der Anbieter dann entkräften können, indem er etwa beweist, dass er keine Kenntnis hatte. Dem Grundsatz möchte die Bundesregierung aber festlegen, dass Hosting-Anbieter, bei denen eine der oben aufgezählten Voraussetzungen (a) bis b)) vorliegt, für auf ihrer Plattform gespeicherte rechtswidrige Informationen haften. Die derzeit geltende Vermutung (keine Haftung für fremde Inhalte) soll also, zumindest für bestimmte Fälle um 180 Grad gedreht werden.