Gute Nachrichten für Internet-Recorderdienste aus Karlsruhe. Mit einem aktuell veröffentlichten Urteil stellt der Bundesgerichtshof klar, dass der Radiorecorderdienst Zeezee nicht als Hersteller urheberrechtswidriger Vervielfältigungen anzusehen sei. Durfte der Betreiber seinen Nutzern Musiktitel aus Radiosendungen zum Download zur Verfügung stellen, wenn diese die Titel ausschließlich privat konsumierten? Darüber hat nun erneut die Vorinstanz zu entscheiden. Es bleibt spannend.
Der Bundesgerichtshof (BGH) hat am 5. 3. 2020 zugunsten des Internet-Radiorecorderdienstes Zeezee Media ein Machtwort gesprochen (BGH, Urteil vom 5. 3. 2020 - I ZR 32/19). Zeezee wird von Usern genutzt, die Songs aus Webradios für private Zwecke aufzeichnen wollen. Die Funktionsweise des Online-Angebots ist einfach: Nutzer können sich bei Zeezee einen Account anlegen und dann eine Wunschliste von Musiktiteln erstellen, die früher oder später in den Webradios liefen. Die Titel werden ihnen später zum Download bereitgestellt. Das rief die Musikindustrie auf den Plan. Es kam zu einer jahrelangen juristischen Auseinandersetzung mit dem Plattenlabel Universal Music, die bis heute andauert. Das Plattenlabel klagte auf Unterlassung der angeblich rechtwidrigen Vervielfältigung des Musikalbums "Mit den Gezeiten" der deutschen Band Santiano. Diese sei auf Zeezee ohne dessen Zustimmung öffentlich angeboten worden.
OLG Hamburg: Zeezee als Hersteller einer urheberrechtswidrigen Vervielfältigung
Die Sache ging durch die Instanzen vom Landgericht (LG) an das Oberlandesgericht (OLG) Hamburg, vor denen der Recorderdienst jeweils eine herbe Niederlage einstecken musste. Die Hamburger Richter am Oberlandesgericht entschieden in einem Urteil vom 17. Januar 2019 (OLG Hamburg, Urteil vom 17.01.2019 - 5 U 18/17), Zeezee sei als Hersteller der urheberrechtswidrigen Vervielfältigungen an dem Musikstück anzusehen. Der Dienst bestimme nämlich selbst, welche Radiosendungen aufgezeichnet würden, um die Musiktitel für die Nutzer bereitzustellen. Zeezee war also "aktiv und entscheidend an der Vervielfältigung der (Musik-)Kopie beteiligt". Das OLG Hamburg begründete seine Entscheidung auch mit einem Urteil des Europäischen Gerichtshofs (EuGH) von 2017 (EuGH, Urt. v. 29.11.2017 - C-265/16 - VCAST/RTI). Demnach müssen die Rechteinhaber zustimmen, wenn ein Online-Dienst seinen Nutzern eine Kopie ihrer Werke über eine Cloud zur Verfügung stellt. So werde das Recht der öffentlichen Wiedergabe verletzt. Eine solche Verletzung liege auch dann vor, wenn der Download an einen bestimmten Nutzer-Account gekoppelt sei.
BGH: Nutzung von Zeezee aufgrund § 53 UrhG möglicherweise zulässig
Der BGH trat dieser Bewertung nun entgegen. Der Zeezee-Nutzer sei als Hersteller der Vervielfältigungen anzusehen, nicht aber Zeezee als Anbieter der Dienstleistung an sich. Die Aufzeichnung des Musikstücks erfolge nämlich auf dessen Antrag hin vollständig automatisiert ohne menschlichen Eingriff von außen. Entscheidend ist, dass der Zeezee-Nutzer durch seine Einstellungen den Aufzeichnungsvorgang in Gang setzt.
Im Hinblick auf den Zeezee-Nutzer ist das Herstellen der Vervielfältigungen nach § 53 UrhG möglicherweise zulässig. Nach § 53 Abs. 1 S.1 UrhG sind "einzelne Vervielfältigungen eines Werkes durch eine natürliche Person zum privaten Gebrauch auf beliebigen Trägern zulässig". Mit den Vervielfältigungen dürfen jedoch keine Erwerbszwecke verfolgt werden. "Zudem darf nicht eine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Vorlage für das Vervielfältigen verwendet werden". Ob das Zeezee vorzuwerfen ist, muss nun wieder das Oberlandesgericht Hamburg entscheiden.
Verweis auf das Thema "Die Privatkopie im Urheberrecht"
Quelle:
WBS-Law
Erst der EuGH, jetzt auch der BGH:
Die Gerichte sind sich einig, dass Webseitenbetreiber eine aktive Einwilligung der Besucher benötigen, wenn sie Cookies setzen wollen. Diese Einwilligung muss vom Nutzer ausgehen, eine schon vorher ausgewählte Checkbox im Cookie-Banner genügt nicht. Wir erklären, was dieses Urteil für Webseitenbetreiber und Webdesigner bedeutet.
1. Cookies und Einwilligung: Was die Gerichte bisher entscheiden haben:
Im Fall "Planet 49" ging es um die Frage, ob Webseiten, die Cookies bei ihren Besuchern setzen, eine aktive Zustimmung der Seitenbesucher benötigen. Gemeint war hier eine echte Einwilligung, kein "Sie können ruhig weiter Surfen"-Banner. Konkret ging es um die Frage, ob die Checkbox in einem solchen Cookie Banner schon vorangekreuzt sein darf.
Die Verbraucherzentralen hatten den Anbieter Planet49 wegen einer schon vorangekreuzten Checkbox abgemahnt. Seitdem zog der Fall seine Kreise bis zum BGH, der den Fall dann für einige spezielle Fragen zum EuGH verweisen hat. Nach dem EuGH Urteil im Jahr 2019 war nun wieder der BGH als abschließende Instanz dran.
Der EuGH und aktuell auch der BGH (I ZR 7/16 ) haben entschieden, dass der Nutzer bei einer Zustimmung etwa bei bestimmten Cookies aktiv einwilligen muss. Ein "Surfen Sie ruhig weiter" Banner ohne direkte Zustimmung (zum Beispiel ein Klick auf OK) reicht nicht aus. Auch eine schon ausgewählte Checkbox ist nicht erlaubt. Der Nutzer muss selbst aktiv zustimmen.
2. Warum ist der Fall "Planet49" so wichtig für Webseitenbetreiber?
Fast alle kommerziellen Webseite setzen heute mehr oder weniger Cookies. Cookies sind eben praktisch und können zum Beispiel dafür genutzt werden, Inhalte von Warenkörben oder Daten für Nutzer LogIns zu speichern. Cookies werden aber auch dazu genutzt, einen Webseitenbesucher "wiederzuerkennen", wenn er zurück auf eine Webseite kommt, die er schon einmal besucht hat, um ihm dann gezielt Werbung auszuspielen.
Hinzu kommt, dass die DSGVO zwar alles mögliche, aber nicht die Frage der Cookies regelt. Ob man für Cookies eine echte Einwilligung benötigt und wenn ja für welche Cookies, sollte die ePrivacy-VO schon 2018 regeln. Die ePrivacy-VO wird sehr wahrscheinlich aber auch im Jahr 2020 nicht in Kraft treten.
Um es noch komplizierter zu machen: Nicht verwechseln darf man die (noch nicht existente) ePrivacy-VO übrigens mit der in Deutschland niemals umgesetzten ePrivacy-Richtlinien. Deswegen galt hier zur Fragen Einwilligung ja oder nein dann das alte TMG. Aus § 5 Abs.3 TMG kommt das Erfordernis der "notwendigen Cookies". Was dazu führt, dass die Einwilligung im Moment eben nicht für alle Cookies gilt, sondern eben nur für "nicht notwendige" Cookies wie etwa Tracking- Cookies von Drittanbietern.
Zusätzlich zu diesem Chaos muss man sich bei der Frage "Cookie Einwilligung ja oder nein" auch noch an den Auffassungen der Datenschutzbehörden und eben den Urteilen des BGH und des EuGH zu Cookies orientieren.
3. Was sind notwendige Cookies?
Leider gibt es keine Liste oder Datenbank mit einer Übersicht, welche Cookies notwendig sind und welche nicht.
Vielleicht hilft aber diese Aussage:
Notwendig sind alle Cookies, die technisch für den Betrieb einer Website und deren Funktionen erforderlich sind.
Es geht hier also ausschließlich um die technische Notwendigkeit, nicht um wirtschaftliche Überlegungen. Tracking-Cookies oder Affiliate-Cookies sind für die Funktion einer Webseite eben nicht erforderlich. Deswegen sind Sie auch keine notwendigen Cookies. Deswegen benötigen Sie eine Einwilligung.
4. Einwilligung, Cookie-Banner oder Consent Tool: Was denn nun?
Wenn Sie jetzt sagen: Das ist mir wirklich zu blöd, wer soll all das noch verstehen", dann stehen Sie nicht alleine da.
Hier die unjuristische Zusammenfassung:
1. Sie benötigen für alle nicht notwendigen Cookies - vor allem für Tracking Cookies wie etwa von Google Analytics, aber auch für alle anderen Tools und PlugIns, die technisch nicht notwendig sind - eine echte Einwilligung der Nutzer auf Ihrer Webseite.
2. Ein "Durch Weitersurfen akzeptieren Sie alle Cookies" Banner oder ein Cookie Banner mit schon vorangekreuzter Checkbox reichen für die Einwilligung nicht aus.
3. Das Cookie- bzw. Einwilligungs-Banner muss die Cookies auch wirklich blockieren, bis der Nutzer eingewilligt hat.
5. Wie können Webseitenbetreiber, Agenturen und Webdesigner diese Vorgaben praktisch umsetzen?
Die zahlreichen rechtlichen Vorgaben im Zusammenhang mit Cookies, Tracking und Einwilligung und können Sie praktisch nur über ein so genanntes Consent Tool in Verbindung mit einer vollständigen Datenschutzerklärung umsetzen.
Quelle:
e-Recht24
Am 5. Dezember 2019 einigten sich die Ministerpräsidenten der Bundesländer nach jahrelangen Verhandlungen auf einen Gesetzesentwurf für den neuen Medienstaatsvertrag. Die rheinland-pfälzische Ministerpräsidentin Malu Dreyer (SPD) nannte die Einigung "einen medienpolitischen Meilenstein, mit dem die Länder auf die digitale neue Welt reagieren". Was die wichtigsten Neuregelungen sind, erfahren Sie in diesem Artikel.
Der Medienstaatsvertrag wird den bisherigen Rundfunkstaatsvertrag ablösen. Neu ist, dass sich dieser nun nicht mehr nur an Radio- und Fernsehprogramme richtet. Zusätzlich sind auch Internet-Suchmaschinen, Streaming-Anbieter, Social-Media-, Video-Sharing- und Distributionsplattform ebenso wie Smart-TV, Sprachassistenten und auch App-Stores erfasst.
Ziel ist es, insbesondere auf große Internetplattformen wie Google oder Facebook einzuwirken, die enormen Einfluss auf den Zugang und die Auffindbarkeit von Medieninhalten ausüben. So soll die Meinungsvielfalt sowie der Jugend- und Verbraucherschutz nachhaltig sichergestellt werden.
Mit dem Medienstaatsvertrag werden unter anderem Vorgaben aus der "EU-Richtlinie für audiovisuelle Mediendienste" (AVMD-Richtlinie) umgesetzt. Diese soll bis zum 19. September 2020 in nationales Recht umgesetzt werden. Im September 2020 soll auch der Medienstaatsvertrag in Kraft treten.
Zurzeit prüft die EU-Kommission, ob die insgesamt 124 Paragraphen des Medienstaatsvertrags mit den Regelungen der AVMD-Richtlinie vereinbar sind. Ebenso können die Landesparlamente Einwände zu den Inhalten des Medienstaatsvertrages äußern. Danach soll der Medienstaatsvertrag von den Ministerpräsidenten der Länder unterzeichnet werden.
Neue Definition des Rundfunkbegriffs
Der bisherige Rundfunkstaatsvertrag definiert den Rundfunk als
"die für die Allgemeinheit und zum zeitgleichen Empfang bestimmte Veranstaltung und Verbreitung von journalistisch-redaktionell gestalteten Angeboten in Bewegtbild oder Ton entlang eines Sendeplans mittels Telekommunikation".
Davon waren bisher Angebote ausgenommen, die nur
"500 potenziellen Nutzern zum zeitgleichen Empfang angeboten werden und nicht journalistisch-redaktionell gestaltet sind".
Dies bedeutete bisher, dass sich viele Betreiber von YouTube-, insbesondere Gaming-Kanälen, um eine Rundfunklizenz bemühen mussten. Verunsicherung und Streitigkeiten mit der Medienaufsicht waren die Folge.
Im neuen Medienstaatsvertrag wird die genannte Definition des Rundfunkbegriffs beibehalten. Hingegen werden die Ausnahmen von der Lizenzpflicht anders geregelt. Keine Rundfunklizenz benötigen künftig Rundfunkprogramme, die nur geringe Bedeutung für die individuelle und öffentliche Meinungsbildung entfalten. Gleiches gilt für Rundfunkprogramme, die im Durchschnitt von sechs Monaten weniger als 20.000 gleichzeitige Nutzer erreichen oder in ihrer prognostizierten Entwicklung erreichen werden. Dadurch können viele Betreiber von YouTube-Kanälen mit einer geringeren Reichweite nun aufatmen.
Umgestaltung der Werberegelungen für private Fernsehsender
Derzeit dürfen Fernsehsender pro Stunde maximal 20 Prozent, also 12 Minuten, Werbung ausstrahlen. Ab sofort sollen die Werberegelungen allerdings flexibler gestaltet werden. So ist es in der AVMD-Richtlinie vorgesehen. Die Werbung darf künftig innerhalb zweier Zeitfenster einen Umfang von bis zu 20 Prozent ausmachen. Im ersten Zeitfenster von 6.00 bis 18.00 Uhr darf Werbung im Umfang von maximal 144 Minuten gezeigt werden. Im zweiten Zeitfenster von 18.00 bis 0.00 Uhr, das sich über die Primetime erstreckt, beträgt die maximal zulässige Werbedauer künftig 72 Minuten. Es ist absehbar, dass dadurch die privaten Fernsehsender während der Primetime pro Stunde mehr Werbung zeigen werden.
Transparenzpflichten und Diskriminierungsverbote für Medienintermediäre
Die großen US-amerikanischen Internet-Konzerne wie Google, Facebook und Twitter fallen laut dem neuen Medienstaatsvertrag unter den Begriff der sogenannten Medienintermediäre. Ein Medienintermediär ist laut dem Medienstaatsvertrag ein Anbieter, der
"über das Internet journalistisch-redaktionelle Angebote Dritter aggregiert, selektiert und allgemein zugänglich präsentiert, ohne diese zu einem Gesamtangebot zusammenzufassen".
Ab sofort müssen die Medienintermediäre in verständlicher Weise informieren, nach welchen Kriterien sie journalistisch-redaktionelle Inhalte selektieren und dem Nutzer präsentieren. Dabei muss auch die Funktionsweise der eingesetzten Algorithmen beschrieben werden.
Die Medienintermediäre dürfen dabei bestimmte Angebote nicht ohne sachlich gerechtfertigten Grund benachteiligen oder bevorzugen.
Neue Pflichten für Smart-TV, Sprachassistenten und Video-Streaming-Dienste
Auch so genannte Medienplattformen und Benutzeroberflächen müssen sich künftig an Transparenzvorgaben und Diskriminierungsverbote halten. Damit sind zum Beispiel Smart-TV-Geräte oder Online-Sprachassistenten, wie zum Beispiel Amazons Sprachassistent Alexa, in der Pflicht. Künftig müssen sie transparent machen, nach welchen Kriterien sie Rundfunkangebote auswählen und dem Kunden zur Verfügung stellen. Auch darüber, nach welchen Kriterien sie die Angebote sortieren, anordnen und präsentieren, müssen sie informieren.
Bestimmten Rundfunkprogrammen soll dabei eine höhere Bedeutung zukommen. So müssen öffentlich-rechtliche Radio- und Fernsehprogramme leicht auffindbar sein. Gleiches gilt für Rundfunkprogramme und Online-Angebote von privaten Anbietern, die in besonderem Maße einen Beitrag zur Meinungs- und Angebotsvielfalt leisten.
Auch Streaming-Dienste sind als "rundfunkähnliche Telemedien" vom Medienstaatsvertrag erfasst. Eine Regelung, die sie betrifft: Mindestens 30 Prozent der auf ihnen abrufbaren Inhalte müssen europäische Produktionen sein.
Gesonderte Regelungen für Video-Sharing-Plattformen
Anders als im bisherigen Rundfunkstaatsvertrag wurden in den Medienstaatsvertrag gesonderte Regelungen für Video-Sharing-Plattformen wie YouTube aufgenommen. So sollen diese einen Zustellungsbevollmächtigten bestimmen, der bei Gesetzesverstößen in Kontakt mit der Medienaufsicht tritt. Werbevorschriften, die bereits für Rundfunkprogramme gelten, z.B. zur Produktplatzierung oder Schleichwerbung, sollen künftig auch für die Video-Sharing-Plattformen gelten. Die Video-Sharing-Plattformen müssen außerdem den Jugendmedienschutz stärker als bisher beachten.
Die Landesmedienanstalten führen die Aufsicht darüber, ob künftig alle diese Neuregelungen im Medienstaatsvertrag eingehalten werden. Insgesamt ist zu beobachten, dass im neuen Medienstaatsvertrag die Zuständigkeiten der Landesmedienanstalten gestärkt werden. Sie haben die Aufgabe, die Neuregelungen des Vertrags in Satzungen zu konkretisieren.
Für viele wird der neue Medienstaatsvertrag weitreichende Folgen haben. Obwohl die Sicherstellung der Meinungsfreiheit sowie des Jugend- und Verbraucherschutzes Ziel des Vertrages ist, beklagen einige Medienvertreter die weitreichenden Regulierungen und sehen die Internetfreiheit in Gefahr. Erstmal bleibt jedoch abzuwarten, inwieweit die EU-Kommission den Gesetzesentwurf absegnet.
Quelle:
WBS-Law
Nach EuGH-Urteil zu Facebook-Fanpages: BVerwG - Datenschutzbehörde kann Betrieb einer Facebook-Fanpage untersagen:
Der EuGH hatte im Juni 2018 entschieden, Fanpage-Betreiber in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortlicher anzusehen. Danach war klar: Eigentlich müssten massenweise Social-Media-Fanpages aus datenschutzrechtlichen Gründen schließen. Drei Monate später hat die Datenschutzkonferenz einen Beschluss veröffentlicht, in dem es heißt: Facebook-Fanpages sind illegal, weil es keine Vereinbarung mit Facebook gibt. Daraufhin hatte Facebook reagiert. Doch reichte die vorgelegte Vereinbarung aus? Nein – das zumindest meinte die Verbraucherzentrale, die Bundestagsfraktion der Grünen und auch die Berliner Datenschutzbehörde. Sie versendete Anhörungsschreiben an Fanpage-Betreiber. Nun hat das BVerwG entschieden, dass – sollte die Vereinbarung nicht ausreichen – Fanpage-Betreiber zum Abschalten ihrer Webseite verpflichtet werden können.
[Update 11.09.2019] Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht (BVerwG) in Leipzig am 11.09.2019 entschieden.
Gegenstand des Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht, mit der die Klägerin, eine in Kiel ansässige Bildungseinrichtung, unter der Geltung der Datenschutzrichtlinie (Richtlinie 95/46/EG) verpflichtet worden war, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Der Bescheid beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet würden. Ein gegenüber der Klägerin als Betreiberin der Fanpage erklärter Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.
Die Klage hatte in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich der Beklagte im vorliegenden Revisionsverfahren.
Auf Vorlage des Bundesverwaltungsgerichts (Beschluss vom 25. Februar 2016 BVerwG 1 C 28.14) hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 C-210/16 entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.
Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen. Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.
Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es einer näheren Aufklärung der tatsächlichen Umstände durch das Berufungsgericht. Die Rechtmäßigkeit der bei Aufruf der klägerischen Fanpage ablaufenden Datenverarbeitungsvorgänge ist an den Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts, insbesondere an den Vorschriften des Telemediengesetzes, denen die Klägerin als Betreiberin unterliegt, zu messen.
[Update April 2019] Datenschutzkonferenz - Facebooks Beitrag reicht nicht aus.
Die Datenschutzkonferenz (DSK) äußert sich am 1. April 2019 erneut zum Betrieb einer Facebook Fanpage:
Vor diesem Hintergrund bekräftigt die Konferenz erneut die Rechenschaftspflicht der Fanpage-Betreiber (unabhängig von dem Grad der Verantwortlichkeit) und stellt fest:
"Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und - soweit besondere Kategorien personenbezogener Daten verarbeitet werden - nach Art. 9 Abs. 2 DSGVO. Dies gilt auch in den Fällen, in denen sie die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern durch andere gemeinsam mit ihnen Verantwortlichen durchführen lassen. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in der Hand haben, solche Verarbeitungen zu unterlassen. Der EuGH führt hierzu aus: "Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien." (EuGH, C-210/16, Rn. 40). Im Hinblick auf die Ausführungen zur "Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche" sowie zur federführenden Aufsichtsbehörde (Punkt 4 in der "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen") weist die Konferenz darauf hin, dass sich die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber nach der DSGVO richtet. Nach Art. 55 ff. DSGVO sind die Aufsichtsbehörden für Verantwortliche (wie z. B. Fanpage-Betreiber) in ihrem Hoheitsgebiet zuständig. Dies gilt unabhängig von den durch die DSGVO vorgesehenen Kooperations- und Kohärenzmechanismen."
Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich."
[Update 19.11.2018] Berliner Behörde versendet Anhörungsschreiben an Fanpage-Betreiber:
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit führt seit Anfang November Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags- und Finanzbranche in Sachen Facebook-Fanpages durch. Die Behörde stellt darin 15 Fragen an die datenschutzrechtlich Mit-Verantwortlichen der Facebook-Fanpage. Diese Anhörungsschreiben werden versendet, obwohl Facebook auf das EuGH-Urteil und den Beschluss der DSK (s.u.) reagiert und eine Vereinbarung vorgelegt hatte. Diese reichte nach Ansicht der Berliner Datenschützer aber nicht aus, um die Anforderungen des Art. 26 DSGVO zu erfüllen. In einer Pressemitteilung heißt es dazu:
Daher fordert die Berliner Datenschutzbehörde sehr viel genauere Informationen über die Ausgestaltung der gemeinsamen Verantwortlichkeit von den Seitenbetreibern. Die Fragen lehnen sich offenkundig an den bereits formulierten Fragenkatalog der DSK an, der den Schreiben auch noch einmal angehängt ist – sie gehen aber noch weiter ins Detail. Ohne die Hilfe von Facebook können diese 15 Fragen wohl nicht beantwortet werden:
Sofern man den Fragenkatalog des Berliner Beauftragten für Datenschutz vom 16. November 2018 beziehungsweise den Fragenkatalog der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 5. September 2018 erhalten hat, muss man sich als Facebook-Fanpage-Betreiber unbedingt damit befassen.
[Update 23.10.2018] Verbraucherzentrale Sachsen verklagt Facebook:
Die Verbraucherzentrale Sachsen sieht die Vereinbarung, die Facebook vorgelegt hat, als nicht ausreichend an und hat Facebook deswegen verklagt. In einer Pressemitteilung heißt es zur Begründung: "(…) anstatt die damit verbundenen Gesetzesvorgaben zu erfüllen, lässt Facebook seine Nutzer hinsichtlich der Verantwortlichkeit für die gemeinsame Datenverarbeitung im Dunklen tappen." Die Verbraucherzentrale ist der Ansicht, dass das Page Controller Addendum den Betreibern von Fanpages nicht ermöglicht, ihre Seiten DSGVO-konform zu betreiben. Schließlich könnten Betreiber von Fanpages immer noch nicht nachvollziehen, wie Facebook auf ihren Seiten Daten sammelt bzw. Einfluss auf diese Datensammlung nehmen. Das Problem sei die fehlende Rechtsklarheit für Verbraucher, so die Pressemitteilung.
Medienberichten zufolge liegt bereits eine entsprechende Klage der Bundestagsfraktion der Grünen vor.
[Updates Ende]
Quelle:
WBS-Law
Daten-Hack: Chatforum "Knuddels" muss 20.000 Euro wegen DSGVO-Verstoß zahlen!
Zum ersten Mal hat eine deutsche Datenschutzbehörde ein so hohes Bußgeld im Zusammenhang mit der DSGVO verhängt. Gleichzeitig spricht der Landesbeauftragte ein großes Lob an das betroffene Unternehmen aus. Nachdem im September hunderttausende Nutzerdaten im Netz aufgetaucht waren, hätten die Betreiber von "Knuddels" umgehend alle notwendigen Schritte unternommen.
Was war passiert?
Backup-Server lief mit veraltetem Betriebssystem!
Die Chronologie der Datenpanne lässt sich im Userforum des Chatportals exakt nachverfolgen. Anfang September informierten die Betreiber erstmals ihre großenteils jungen Kunden: 800.000 Mail-Adressen sowie zwei Millionen Pseudonyme und Passwörter seien am Vortag auf einer Filesharing-Seite veröffentlicht worden. Nur kurze Zeit später hatte man auch die Ursache herausgefunden: Die Daten waren unverschlüsselt und in Klartext auf einem älteren Server gespeichert gewesen.
Maximale Transparenz und Kooperationsbereitschaft
Zeitgleich mit den Kunden informierte "Knuddels" auch die baden-württembergische Aufsichtsbehörde. Der Landesbeauftragte für Datenschutz und Informationsfreiheit betont, das Unternehmen sei vorschriftsmäßig mit dem Datendiebstahl umgegangen: Man habe sämtliche Datenverarbeitungs- und Unternehmensstrukturen offengelegt und auch die eigenen Versäumnisse aufgezeigt. Denn selbstverständlich entsprach die Speicherung der ungehashten und unverschlüsselten Passwörter nicht dem aktuellen Stand der Technik, wie er in Artikel 32 der Datenschutz-Grundverordnung vorgeschrieben ist.
Lob statt Kritik von Datenschützern
Dass umgehend die notwendigen Maßnahmen zur Verbesserung der IT-Sicherheit ergriffen werden konnten, begründen die baden-württembergischen Datenschützer mit dem vorbildlichen Umgang der "Knuddels"-Betreiber mit der Krise. Nur deshalb falle das Bußgeld mit 20.000 Euro auch vergleichsweise gering aus, so der Landesbeauftragte. Gleichzeitig habe er berücksichtigt, dass durch die digitalen Veränderungen Kosten in sechsstelliger Höhe entstanden seien.
Fazit:
Obwohl das Chatportal "Knuddels" wissentlich gegen die Verordnung verstoßen hat, bleibt die Strafe weit unter den Maximalstrafen der DSGVO von zehn Millionen Euro. Die schnelle und umfassende Information der Kunden und der zuständigen Aufsichtsbehörde zahlt sich für das Unternehmen aus. Der Landesdatenschutzbeauftragte hofft, dass das Beispiel Schule macht: So könnten Unternehmen sogar aus einem Hackerangriff gestärkt hervorgehen.
Quelle:
eRecht24.de
Wem Musik gehört:
Hinter einer Musikaufnahme bzw. dem letztlich verkauften Album oder Song steht ein komplexes Geflecht an kreativ und wirtschaftlich Beteiligten. Erst das Zusammenspiel von Songschreibern, Künstlern, Produzenten und Labels ermöglicht den Konsumenten den Zugang zu einer riesigen Vielfalt alter und neuer Musik unterschiedlicher Genres.
In der Regel schafft ein Komponist das musikalische Werk, ein Autor schreibt den Text, Künstler interpretieren das Musikstück und die Labels übernehmen die organisatorische und wirtschaftliche Verantwortung für Produktion, Marketing und Promotion sowie den Vertreib. Entsprechend gewährt das Urheberrechtsgesetz (UrhG) den Beteiligten auch Rechte an ihren Werken und Leistungen.
Da es sich bei Musik wie bei Büchern, Filmen, Fotos, Software, Kunst oder Design um geistiges Eigentum handelt, verbleiben die Rechte an diesen Produkten bei denjenigen, die ihre Entstehung möglich gemacht haben.
Wenn wir eine CD, ein Buch, eine DVD oder ein Software kaufen, dann erwerben wir das Recht zu seiner privaten Nutzung, aber der Inhalt gehört uns nicht. Der Respekt vor geistigem Eigentum, ist vor allem der Respekt vor denjenigen, die es erschaffen und nutzbar gemacht haben.Welche Musikrechte gelten?
Das Urheberrecht besteht aus drei Bestandteilen. Ihr Zweck ist es, den Urheber sowie sein Werk zu schützen und mögliche finanzielle Ansprüche zu vergelten. Bei den Urhebern handelt es sich in der Regel um den Komponisten und ggf. den Textautor. Ihre Rechte lassen sich in die folgenden drei Teile zusammenfassen:
Urheberrecht bei Musik:
Auf der einen Seite der Rechteinhaber stehen die Musikurheber (Komponisten und Textdichter), deren Rechte in der Regel von der GEMA (www.gema.de) zu festen, veröffentlichten Tarifen erworben werden können. Darüber hinaus gibt es die so genannten Leistungsschutzberechtigten, nämlich die ausübenden Künstler und die Tonträgerhersteller. Die ausübenden Künstler sind zumeist vertraglich mit den Tonträgerherstellern verbunden. Dies hat zur Folge, dass die Tonträgerhersteller im Rahmen von individuellen Lizenzvereinbarungen Dritten nicht nur ihre eigenen Rechte (§ 85 UrhG) sondern auch die der ausübenden Künstler (§ 77 UrhG) einräumen können.
Die Verwertungsrechte liegen immer ausschließlich beim Urheber und können vor dessen Tod auch nicht an andere Personen übertragen werden. Er darf alleine entscheiden wann und in welcher Form das jeweilige Musikstück veröffentlicht, vervielfältigt und verwertet wird. Hier setzt eine Verjährung erst 70 Jahre nach dem Tod des Urhebers ein.
Möchten Verlage, Plattenfirmen, Sendeanstalten aber auch Privatpersonen urheberrechtlich geschützte Werke in der Öffentlichkeit nutzen, bedarf dies einer Genehmigung des Urhebers.
Durch die Nutzungsrechte kann der Schöpfer sein Werk anderen zur Verwertung überlassen. Plattenfirmen, Veranstalter und Verlage können bestimmte Nutzungsrechte erwerben, um das Musikwerk zum Beispiel auf Tonträgern zu verkaufen, auf öffentlichen Veranstaltungen zu spielen oder Noten und Songtext in einem Buch abzudrucken.
Wer eine CD oder eine Mp3-Datei kauft, erwirbt ebenfalls ein Nutzungsrecht. Durch dieses ist es dem Käufer erlaubt, das Musikstück für den privaten Gebrauch unbegrenzt oft wiederzugeben. Eine Veröffentlichung in Online-Tauschbörsen ist hingegen nicht erlaubt.
Die persönliche Beziehung zwischen Musikwerk und Urheber ist durch das Urheberpersönlichkeitsrecht geregelt. Dabei handelt es sich unter anderem um das Recht auf Namensnennung und den Schutz vor Entstellung.
Die deutschen Urheberrechte haben auch noch 70 Jahre nach dem Tod des Urhebers bestand und gehen somit an dessen Erben über. Danach gelten sie als gemeinfrei. Dadurch ist es jedem erlaubt, das Musikstück ohne Genehmigung und finanzielle Entschädigung aufzuführen. Allerdings besteht weiterhin der Schutz für die performenden Künstler und die Unternehmen, die die Rechte zur Verwertung besitzen.
Deutlich wird dies durch ein Beispiel:
"Für Elise" von Ludwig van Beethoven ist, weil der Komponist 1827 verstarb, gemeinfrei und darf deshalb aufgeführt werden. Eine Genehmigung ist somit nicht notwendig. Inszeniert ein zeitgenössischer Künstler das Stück und veröffentlicht es auf einer CD, ist dieser Song nicht frei von Rechten und steht unter Schutz.
Urheber können sich durch sogenannte Verwertungsgesellschaften vertreten lassen. Diese überwachen unter anderem, ob Radio- oder Fernsehsender für musikalische Einspielungen auch entsprechend eines Tarifes zahlen.
Eine solche Verwertungsgesellschaft ist zum Beispiel die GEMA. Diese ist vor allem Zuständig für die Verwertung von Musikwerken. Im Auftrag der Urheber verhandelt die GEMA Tarifverträge mit Rundfunkanstalten und kommerziellen Streaminganbietern im Internet aus.
Quellen:
GEMA-Facebookseite
Urheberrecht.de
BMVI