HINWEIS:

Dieser Service stellt keine Rechtsberatung dar und ersetzt diese auch nicht. Die zur Verfügung gestellten Posts dienen lediglich als Orientierungshilfe !


26.06.2017 Neues Gesetz: Fehlende Datenschutzerklärung auf Webseiten kann ab sofort abgemahnt werden !

Dass ein Impressum für Webseiten und Fanseiten in sozialen Netzwerken Pflicht ist, hat sich bereits herumgesprochen. Weniger bekannt ist bisher, dass die Datenschutzerklärung ebenfalls separat und sofort für den Besucher sichtbar auf der Webseite platziert werden muss.
Im Februar 2016 ist - von vielen unbemerkt - ein neues Gesetz in Kraft getreten. Eigentlich soll dieses neue Gesetz helfen, Datenschutzverstöße im Netz besser zu verfolgen und Verbraucher vor unseriösen Unternehmen zu schützen. In der Praxis bedeutet es aber:
Fast jeder Webseitenbetreiber ohne korrekte Datenschutzerklärung kann ab sofort abgemahnt werden !

Worum geht es in dem neuen Gesetz ?
Das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ ist seit dem 24.02.2016 in Kraft. Es soll damit der Verbraucherschutz im Netz verbessert werden und ein effektives Mittel geliefert werden, um gegen unseriöse Unternehmen vorzugehen.

Fazit:
Ab sofort können Verbraucherschutzverbände und Wettbewerbsverbände Verstöße im Bereich Datenschutz abmahnen !

Wer ist von den Neuregelungen betroffen ?
Nicht nur Unternehmer oder Online-Shops, sondern jeder Webseitenbetreiber muss nun mit Abmahnungen rechnen, wenn er keine oder eine unvollständige Datenschutzerklärung auf seiner Webseite eingebunden hat.
Was bedeutet "personenbezogene Daten" ?
1. Nutzerdaten
Bei personenbezogenen Daten geht es zum einen um die Daten, bei denen jedem klar sein sollte, dass es sich um personenbezogene Daten handelt:

2. Facebook, Google Analytics, IP-Adressen
Die Datenschützer fassen unter den Begriff "personenbezogene Daten" nicht nur Name oder Anschrift. Auch Daten, die etwa über den Facebook-Like-Button oder Google Analytics übertragen werden, zählen dazu. Ebenso wie die IP-Adressen der Seitenbesucher, die in Server-Logs gespeichert werden.
Die Datenschützer fassen den Begriff "personenbezogene Daten" also sehr weit. In der Praxis bedeutet das aber, dass fast jeder Webseitenbetreiber betroffen ist.
3. Datenverarbeitung und Datenweitergaben
Es muss in einer Datenschutzerklärung aber nicht nur darüber aufgeklärt werden, um welche Daten es geht. Die Seitenbesucher müssen auch darüber informiert werden, was mit diesen Daten geschieht:

Die Datenschutzerklärung muss mit einem Klick erreichbar sein !

Oftmals wird die Datenschutzerklärung wegen Unwissenheit auf der Impressums-Seite angelegt und ist somit mit den Besuchern nicht sofort zu finden. Die Gesetzeslage jedoch sieht vor, dass für die Datenschutzerklärung ein einzelner Punkt auf der Homepage nötig ist. Ein „Verstecken“ im Impressum ist unzulässig. Dies wird von Homepage-Betreibern oft falsch gemacht. Schuld daran sind auch die „Impressums-Generatoren“ oder „Datenschutzerklärungsgeneratoren“ ( Generatoren für Impressum und Datenschutzerklärungen sehen diese Form oftmals automatisch vor, so dass dies von den Webseitenbetreibern falsch übernommen wird ),die Homepagebetreiber darauf nicht hinweisen oder sogar fälschlich die Unterbringung im Impressum vorsehen.
Richtig ist jedoch, für die Datenschutzerklärung und das Impressum jeweils einen einzelnen Punkt anzulegen.

Fehlende oder versteckte Datenschutzerklärung ist abmahnfähig !

Nach einem aktuellen Urteil des Oberlandesgericht Hamburg vom 27. Juni 2013 (Az. 3 u 26/12) ist eine Datenschutzerklärung abmahnfähig, wenn sie nicht als einzelner Punkt auf der Homepage aufgeführt ist. Bekanntlich sind Abmahnungen mit hohen Kosten verbunden. Grund für das Urteil des OLG ist, dass nach § 13 Absatz 1, Satz 1 TMG, Nutzer eines Telemediums - somit auch einer Webseite- zu Beginn des Nutzungsvorgangs über Zweck, Art und Umfang der Erhebung und Verwendung bezogener Daten unterrichtet wird. Der Nutzer muss jederzeit den Inhalt der Unterrichtung zur Datenerhebung abrufen können.

Warum ist ein einzelner Punkt für die Datenschutzerklärung einer Homepage nötig?

Die Antwort liegt in § 13 Absatz 1, Satz 1 TMG. Dieser bestimmt, dass ein Nutzer eines Telemediums, also insbesondere von Homepages, „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] zu unterrichten ist. Die Pflicht erweitert der Satz 3: „Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein“. Dies bedeutet, dass einem Homepage-Besucher zu Beginn seines Besuchs und während des Besuchs jederzeit die Informationen zur Datenerhebung, die in der Datenschutzerklärung dargelegt sind, abrufen können muss.

Webseiten rechtskonform gestalten

Für Webseitenbetreiber bedeutet das, dass die Datenschutzerklärung eine eigene Seite benötigt, die mit einem Klick von jeder Seite aus abrufbar ist. Für das Impressum sind rechtlich maximal zwei Klicks vorgesehen. Wie der Punkt Impressum muss zudem der Link zur Datenschutzerklärung eindeutig gekennzeichnet sein. Wenn die Impressums-Seite jedoch mit einem Klick von jeder Seite aus einsehbar ist, kann die Datenschutzerklärung ebenfalls dort untergebracht werden. Die Impressums-Seite benötigt dann einen gut sichtbaren Hinweis, dass die Datenschutzerklärung auf der Seite enthalten ist. Wichtig ist auch, dass die Datenschutzerklärung die gesetzlichen Anforderungen erfüllt.

Welche Anforderungen bestehen für die rechtskonformen Einbau der Datenschutzerklärung in die Homepage ?

Sie sollten folgendes beachten:

Fazit:

Betreiber von Webseiten sollten ihre Internetseiten dahingehend überprüfen, ob die Datenschutzerklärung rechtskonform eingebaut ist. Diese muss von jeder Seite aus mit einem Klick erreichbar sein. Ein entsprechend eindeutig gekennzeichneter Link, bzw. ein spezieller Punkt im Menü hilft den Nutzern der Webseite die Datenschutzerklärung sofort zu finden und den Betreibern gegen eine Abmahnung.


Quellen:
eRecht24-News
RA Kanzlei Lachenmann
eRecht24-News



29.03.2017 Cookie-Hinweis: Abmahnungen wegen Cookie-Banner ?

Von der Cookie-Richtlinie haben die meisten Seitenbetreiber schon etwas gehört. Wie man aber die Nutzer korrekt über Cookies belehrt, ist noch nicht geklärt. Viele Seitenbetreiber binden deshalb aus Vorsicht Cookie-Hinweisbanner auf ihren Webseiten ein.
Aber Vorsicht: Bei der Umsetzung gibt es einiges zu beachten !!

Worum geht es bei der Cookie Diskussion ?

Die Ausgangslage ist wie folgt:
Cookies sind kleine Textdateien, die für eine Session oder auch dauerhaft auf der Festplatte des Nutzers gespeichert werden können. Durch Cookies können dann die Benutzer der Webseite wiedererkannt werden. So ist es zum Beispiel möglich, die Nutzer mit dem Benutzernamen zu begrüßen oder Waren im Warenkorb zu speichern.
Die europäische Cookie-Richtlinie soll die Verwendung und Speicherung von Cookies regeln um die Daten der Nutzer zu schützen. Cookies sollen nach der Richtlinie erst dann gesetzt und gespeichert werden dürfen, wenn der Nutzer darüber belehrt wird und auch eingewilligt hat.
Wie diese Einwilligung des Nutzers aber aussehen muss, ist noch immer unklar. Einige gehen davon aus, dass der Nutzer aktiv seine Einwilligung erklären muss (Opt-In). Andere meinen, dass es auch ausreicht, wenn der Nutzer belehrt wird, und er dem Cookie-Einsatz widersprechen kann (Opt-Out).
Viele Seitenbetreiber haben sich aus Vorsicht dafür entschieden, auf der Webseite ein Banner einzurichten und damit den Nutzer über den Einsatz von Cookies zu informieren. Über das Banner können die Nutzer dann ihre Einwilligung auch erteilen.

Banner darf die Pflichtangaben nicht überdecken

Wenn Seitenbetreiber ein Banner einbinden, müssen sie darauf achten, dass der Banner keine Pflichtangaben auf der Seite überdeckt. Viele Seitenbetreiber binden die Banner unten auf der Webseite ein. Dort sind aber meistens auch das Impressum und die Datenschutzerklärung eingebunden.
Das Impressum muss aber nach § 5 Telemediengesetz (TMG) stets unmittelbar erreichbar und ständig verfügbar auf der Webseite sein. Wenn der Cookie-Banner aber über dem Impressum liegt, werden diese gesetzlichen Bedingungen nicht erfüllt.
Das Gleiche gilt für die Datenschutzbestimmungen. Nach § 13 Absatz 1 Satz 1 TMG muss der Nutzer zu Beginn der Nutzung über Art, Umfang und Zwecke der Datenerhebung und -verwendung auf der Webseite informiert werden. Es muss also auch eine Datenschutzerklärung auf der Webseite geben. Die Datenschutzerklärung muss außerdem mit einem Klick erreichbar sein. Wenn der Cookie-Banner die Datenschutzerklärung aber verdeckt, wird der Nutzer auch hier nicht ordentlich belehrt.
Seit Anfang des Jahres müssen Seitenbetreiber außerdem über die Online-Streitschlichtungs-Plattform (OS-Plattform) belehren. Auch dieser Hinweis ist häufig entweder im Seiten-Footer oder im Impressum untergebracht. Er darf ebenso wenig wie Impressum und Datenschutzerklärung vom Cookie-Banner überdeckt werden.

Praxis-Tipps:
1. Wenn Webseitenbetreiber ein Cookie-Banner einsetzen möchten, müssen sie darauf achten, keine Pflichtangaben auf der Webseite zu verdecken. Bei Verstößen gegen die gesetzlichen Pflichten drohen teure Abmahnungen.
2. Seitenbetreiber sollten das Banner an einer freien Stelle einbinden. Einige Seitenbetreiber geben die Pflichtinformationen sowohl oben auf der Webseite als auch im Footer. So bleiben die Informationen trotz Banner immer verfügbar.

Quelle:
eRecht24-News



04.03.2017 Ein Schreckensgespenst wabert seit kurzem durch die Netzgemeinde: Die SSL-Verschlüsselung ! Was ist dran, an der angeblichen Pflicht zu dieser Verschlüsselung ?

Überall auf einschlägigen Seiten kann man lesen "SSL-Zertifikate werden ab 01.01.2017 zur Pflicht", "Verschlüsselung wird Pflicht: WordPress forciert HTTPS ab 2017", "SSL-Zertifikat wird ab 01. Januar 2017 zur Pflicht" oder gar "Bußgeld für Kontaktformulare ohne Verschlüsselung" ! Schlichtweg ein Horrorszenario für Seitenbetreiber und/oder Webmaster. Selbst die, in der Werbradioszene recht bekannte Firma W-P, welche Hosting-, CMS- und Designpakete für Webradios vertreibt, sah sich am 09.02.2017 genötigt, an ihre Kunden zu diesem Thema eine Rundmail zu verschicken. Darin enthalten ein Link auf einen Artikel der Seite Datenschutzbeauftragter.info

Doch was versteckt sich wirklich hinter diesen Alarmmeldungen ?

Fangen wir erstmal bei den Begrifflichkeiten an:
Was ist ein SSL-Zertifikat ?
Ein SSL-Zertifikat wird benötigt um Daten die zwischen den Besuchern einer Website und den Webserver ausgetauscht werden, zu verschlüsseln. Sollten diese Daten irgendwie abgefangen werden, sind sie dank der Verschlüsselung unlesbar. Um eine sichere Verbindung zwischen Browser uns Webserver zu gewährleisten ist also ein SSL-Zertifikat notwendig. Eine Seite mit SSL-Zertifikat erkennen Sie am Vorhängeschloss in der Adresszeile Ihres Webbrowsers.


Warum ein SSL-Zertifikat ?
Erstens verpflichtet in Deutschland §13 des Telemediengesetzes (TMG) eine sichere Aufbewahrung, Versendung und Empfang von sensiblen Daten. Websites mit Zahlungs- u/o Anmeldemodulen und sogar Kontaktformularen sind hiermit verpflichtet, dies sicher zu stellen. Das Gesetz verlangt nicht direkt eine technische Lösung, doch rechtlich gesehen hat man ohne SSL eine schwache Position.
Zweitens hat ein SSL-Zertifikat einige andere wichtige Vorteile. Selbstverständlich sichert ein SSL-Zertifikat Ihre Daten, und die von Ihren Besuchern. Auch kann ein SSL-Zertifikat die Konversionsrate laut einer Studie von Comodo erhöhen. Nach der Installation eines SSL-Zertifikates erhöhte sich die Konversionsrate von zamberg.com um 11% und der durchschnittliche Wert pro Bestellung sogar um 23%.
Ein weiterer Vorteil eines SSL-Zertifikates ist ein positiveres Ranking in Google. Diesen Effekt gibt es schon seit Ende 2014. Am 17. Dezember 2015 hat Google angegeben, SSL bei der Indexierung von Webseiten noch schwerwiegender zu machen. Beachten Sie jedoch, um hierfür in Anmerkung zu kommen müssen einige Kriterien von Google gehandhabt werden.

Woher kommt gerade jetzt die große Aufmerksamkeit zu diesem Thema ?

Ein SSL-Zertifikat ist Bestandteil der Suchmaschinenoptimierung (kurz: SEO für Search Engine Optimization) und signalisiert eine sichere Verbindung zu einer Internetseite. Ab Januar 2017 kennzeichnet der Google-eigene Browser Chrome Seiten ohne SSL-Zertifikat als unsicher.

Was hat es mit der Google-Änderung ab Januar 2017 auf sich ?

Ab Januar 2017 wird eine neue Version des Chrome-Browsers veröffentlicht. Da die Aktualisierung in der Regel automatisch erfolgt, ist davon auszugehen, das im Januar ein Großteil der Nutzer die aktuelle Version des Browsers haben.
Google geht hier einen sehr effektiven Weg, die Forderung nach einer gesicherten Verbindung nachdrücklich zu untermauern. Ab diesem Zeitpunkt wird der Google Browser „Chrome“ nach und nach ungesicherte Seiten mit einem dezenten „Nicht sicher“ in der Adressleiste versehen, was dann ungefähr so aussehen wird:


Aus Datenschutzgründen waren SSL-Zertifikate (gesicherte Verbindungen) bereits seit längerem in einigen Bereichen Pflicht, insbesondere da, wo personenbezogene Daten erhoben werden wie z.B. in Webshops. Die neue Herangehensweise von Google zielt ganz klar auf alle Seitenbetreiber ab, egal ob diese nun personenbezogene Daten im Umfang wie Webshops erfassen oder nur ein einfaches Kontaktformular besitzen.

Weitere Browseranbieter haben bereits angekündigt diesem Trend ebenfalls in naher Zukunft folgen zu wollen, sodass man hier durchaus von einer „Pflicht“ sprechen kann, denn mittelfristig werden unsichere Seiten deutlich gekennzeichnet werden – egal durch welchen Browser. Webseitenbetreiber müssen nun aktiv werden und das Vertrauen ihrer Besucher schützen.

Langfristig werden die Browser sogar eine noch deutlichere Warnung anzeigen, welche dann auch farblich auf den Missstand hinweisen wird und ungefähr so aussehen kann:


Gibt es aber auch eine gesetzliche Grundlage zur Verschlüsselungspflicht ?

Wie im vorhergehenden Absatz bereits erwähnt, ist es, entgegen der momentanen Panikmeldungen, bereits seit dem 1. Januar 2016 Pflicht für eine SSL-Verbindung (https://) zu Websites mit Kontaktformularen (§ 13 Abs. 7 TMG). Diese Pflicht gilt allgemein für deutsche Websitebetreiber, welche personenbezogenen Daten mittels ihrer Website erheben.

Am 1. August 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. In erster Linie richtet sich das Gesetz an Betreiber sog. „kritischer Infrastrukturen”. Relativ unauffällig hat sich aber auch eine Änderung des Telemediengesetzes eingeschlichen, die auch für Anbieter von Telemedien neue Sicherheitspflichten vorsieht – von Blogs über Apps bis zu Online-Shops. Bei Verstößen gegen die neuen Pflichten sieht das Gesetz ein Bußgeld bis zu 50.000 EUR vor.
Die Änderungen im TMG im einzelnen
Mit dem neuen IT-Sicherheitsgesetz wurde ein neuer § 13 Abs. 7 Telemediengesetz (TMG) ins Gesetz eingefügt:

„(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.”

Die Norm richtet sich an „Diensteanbieter” von „geschäftsmäßig angebotenen Telemedien”. Die Gesetzesbegründung (BT-Drucks. 18/4096, S. 34) versteht darunter solche Telemedien, die „auf einer nachhaltigen Tätigkeit” beruhen. Dies gelte regelmäßig für kostenpflichtige oder werbefinanzierte Dienste. Das „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereinen” sei allerdings nicht erfasst.

Der Begriff scheint demnach deckungsgleich mit § 5 Abs. 1 TMG zu sein, der allerdings von „geschäftsmäßigen, in der Regel gegen Entgelt angebotenen Telemedien” spricht. In der Praxis dürfte der Begriff daher deutlich weitreichender sein, als der Wortlaut vermuten lässt. Egal wie gering der Umsatz sein mag, wer Werbung auf seiner Webseite schaltet, gilt demnach in aller Regel schon als „geschäftsmäßig”.

Die technischen Pflichten

Das Gesetz sieht für Anbieter geschäftsmäßiger Telemediendienste drei Pflichten vor:

1. Maßnahmen gegen unerlaubten Zugriff (Nr. 1)
Der Diensteanbieter hat sicherzustellen, dass „kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist”. Was genau darunter zu verstehen ist, ist bisher unklar. Die Gesetzesbegründung (BT-Drucks. 18/4096, S. 34) stellt lediglich allgemein klar, dass der Zwecke der Maßnahmen darin besteht, „das unbemerkte Herunterladen allein durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sogenannte Drive-by-Downloads)” zu verhindern. Wie genau Diensteanbieter das bewerkstelligen sollen, bleibt im Dunkeln. Lediglich allgemein stellt die Gesetzesbegründung fest, dass bereits das „Einspielen von Sicherheitspatches” zahlreiche dieser Drive-by-Downloads verhindern könnte. Das legt den Schluss nahe, dass der Gesetzgeber hier eine Pflicht zum Einspielen von Patches vorsehen wollte. Über Reaktionszeiten nach Veröffentlichung von Patches oder mögliche weitere Maßnahmen schweigt sich das Gesetz jedoch aus.

Ergänzend weist die Gesetzesbegründung noch darauf hin, dass Diensteanbieter auch dazu verpflichtet seien, ihre Werbedienstleister „vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten”, um zu verhindern, dass Drive-by-Downloads durch Dritte ermöglicht werden. Das wirft die Frage auf, ob Anbieter von Telemedien generell auch für die IT-Sicherheit ihrer Drittdienstleister verantwortlich sein sollen. Der Wortlaut der Norm gibt eine solche Verantwortlichkeit nicht her – im Gegenteil sollen die Anbieter nur „im Rahmen ihrer jeweiligen Verantwortlichkeit” zu den neuen Sicherheitsmaßnahmen verpflichtet sein. Der Gesetzgeber scheint bei der Begründung des Gesetzes aber offenbar auch von einer Verantwortlichkeit für Drittinhalte ausgegangen zu sein.

2. Maßnahmen zum Schutz personenbezogener Daten
Darüber hinaus muss der Diensteanbieter sicherstellen, dass seine technischen Einrichtungen gegen „Verletzungen des Schutzes personenbezogener Daten” gesichert sind. § 13 Abs. 7 Satz 3 TMG stellt klar, dass der Einsatz eines „als sicher anerkannten Verschlüsselungsverfahrens” eine solche Maßnahme darstellt. Als „sicher anerkannt” seien zumindest solche Verfahren, die den aktuellen Technischen Richtlinien des BSI entsprechen.

Sieht das Gesetz also nun eine generelle Pflicht zur Verschlüsselung vor? Jein. Das Gesetz stellt lediglich klar, dass allgemein Maßnahmen zum Schutz personenbezogener Daten getroffen werden müssen. Wer eine aktuelle Verschlüsselung benutzt, soll dabei auf der sicheren Seite sein. Aber das Gesetz lässt durchaus auch andere Sicherheitsmaßnahmen zu. Welche das sein sollen, ist allerdings unklar.

Zu bedenken ist auch, dass es nicht damit getan ist, auf seinem Webserver den Zugriff über HTTPS (also SSL/TLS) zu aktivieren. Denn längst gelten viele SSL-Techniken als veraltet und nicht mehr sicher. Die Empfehlungen des BSI sind allerdings zum Teil so streng, dass sich sogar das BSI selbst nicht immer daran halten kann. Hinzu kommt, dass das Gesetz keineswegs nur eine Transportverschlüsselung wie HTTPS als mögliche Schutzmaßnahme zulässt. Vielmehr spricht § 13 Abs. 7 Satz 3 TMG nur allgemein von „als sicher anerkannten Verschlüsselungsverfahren”. Reicht es also auch aus, alle Daten auf dem Server mit einer aktuellen Verschlüsselung zu sichern, die Daten aber dann im Klartext an den Anwender zu übermitteln? Auch an dieser Stelle lässt das Gesetz noch viele Fragen offen.

Interessanterweise sah das Telemediengesetz auch früher eine ähnliche Regelung vor, die durch das IT-Sicherheitsgesetz auch nicht gestrichen wurde: Nach § 13 Abs. 4 Nr. 3 TMG müssen Diensteanbieter sicherstellen, dass der Nutzer den Dienst „gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann”. Allerdings war bisher noch unklarer als jetzt, welche Maßnahmen darunter zu verstehen waren. Von Passwörtern über PINs bis zu „sicheren Servern” wurden dazu verschiedenste Maßnahmen zugelassen (so z.B. Müller-Broich, Telemediengesetz, 1. Aufl. 2012, § 13 Rn. 7). In welchem Verhältnis nun § 13 Abs. 4 Nr. 3 TMG zu § 13 Abs. 7 TMG stehen soll, ist – Sie ahnen es – unklar.

3. Maßnahmen zum Schutz gegen äußere Störungen
Neben dem Schutz vor unberechtigtem Zugang und dem Schutz von Daten müssen Diensteanbieter auch Maßnahmen zum Schutz „gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind”, implementieren. Die Gesetzesbegründung schweigt sich zu den Einzelheiten aus. Gemeint ist offenbar der Schutz vor „Distributed Denial of Service”-Attacken (DDoS), also das gezielte Überlasten von Servern. Diese Art von Angriffen war in der letzten Zeit immer wieder in den Schlagzeilen.

Allerdings:
Der Schutz vor DDoS-Attacken ist schwer und sehr aufwändig. Zwar gibt es mittlerweile einige Anbieter auf dem Markt, die beim Schutz vor solchen Angriffen helfen sollen, beispielsweise Cloudflare. Bei den meisten Anbietern funktioniert der Schutz allerdings so, dass sämtliche Anfragen über anbietereigene, recht komplexe Netzwerke umgeleitet werden – in aller Regel in die USA. Aus datenschutzrechtlicher Sicht tun sich damit also neue Probleme auf. Auch erscheint es maßlos übertrieben, sämtliche Diensteanbieter zu verpflichten, sich ohne konkreten Anlass vor DDoS-Attacken abzusichern.

Einschränkungen

Alle Sicherheitspflichten stehen unter dem Vorbehalt, dass sie „technisch möglich und wirtschaftlich zumutbar” sein müssen. Diese Einschränkung ist auf der einen Seite sicherlich sinnvoll, weil sie kleine Anbieter davor bewahrt, extreme Investitionen in überdimensionierte Sicherheitstechnik vornehmen zu müssen. Auf der anderern Seite wird damit allerdings noch schwerer zu beurteilen, welche genauen Maßnahmen von welchem Diensteanbieter erwartet werden.

Beispiel DDoS-Attacken:
Müssen kleine Anbieter nun gar keine Maßnahmen treffen, um sich vor „Störungen von außen” zu schützen ? Wenn nein, welche Maßnahmen sollen dann in Frage kommen ? Wieviel Aufwand müssen Diensteanbieter für entsprechende Beratung hinnehmen, um sich technisch und rechtlich über die Möglichkeiten informieren zu lassen ?

Der Gesetzesentwurf soll an dieser Stelle ersichtlich so flexibel wie möglich sein. Das führt aber dazu, dass das Einschätzungsrisiko für die Frage, welche Maßnahmen wann gesetzlich erforderlich sind, auf die Anbieter übertragen wird.

Die Rechtsfolgen

Nach § 16 Abs. 2 Nr. 3 TMG ist ein Verstoß gegen § 13 Abs. 7 Nr. 1 sowie Nr. 1 Ziffer a) TMG mit einem Bußgeld von bis zu 50.000 EUR bewehrt. Interessanterweise ist ein Verstoß gegen Ziffer b) – Sicherheitsmaßnahmen gegen Störungen von außen – nicht erfasst.

Die zuständigen Bußgeldstellen sind offenbar die für die Durchsetzung des TMG zuständigen Landesbehörden. Diese sind allerdings nicht dafür bekannt, in Sachen TMG besonders durchsetzungsfreudig zu sein. Schon bei anderen Bußgeldtatbeständen, allen voran der Impressumspflicht, waren Bußgeldverfahren in der Vergangenheit die absolute Ausnahme. Insofern besteht die begründete Vermutung, dass auch bei den neuen Sicherheitspflichten Bußgeldverfahren eher eine Seltenheit sein werden.
Davon abgesehen stellt sich auch die Frage, ob die Pflichten aus § 13 Abs. 7 TMG hinreichend bestimmt sind. In der juristischen Literatur sind bereits erste Stimmen laut geworden, die die Norm wegen der unbestimmten Verpflichtungen sogar für verfassungswidrig halten. Jedenfalls ein Bußgeldverfahren wird sich in der Tat nur schwer führen lassen, solange die konkreten Pflichten für Webseitenbetreiber nicht gänzlich klar sind.
Spannend wird auch die Frage, ob es sich bei § 13 Abs. 7 TMG um eine Marktverhaltensregelung handelt. Sprich: Ob Verstöße von Konkurrenten und Verbraucherschützern abgemahnt werden können. Dafür spricht, dass das Gesetz gerade darauf abzielt, einen technischen Mindeststandard für geschäftsmäßige Telemedien zu schaffen und damit das Verhalten auf dem Markt zu regeln. Dagegen spricht allerdings die Intention des Gesetzgebers, vor allem Gefahrenabwehr zu betreiben und übliche Angriffsvektoren einzugrenzen.

Fazit:
Entgegen der, zur Zeit im Netz kursierenden "neuen Meldungen", besteht die Pflicht zur Sicherung von Nutzerdaten bei der Übermittlung tatsächlich schon seit dem 01.08.2015. Dass dieses Thema nun derart panisch überall aufgegriffen wird, liegt an den Ankündigungen von Google, die "unsichere Seiten" mit oben genannten Kennzeichnungen abstrafen und somit im Ranking schlechter zu stellen.
Und wer möchte schon, dass seine Besucher verunsichert werden durch einen Hinweis, dass die aktuelle Seite nicht sicher sei ?

Haben Sie noch nicht zu SSL gewechselt? Dann ist jetzt der richtige Moment um Maßnahmen zu ergreifen. Die Nachteile wiegen gegenüber den Vorteile nicht mehr auf und es ist die Investition wert. Informieren Sie sich bei Ihrem Webentwickler oder Hoster, was die Möglichkeiten sind und beurteilen Sie selbst, welche Art Zertifikat Sie brauchen. Fragen Sie hierbei auch nach der Technologie die eingesetzt wird, um so wenig wie möglich Geschwindigkeit zu verlieren.

Quellen:
Savvii.de
Klemmer Creative Studio
Telemedicus
Camalotmedia.de



13.01.2017 Das virtuelle Hausrecht in Chats und Communities

Und Tschüß! – Das „virtuelle Hausrecht“ und wie man damit umgeht !

Im reellen Leben gewährt uns das Hausrecht die Möglichkeit, jedermann ohne Angabe eines Grundes von unserem Grundstück zu verweisen. Es gibt hierzu zivilrechtliche Anspruchsgrundlagen, die notfalls per einstweiligen Rechtschutz schnell und wirksam durchgesetzt werden können. Das Betreten eines Grundstücks nach einem vorher ausgesprochenen Hausverbot erfüllt dann den Straftatbestand des Hausfriedensbruchs, geregelt in § 123 Strafgesetzbuch.

Darf der Betreiber eines Blogs, Forums oder Portals im Internet einzelne Beiträge löschen oder gar Nutzer komplett von der Benutzung seines Portals ausschließen? Falls ja, woraus ergibt sich dieses Recht? Muss der Betreiber bei der *Ausübung seines "virtuellen Hausrechts" * etwas beachten?

Wie wird man diese Art von Störung los? Kann man einen "Störer" aus einem Forum verweisen? Diese Probleme stellen sich vermehrt Betreibern und Administratoren von Foren und Chat-Rooms und führen unwillkürlich zur der Frage, ob es so etwas wie ein "virtuelles Hausrecht" gibt.

Bereits unklar scheint, ob ein „virtuelles Hausrecht“ schon von Gesetzes wegen jedem Betreiber eines Internetportals zusteht oder ausdrücklich in den AGB bzw. Nutzungsbedingungen des jeweiligen Portals geregelt sein muss, damit es existiert.

Ein weiteres Problem ist ein, in der Rechtsprechung und juristischen Literatur viel diskutiertes Thema, wobei insbesondere darüber Streit besteht, ob für die Ausübung eines virtuellen Hausrechts ein Vertragsverhältnis zwischen Betreiber des Forums und Störer maßgeblich sein muss oder ob allein die Inhaberschaft der Seite den Eigentümer zum Erlass eines Hausverbots berechtigt.

Anerkennung eines "virtuellen Hausrechts" durch die Rechtsprechung:
Ein Beschluss, der in dieser Frage gewissermaßen als Grundsatzentscheidung gelten darf, ist im Jahre 2000 durch das Oberlandesgericht Köln (AZ 19 U 2/00) ergangen. In dieser Entscheidung stellte das Gericht fest, dass dem Betreiber eines allgemein zugänglichen Dienstes ohne besondere Zugangskontrollen und verbindlich festgelegte Nutzungsbedingungen grundsätzlich ein "virtuelles Hausrecht" zusteht. Er müsse – quasi als Gegenstück zu seinem Haftungsrisiko für rechtswidrige Inhalte – auch Störungen innerhalb seines Forums (die bis hin zu Beleidigungen gehen) unterbinden können.

1. Ein virtuelles Hausrecht durch Nutzungsbedingungen (AGB):
Ein "virtuelles Hausrecht", das den Portalbetreiber zur Löschung bestimmter Beiträge bis hin zum Ausschluss ("Rauswurf") bestimmter Nutzer des Portals berechtigt, entsteht in jedem Fall durch entsprechende *Regelungen in den Nutzungsbedingungen (AGB) * des Portals.

Ein Portalbetreiber sollte in seinen Nutzungsbedingungen möglichst präzise und transparent regeln, in welchen Fällen er zur Löschung einzelner Beiträge oder gar ganzer Nutzerprofile berechtigt ist.

Willigt ein Nutzer – entweder ausdrücklich durch Registrierung in dem Portal und Akzeptierung der Nutzungsbedingungen ("Häkchen"), oder möglicherweise auch stillschweigend schlichtweg durch die Nutzung des Portals – in die Nutzungsbedingungen ein, so kann der Betreiber den Nutzer bei Verstößen gegen die Bedingungen entsprechend sanktionieren. Wichtig ist in dem Zusammenhang, dass die Nutzungsbedingungen rechtlich zulässig ausgestaltet sind und keine Klauseln enthalten, die den Nutzer unangemessen benachteiligen. Solche Klauseln wären unwirksam, der Portalbetreiber könnte sich auf sie nicht berufen.

Legt der Betreiber eines Portals beispielsweise in seinen Nutzungsbedingungen fest, dass er das Nutzungsverhältnis ordentlich innerhalb einer bestimmten Frist kündigen kann, so kann er dieses Kündigungsrecht später selbstverständlich auch ausüben.

2. Virtuelles Hausrecht auch ohne Regelungen in den AGB:
Hausrechtliche Befugnisse können dem Betreiber eines Internetportals allerdings auch dann zustehen, wenn er das "virtuelle Hausrecht" und dessen Voraussetzungen nicht oder unzureichend vorab in seinen Nutzungsbedingungen geregelt hat (so etwa auch das OLG Köln, Beschluss vom 25.8.2000, Az. 19 U 2/00).

Ohne Regelungen der Voraussetzungen des "virtuellen Hausrechts" in den Nutzungsbedingungen sind jedoch dessen Inhalt, Umfang und Grenzen unklar.

Als Rechtsgrundlage des "virtuellen Hausrechts" wird in solchen Fällen parallel zur "wirklichen Welt" §§ 903, 1004 BGB genannt, wenn der Portalbetreiber zugleich der Eigentümer der Server und weiteren Technik ist, mit der das Portal betrieben wird bzw. auf der die Beiträge und Profile der Nutzer gespeichert sind. Ist der Portalbetreiber hingegen gleichfalls nur Nutzer bzw. Mieter der entsprechenden Technik, so sollen die Besitzschutzrechte aus §§ 858, 862 BGB die Rechtsgrundlage der Ausübung der hausrechtlichen Befugnissen sein (so das LG München I, Urteil vom 25.10.2006, Az. 30 O 11973/05).

Diese Herleitungen des "virtuellen Hausrechts" wirken etwas gekünstelt und konstruiert. Verletzt ein Nutzer des Webportals vertragliche oder gesetzliche Rechte des Portalbetreibers und stehen dem Portalbetreiber deshalb Beseitigungs- und Unterlassungsansprüche zu, dann kann er diese mittels hausrechtlicher Maßnahmen durchsetzen, etwa durch Löschung von Beiträgen oder Ausschluss von Nutzern.

Fakt ist jedenfalls, dass die Rechtsprechung in verschiedenen Konstellationen die Existenz eines "virtuellen Hausrechts" auch dann annimmt, wenn der Portalbetreiber das Hausrecht gar nicht oder nur unzureichend in seinen Nutzungsbedingungen ausgestaltet hat.

3. Recht des Portalbetreibers zur Kündigung des Nutzungsverhältnisses:
Die gespeicherten Nutzerprofile (Nutzerkonto, "Accounts") der bei einem Portal registrierten Nutzer sind Bestandteile des Nutzungsverhältnisses zwischen Portalbetreiber und Nutzer. Dabei stellt das Nutzungsverhältnis eine Art Dauerschuldverhältnis dar, denn der Portalbetreiber stellt dem Nutzer ab der Registrierung sein Webportal für unbeschränkte oder – je nach Vereinbarung – beschränkte Zeit zur Verfügung.

Dauerschuldverhältnisse können – auch ohne dass dies zwischen den Beteiligten, etwa in Form von Nutzungsbedingungen geregelt worden ist – gemäß § 314 BGB aus wichtigem Grund ohne Einhaltung einer Frist gekündigt werden. Somit hat ein Portalbetreiber zumindest aus § 314 BGB stets das Recht, das Nutzungsverhältnis zu einem Nutzer zu beenden, den Nutzer also von der weiteren Nutzung seines Portals ausschließen, wenn ein solcher wichtiger Grund vorliegt. Schwierig ist dann nur, diejenigen Fälle zu identifizieren, in denen ein solcher wichtiger Grund vorliegt.

Willkürverbot und wettbewerbsrechtliche Einschränkungen:
In der Rechtsprechung noch nicht vollkommen geklärt ist, ob der Betreiber eines kostenlosen Webportals in seinen Nutzungsbedingungen ein ordentliches Kündigungsrecht regeln darf, das ohne Angabe und Vorliegen von Gründen ausgeübt werden kann.

Das AG Karlsruhe hat dies in einem Fall mit dem Hinweis auf die Vertragsfreiheit des Portalbetreibers bejaht (AG Karlsruhe, Urteil vom 24.6.2012, Az. 8 C 220/12). Dem Portalbetreiber stehe aufgrund seiner Vertragsfreiheit vollkommen frei, mit welchen Nutzern er Nutzungsverträge abschließen möchte, wem er also die Nutzung seines Portals gestatten will. Aus diesem Grund sei auch eine Kündigung ohne Angaben von Gründen möglich.

Sind willkürliche hausrechtliche Maßnahmen zulässig ?
Es ist äußerst fraglich, ob das Urteil des AG Karlsruhe das letzte Wort der Rechtsprechung ist.

Gut möglich ist, dass die höchstrichterliche Rechtsprechung mit Hinweis auf das Verbot willkürlicher Maßnahmen zumindest das Vorliegen eines Kündigungsgrundes fordert. Denn wer sein Portal grundsätzlich frei für alle redlichen Nutzer öffnet – und nicht nur für einen bestimmten Personenkreis, wie etwa Familie, Freunde und Bekannte – muss diskriminierungsfrei auch mit allen Nutzern einen Nutzungsvertrag abschließen, es sei denn, es liegt ein Grund für den Ausschluss bestimmter Nutzer (in diese Richtung bereits das LG Bonn, Urteil vom 16.11.1999, Az. 10 O 457/99).

Das "virtuelle Hausrecht"darf trotzdem nicht willkürlich ausgeübt werden. Soweit einem Nutzer eine generelle Nutzungserlaubnis eingeräumt wird (beispielsweise durch geltende AGB oder durch offenen Zugang), kann diese nicht grundlos entzogen werden, da andernfalls ein Verstoß gegen das Verbot widersprüchlichen Verhaltens vorliegen würde.

Die Sperrung der IP-Adressen von Wettbewerbern mit der Folge, dass diese das Angebot eines Konkurrenten im Internet nicht mehr auf seine Rechtmäßigkeit überprüfen können, kann etwa als gezielte Behinderung wettbewerbswidrig sein, solange sich der Wettbewerber nicht anders verhält als andere Nachfrager oder als übliche Testkäufer (siehe Urteil des Landgerichts Hamburg, vom 13.07.2006 – AZ: 327 O 272/06).

Anwendungsfälle des "virtuellen Hausverbots":
In jüngster Zeit hat sich die Mehrzahl der Obergerichte für die generelle Zulässigkeit ausgeübter Internet-Hausverboteausgesprochen und so dem Leitgedanken aus der "reellen Welt" gefolgt, nämlich die Möglichkeit, jegliche Person von dem Zugriff auf das Eigentum auszuschließen.

Somit hat sich nun ein breites Anwendungsfeld für das Internet-Hausrecht erschlossen, das für genügend Rechtssicherheit sorgen dürfte.

So kann die Sperrung einer IP-Nummer als Ausübung eines "virtuellen Hausverbots" zulässig sein, wenn von dort aus eine unter dem Gesichtspunkt der Betriebsstörung wettbewerbswidrige Flut von Seitenaufrufen erfolgt ist (Oberlandesgericht Hamm, Urteil vom 23.10.2007 – AZ 4 U 99/07).

Auch das zu Testzwecken gehäufte Aufsuchen eines Internetshops, welches zur Störung des betroffenen Betriebs führt, kann zugangsbeschränkende Gegenmaßnahmen rechtfertigen, etwa durch die Sperrung bestimmter IP-Nummern (siehe Oberlandesgericht Hamburg, Urteil vom 18.4.2007 – AZ: 5 U 190/06).

Nach einem Urteil vom OLG Hamm, Urteil vom 10.6.2008 (AZ:4 U 37/08) stellt eine automatische IP-Sperrung keine wettbewerbswidrige Behinderung dar und ist wettbewerbsrechtlich nicht zu beanstanden und zwar auch dann nicht, wenn die vorangegangenen Zugriffe zum Zwecke der Überprüfung einer Werbeaussage bezüglich der Anzahl lieferbarer Artikel erfolgt waren.

Konkrete Schlussfolgerungen für Webmaster und Administratoren:
Falls man von einem – wie auch immer gearteten – "Störer" betroffen ist, gilt es folgende Gesichtspunkte zu berücksichtigen:

Im Fall der Fälle können später gegen den Störer auch Schadensersatzansprüche geltend gemacht werden, wenn sein Auftreten zu wirtschaftlichen Einbußen führt.

Die technische Umsetzung des virtuellen Hausrechts
In vielen Konstellationen steht Portalbetreibern somit ein "virtuelles Hausrecht" zu. Allerdings sind der technischen Umsetzung hausrechtlicher Maßnahmen häufig Grenzen gesetzt.

Das Löschen einzelner Beiträge dürfte technisch für den Betreiber regelmäßig kein Problem darstellen. Schwieriger ist es schon, wenn ein Nutzer einen Beitrag, der gegen die Nutzungsbedingungen des Portalbetreibers oder gegen das Gesetz verstößt, nach dessen Löschung eins zu eins wieder postet bzw. die entsprechende Rechtsverletzung wiederholt. Auf diese Weise kann es zu einem permanenten Hin und Her kommen.

In manchen Fällen ist dann nicht einmal die Aussperrung des entsprechenden Nutzers eine dauerhafte Lösung, nämlich dann, wenn er sich unter anderen Pseudonymen immer wieder neu registriert. Dadurch, dass internetfähige Geräte wie PCs, Smartphones etc. regelmäßig keine feste und dauerhafte (IP-)Adresse im Internet haben oder auch verschiedene Nutzer von ein und demselben Gerät auf ein Webportal zugreifen können, ist die Identifizierung eines bereits ausgeschlossenen Nutzers bei dessen Neu-Registrierung in vielen Fällen kaum möglich.

Fazit:
Den Betreibern von Webportalen wie Blogs, Meinungsforen, Bewertungsportalen und Chats im Internet steht ein "*virtuelles Hausrecht*" zu, aufgrund dessen sie beispielsweise einzelne Beiträge von Nutzern löschen oder bestimmte Nutzer von der weiteren Nutzung des Portals ausschließen können.

Quelle: Dr. Web

Quelle: IT-Recht-Kanzlei


WmiG & Support:

WmiG & Support:

Unsere Partner:

Unsere Partner: